עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
שפה
עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
דף הבית
אודותינו
בקצרה
נוכחות גלובלית
פרו בונו
תחומי התמחות
הצוות
חדשות ועדכונים
חדשות ועדכונים
עדכוני לקוחות
דירוגים
בלוג
הצטרפו אלינו
צור קשר
© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

עדכוני לקוחות
3 נובמבר 2021
מאת ענת אבן-חן
         
אינטרנט
בנקאות ומימון
דיני עבודה
הייטק
ליטיגציה
לקוחות פרטיים
עמותות
מיסוי
משפט סביבתי
נדל"ן
רגולציה
שוק הון
תאגידים
תחרות והגבלים עסקיים
תשתיות

בעלי מאגרי מידע? אתם אחראים גם לפעולות שמתבצעות ע"י צדדים שלישיים

הפריצה של Black Shadow לחברת Cyberserve שפורסמה לפני מספר ימים, אשר תוצאותיה, נכון לעת הזו, הן הדלפת מאגר הכולל למעלה מ-800,000 רשומות אודות בני אדם שונים, לצד מאגרים נוספים שנחשפו, מעלה שאלות חשובות הנוגעות ליחסים בין בעלי מאגרי מידע לבין הגורמים שעימם הם מתקשרים ומקבלים שירותים שונים הנוגעים לפעילות העסקית ואגב כך נוגעות במידע שלהם.

 

המציאות היא שפעולות עיבוד מידע מחייבות, ברוב המקרים, שימוש בצדדים שלישיים לצורך ביצוע הפעולות עצמן. בין אם מדובר בשירותי אחסון – ענן או חוות שרתים אחרות או בשירותי דיוור ללקוחות, שימוש בכלים כמו מערכת CRM מבוססת ענן או הטמעה של שירותי תשלום בעמוד אינטרנט, כל אלה שירותים הכוללים עיבוד מידע על-ידי צד שלישי.

 

מיקור חוץ או שימוש בצד שלישי לעיבוד מידע מוסדרים בדין. תקנות הגנת הפרטיות (אבטחת מידע),  מטילות מספר חובות על בעלי מאגרי מידע, בעת התקשרות עם גורם חיצוני לצורך קבלת שירות, כאשר קבלת השירות כרוכה במתן גישה למאגר המידע.

 

חובות אלה אינן מעטות והן משמעותיות מאוד.

 

טרם ביצוע ההתקשרות, על בעל המאגר לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה ראוי.

 

ההתקשרות צריכה להיעשות באמצעות הסכם בין בעל המאגר לגורם החיצוני, אשר ייקבעו בו במפורש:

  • המידע שהגורם החיצוני רשאי לעבד;
  • מטרות השימוש המותרות במידע לצורכי ההתקשרות;
  • אילו מערכות במאגר הגורם החיצוני רשאי לגשת;
  • סוג העיבוד או הפעולות שהגורם החיצוני רשאי לעשות
  • כיצד המידע יושב לבעל המאגר בסיום ההתקשרות
  • סוגיית השמדת המידע מרשותו של הגורם החיצוני

ועוד פרטים נוספים אשר חייבים להיכלל בהסכם באופן מפורש.

 

בנוסף חלות על בעל מאגר המידע חובות גם בהמשך ההתקשרות, כגון עריכת ביקורות תקופתיות ובקרה על תיקון ליקויים שמתגלים. מדובר בתהליכי בחינה ובקרה מתמשכים ותמידיים להם נדרש בעל מאגר המשתמש בשירותים של צדדים שלישיים.

 

במילים אחרות, האחריות כלפי נושאי המידע נשארת אצל בעל מאגר המידע. האחריות להבטיח טיפול נאות בסיכוני אבטחת המידע נופלת על כתפיו של בעל המאגר, גם בהתקשרות עם גורמים חיצוניים, ואין בעובדה שמדובר במיקור חוץ כדי להסיר מעליו אחריות זו, גם במקרים של אירועי אבטחת מידע, כדוגמת הפריצה ל-Cyberserve.

 

לכן, גם כאשר שירותי מיקור החוץ נרכשים און-ליין במסגרת חוזה אחיד אינטרנטי, או כאשר הם נרכשים מתאגידים בינלאומיים, בעל המאגר לא יוצא לידי חובתו מבלי שבדק את הנושאים הנוגעים לאבטחת מידע.

 

חובות דומות ואף רחבות יותר קיימות גם בתקנות הגנת הפרטיות האירופאיות ה-GDPR וכאשר מדובר בפעילות בינלאומית אופן ההסדרה החוזי מחייב התייחסות גם להיבטים אלה של הפעילות.

 

עריכת הסכם נדרשת גם כאשר קיימת קרבה תאגידית בין בעל מאגר המידע ובין הגורם החיצוני שאחראי על פעולות עיבוד המידע. לדוגמה, גם כאשר מדובר בחברת אם וחברה בת, נדרשת הסדרה מתאימה במסגרת הסכם בין חברתי.

 

אנו עומדים לרשותכם בכל הנוגע לייעוץ בנושאי מאגרי מידע ופרטיות ונשמח לסייע לכם. לפרטים נוספים, הקליקו כאן

תגיות: הגנת פרטיות | מאגרי מידע | סייבר