סוכני וסוכנויות ביטוח: כך משפיע עליכם תיקון 13 לחוק הגנת הפרטיות
תקציר
- תיקון 13 לחוק הגנת הפרטיות הרחיב את סמכויות האכיפה של הרשות להגנת הפרטיות, הוסיף קנסות מנהליים ועיצומים כספיים, וקבע אפשרות לפיצוי ללא הוכחת נזק לנושאי מידע.
- סוכנויות ביטוח מחזיקות ומעבדות מידע אישי ורגיש במיוחד ולכן נדרשות לעמוד בהוראות החוק ובתקנות אבטחת המידע.
- אי-עמידה בדרישות החוק עלולה לגרור קנסות גבוהים של מאות אלפי שקלים בגין ליקויי אבטחת מידע, אי-עריכת סקר סיכונים או הפרת תקנות אבטחת מידע.
- החוק מחייב צעדים ארגוניים ובהם: עריכת מסמכי הגדרות מאגרי מידע, יישום נהלי אבטחה והרשאות גישה, קיום חובת יידוע ללקוחות, עריכת סקר פערים, ובחינת הצורך במינוי ממונה על הגנת הפרטיות וממונה אבטחת מידע.
- החובות חלות גם על סוכנויות קטנות הנדרשות להגן על המידע שברשותן ולוודא כי ספקי שירות חיצוניים חתומים על הסכמי סודיות ופועלים לפי נהלי הסוכנות.
חוק הגנת הפרטיות הישראלי תוקן לאחרונה, וכמו כל הארגונים במשק, גם סוכני הביטוח נדרשים לעמוד בהוראותיו.
בדוח פיקוח שערכה הרשות בקרב סוכנויות ביטוח בשנת 2022, נמצאו כשלים משמעותיים ברמת העמידה של סוכני ביטוח בהוראות דיני הפרטיות הישראליים. בין היתר, התגלו ליקויים בתחום אבטחת המידע המעובד אצל סוכני ביטוח, ביחס להיעדר נהלים מחייבים ובקרה ארגונית, וכן באי-עמידה בדרישות היידוע כלפי הלקוחות ובעת פניות שיווקיות.
כדי לסייע לסוכני הביטוח לעמוד בהוראות החוק אשר מחזיקים במידע פרטי ואף מידע פרטי רגיש, ופועלים במגזר מפוקח, הכנו את המדריך הקצר הזה.
מהו תיקון 13 ומדוע הוא רלוונטי לסוכני ביטוח?
תיקון 13 עדכן באופן משמעותי את דיני הפרטיות בישראל, והוסיף סמכויות אכיפה נרחבות לרשות להגנת הפרטיות, ובכלל זאת קנסות מנהליים, עיצומים כספיים ועוד. התיקון עדכן חלק מהחובות של בעלי השליטה במידע אישי כלפי נושאי המידע (מי שהמידע שלהם נאסף), ומעניק לנושאי המידע זכות תביעה אישית לצד פיצוי ללא הוכחת נזק בגין הפרת זכויותיהם ביחס למידע.
איזה מידע אישי מצוי אצל סוכני ביטוח?
סוכנויות ביטוח, במסגרת פעילותן השוטפת, אוספות ומנהלות מידע אישי רב ורגיש על לקוחותיהן. מידע כזה כולל בראש ובראשונה פרטים מזהים אישיים על אדם, הכוללים שם מלא, מספר תעודת זהות (ולעיתים גם צילום שלה), כתובת מגורים ועוד. לצד אלו עשוי להיכלל גם מידע רגיש במיוחד, הכולל מידע רפואי ונפשי, מידע פיננסי (ובכלל זאת נתוני שכר ונכסים) וכן מידע על מצב משפחתי ולעיתים אף נטייה מינית.
מהן הסנקציות להן אנו חשופים אם לא נסדיר את הדרישות הקבועות בתיקון?
לאור תהליכים קודמים של פיקוח רוחב, אנו מעריכים כי סוכנויות ביטוח יושמו גם כעת תחת זרקור הבחינה של הרשות להגנת הפרטיות. אי-עמידה בדרישות החוק לאחר התיקון עשויה לגרור קנסות ועיצומים כספיים גבוהים. כך למשל, בשל סירוב לאפשר לאדם לעיין במידע אודותיו או לתקנו, עיצום כספי של 150,000 ש"ח, הפרה של חובות היידוע בעת איסוף מידע עשויה להביא לעיצום כספי בסך 50-100 ש"ח לכל רשומה. בנוסף, אי-עמידה בתקנות אבטחת מידע עשויה להוביל אף לקנסות של עד 320,000 ש"ח.
מה אפשר לעשות כדי לוודא עמידה בדרישות המרכזיות של החוק?
כדי לוודא שההוראות המרכזיות של חוק הגנת הפרטיות מתקיימות, אנו ממליצים על כמה צעדים פשוטים:
- בחינת תהליכי איסוף המידע ותיעוד המידע המצוי אצלכם במסמך הגדרות מאגר, על ידי מיפוי וחלוקת המידע למאגרים ופירוט עבור כל מאגר את סוג המידע, מטרות האיסוף, הספקים המעבדים אותו וסיכוני האבטחה.
- בחינת המסמכים והאמצעים שבהם נאסף מידע, כדי לוודא שהם עומדים בדרישות היידוע של החוק. בין היתר, עליכם לוודא שבכל אמצעי לאיסוף מידע (אתר, טפסים שבאמצעותם נאסף מידע, הסכמים) מוצגת מדיניות פרטיות ברורה ונגישה, המפרטת את מטרות השימוש, הגורמים אליהם המידע יועבר, וזכויות הלקוח (עיון ותיקון).
- יישום אמצעי אבטחת מידע, ובהם קביעת נוהל אבטחה התואם את מסמך הגדרות המאגרים שברשותכם, ניהול הרשאות גישה, שימוש באמצעי הגנה טכנולוגיים וארגוניים והבטחת הגנה פיזית וסביבתית על הנתונים.
- וידוא כי כלל הספקים המעורבים בעיבוד המידע עבורכם חתומים על הסכמי סודיות ואבטחת מידע הכוללים הוראות המגבילות את פעולותיהם ואת הגישה שלהם למידע, כדי לוודא הגנה על סודיות ואבטחת המידע שברשותכם.
- מומלץ לבצע סקר פערים בתחום אבטחת המידע למאגרים, כנדרש בתקנות אבטחת המידע, ולזהות סיכונים אפשריים בפעילות החברה.
מהם מסמכי הגדרות מאגרים?
מסמכי הגדרות מאגרי מידע הם מסמכים הכוללים מיפוי מפורט של סוגי המידע בכל מאגר, מטרות האיסוף והשימוש בו, סיכוני האבטחה הרלוונטיים והגורמים האחראים לניהולו. תהליך הכנת המסמכים מחייב ארגונים לבחון ולמפות את תהליכי עיבוד המידע המבוצעים אצלם ובשליטתם ולתעד אותם. תהליך זה מאפשר גם בחינה רחבה של עמידת הארגון בדרישות חוק הגנת הפרטיות.
מסמכי הגדרות המאגר הם מסמכים פנימיים, אך החובה לערוך אותם מוטלת על כל מי שמעבד מידע אישי כבעל שליטה במאגר. הרשות יכולה לדרוש את המסמכים במסגרת תהליכי אכיפה, דיווח אודות אירועי דלף ועוד. אנו מעריכים כי ניהול מסמכים אלה יהפוך לאחד ממוקדי האכיפה המרכזיים של הרשות.
איזה מידע עלינו להעמיד לידיעת הלקוחות והמבוטחים לגבי איסוף המידע שלהם, ומתי עלי להציג להם את המידע?
חובת הגילוי והשקיפות הקבועה בחוק מחייבת את הגורם האוסף מידע אישי לפרט בפני נושאי המידע (מי שהמידע עליהם) את הפרטים הבאים:
- האם מסירת המידע היא חובה? יש להבהיר האם נושא המידע חייב למסור את המידע (למשל, חובה חוקית), או שמסירת המידע היא מרצונו ונדרשת רק כדי לקבל את השירות המבוקש.
- מטרות איסוף ושימוש במידע: יש לפרט את כל המטרות שלשמן מבוקש המידע ושלשמן ייעשה בו שימוש. חשוב לפרט כאן את כל המטרות לשימושים במידע, כדי שהאנשים שמוסרים את המידע ידעו למה לצפות.
- זהות בעל השליטה במידע: מי שולט במידע, כלומר, שם החברה או הגוף שלכם כבעלת השליטה במאגר המידע. ההודעה צריכה לכלול גם פרטי קשר שבאמצעותם ניתן לפנות אליכם.
- לאן המידע עובר (צדדים שלישיים)? מיהם הגורמים שעשויים לקבל את המידע ומהן הסיבות להעברה זו. בדרך כלל יכללו כאן ספקים מרכזיים המספקים את השירות עבורכם או אתכם, שירותי פרסום, שותפים עסקיים ועוד.
- זכויות נושא המידע: יש לעדכן את נושא המידע על זכותו לעיין במידע השמור אודותיו או לתקנו אם אינו נכון או מדויק. עליכם חלה חובה לעדכן את נושא המידע על זכויות אלה בעת איסוף המידע.
את המידע הזה עליך להציג בסמוך למועד שבו נאסף המידע, כך שמי שמבקשים את המידע לגביו יוכל לעיין בפירוט טרם ההסכמה למסירתו.
בנוסף, בהתאם לזכות העיון הקבועה בחוק, חלה חובה לאפשר ללקוחות ומבוטחים לעיין במידע האישי שאספתם אודותיהם, אם הם פונים אליכם בבקשה לעשות זאת. החוק קובע סייג הנוגע למידע רפואי או נפשי, המאפשר להימנע ממסירת המידע ישירות, אם הדבר עלול לפגוע בבריאותו או לסכן את חייו.
כשאנו מטפלים בפוליסה של עובד, יש מידע המתקבל מהמעסיק שלו. האם הסוכנות נחשבת בעל שליטה במאגר מידע?
אם קבלת המידע נעשית לאחר הסכמה של העובד שניתנה לך, וחתימה על הסכם נעשתה מולך, ככל הנראה תיחשב לבעל השליטה במידע. בעל השליטה במידע הוא מי שקובע את מטרות ודרכי השימוש במידע, ונושא על פי חוק באחריות לטיפול במידע זה. לכן, אם קבלת המידע מהמעסיק נעשית כחלק מהטיפול שלך בעניינו של המבוטח ובהמשך להסכם ביניכם, ככל הנראה תיחשב בעל שליטה במידע.
אם קבלת המידע נעשית כחלק מהשירות אותו אתה מעניק למעסיק, יש לבחון את האופן שבו הוסדר מעמדך לפי חוק הגנת הפרטיות מול המעסיק. ככלל, במקרים בהם נדרשות פעולות מהותיות ביחס למידע והפעלת שיקול דעת באשר למטרות ודרכי השימוש בו, לא ניתן יהיה להגדיר אותך כמחזיק. עם זאת, אם קיבלת ממעסיק רשימת שמות העובדים למטרה מצומצמת של יצירת קשר עמם לשם הצעת שירותיך, אתה עשוי להיחשב מחזיק בלבד במידע.
האם עלינו למנות ממונה על הגנת הפרטיות?
תיקון 13 לחוק הגנת הפרטיות מחייב ארגונים לבחון את הצורך במינוי ממונה על הגנת הפרטיות (Data Protection Officer – DPO) בהתאם לדרישות החוק ולאפיון מאגריהם, המתבצע, בין היתר, באמצעות עריכת מסמכי הגדרות המאגרים וביצוע סקר פערים בתחום אבטחת המידע.
ממונה הגנת הפרטיות הוא בעל תפקיד בארגון, האחראי להבטיח את עמידת הארגון בהוראות חוק הגנת הפרטיות והתקנות הנלוות לו. בין היתר, עליו לפעול לקידום ושיפור אבטחת המידע, צמצום סיכונים לפגיעה בפרטיות, להבטיח את קיומם של מנגנוני בקרה נאותים בהתאם לסיכונים הכרוכים בפעילות הארגון, ולבצע הערכה ובקרה שוטפת.
דרישת חובת המינוי המנויה בחוק הגנת הפרטיות חלה על ארגונים לפי קריטריונים שונים, ובהם עיבוד מידע בעבור גוף ציבורי או עיבוד של מידע בעל רגישות מיוחדת בהיקף ניכר. לאור הרגישות הגבוהה המאפיינת את המידע המצוי בידיהם של סוכני הביטוח, יש לבחון האם פעילותכם מחייבת מינוי ממונה הגנת פרטיות.
בנוסף, הרשות להגנת הפרטיות ממליצה לכל ארגון האוסף ומעבד מידע אישי לשקול מינוי ממונה על הגנת הפרטיות, גם אם אינו מחויב לכך על פי חוק. מינוי כזה נתפס כפרקטיקה מומלצת התורמת לשיפור הציות לדיני הגנת הפרטיות, מחזקת את האמון בקרב לקוחות ושותפים עסקיים, ותורם למוניטין הארגון.
בנוסף, מי שממנה ממונה על הגנת הפרטיות יוכל ליהנות מהפחתה של 10% בגובה העיצום הכספי לפי החוק.
האם חלה על סוכנות חובת מינוי ממונה אבטחת מידע?
תיקון 13 לחוק הגנת הפרטיות קבע קריטריונים ברורים המחייבים מינוי ממונה אבטחת מידע (CISO) החלים על: בעל שליטה או מחזיק של לפחות חמישה מאגרי מידע החייבים ברישום; גופים ציבוריים; וגופים פיננסיים גדולים.
ה-CISO אחראי על ניהול אבטחת המידע ואבטחת הסייבר של הארגון, ועליו לפעול לקידום ושיפור אבטחת המידע תוך צמצום סיכונים לפגיעה אפשרית בפרטיות נושאי המידע. עליו לפעול על פי הגדרת התפקיד המנויה בתקנות. החוק מתיר להעסיק את הממונה גם כנותן שירותים חיצוני.
אנחנו עסק משפחתי קטן, מגיעות לנו הקלות כלשהן?
החובות הכלולות בחוק הגנת הפרטיות חלות על כלל הארגונים, בהתאם לסוג המידע המעובד. עם זאת, החוק מאפשר הפחתה של העיצומים הכספיים לעסקים זעירים וקטנים (מחזור של עד 10 מיליון שקלים חדשים).
אנו משתמשים בשירותי אבטחת מידע חיצוניים, מה הצעדים הניהוליים שעלינו לבצע עכשיו כדי להגן על המידע שעובר לספקי צד שלישי?
בתור בעל המידע, הסוכנות היא האחראית לפעולותיו של המחזיק. החובות החלות על הסוכנות נגזרות מקביעת רמת האבטחה החלה עליהן לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. יש לוודא כי ספק שירותי אבטחת המידע עומד בדרישות החוקיות, שהסכם העבודה ביניכם כולל אזכור מפורש לחובותיו ומכיל את מדיניות אבטחת המידע שהסוכנות פועלת לפיה, וכי מתבצעות באופן שוטף בקרות טכניות להגנה על המידע והגדרת חובת הדיווח על אירועי דליפה.
תיקון 13 לחוק הגנת הפרטיות שינה באופן מהותי את דיני הפרטיות בישראל והגביר את סמכויות האכיפה של הרשות להגנת הפרטיות. שינויים אלה חושפים את הסוכנויות לסנקציות ממשיות, והסיכון הכלכלי מאי-עמידה בדרישות החוק גדול מבעבר. סוכנויות ביטוח עשויות להיות אחד מיעדי הפיקוח המשמעותיים של הרשות להגנת הפרטיות.
מחלקת הפרטיות עומדת לרשותכם כדי להיערך כראוי ולהימנע מעיצומים, על ידי הטמעת דרישות החוק החדשות ווידוא עמידתכם בנהלים המחייבים.
***
ד"ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרדנו.
עו"ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרדנו.
מחלקת פרטיות, סייבר ובינה מלאכותית במשרדנו היא מהבולטות והמובילות בישראל, ומעניקה ייעוץ משפטי מקיף וחדשני לחברות טכנולוגיה, גופים מוסדיים, חברות ותאגידים מסקטורים שונים בארץ ובעולם. המחלקה מתמחה ביישום מעשי של דיני הפרטיות בישראל, עם מיקוד בצרכים העסקיים, בצמצום הסיכון המשפטי וביצירת תוכניות פרטיות המותאמות לצרכי הלקוחות.