הרשות להגנת הפרטיות פרסמה לאחרונה (28.05.2023) דו"ח בנושא מוקדי שירות טלפונים, שכידוע, מספקים לחברות שירות יצירת קשר טלפוני מרחוק עם לקוחותיהם הקיימים או הפוטנציאליים. זאת במסגרת פיקוח רוחבי שערכה הרשות במגזר המוקדים הטלפונים. הדוח מורה על כשלים בניהול המוקדים, בכל הקשור להיבטי הפרטיות.
היוזמה לערוך את הפיקוח הרוחבי נולדה, לשיטת הרשות, בשל מאפייניו הייחודיים של תחום מוקדי השירות הטלפוני המהווים סיכון בהיבטי הפרטיות, שכן מדובר בשירותים המסופקים לגוף אחר וכוללים מידע אישי רב ממבקשי השירותים. עו"ד רביד פטל, הממונה על פיקוחי הרוחב ברשות, ציין כי כתוצאה מהחזקה במידע אישי רב המתקבל מחברות שונות, מוקדי הטלפונים נתונים לרמת סיכון גבוה לפגיעה בפרטיות של מושאי המידע.
משכך, הרשות הסיקה שחל צורך בבחינת אופן עמידת המוקדים הטלפוניים אל מול יישומו של חוק הגנת הפרטיות והתקנות שהותקנו מכוחו. במסגרת זו, פנתה לחמישה גופים המעניקים שירותי מוקדים טלפוניים בהתאם להיקפי המידע, כמות נושאי המידע ורגישות המידע האישי, בדרישה למילוי שאלוני ביקורת, ובחנה ארבעה קריטריונים עיקריים.
הרשות מצאה כשלים המצריכים תיקונים ביחס לכל אחד מחמשת הגופים, ודרשה מהם לתקן את הליקויים על ידי גיבוש תכנית מפורטת למימוש התיקונים.
להלן עיקר ממצאי הדו"ח ביחס לכל אחד מארבעת הקריטריונים שנבדקו:
- בקרה ארגונית: נמצאה רמת עמידה בינונית – נמוכה, אשר באה לידי ביטוי בעיקר באי מינויו של ממונה אבטחת מידע.
- ניהול מאגרי מידע: נמצאה רמת עמידה בינונית – נמוכה בכל הקשור לניהול מאגרי מידע. רמת עמידה זו נובעת בעיקר נוכח אי רישום מאגרים אלו בפנקס המאגרים.
- אבטחת מידע: נמצאה רמת עמידה בינונית-גבוהה, כאשר הכשלים העיקריים בתחום אבטחת המידע נבעו בעקבות מנגנוני הרשאות שאינם עומדים בתקנות אבטחת מידע באופן שיבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בין המחזיק במאגר (המוקד הטלפוני) לבין בעל המאגר.
- עיבוד מידע אישי במיקור חוץ: נמצאה רמת עמידה בינונית- נמוכה בכל הנוגע לאופן התקשרות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו.
לסיכום, הנחיית הרשות היא כי על מוקדים טלפונים ליישם את הנקודות הבאות:
- בקרה ארגונית
- על הגופים לוודא כי רישום מאגרי מידע שבבעלותם תקין, ולוודא כי קיימים נהלי אבטחת מידע הכוללים התייחסות לנושאים שונים כמו אבטחה פיזית.
- בנוסף, ככל שמדובר בגוף שחלה עליו רמת האבטחה הגבוהה, עליו לוודא כי בוצעו מבדקי החדירות וכי הם עומדים בדרישות התקנות.
- ניהול מאגרי מידע
- על הגופים ליידע את בעל המידע ביחס למקור החוקי לאיסוף המידע אודותיו, ולציין מהי המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומהן מטרות המסירה.
- על הגופים המחזיקים בחמישה מאגרי מידע ומעלה, להצהיר, מדי שנה, רשימה של מאגרי המידע שברשותם.
- יש להקפיד כי פנייה המהווה דיוור ישיר כהגדרתה בסעיף 17 ג לחוק, תכלול ציון של הפרטים המנויים בסעיף 17ו לחוק, לרבות ציון הפניה מהווה דיוור ישיר, זהותו ומענו של בעל מאגר המידע, מקור המידע, הגורמים להם נמסר המידע וכד'.
- כמו כן, בהתאם לסעיף 13 לחוק, על הגופים לאפשר למושא המידע את זכות העיון.
- אבטחת מידע
- בהתאם לתקנות, על הגופים לוודא כי קיימים נהלי אבטחת מידע, ולבחון את תקינותם מעת לעת.
- על הגופים לבחון את הצורך בחיבור התקנים ניידים. ככל שאין צורך בחיבורים ניידים, מוצע להגביל השימוש למתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, ואילו במקרים בהם קיים צורך בשימוש בהתקנים ניידים, יש להצפין הנתונים באמצעות שיטות הצפנה מקובלות.
- יש לוודא כי תיעוד של אירועי אבטחת מידע יישמר, ויגובש נוהל עבודה סדור בנושא, בהתאם לתקנה 11 לתקנות.
- יש להטמיע מנגנון הרשאות ולוודא תקופתית כי הרשאות הגישה הקיימות לעובדים תואמות לכך.
- בנוסף, יש לוודא כי פרק הזמן לשמירת תיעוד שמאפשר ביקורת על הגישה למערכות המאגר הוא 24 חודשים לפחות, כנדרש בתקנה 10 לתקנות.
- עיבוד מידע אישי במיקור חוץ
- בהתאם לתקנה 15, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות.
- בנוסף, על הגופים לוודא עריכת הסכם מול כל גורם חיצוני שנותן שירות הכרוך בקבלת גישה למאגר, בו ייקבעו במפורש כל ההוראות המתחייבות על פי תקנה 15.
- בעניין זה יש לנקוט אמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות, כנדרש בתקנה 15 ובהנחיית רשם מאגרי המידע מס' 2/2011 .
