ארכיון הנחיות - דן חי ברשת

ארכיון הנחיות - דן חי ברשת https://hay-law.com/tag/הנחיות/ חדשות משפט, פסיקה, דיני תקשורת, דיני אינטרנט, דיני ספורט ועוד Thu, 09 May 2019 14:05:57 +0000 he-IL hourly 1 https://wordpress.org/?v=6.4.4 https://hay-law.com/wp-content/uploads/2018/07/cropped-favicon-32x32.png ארכיון הנחיות - דן חי ברשת https://hay-law.com/tag/הנחיות/ 32 32 דנמרק: הקלטת שיחות להכשרת נציגים מחויבת בהסכמה https://hay-law.com/%d7%93%d7%a0%d7%9e%d7%a8%d7%a7-%d7%94%d7%a7%d7%9c%d7%98%d7%aa-%d7%a9%d7%99%d7%97%d7%95%d7%aa-%d7%9c%d7%94%d7%9b%d7%a9%d7%a8%d7%aa-%d7%a0%d7%a6%d7%99%d7%92%d7%99%d7%9d-%d7%9e%d7%97%d7%95%d7%99%d7%91/ Thu, 09 May 2019 14:05:10 +0000 https://hay-law.com/?p=29305 הרשות להגנת הנתונים הדנית (Danish DPA) הנחתה (12.4.19) חברה מקומית לחדול מהקלטת שיחות טלפון למטרות הכשרת נציגי שירות לקוחות חדשים, וזאת עד שהחברה תטמיע פתרון טכנולוגי שיאפשר לקבל את הסכמת הלקוח לכך. פנייה שגרתית לשירות הלקוחות של חברה דנית הובילה לתפנית מפתיעה: לקוח ששמע את ההודעה המוכרת לכולנו "לתשומת לבך, שיחה זו מוקלטת לצורך שיפור […]

הפוסט דנמרק: הקלטת שיחות להכשרת נציגים מחויבת בהסכמה הופיע ראשון בדן חי ברשת

]]> הרשות להגנת הנתונים הדנית (Danish DPA) הנחתה (12.4.19) חברה מקומית לחדול מהקלטת שיחות טלפון למטרות הכשרת נציגי שירות לקוחות חדשים, וזאת עד שהחברה תטמיע פתרון טכנולוגי שיאפשר לקבל את הסכמת הלקוח לכך.

פנייה שגרתית לשירות הלקוחות של חברה דנית הובילה לתפנית מפתיעה: לקוח ששמע את ההודעה המוכרת לכולנו "לתשומת לבך, שיחה זו מוקלטת לצורך שיפור איכות השירות" בזמן שהמתין לנציג, ביקש לבטל את הקלטת השיחה בכדי לשמור על פרטיותו. נציג החברה השיב כי הדבר אינו אפשרי משום שהקלטת השיחה הינה חלק ממערך ההתלמדות של נציגי השירות החדשים. תשובה זו הובילה לתלונה שהוגשה לרשות הדנית.

בתגובה לכך הנחתה הרשות להגנת הנתונים הדנית את החברה לשנות את מדיניות הקלטת השיחות, כך שביצוע ההקלטה יותנה בהסכמה מראש של הלקוח. לאור דרישה זו, החברה שינתה את נוסח ההודעה המוקלטת: "ייתכן ששיחה זו תוקלט לצורך שיפור איכות השירות. אם אתה מסכים, אמור 'מסכים'".

עוד קבעה הרשות כי חברה המתעדת שיחות למטרות מסוג זה מחויבת להצהיר זאת באופן ברור ללקוח. כמו כן, ההחלטה מבהירה כי הרשות להגנת הנתונים מכירה בהסכמת הלקוח כבסיס חוקי להקלטת שיחות לצורך הכשרת נציגים חדשים. עוד צוין בהחלטה כי בנסיבות יוצאות דופן, תיתכן סיבה לגיטימית להקלטה ללא הסכמה מראש, ובמקרה זה עיבוד ההקלטה יתבצע על-בסיס סעיף 6(3) לתקנות ה-GDPR.

הפוסט דנמרק: הקלטת שיחות להכשרת נציגים מחויבת בהסכמה הופיע ראשון בדן חי ברשת

]]> הועד האירופי להגנת הפרטיות מבהיר: מתי חוזה מהווה בסיס לעיבוד מידע אישי https://hay-law.com/%d7%94%d7%95%d7%a2%d7%93-%d7%94%d7%90%d7%99%d7%a8%d7%95%d7%a4%d7%99-%d7%9c%d7%94%d7%92%d7%a0%d7%aa-%d7%94%d7%a4%d7%a8%d7%98%d7%99%d7%95%d7%aa-%d7%9e%d7%91%d7%94%d7%99%d7%a8-%d7%9e%d7%aa%d7%99-%d7%97/ Fri, 26 Apr 2019 16:48:24 +0000 https://hay-law.com/?p=29295 הועד האירופי להגנת הפרטיות (EDPB), גוף עצמאי האחראי ליישום כללי ההגנה על נתונים אישיים באיחוד האירופי, פרסם לאחרונה (9.4.19) הנחיות בנושא חוקיות עיבוד מידע אישי לפי סעיף 6(1)(b) לתקנות המידע האירופיות, ה-GDPR, בעניין אספקת שירותים מקוונים ללקוח (נשוא המידע). סעיף זה יהווה בסיס חוקי לעיבוד נתונים אם העיבוד הכרחי לקיום החוזה בין הלקוח לספק השירות […]

הפוסט הועד האירופי להגנת הפרטיות מבהיר: מתי חוזה מהווה בסיס לעיבוד מידע אישי הופיע ראשון בדן חי ברשת

]]> הועד האירופי להגנת הפרטיות (EDPB), גוף עצמאי האחראי ליישום כללי ההגנה על נתונים אישיים באיחוד האירופי, פרסם לאחרונה (9.4.19) הנחיות בנושא חוקיות עיבוד מידע אישי לפי סעיף 6(1)(b) לתקנות המידע האירופיות, ה-GDPR, בעניין אספקת שירותים מקוונים ללקוח (נשוא המידע). סעיף זה יהווה בסיס חוקי לעיבוד נתונים אם העיבוד הכרחי לקיום החוזה בין הלקוח לספק השירות (בעל השליטה במידע), או אם עיבוד הנתונים הכרחי לצורך ביצוע פעולות טרום חוזיות לבקשת הלקוח.

ההנחיות מכוונות אל הספק אשר מקבל מהלקוח מידע אישי לצורך קבלת שירות מסוים. ההנחיות מבהירות כי יש לעבד את המידע האישי שמתקבל באופן הוגן, למטרות מוגדרות מראש תוך שקיפות מלאה כלפי הלקוח ועל פי בסיס חוקי שנקבע בתקנות. אחד הבסיסים החוקיים, שאליו מתייחסות ההנחיות אשר נקבעו בתקנות האירופיות, הוא סעיף 6(1)(b) לתקנות, אשר עוסק בחוקיות עיבוד המידע האישי בהקשר שבו העיבוד נחוץ לצורך ביצוע חוזה. לפי ההנחיות, כדי שעיבוד הנתונים ייעשה על בסיס חוקי, לא די בכך שהלקוח מספק את המידע, אלא נדרש גם שעיבוד המידע יהיה רלוונטי לביצוע החוזה.

תנאי מוקדם ליישום סעיף 6(1)(b) בהתאם להנחייה הוא נחיצות עיבוד המידע – על הספק לדרוש את הנתונים הרלוונטיים בלבד, כך שתופחת מידת החודרניות ככל האפשר בהשוואה לדרכים אחרות שבאמצעותן אפשר יהיה להשיג את אותה המטרה. נחיצות עיבוד המידע תלויה בהבנה הדדית בין הלקוח לספק לגבי מטרת החוזה, כך שאף אחד מהצדדים לא יוכל לטעון לפירוש אחר של מטרת החוזה.

דוגמה לכך היא כאשר לקוח מבצע רכישה באינטרנט ומעוניין לשלם באשראי עבור המוצר אשר ישלח אליו הביתה. כדי לקיים את חוזה הרכישה, הספק חייב לעבד את נתוני כרטיס האשראי של הלקוח לצורך גביית התשלום וכן את כתובת הלקוח לצורך המשלוח. במידה שהלקוח מבקש שהמוצר יישלח לנקודת איסוף ולא לביתו, עיבוד המידע לגבי כתובת מגוריו אינה הכרחית לקיום החוזה. במקרה זה, על פי סעיף 6(1)(b) דרישת כתובת הלקוח אינה רלוונטית לצורך קיום החוזה, ולכן הדרישה אינה חוקית.

כאמור, סעיף 6(1)(b) ניתן ליישום בהקשר חוזי בלבד, ועל החוזה להתאים לחוקי החוזים וחוקי הגנת הצרכן כדי שעיבוד הנתונים ייחשב הוגן וחוקי. פרט לכך, הספק נדרש ליישם עקרונות נוספים בעת עיבוד המידע של הלקוח בכדי לשמור על פרטיותו של זה. עיקרון הגבלת המטרה קובע כי מידע אישי ייאסף למטרות מפורשות, ברורות וחוקיות, כך שהנתונים לא יעובדו הלאה באופן שאינו עונה למטרות אלה. עיקרון המינימליות קובע כי על הספק לעבד מידע בהיקף המועט ביותר כדי להשיג את ייעוד החוזה. עוד נדרש החוזה להיות שקוף כך שהלקוח יהיה מודע למטרות עיבוד המידע שהוא מספק.

על-פי ההנחיות, עם סיום החוזה על הספק להפסיק את עיבוד המידע ולמחוק את הנתונים. כאשר החוזה הופסק ואינו עומד יותר בסעיף 6(1)(b), המשך עיבוד המידע מצד הספק ייחשב כסותר את עיקרון ההגינות, אלא אם הלקוח נתן מראש את הסכמתו לעיבוד המידע לאחר סיום החוזה. במקרה שהספק מעוניין לשמר את המידע אודות הלקוח, עליו ליידע אותו מראש בנוגע למשך הזמן שבו יישמר המידע ולאיזה צורך חוקי הוא נשמר.

פרסום הנחיות אלה הוא המשך המגמה להגן על המידע האישי השייך על-פי ה-GDPR לנשואי המידע ולא למקבלי המידע שהופכים לשולטים בו. בעידן שבו ניתן לאסוף נתונים אישיים בקלות רבה בזמן פעילות מקוונת, הנחיות אלה באות להגדיר את השימוש החוקי בעיבוד המידע האישי כך שישמור כמה שיותר על פרטיותו של בעל המידע.

הפוסט הועד האירופי להגנת הפרטיות מבהיר: מתי חוזה מהווה בסיס לעיבוד מידע אישי הופיע ראשון בדן חי ברשת

]]> מניעת הונאות עובדים במידע: מדריך למעסיקים https://hay-law.com/%d7%9e%d7%a0%d7%99%d7%a2%d7%aa-%d7%94%d7%95%d7%a0%d7%90%d7%95%d7%aa-%d7%a2%d7%95%d7%91%d7%93%d7%99%d7%9d-%d7%91%d7%9e%d7%99%d7%93%d7%a2-%d7%9e%d7%93%d7%a8%d7%99%d7%9a-%d7%9c%d7%9e%d7%a2%d7%a1%d7%99/ Thu, 12 Jul 2018 14:42:24 +0000 https://hay-law.com/?p=29028 עובדים רבים בארגונים ובחברות חשופים למידע רגיש וסודי. האם האמון שניתן בהם מוצדק? לא תמיד. לאחרונה הוגש כתב אישום נגד עובד לשעבר בחברה המתמחה בלוחמת סייבר בגין גניבת תוכנה וניסיון למכור אותה לגורם זר. בין יתר סעיפי האישום החמורים, שכללו פגיעה בביטחון המדינה וביצוע פעולת שיווק ביטחוני ללא רישיון, נטען לשיבוש או הפרעה לחומר מחשב, […]

הפוסט מניעת הונאות עובדים במידע: מדריך למעסיקים הופיע ראשון בדן חי ברשת

]]> עובדים רבים בארגונים ובחברות חשופים למידע רגיש וסודי. האם האמון שניתן בהם מוצדק? לא תמיד. לאחרונה הוגש כתב אישום נגד עובד לשעבר בחברה המתמחה בלוחמת סייבר בגין גניבת תוכנה וניסיון למכור אותה לגורם זר. בין יתר סעיפי האישום החמורים, שכללו פגיעה בביטחון המדינה וביצוע פעולת שיווק ביטחוני ללא רישיון, נטען לשיבוש או הפרעה לחומר מחשב, עבירה שעונשה הוא עד שלוש שנות מאסר. את המעשים, נטען, עשה העובד משום שעמד בפני פיטורים.

מכאן עולות שאלות מהותיות, כיצד יכול מעסיק להגן על עצמו מפני אפשרות של שימוש חריג של עובד במידע המצוי במערכות הארגון? כיצד יכול מעסיק להגן על עצמו מפני אפשרות של גניבת מידע על ידי עובדים? מהם הכלים המשפטיים העומדים לרשותו?

לפני מספר שבועות נכנסו לתוקף תקנות אבטחת מידע חדשות, העוסקות באופן נרחב בהגנה על המידע הנמצא במערכות ארגונים וחברות, גם מפני העובדים עצמם. תקנות אלו חלות על כל הגופים במשק הישראלי, החל מעסקים קטנים, דרך עמותות ומלכ"רים וכלה בתאגידי ענק. להלן הצעדים שיש לנקוט בכדי להגן על המידע הרגיש בחברה בכל הקשור לעובדים:

מיון וקבלת העובדים לארגון

הבסיס להגנה על המידע מפני עובדי הארגון עצמם, הוא לקבל לארגון את העובדים הנכונים. תקנות אבטחת המידע החדשות קובעות חובה לכל ארגון לנקוט באמצעים סבירים בעת מיון העובדים ושיבוצם, כדי לנסות ולצמצם את האפשרות שגורם שאינו מתאים לכך יהיה בעל הרשאת גישה למידע. אמצעים מקובלים כאלה הינם מבחני אמינות, תשאול מעסיקים לשעבר ופעולות דומות אחרות שמטרתן לצמצם את האפשרות שגורמים לא ראויים יתקבלו לעבודה בארגון.

ניהול חכם של הרשאות הגישה

דבר שעובד אינו יכול לראות, הוא גם לא יוכל להדליף. ניהול חכם של הרשאות הגישה יבטיח, שעובד יראה רק את המידע הנחוץ לו לעבודתו ולא מבער לכך. הדבר אף עולה מהוראות תקנות אבטחת המידע, הדורשות מכל ארגון לנהל בצורה מסודרת את הרשאות הגישה למאגרי המידע ולדאוג לעדכן את ההרשאות, עת עובד עוזב או עובר תפקיד.

נוהל תיעוד ובקרה

כאשר דולף מידע מארגון, אחת השאלות הראשונות שעולות הינה, מי היה חשוף למידע. מנגנון תיעוד ובקרה בארגון יכול לספק מידע אמין ומלא בעת בדיקה או תחקור, בכדי ליצור תמונת מצב מפורטת אחר האירועים השונים שהתרחשו. בנוסף לכך משמש מנגנון כזה גם אמצעי הרתעה.

נוהל זיהוי, אימות וסיסמאות

יש להקפיד על ניהול נכון של הסיסמאות על-ידי העובדים במגמה למנוע מעובד להיכנס למערכת תחת סיסמה של עובד אחר. במסגרת כך יש לוודא כי אופן הזיהוי יתבצע, ככל האפשר, על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המשתמש, כגון כרטיס חכם באמצעותו יזדהה מול המערכת; יש לאסור על חשיפת הסיסמא האישית לאדם אחר ויש לאסור על שימוש בסיסמא זהה עבור קבוצות משתמשים; להורות כי יש להחליף את הסיסמא הראשונית שהוקצתה על ידי מנהל הרשת מיד עם ביצוע Log-in ראשון.

איסור על שימוש בהתקנים ניידים ותוכנות לא מורשות

אחת הדרכים להוציא מידע מארגון היא באמצעות התקנים ניידים (כגון דיסק און קי). לכן יש לאסור על שימוש בהתקנים ניידים בארגון, למעט שימוש בפיקוח של איש מערכות המידע ולמטרה מוגדרת מראש על-ידי הארגון. יש אף לאסור על שימוש בתוכנות לא מורשות ולקבוע איסור מוחלט להתקין במחשבי הארגון תוכנות בלתי מורשות, כגון תוכנות פרטיות וללא רישיון. תכונות כאלה יכולות להחדיר לארגון "סוס טרויאני" שישמש מנוף להוצאת מידע מהארגון. כדי למנוע אפשרות של הוצאת מידע, ארגון אף צריך לאסור על עובדים להחזיק מידע בהתקנים המצויים במחשבים המצויים בעמדת העבודה שלהם, ככל ויש כאלו.

נוהל אבטחה פיזית וסביבתית

ראוי שארגון יגדיר ויתווה את נהלי בקרת הכניסה והאבטחה הפיזית והסביבתית במתחמי החברה למנוע כניסה של גורמים לא מורשים לאזורים המאפשרים גישה למידע.

הדרכות והתחייבויות לאבטחת מידע

על ארגון להקפיד לקיים פעילות הדרכה תקופתית לבעלי הרשאות הגישה למאגרי המידע שלו, בדבר הוראות אבטחת המידע בארגון ולהחתימם על נוהל אבטחה והוראות אבטחת המידע שעל הארגון לקבוע לעצמו.

האם חברה יכולה לתבוע עובד שהדליף/השתמש בחומרים שלא למטרה לשמה יועדו?

עובד שעבר על נהלי החברה והדליף בזדון מידע ממאגרי המידע שלה, חשוף בין היתר גם לתביעה של החברה. זו תוכל לתבוע אותו בגיזן נזקיה וגם לגלגל אלין (במסגרת הודעת צד שלישי) תביעות שיוגשו נגדה.

האם ניתן לתבוע את החברה על מחדלי אבטחה שקרו בה?

חברה אשר ימצא כי מידע דלף ממנה על-ידי עובד וכי התרשלה בשמירה על המידע ביחסיה עם העובדים, יכולה למצוא את עצמה נתבעת על-ידי אותם אנשים, שמידע עליהם דלף. רשלנות כזו יכולה להיות, למשל, מקום בו לעובד הייתה הרשאת גישה למידע שדלף, אשר לא הייתה נחוצה לו לצרכי עבודתו.

אין האמור מחליף כל חוות דעת, ייעוץ וליווי משפטי, וכל האמור בגדר המלצה בלבד.

הפוסט מניעת הונאות עובדים במידע: מדריך למעסיקים הופיע ראשון בדן חי ברשת

]]>