בפתח המסמך מדגישה הרשות, כי האתגר בדבר שינוי אופן התנהלות הארגונים והאפשרות לעבוד מרחוק במכשירים זרים למערכת הארגונית, מציב סכנות רבות: גניבה או אבדן של מחשב או מכשיר נייד המכיל חומר רגיש, חוסר יכולת אכיפה של מדיניות אבטחה ארגונית, גישה מרחוק דרך מכשיר לא מאובטח, ניהול עובד שיצא לחל"ת, שחלה או שעזב ושמכשירו האישי נשאר בידיו ובו מידע ארגוני רגיש, ריבוי טכנולוגיות המייצר עומס על צוותי התמיכה והאבטחה וכו'. משכך, על מנת למזער את הסיכון חשוב למלא אחר הכללים.

לדעת הרשות על הנהלה של ארגון לגבש מדיניות אבטחה ארגונית, לטובת השימוש בגישה מרחוק ורצוי להשקיע במערכות טכנולוגיות ייעודיות להתמודדות עם הסיכונים. ברמת הטכנולוגיה, על ארגון ליצור שכבות הגנה שימנעו גישה ממכשירים אישיים לא מאובטחים מספיק, יש להגדיר נהלי שימוש בגישה לרשת על-ידי מכשירים אישיים, יש להגביר את הניטור והבקרה על גישה מרחוק וכן להגדיר אמצעי גישה מאובטחים למערכות המשרדיות. יתרה מכך, יש להגביר את המודעות בקרב העובדים לשימוש בתוכנת אבטחה ולעבודה מאובטחת במכשירים הפרטיים שלהם.

רמת המיגון של מחשב "זר" נמוכה ביחס למחשב בסביבה הארגונית ולכן בשימוש כזה, מדגישה הרשות, יש לוודא כי המחשב הביתי כולל מערכת הפעלה מעודכנת ותוכנת Antivirus פעילה. גם הרשת הביתית בה נעשה שימוש נדרשת להיות מאובטחת על-ידי תוכנת חומת אש Firewall)‏ (מעודכנת ונתב מאובטח- בו מומלץ לשנות את שם המשתמש והסיסמא. יש לוודא כי המחשב והשירותים השונים מצוידים בסיסמאות חזקות למחשב, ‏כדי למנוע גישה לתוקף. תוכנות המותקנות על המחשב יכולות להוות נקודות חולשה, כמו Flash, Web Browsers  ועל‏ כן ‏יש לוודא כי גם תוכנות אלה מעודכנות בעדכוני האבטחה.

הרשות מדגישה עוד במסמך שהופץ כי יש סיכון רב בהעברת מידע ארגוני, בוודאי מידע חסוי או רגיש, ברשתות חברתיות, במערכות למסרים מידיים או במייל פרטי, ובדרך כלל העברה כזו של מידע אישי על תשתית פומבית אסורה. נדרש להגביר את תשומת הלב ולבדוק היטב את הנמענים ואת רגישות התוכן המועבר. כמו כן, לבדוק את כתובת הנמענים ויש להשים לב במיוחד‏ לפעולות‏ של ‏"גיבוי" או העתקת מידע ממערכות ארגוניות לסביבת העבודה המקומית, אשר יכולות ‏לגרום- אף ‏ללא כוונה או ‏ידיעה‏- להעתקה‏ של‏ המידע‏ לשרתי‏ קבצים‏ חיצוניים‏ ולא‏ מאובטחים (כגון ‏גוגל‏ דרייב).

באשר לניהול פגישות ושיחות על ידי שימוש בכלים דוגמת זום ZOOM cloud) meetings ), יש לקחת בחשבון כי מדובר בסביבת עבודה לא מאובטחת העלולה לגרום לחשיפה לא מבוקרת של מידע רגיש. המידע האישי של המשתתפים עשוי להיות מצולם או מוקלט ועלול להיות משותף גם עם גורמים אחרים. המידע שנאסף (לרבות פרטי קשר של משתמש, מידע על עבודתו, פרטי אשראי ותשלום), ‏מועלה פעמים‏ רבות‏ לענן ומסופק לחברות צד שלישי המספקות לפלטפורמה שירותים נוספים, ‏כגון אחסון, ‏עיבוד, ‏ניתוח ועוד. כיוון שהענן נמצא לרוב מחוץ לגבולות ישראל, יש לוודא עמידה בהוראות תקנות הגנת הפרטיות(העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.

הרשות להגנת הפרטיות רואה כי לאור המצב הנוכחי קיימים דפוסים רבים של פעילויות הונאה על ידי ניסיונות דיוג שנועדו לאסוף פרטי מידע לצורך ביצוע הונאות והוצאת כספים במרמה. פרסום זה על-ידי הרשות, בזמן התקופה מורכבת, מעניק דגשים חשובים בהתנהלות טכנולוגית של ארגונים ובהתנהלות העובד בפרט מחוץ לכותלי הארגון.

קישור למסמך שפרסמה הרשות מצורף בלינק הבא:

https://www.gov.il/BlobFolder/reports/corona_work/he/WORK%D6%B9PRIVACY%D6%B9CORONA.pdf

הפוסט עבודה מרחוק אל מול הרשת הארגונית – הרשות להגנת הפרטיות מפרסמת מדריך בנושא הופיע ראשון בדן חי ברשת

ההצעה פורסמה במסגרת תזכיר הצעת חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) (תיקון מס 2) (קבלת נתוני מיקום לצורך פיקוח על קיום הוראת הבידוד), התש"ף-2020, אשר היה פתוח להערות הציבור למשך 24 שעות בלבד. במסגרת התזכיר מוצע כי תינתן לקצין משטרה הסמכות לקבל נתוני מיקום של אדם החייב בבידוד ממאגר הנתונים של חברות הסלולר, בהתאם לפרוצדורה הקיימת בחוק נתוני תקשורת. הסמכות תהא לקבל את נתוני המיקום "לצורך פיקוח על קיום הוראות הבידוד". הסמכות מסויגת באופן שיהא ניתן לקבל את נתוני המיקום "באופן מדגמי בלבד ובאופן שאינו מתמשך או רציף".

המשטרה תהא מוסמכת לשמור את נתוני המיקום של מי שימצא מפר את הבידוד במשך 90 יום, ובמקרה של פתיחת הליך נגדו ולצורך ההליך, גם מעבר לכך. נתוני מיקום של מי שמיקומו ימצא מתאים לחובת הבידוד שלו יימחקו תוך 14 יום לכל היותר.

כזכור חוק נתוני תקשורת, במסגרתו מוצע לבצע את התיקון, התקבל בכנסת בשנת 2007, תוך מחאה גדולה שהשמיעו אז ארגונים רבים כנגדו, תוך שהם מכנים אותו "חוק האח הגדול". לשכת עורכי הדין והאגודה לזכויות האזרח אף הגישו עתירה לבג"ץ נגד סעיפים בחוק, בטענה שהם פוגעים בזכות החוקתית לפרטיות. העתירה נדחתה לאחר שנדונה בהרכב של שבעה שופטים בראשות נשיאת בית המשפט העליון באותה עת, דורית בייניש, שכתבה בפסק-דינה כי יש לפרש את החוק בצמצום רב, לאור הפגיעה הרבה בזכות לפרטיות שהוא מאפשר.

הפוסט הצעה לתיקון חוק נתוני תקשורת: המשטרה תעקוב אחרי מחויבי הבידוד של מחלת הקורונה הופיע ראשון בדן חי ברשת

בפתח המסמך מדגישה הרשות כי "הזכות לפרטיות אינה מוחלטת" ומכאן בנסיבות מסוימות, פגיעה בפרטיות עשויה להיחשב מוצדקת. כך, למשל, בהסתמך על ההגנות הקבועות  בחוק הגנת הפרטיות, כגון ההגנה העוסקת בפגיעה שנעשתה בתום לב בנסיבות בהן הייתה על הפוגע "חובה חוקית, מוסרית, חברתית או מקצועית לעשותה". ואולם, גם כאשר קיימת לגופים מדינתיים ופרטיים האפשרות לפעול באופן הפוגע בפרטיות הציבור, אין זה אומר, לדעת הרשות, כי גופים אלו רשאים לעשות כן ללא התחשבות במשמעות פעילותם מבחינת הפגיעה בפרטיות הציבור. עמדת הרשות להגנת הפרטיות היא כי גם במצב הנוכחי, כאשר קיימת הצדקה לכאורה לפגיעה בפרטיות הציבור, יש להקפיד לפעול בהתאם לעקרונות ההגנה על פרטיות, ועל כך שהפגיעה הנגרמת כתוצאה מהפעילות לא חורגת מהנדרש בנסיבות העניין.

טיפול בהתפשטות נגיף הקורונה והניסיון לצמצמו, יוצרים מצב בו מידע רב אודות פרטים נאסף ונאגר במאגרי מידע שונים. הרשות מדגישה כי על הגופים השונים האוספים מידע במסגרת האמורה, להשתמש בו אך ורק למטרה שלשמה הוא נאסף, כדוגמת מניעת התפשטות הנגיף, מחקר אפידמיולוגי וכיוצא בזה. במובן זה, לאחר סיומו של התהליך, על הגופים השונים לבחון את הצורך בהמשך החזקת המידע. כאשר אין עוד צורך בשמירת המידע- ממליצה הרשות להביא למחיקתו.

יידוע עובדים ו/או גורמים אחרים על חשש להידבקות של עובד עמו הם היו בקשר בתקופה הרלוונטית עשוי להיחשב מוצדק, כל עוד יידוע זה נעשה בתום לב (לפי סעיף הגנות תום הלב בהגנת הפרטיות). אולם הרשות מדגישה, כי על המעסיקים להקפיד לדווח רק על המידע הרלוונטי בנסיבות העניין ולהעביר את המידע רק לגורמים הרלוונטיים.

הרשות מדגישה עוד במסמך שהופץ כי יש צורך בקביעת מנגנונים ייחודיים להגנה על המידע האישי המועבר בין גופים ציבורים, כאשר העברת מידע אישי עשויה להשליך על הפרטיות של אותם אנשים. יש לדעת הרשות לבחון את מידתיות וסבירות הבקשה בהתייחס לרגישות המידע אותו מעוניינים להעביר. ככל שהמידע רגיש יותר יש צורך בהגנה רבה יותר על הפרטיות. במצב הנוכחי, המחייב העברת מידע מהירה בין גופים ציבוריים לקידום והגנה של אינטרסים ציבוריים ראויים, סבורה הרשות כי ייטה האיזון בין מטרת העברת המידע לפגיעה העשויה להיגרם מכך, לכיוון מתן האפשרות של גופים להעביר מידע ביניהם.

באשר לעבודה מהבית ולמידה מרחוק- הרשות מדגישה כי על מקומות עבודה, מוסדות חינוך ומוסדות אקדמיים להקפיד על ביצוע כל הפעולות הנדרשות מבחינת אבטחת מידע וזאת על מנת לאפשר פעילות בטוחה לכל מי שמתבקש לעבוד וללמוד מביתו. כך יש להקפיד לעבוד רק עם אמצעים טכנולוגיים ייעודיים ולהימנע ככל האפשר מאמצעים "חינמיים" כגון חשבונות Gmail. רצוי להשתמש בסיסמאות חזקות למחשב ולשירותים השונים, לגבות את תוצרי העבודה ולהימנע מכניסה לאתרים לא מורשים.

הרשות להגנת הפרטיות מבינה את האינטרס הציבורי הרחב במצב החירום הנוכחי. פרסום זה על-ידי הרשות, בזמן עיצומה של תקופה מורכבת המעוררת המון שאלות, הינו סיוע והעלאת המודעות בקרב הגופים ציבוריים, הגורמים פרטיים ובראשם מעסיקים ביחס לחשיבות הנושא.

קישור למסמך שפרסמה הרשות מצורף בלינק הבא: https://www.gov.il/BlobFolder/reports/korona_privacy/he/PRIVACY_CORONA_QA.pdf

הפוסט הגנת הפרטיות ומשבר 'הקורונה' – הרשות להגנת הפרטיות מפרסמת מדריך בנושא הופיע ראשון בדן חי ברשת

מסרים כמו "אנחנו סגורים לקבלת קהל אבל זמינים טלפונית" או "ניתן לבצע את הפעולה שביקשת באתר שלנו" הם מסרים שעניינם מתן שירות ללקוח ומכאן "שרותיים" באופיים. מסרים אלו ודומים להם מאופיינים אף בהיבט תפעולי, לשם התאמתם להנחיות משרד הבריאות, מקום בו בית העסק למשל נדרש לבצע הסבה לאספקת שירותיו באמצעות משלוחים, ביצוע פעולות מרחוק באפליקציה (במקום הגעה לסניף) וכיו"ב. אבל פרשנות שנתנו בתי משפט למסרים כאלה, בימים כתיקונם, הייתה שיש בהם משום העצמת המותג או עידוד הרחבת השימוש בשירותים, ולכן, ברוב המקרים, העדיפו בתי המשפט לראות את הצד השיווקי שבמסר כצד הדומיננטי על פני הצד השירותי או התפעולי. התוצאה של ההחלטות האלה הייתה, שהשולח מצא עצמו כמפר את החוק התקשורת, בו מצוי הסעיף העוסק ב'ספאם', סעיף, 30א לחוק, הידוע בכינוי 'חוק הספאם'.

מנגד צרכנים רבים סבורים כי גם בימי הקורונה, קבלת מבול של מסרים, הגם שהם כוללים גם עדכונים שונים, עדיין יש בהם מטרד (או הזדמנות) ומכאן יש להמשיך ולראות בכך 'ספאם'. האומנם?

על פי חוק ה'ספאם', כדי לשלוח מסר פרסומי ('ספאם') במייל או במסרון (SMS) על השולח לקבל הסכמה מראש לכך מעת הנמען. משלוח מסר פרסומי בדרכים אלו ללא הסכמה מראש יכול לעלות לשולח הרבה כסף. הוא יכול להיתבע לשלם פיצוי ללא הוכחת נזק של עד אלף שקלים-חדשים מכל נמען עבור כל הודעה, או אף למצוא את עצמו מול תביעה ייצוגית שתוגש בגין כך.

לכן חברות מכלכלות את דרכן בנושא המסרים בזהירות רבה. כך חברות רבות העדיפו לשלוח את המסרים השירותיים בצל משבר הקורונה, רק למי שמסומן אצלם כ"מורשה דיוור", היינו מי שנתן את הסכמתו מראש לקבלת מסרים פרסומיים. חברות אחרות פועלות אחרת, תוך שהן קובעות לעצמן כי הן עושות 'ניהול סיכונים' לאור הפרשנות המחמירה הנהוגה בימים רגילים. היינו, לא בלב שלם הן עושות זאת, אלא במחשבה שיש כאן ניהול זהיר של סיכון אפשרי לחטוף תביעה בסוף הדרך. האומנם כך? או שאולי צריך למצוא דרך להפיג את הערפל בתחום ולאפשר משלוח הודעות כאלו ללא חשש?

אותם צרכנים המתנגדים ל'ספאם' אומנם יצדקו כשיטענו, כי שחרור הרסן בתקופת הקורונה, עלול לגרום לניצול המצב על-ידי גורמים עסקיים רבים וכי לא כל מסר מיועד אך ורק למטרה שירותית או נשלח מטעמים תפעוליים. לכך ניתן להשיב כי אפשר יהיה, עדיין, לבחון מה המטרה מאוחרי כל מסר והעיקר, שבימים קשים אלו, גם אם הפתח שיווצר יאפשר למישהו לנצל אותו, המחיר עדיין מוצדק, לנוכח הקאוס הגדול במשק. עוד נכון לשאול, איפה האיזון בין הלקוחות שיחושו מטרד לבין אלו שמצפים ואף יקבלו בברכה ובהרגעה מסרים לפיהם השירותים עליהם הם מנויים (קל וחומר אם בתשלום) ימשיכו להתקיים כסדרם או בהתאמות המתחייבות לאור המצב? זכותם של מי מסוגי הלקוחות הללו גוברת?

אכן הפרשנות שקיבל חוק ה'ספאם' בפסיקה עם השנים היא נוקשה, כולל על-ידי בית המשפט העליון במספר סוגיות קצה שהובאו לפניו. אלה ראו במסרים שירותיים קלאסיים, כמו עדכון על פתיחת 'אוניברסיטה אינטרנטית' חינמית על שוק ההון, משום מסר שיש בו כדי להעצים את המותג של השולח (בית ההשקעות פסגות במקרה הזה). גם במקרה זה הדעות חלוקות בין שהמטרה נועדה לעודד רכישה מוגברת של שירותים לבין עדכון מתבקש על הנגשת מידע על שירותים נוספים להם זכאים הלקוחות ללא כל תוספת. אבל המציאות של ימינו, המציאות של משבר הקורונה, מורה על דרך מתן פרשנות אחרת. בימים שבהם אנו נמצאים, הודעות עדכון ללקוחות שניתן לעשות שימוש בשירותי השולח גם באינטרנט, אינן 'ספאם', גם אם יש בהן בעקיפין תזכורת לנמען על קיומה של החברה השולחת והאפשרות להנגיש או להשתמש בשירותיה ואולי אז, העצמה של אותו מותג.

חברות ששולחות מסרים שרותיים כאלה אכן מסתמכות על פרשנות משפטית שמאפשרת את המשלוח מהנימוקים שמנינו. אבל מדינה מסודרת שבאמת חושבת על העולם העסקי שהולך ונחנק, לא הייתה נותנת בסוגיה הזו לחברות להתלבט. שר תקשורת ראוי, היה דואג שתצא הנחייה מאת משרדו הקובעת את הדברים במפורש. אז לאף אחד לא היה ספק, שאותן הודעות עדכון על שירותים אינטרנטיים ואחרים, לא יעלו מאות אלפי או אף מליוני שקלים אחרי שיסתיים המשבר. אלא שאצלנו עולם כמנהגו נוהג. הנחיה כזו לא יצאה מאת משרד התקשורת. עדיין לא מאוחר מידי.

הפוסט 'ספאם' בצל הקורונה הופיע ראשון בדן חי ברשת