חובת הציות על עמותות בתחום הגנת הפרטיות, מאגרי מידע וסייבר

פתח דבר

ארגוני המגזר השלישי אוספים, מעבדים, משתפים ומאחסנים מעבדים, משתפים ומאחסנים מידע רב אודות עובדים, לקוחות ספקים ועוד. מידע זה המאוחסן באמצעים דיגיטליים נתון לפיקוח רגולטורים שונים ובהם רשם העמותות, רשות המסים ועוד. שחקן נוסף ומרכזי  המפעיל רגולציה, פיקוח ואכיפה בנושא זה הוא רשם מאגרי המידע וראש הרשות להגנת הפרטיות שתפקידו להגן על פרטיות המידע האישי במרחב הדיגיטלי בארגונים מסחריים וחברתיים, במשרדי הממשלה וברשויות ציבוריות.

רקע

קצב ביצוע תקיפות הסייבר, אירועי אבטחת מידע ופגיעה בפרטיות עלה מדרגה נוספת בשנים האחרונות. גורמים שונים מנצלים פרצות אבטחה במאגרי המידע של ארגונים על מנת לחדור אליהם ולהשיג שליטה על מידע שהוא קריטי לפעילותם. פעמים רבות מטרתם של גורמים אלה היא להשיג רווח כלכלי מהיר באמצעות שימוש במידע המסחרי, הפרטי והרגיש אודות הלקוחות ובכך הם מבקשים לבצע סחיטה מקוונת באמצעות תוכנת כופר. 

סיכונים אלה הביאו את המדינות השונות לפעול לצמצום הסיכון ולהגברת הרגולציה בתחום כאשר האיחוד האירופי מוביל את המדיניות העולמית בתחום באמצעות תקנות ה- GDPR.

רגולציה, סנקציות כלכליות ואכיפה פלילית ומנהלית בישראל

חוק הגנת הפרטיות, התשמ"א – 1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 קובעים, בין היתר, את החובות המוטלות על כל מי שבבעלותו ו/או בהחזקתו מאגרי מידע.

ראשית, ס' 7 לחוק הגנת הפרטיות מגדיר מהו מאגר מידע ולמעשה מדובר בכל אוסף נתוני מידע הניתנים לעיבוד ממוחשב (למעט שימוש ביתי). ס' 8 לחוק קובע את החובות המוטלות לרבות חובת רישום המאגר אצל רשם מאגרי המידע, אופן השימוש במידע, סעיף 16 קובע את חובת הסודיות, ותקנות אבטחת מידע  קובעות בין היתר את עקרונות קביעת ההרשאות השימוש במידע, חובת אבטחת המידע, חובת הדרכות, התקשרויות עם בעלי גישה למאגר, פיקוח ובקרה על המאגר ועוד.

חובות אלה מוטלות הן על הארגון עצמו ובנוסף, גם על נושאי משרה, חברי ועד מנהל/דירקטוריון ונותני שירותים כהגדרתם בחוק עד לכדי חבות באחריות אישית.

בעולמן של עמותות וחברות לתועלת הציבור מדובר במידע פרטי הנוגע ללקוחות הארגון (מקבלי השירותים), תורמים, עובדים, ספקים ועוד.

כרגולטורים אחרים, כגון רשם העמותות, האכיפה אותה מבצעת הרשות להגנת הפרטיות משלבת בין "פיקוחי הרוחב" ובה מוגדרים תחומים ומגזרים במשק הנדרשים לענות על שאלונים ודוחות סטטוס, לבין פיקוחים על ארגון יחיד  ("ביקורת עומק") ועד לפיקוחים משולבים של הרשות להגנת הפרטיות יחד עם רשם העמותות.

אי ביצוע חובות אלה, מסכנת את הארגון וחושפת את האחראים לסנקציות הנעות בין אכיפה מנהלית לרבות ביעור המאגר, התלייתו, הטלת עיצומים כספיים עד לכדי 3.2 מיליון ₪  ועד עבירה פלילית שהעונש עליה הוא חמש שנות מאסר. בכנס פרטיות 2023 שהתקיים בימים אלו, הודיע ראש מערך הסייבר הלאומי, תא"ל גבי פורטנוי כי בקרוב יושק "האורגן הכחול" יחידה המשותפת לרשות להגנת הפרטיות – מערך הסייבר הלאומי – להב 433 ותפקידה יהא לאכוף, לחקור ובהתאם לממש את סמכויות האכיפה האזרחיות והפליליות העומדים לרשות גופים אלו.

נזקי מתקפת הסייבר, האחרון בשרשרת

הנזקים הכלכליים הנגרמים לארגון שחווה מתקפת סייבר כוללים את העלויות הנדרשות לטפל באירוע הסייבר באופן מיידי על מנת להביא לסיומו; פגיעה כלכלית ישירה כתוצאה מאובדן הכנסות עקב פגיעה במשאב חיוני לארגון; עלות יישום תוכנית המשכיות עסקית; פגיעה במוניטין; עזיבת לקוחות; קנסות רגולטוריים ועוד.

בתום אירוע הסייבר לאחר שנדמה כבר כי הארגון התאושש וחזר למהלך עסקיו הרגיל הוא מגלה כי הצרות שפקדו אותו בעקבות אירוע הסייבר לא תמו. ליתר דיוק אלו המנהלים וחברי הוועד של הארגון שעלולים לגלות מהר מהצפוי כי גם הם יעד למתקפה עת מוגשות נגדם תביעות נגזרות ומוטלים עליהם קנסות. עילות התביעה כלפי המנהלים רבות ומגוונות ונוגעות להעדר פיקוח על פעילות הארגון בכל הקשור לניהולו את סיכוני הסייבר, קבלת החלטות שהתעלמו מסיכונים אלה, אי הכללת דרישות חוזיות עם ספקי שירות (מיקור חוץ) בנוגע לחלוקת האחריות בנושא אבטחת המידע, אי מינוי ממונה אבטחת מידע (שלעיתים מחויב על פי חוק) שיוודא כי פעילות הארגון תואמת לרגולציות אבטחת המידע השונות, אי רכישת ביטוח סייבר ועוד.

חובות המנהלים בעמותה

מנהלי הארגון נוטים לעיתים לטעות ולחשוב כי האחריות לנושא אבטחת המידע חונה באופן בלעדי במגרשו של הממונה על אבטחת המידע. במקרה של מתקפת סייבר העמותה ומקבלי שירותיה יפגעו ובנוסף הוא זה שייתן את הדין. כלומר, האחריות להגנה מפני התרחשות אירועי סייבר מוטלת בראש ובראשונה על חברי וועד ונושאי המשרה האחרים בארגון ועליהם להתוות את מדיניות החברה ולפקח על ביצועי ההנהלה. בתפקידם זה עליהם לקבל את החלטותיהם בהתאם לחובת הזהירות וחובת האמונים. ככל שיימצא כי לא פעלו ברמת המיומנות של "המנהל הסביר" אפשר שתוטל עליהם אחריות לנזקי הארגון. המנהלים נדרשים לוודא ציות לדרישות הרגולטוריות הקבועות בחוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע לאבטחת מאגרי המידע שבארגון. בנוסף, קיימות רגולציות בנושאי אבטחת מידע החלות על ארגונים הפועלים בתחומים ספציפיים.