המחשב אצלך… הגישה אצלי…. כך זה חייב לעבוד, אמר איש ה-IT ללקוח ההמום

"אני חייב לפגוע בפרטיות של הלקוחות שלי כדי לתת להם שירות". כך אמר לי איש מחשבים שהוא חבר קרוב, כששאלתי אותו מדוע יש לו גישה חופשית ומתמשכת למחשבים של הלקוחות שלו כשברור כי מדובר בפגיעה בפרטיותם. לטענתו, על מנת לתת שירות מקצועי, מהיר ואיכותי, הוא צריך שתהא לו האפשרות להתחבר למחשבים של הלקוחות בכל רגע נתון ללא שהם יידרשו לבצע פעולה טכנית כלשהי במחשב. לטענתו, הוא מעדכן את הלקוחות בכל פעם שהוא עושה שימוש בתוכנה זו ולתת הוא לא רואה עם כך בעיה. מעבר לכך, הוא טוען, "כולם עובדים ככה" ו "אי אפשר לעבוד אחרת". הוא טועה, אפשר ואף חובה לעבוד אחרת.

חוק הגנת הפרטיות קובע באופן מפורש כי אין לפגוע בפרטיותם של אנשים ללא הסכמה מפורשת. כמו כן, כל פגיעה בפרטיות חייבת להיות רק למטרה ורק בהיקף המינימאלי הנדרש לצורך מתן השירות. אם כן, ככל שאותו איש מחשבים יכול לספק ללקוחות מסוימים שירותי מחשוב ללא תוכנה זו, עליו לעשות זאת. ככל שהוא איננו יכול לספק את שירותי המחשוב לאותו לקוח, לדוגמה חברה גדולה בה יש צורך בגישה חופשית לשרתי החברה באופן שוטף, עליו לקבל הסכמה מפורשת לכך מאת הלקוח, עדיף כמובן בכתב. על איש המחשבים לבצע הבחנה ברורה בין שני סוגים אלו של לקוחות. ללקוחות לגביהם התקנת תוכנה מסוג זה היא חיונית למתן השירותים, עליו להסביר זאת ללקוח בצורה ברורה ולקבל את אישורו לכך. מעבר לכך, רצוי כי מעת לעת, איש המחשבים ישלח תזכורת ללקוח וכן יאפשר לו ויסביר לו כיצד ניתן להסיר את התוכנה מהמחשב או לבקש להסירה בצורה נוחה ופשוטה בכל עת שהלקוח יחפוץ בכך.

חברות מחשוב מבקשות לספק ללקוחותיהן את שירותן בצורה הנוחה והידידותית ביותר, אך אין הדבר צריך לבוא על חשבון חוקיות הפעולה. יובהר, התקנת תוכנה, המאפשרת השתלטות מרחוק על מחשב הלקוח באופן חופשי, ללא קבלת הסכמתו המפורשת לכך (הסכמה טלפונית לא תמיד מספיקה), הסבר על התוכנה ואפשרות להסירה בכל עת, איננה פעולה חוקית. על אנשי המחשבים להימנע ככל הניתן מהתקנת התוכנה ובמקרים בהם הדבר מתחייב לצורך מתן השירות, לבצע את הפעולה בהתאם להוראות הדין.

מעבר לכך, במקרים בהם חברת המחשוב מתקינה את אותה תוכנה במחשבי הלקוחות שלה, חברת המחשוב עלולות למעשה להיחשב כ"מחזיקה" במידע, בהתאם לחוק הגנת הפרטיות. המשמעות המעשית לכך הינה, כי בתור "מחזיקה" במידע, חלות עליה חובות בהתאם להוראות החוק, לדוגמה דיווח שנתי ללקוחות שלה בדבר האופן שבו היא מאבטחת את המידע שלה. ספק רב אם כל חברות המחשוב בישראל מודעות לכך או פועלות בהתאם לכך.

חברות מחשוב לרוב גם אמונות על יישום חובות אבטחת המידע במחשבים של הלקוחות שלהן. אם הן בעצמן אינן פועלות באופן חוקי בכל הקשור לאבטחת מידע, הינן בגדר "סנדלר הולך יחף". מעבר לכך, מתוקף פעילותן, מוטלת עליהן חובה מוגברת לפעול באופן חוקי, בהתאם לחוקי ותקנות הגנת הפרטיות ואבטחת המידע בישראל. ככל שיש להן לקוחות בחו"ל, הן אף נדרשות לעיתים לפעול בהתאם לרגולציות נוספות החלות בחו"ל (ורובן מחמירות יותר מהרגולציה בישראל). אם כן, מוטב כי כל איש מחשבים וכל חברת מחשוב בישראל, ידאגו לקבל ייעוץ משפטי בנוגע לאופן השירותים אותם הם מספקים ללקוחות שלהם.

השירותים שלנו

 אנו מתמחים במתן פתרונות לרגולציית וטכנולוגיית הגנת הפרטיות ואבטחת מידע, המותאמים לארגונים (חברות פרטיות וציבוריות, עמותות, חל"צ) וע פתרונות אישיים ומותאמים לעסק, וליישום בבתי המלון ומקומות הארחה, לרבות:

1. אפיון העסק והגדרת המאגר.
2. רישום מאגרים.
3. סקר עמידה בדרישות התקנות.
4. כתיבת נהלי אבטחה.
5. ניהול מסמכים מול שירותי מיקור חוץ הניתנים לארגון
6. ניהול יומן ביקורות תקופתיות.
7. שירות שוטף כממונה הגנת מידע פרטיות חיצוני.
8. פעילות פרו אקטיבית במטרה להקטין את הסבירות לפגיעה ולחשיפה.
9. סקר סיכונים לזיהוי חשיפות זליגת מידע (ממוקד בסוג מידע הקריטי לארגון).
10. ליווי בהטמעת טכנולוגיות אבטחת מידע והגנת הסייבר.
11. ליווי בביקורת משרד המשפטים.

אנו מייעצים לחברות ועסקים הכפופים לחוק ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 ותקנות ה- GDPR  החלות באירופה. ליווי לקוחותינו הינו  תוך שימת דגש על היערכות נכונה והתגוננות בפני מתקפת CYBER העלולה לגרום נזקים רבים לעסק בכלל, ולמאגר המידע בפרט. ליווי לקוחותינו מתחיל בשלב שאלון ההכרות, בו נלמדים בקפידה פרטי מאגר המידע והתאמתו לדרישות החוק, עבור דרך תיקון ליקויים,  כתיבת נהלי אבטחה, רישום מאגרי מידע, ייצוג בית העסק מול הרשות להגנת הפרטיות במשרד המשפטים. בנוסף, אנו מעניקים שרות חיצוני לביקורת אבטחת מידע והגנת הפרטיות. שירות זה כולל הטמעת נהלי אבטחת והגנת הפרטיות, ובכלל זה ביקורות תקופתיות בהתאם לדרישות התקנות והחוק.