הרשות להגנת הפרטיות מפרסמת את דו"ח ממצאי פיקוח הרוחב שביצעה במגזר מועדוני הלקוחות

משרד המשפטים

ממצאי דו"ח פיקוח הרוחב, שביצעה הרשות להגנת הפרטיות במשרד המשפטים וכולל את סיכום ממצאי הליך הפיקוח בקרב מגזר מועדוני הלקוחות יתפרסם ביום רביעי, 8 בינואר, 2020. זהו הדו"ח הראשון שמפרסמת הרשות כעת והוא הראשון בשורת דוחות שתפרסם הרשות בתקופה הקרובה. הדו"ח מתמקד במגזר מועדוני הלקוחות בישראל, הכולל חברות שבמסגרת פעילותן מנהלות מועדוני לקוחות ונחשב כבעל סיכון גבוה לפגיעה בפרטיות, בין היתר, בשל מאפייניו הייחודיים של מגזר זה.

מערך פיקוח הרוחב ברשות להגנת הפרטיות, אשר הינו חלק ממערך האכיפה, מופקד על עריכת פיקוחי רוחב מגזריים או נושאיים לבחינת יישום הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות. מטרת המערך הינה איתור וצמצום הפערים בין דרישות החוק והתקנות לבין המצב הקיים במגזרים המפוקחים, הגברת מודעות המשק להוראותיו, הגברת האכיפה היוזמת של הרשות, קבלת תמונת מצב מגזרית ואיתור כשלים ענפיים לגבי עמידה בהוראות החוק הדורשים התייחסות ומתן הנחיות.

במהלך השנים 2018-2019, ביצעה הרשות 181 הליכי פיקוח רוחב לבדיקת מידת העמידה בהיבטי הגנת הפרטיות ואבטחת מידע בקרב מגזרים שונים, אשר מנהלים או מחזיקים במאגרי מידע שיש בהם סיכון מוגבר לפגיעה בפרטיות. בין היתר, בשל רגישות המידע, היקפי המידע ומטרות השימוש בו. במסגרת הליך פיקוח הרוחב, פנתה הרשות לגופים שונים הנמנים על המגזרים המפוקחים בדרישה למילוי שאלוני ביקורת. ביניהם, פנתה הרשות אל 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה ממאה אלף איש, 30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 38 ספקי פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים ו- 36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע. בנוסף, הרשות ביצעה הליך פיקוח רוחב המתמקד בבדיקת רמת אבטחת המידע הנדרשת על פי תקנות הגנת הפרטיות ב-52 גופים ב-4 מגזרים נוספים. דוחות הפיקוח על כל אחד מהמגזרים האמורים יפורסמו בקרוב.

באשר לביקורת הנוכחית: הגופים המשתייכים למגזר מועדוני הלקוחות, מנהלים או מחזיקים מידע עצום על מספר רב של אנשים הכולל את הרגלי הצריכה שלהם. הם מנהלים עימם קשר אינטראקטיבי המאפשר להם לזהות וללמוד מעבר למידע אודות הרגלי הצריכה של הלקוחות, גם מאפיינים ייחודיים לגבי אישיותם, מצבם הכלכלי, קשריהם המשפחתיים, השתייכותם הדמוגרפית, אמונתם וכד',

שאלוני הביקורת בחנו ארבעה קריטריונים בתחום הגנת הפרטיות:
· בקרה ארגונית וממשל תאגידי - בוחן קיומה של תכנית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום.
· ניהול מאגרי מידע - בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, השימוש במידע בהתאם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ושירותי דיוור ישיר.
· אבטחת מידע - בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), ביחס להגנה על המידע האישי שבבעלותם ובהחזקתם.
· שירותי מיקור חוץ - בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים שלישיים המחזיקים במידע ומעבדים אותו והאופן בו הם מבטיחים הגנה על המידע.

בהתאם למענה שניתן על-ידי הגופים ביחס לכל אחד מהקריטריונים, נקבעה רמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו, כמתואר בגרף הבא בהתאם לשקלול רמות העמידה של הגופים:
· עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
· עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
· עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.

במסגרת ההליך, שבעה גופים אשר דיווחו לרשות על סיום פעילותם נדרשו לבער את מאגר המידע שבידם. שישה עשר גופים נדרשו לספק מידע, מסמכים והבהרות נוספות לרשות. בסיום ההליך, מתוך 44 הגופים המפוקחים, נמצא כי ב-43 מתוכם היו ליקויים הדורשים תיקון.

הליך הפיקוח העלה את הממצאים העיקריים הבאים:
ב - 55% מקרב הגופים נמצאה רמת עמידה בינונית עד נמוכה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. במסגרת כך, הממצאים חשפו ליקויים באופן שבו גופים מגדירים את מטרות מאגר המידע בו הם מחזיקים וכן לא ממלאים אחר ההוראות למינוי מנהלי מאגרים.

במרבית הגופים נמצאו ליקויים באופן ניהול הרשאות הגישה למאגרים, שהתבטא בהעדר תהליכים נאותים לניהול ההרשאות ובהעדר יישום הפרדת תפקידים ויישום מתן ההרשאה לבעל הרשאה המורשה לכך בלבד, לפי רשימת ההרשאות התקפות.

בכ -70% מהגופים נמצאה רמת עמידה נמוכה בהוראות החוק בכל הנוגע לעיבוד מידע אישי באמצעות מיקור חוץ. נמצא, כי הגופים אינם עורכים התקשרויות עם גורמים שלישיים במיקור חוץ בהתאם לנדרש בהוראות התקנות, אינם בוחנים את סיכוני אבטחת המידע הכרוכים בהתקשרות, אינם מוודאים עמידת הגורמים החיצוניים בחובות אבטחת המידע ואינם נוקטים אמצעי בקרה ופיקוח על עמידתם בהוראות תקנות אבטחת מידע.

גם במקרים בהם הגופים שנבדקו הטמיעו מנגנוני בקרה נאותים בארגון, הם לא נקטו צעדים מספקים מבעוד מועד על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של האנשים על אודותיהם מוחזק המידע.

נמצא, כי בפניה ללקוחות בדיוור ישיר, הגופים אינם מקפידים על יידוע הלקוחות בדבר האופן שבו נאסף המידע על אודותיהם ואף אינם מיידעים אותם בדבר זכויותיהם מכוח חוק הגנת הפרטיות (החובה להציג את מקור המידע, הזכות לעיין במידע, והזכות להימחק ממאגר המידע).

לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו הגופים הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. הדו"ח שפרסמה הרשות כולל המלצות באשר לצעדים שעל הגופים שנבדקו לנקוט בכדי לקיים את דרישות החוק והתקנות. יצוין, כי בסיום הליך הפיקוח, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושאי משרה לביצוע התיקונים ותכנית מסודרת לצורך כך. בנוסף, מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים. בגופים בהם נמצאו ליקויים משמעותיים רבים במילוי הוראות החוק, או בכאלו אשר לא ימלאו אחר דרישת תיקון הליקויים, שוקלת הרשות המשך הפעלת סמכויותיה המנהליות או הפליליות.

עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, ציין כי: "המדובר בדוח ראשון מבין שורת דוחות ביקורת על מגזרים שונים שיפורסמו על ידי הרשות בשבועות הקרובים. מגזר מועדוני הלקוחות הינו מגזר בסיכון מוגבר מבחינת היבטי הגנת הפרטיות. בנוסף להשפעת פעילות פיקוח הרוחב על הגופים שנבדקו וצמצום הליקויים הפרטניים שזוהו, הרשות רואה חשיבות בפרסום דו"ח ציבורי זה אודות ממצאי פיקוח הרוחב על מנת שיהווה כלי עבודה מנחה לכלל הגופים המנהלים מועדוני לקוחות. דוח זה מאפשר לגופים המנהלים מועדוני לקוחות לבצע הערכה עצמית בהתאם לחולשות המגזריות שמצאה הרשות ולפעול בהתאם להנחיות המגזריות לתיקון הליקויים שנמצאו. כך יוכלו הגופים בתחום לנהל את המידע של לקוחותיהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם".