עקרונות היסוד של הגנת הפרטיות
חוק הגנת הפרטיות, התקנות הנגזרות ממנו ופרסומי הרשות להגנת הפרטיות מגדירים מספר עקרומות יסוד הדומים לחוקים ותקנות בינלאומיות בתחום זה.
להלן סיכום קצר של עקרונות אלה:
צמידות מטרה
על פי עקרון צמידות המטרה שימוש במידע יכול להיעשות אך ורק בהתאם למטרה לשמה הוא נאסף או הועבר מלכתחילה, או לשם מטרות נלוות חיוניות באם קיימות (כגון לצורך התדיינות משפטית).
ברגע שהמטרה אינה תקיפה יותר - יש לפנות לעיקרון "צמצום המידע" המופיע בהמשך ולפעול בהתאםם.
הסכמה מדעת
סעיף 1 לחוק הגנת הפרטיות קובע כי "לא יפגע אדם בפרטיות של זולתו ללא הסכמתו".
שקיפות
הדין הישראלי מתיר איסוף ושימוש במידע אישי על אודות אדם מכוח הסכמתו או כאשר האיסוף והשימוש נעשים מכוח הסמכה שבדין.
צמצום מידע
אין להחזיק "מידע עודף" - מידע אישי אשר אינו רלוונטי או הכרחי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה או למטרות המאגר בו הוא נשמר.
לפחות פעם בשנה יש לבחון את המידע האישי הנאסף בארגון ולוודא כי יש בו צורך וגם ... למחוק אותו במידע ואינו נדרש.
הסיכונים באיסוף מידע עודף מתבטאים בשלושה מישורים עיקריים:
פגיעה בפרטיות בשל איסוף ושימוש במידע עודף שאינו נדרש ליישום המטרה שלשמה התקבלה ההסכמה –איסוף ושימוש במידע שלא למטרה שלשמה ניתנה הסכמה הוא אסור ומהווה פגיעה בפרטיות, ובעקרונות ההסכמה וצמידות המטרה.
הפגיעה חמורה אף יותר בנסיבות שבהן האיסוף אינו נעשה מכח ההסכמה (אלא מכח הוראה בדין) או כאשר ההסכמה ניתנה במסגרת פערי כוחות בין הצדדים. במקרים אלו יש להקפיד שהמידע שייאסף יהיה אך ורק כזה הנדרש לשם השגת מטרת האיסוף או המאגר.
פגיעה בפרטיות כתוצאה משמירת מידע עודף – עצם השמירה של מידע עודף מהווה סיכון לפרטיות מאחר ונפתח הפתח לשימוש במידע זה למטרות ולשימושים נוספים, לרבות תוך עיבודו, הצלבתו עם מידע נוסף, והעברתו לאחרים.
זליגת וחשיפת מידע עודף – מאחר ומאגרי מידע אינם חסינים מפני זליגת מידע וחשיפתו, שמירת מידע עודף יוצרת סיכון אבטחה מיותר ואף הפרה של חובת אבטחת המידע הקבועה בחוק. מאחר ולרוב נושא מידע גם אינו מודע לכך שנשמר לגביו מידע עודף, נפגעת יכולתו לצמצם את נזקיו.
שלמות וסודיות
תקנות הגנת הפרטיות (אבטחת מידע) קובעות סט של בקרות אבטחת מידע הנדרשות. רמתן נגשקת ברמת הרגישות של המידע וכמותו.
להבנתי, אבטחת מידע הוא נושא חשוב ומרכזי. יחד עם זאת זהו נושא משלים להגנת הפרטיות ואימו חלק אינגרלי ממנו.
חוקים כמו ה-GDPR רואים באבטחת מידע נושא חשוב, אך הם מציינים כי "צריך לעשות מה שצריך לעשות".
בין יתר הבקרות אליהן מתייחסות תרנות אבטחת המידע:
* מינוי ממונה על אבטחת מידע
* מדיניות ונהלים בתחום אבטחת המידע
* ביצועי סקרי סיכונים ומבדקי חדירה.
* הדרכה
* ניהול הרשאות
* זיהוי ואימות
* ניטור ובקרה
* דיווח על אירועי אבטחת מידע
* התקנים ניידים
* ניהול מאובטח של מערכות המאגר
* אבטחת תקשורת