צרו קשר

    עמית, פולק, מטלון ושות׳

    בית APM, ראול ולנברג 18, בניין D, קומה 6,
    רמת החייל, תל אביב
    6971915, ישראל

    דרך חברון 101, בית הנציב,
    כניסה ב', קומה 3, ירושלים

    צרו קשר

    טל׳: +972-3-5689000
    פקס: +972-3-5689001
    דוא״ל: apm@apm.law
    facebook linkedin

    מרכז מדיה / עדכונים משפטיים

    מדריך פעולה ליישום תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) בעת התקשרות עם גורם חיצוני

    ספטמבר 19, 2023

    טכנולוגיה ורגולציה

    איתמר כהן

    ביום 18 בספטמבר, 2023, הרשות להגנת פרטיות ("הרשות") פרסמה מדריך פעולה בנושא התקשרות עם ספק חיצוני המקבל גישה למאגר מידע. מדריך זה הינו בנוסף לפרסומי הרשות בעבר בהקשר להתקשרויות עם ספקי מיקור חוץ ובין היתר, הנחיית רשם מאגרי מידע מס' 2/2011 "שימוש בשירותי מיקור חוץ (Outsourcing)לעיבוד מידע אישי"; "עמוד מידע בנושא אבטחת מידע בהתקשרות עם ספקים חיצוניים באתר הרשות"; "עמוד שאלות ותשובות באתר הרשות בנושא מיקור חוץ" וכדומה.

    תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות") קובעת את ההוראות בעניין התקשרות בעלי מאגרי מידע עם גורמים חיצוניים (ספקי מיקור חוץ) לצורך קבלת שירות, הכרוך במתן גישה למאגרי מידע.

    ספקים, שלרוב אינם חלק מהמערך הארגוני ואינם נמנים על הארגון של בעלי מאגרי מידע, טומנים בשל זאת שורה של סיכונים, לצד היתרונות הכרוכים בהם. בהיבט אבטחת מידע, מרבית הסיכונים טמונים בסוגיות של גישת הספק למידע האישי בארגון, העברת מידע בין הספק לארגון וסיום ההתקשרות ביניהם.

    בשל ההתגברות בשנים האחרונות בהסתייעות בספקים חיצוניים, הרשות פרסמה מדריך פעולה בנושא זה. במדריך, הרשות מנחה ומפרטת מהם תנאי ההתקשרות עם ספקים חיצוניים, מהו תוכן ההסכם המתחייב עם ספקים לפי תקנה 15(א)(2), וכן מציעה נוסח שאלוני בדיקה עבור ספקי מיקור חוץ.

    חובות בעלי מאגרי מידע כתנאי להתקשרות עם ספק חיצוני

    כאמור לעיל, תקנה 15 קובעת את החובות החלות על בעל מאגר מידע במסגרת התקשרות עם ספק חיצוני. ובין היתר:

    • בדיקה מקדמית – על בעלי מאגרי מידע לערוך בדיקה בו יבחנו האם הסיכונים הכרוכים בהתקשרות עם הספק מאפשרים התקשרות עמו. הרשות מציעה כלי עזר בדמות שאלון בדיקה מקדמית לדוגמה, המאפשר התאמה ספציפית לנסיבות הספציפיות של השירות והמידע המעובד.
    • שאלון בקרה – בעלי מאגרי מידע מחויבים לקבוע הוראות מפורטות בנוהל אבטחת המידע בנושאים המפורטים בתקנה 15 (מפורט מטה), וכן מחויבים לנקוט באמצעי פיקוח ובקרה על הספק בהיקף ההולם את הסיכונים הספציפיים הנובעים מהתקשרות עמו.
    • הסכם בין בעל המאגר לספק – על הצדדים לערוך הסכם כתוב ומחייב מבחינה משפטית, בו נקבעות הנחיות מפורשות בהתאם לסוג השירות אותו בעל המאגר מקבל מן הספק. בהסכם יש לפרט את מהות השירות, תהליכיו העסקיים והטכנולוגיים, מורשי הגישה של הספק למערכות הרלוונטיות והאופן בו ייגשו למידע, וכן את הסדרת סיום או שינוי ההתקשרות.

    הוראות שיש לכלול בהסכם עם ספק מיקור החוץ כאמור בתקנה 15(א)(2):

    הרשות מפרטת כיצד על הצדדים לפרש את ההוראות שבתקנה 15(א)(2) בעניין תוכן ההסכם המחייב בין הצדדים:

    • יש לנסח סעיף המגדיר במפורש את סוג המידע אליו רשאי הספק לגשת, ואת מטרת השימוש לכל סוג מידע.
    • יש לפרט אודות המערכות אליהן לספק יש הרשאות גישה וכן יש לפרט אודות מורשי הגישה מטעם הספק. כמו כן, הרשות מציינת כי ניתן להסתייע במסמך מיפוי מערכות המאגר ולוודא כי הינו מעודכן.
    • יש לפרט מה הספק רשאי "לעשות" עם המידע. כלומר, האם ההרשאות כוללות צפייה בנתונים בלבד, או שמא הספק רשאי גם לערוך שינויים ולהפיק מידע חדש.
    • יש לציין את מועד סיום ההתקשרות בין הספק לבעל המאגר ואת תיאור האופן בו ישיב או ישמיד הספק את המידע שקיבל מבעל המאגר בעת סיום ההתקשרות בין הצדדים. למשל, יש לפרט כיצד קבצים ימחקו, כיצד מידע שהועבר דרך התקן חיצוני ישוב לבעל המאגר וכו'. בסיום ההתקשרות, יש לבצע ווידוא וכן קבלת דיווח מהספק על ביצוע ההשבה/מחיקה של כל מידע רלוונטי.
    • ככל שהספק הוא גם "מחזיק", כלומר, ברשותו מאגר מידע דרך קבע, על ההסכם לפרט את אופן עמידתו בכלל חובותיו לפי התקנות, לרבות מתן הנחיות פרטניות ליישומן. ה"מחזיק" בעל אחריות ישירה לאבטחת המידע במאגר לגביה הוא נותן שירות. כמו כן, מוטלת על המחזיק חובת דיווח מידית לרשות להגנת הפרטיות על קרות אירוע אבטחה חמור.
    • חובת הספק להחתים את עובדיו על התחייבויות לסודיות ועמידה בהוראות אבטחת מידע שנקבעו בין בעל המאגר לבין הספק.
    • במידה והספק נותן שירות באמצעות ספק משנה נוסף, עליו לקבוע הסכם עם אותו ספק משנה, ולוודא כי גם הסכם זה כולל את כל העניינים המפורטים במדריך.
    • יש לקבוע סעיף המגדיר במפורש את הנוהל בו מדווח הספק לבעל המאגר על אופן ביצוע חובותיו ועמידתו בכלל הוראות ההסכם (אחת לשנה לפחות).

    נוסח שאלוני בדיקה מוצעים:

    במסגרת המדריך, הרשות מציעה נוסח שאלון בדיקה מקדמי ונוסח שאלון בקרה תקופתית לשימוש על ידי בעלי מאגר ו/או מחזיקים במסגרת התקשרויות עם ספקי מיקור חוץ. יצוין כי, הרשות מבהירה כי הנספחים משמשים ככלי עזר בלבד, ואין להשתמש בהם בלבד כדי למלא את הוראות החוק והתקנות.

    נוסח השאלונים מפורט בנספחי המדריך והוא כולל, בין היתר, בחינת נהלי האבטחה של הספק, תקני אבטחת מידע, הדרכות, נתוני תיעוד, נוהל אירועי אבטחה וכדומה. לעניין שאלון הבקרה, אשר הרשות ממליצה להעבירו לספק אחת לשנה, השאלון כולל, בין היתר, בחינת שינויים אשר בוצעו בנהלי אבטחת המידע ו/או מערכות הספק, קיום הדרכות, אירועי סייבר שחלט במהלך השנה, דיווחים והליכי פיקוח.

     

    תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.

    צוות APM לרגולציה ולטכנולוגיה.