עדכוני הגנת הפרטיות

Read online | Don't want to receive these emails? Unsubscribe

תסקיר השפעה על פרטיות

הרשות להגנת הפרטיות פרסמה לאחרונה מדריך ובו המלצות לביצוע תסקיר השפעה על פרטיות בארגונים. המדריך נועד לסייע לארגון באיתור, הערכה וניהול של סיכונים לפרטיות בפרויקטים או בפעילויות עסקיות וארגוניות הכוללות עיבוד של מידע אישי. בעוד שדיני פרטיות בעולם (ובכלל זה רגולציית הגנת המידע של האיחוד האירופי, ה- GDPR) מחייבים עריכת תסקיר השפעה על פרטיות במצבים מסוימים, כיום אין חובה בדין הישראלי לערוך תסקיר השפעה על הפרטיות, וגם המדריך הוא בגדר המלצה בלבד, אם כי הוא מבוסס, באופן חלקי, על חובות שבדין.

כך, חלק מרכיבי התסקיר חופפים להוראות שונות בחוק הגנת הפרטיות, התשמ"א-1981 (כגון דרישת ההסכמה וחובת היידוע), דרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (כגון הכנת מסמך הגדרות מאגר ומיפוי מערכות טכנולוגיות המשמשות את המאגר), ותקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 (בכל הקשור להעברת מידע לחו"ל). המדריך פתוח להערות ציבור עד ליום 30.9.2021.

הרשות ממליצה במדריך שפורסם לבצע תסקיר פרטיות בשלבים המוקדמים של הנעת פרויקט הכרוך באיסוף או עיבוד של מידע, במקביל לתכנון ולפיתוח של המערכת, ולפני שהחלו פעולות העיבוד. במדריך ציינה הרשות כי מדובר בפרקטיקה מומלצת העולה בקנה אחד עם האינטרס העסקי והארגוני של בעלי המאגרים במשק. השלבים המרכזיים בתסקיר המומלץ הם כדלקמן:

קבלת החלטה על ביצוע תסקיר פרטיות – מומלץ לבצע תסקיר פרטיות לפני כל שימוש במידע אישי העלול לגרום סיכון מהותי לפרטיות נושאי המידע או לשינוי מהותי בזכויותיהם;
תיאור כללי של פעילויות עיבוד המידע;
התייעצות עם בעלי עניין שעשויים להיות מושפעים מפרויקט עיבוד המידע (כדוגמת נושאי המידע וגורמים נוספים). חובת ההיוועצות של רשות ציבורית תתממש באמצעות שימוע פומבי;
הערכת החוקיות, הצורך והמידתיות של פעולות עיבוד המידע בהתאם לחוק הגנת הפרטיות ותקנותיו;
זיהוי והערכת סיכונים לפגיעה בפרטיות נושאי המידע, בין היתר באמצעות ביצוע סקר סיכונים ומבחני חדירה;
זיהוי אמצעים לצמצום הסיכונים שאותרו;
תיקוף ואישור התסקיר על ידי גורם מוסמך

הרשות ממליצה לשלב את תוצאות התסקיר ומסקנותיו בתכנון הפרויקט או הפעילות ולבצע מעקב שוטף במסגרת תכנית העבודה. עוד הרשות מציינת שהתסקיר הוא תהליך גמיש שיש להתאימו לאופי הארגון והפרויקט ולהמשיך לעדכנו על בסיס קבוע ובייחוד בעת ביצוע שינויים מהותיים בפרויקט.

ניתן לבצע את התסקיר על ידי גורם פנימי בארגון (במידת האפשר על ידי ממונה הגנת פרטיות או למצער תוך התייעצות עימו) או על ידי יועץ חיצוני, ובכל מקרה מומלץ להסתייע בליווי משפטי. הרשות ממליצה להביא את תוצאות התסקיר לאישור הדירקטוריון או ההנהלה ולבחון אפשרות לפרסם את תוצאות התסקיר. בפרויקטים של עיבוד מידע אישי במיקור חוץ, הרשות מציעה להטיל את ביצוע התסקיר על קבלן מיקור החוץ, מבי לגרוע מאחריותו של בעל המאגר לביצוע התסקיר ואישורו.

הפניות: משרד המשפטים – הרשות להגנת הפרטיות "תסקיר השפעה על פרטיות: מדריך עזר מתודולוגי" (אוגוסט 2021)

לפרטים נוספים:

עו"ד אפרת ארצי
עו"ד בתחום IT ופרטיות
eartzi@nblaw.com

עו"ד דלית בן-ישראל

שותפה, ראש תחום IT ופרטיות

dbenisrael@nblaw.com

שתפו:

כותרות אחרונות:

עוד לא רשומים? הירשמו לקבלת הניוזלטר השבועי של נשיץ ברנדס אמיר.

אתם מוזמנים לפנות אלינו באימייל עם כל שאלה ותגובה.

אין באמור בניוזלטר כדי להוות עצה, הדרכה, ייעוץ או חוות-דעת בנושא, והוא מוגש כשירות ללקוח להעשרה כללית בלבד ולא לכל מטרה אחרת. בכל נושא ספציפי יש לפנות לעורכי הדין הרלוונטיים במשרד נשיץ ברנדס אמיר.