הטכנולוגיה טסה, הרגולציה זוחלת - זירת הדעות - TheMarker

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הטכנולוגיה טסה, הרגולציה זוחלת

ההנחה בתקנות החדשות היא שלבעל מאגר המידע שליטה פיזית על המערכות. זה לא רלוונטי בעידן מחשוב הענן

תגובות
דיאן גרין, מנהלת פעילות הענן של גוגל
בלומברג

באחרונה אושרו בוועדת החוקה חוק ומשפט תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, שצפויות להיכנס לתוקף שנה לאחר פרסומן. תקנות אלה באות להוסיף על חוק הגנת הפרטיות ועל התקנות שהותקנו מכוחו. טיוטת התקנות פורסמה לראשונה על ידי הרשות למשפט וטכנולוגיה לפני יותר משש שנים. אף שהתקנות החדשות מהוות רפורמה משמעותית בתחום אבטחת המידע, הן משמשות דוגמה נוספת לכך שקצב התפתחות החקיקה בתחום הגנת הפרטיות אטי בהרבה מקצב ההתפתחות הטכנולוגית.

חוק הגנת הפרטיות נחקק ב-1981. באותם ימים, כמות המידע במאגרים הממוחשבים היתה קטנה לעין שיעור מזאת שקיימת כיום. החוק מטיל חובות נכבדות על בעלים של מאגר הכולל מידע פרטי, ובצדן סנקציות משמעותיות. בימינו, מרבית החברות מחזיקות מאגרי מידע ממוחשבים על לקוחות ועובדים, הכוללים מידע פרטי, וחובות הרישום הרחבות הקבועות בחוק מובילות לכך שמרבית המאגרים בישראל מחייבים רישום. מידת הרלוונטיות של ההסדר הקיים בנוגע לחובת רישום אל מול המציאות הטכנולוגית הנוכחית ומאגרי המידע הרבים שקיימים כיום - מוטלת בספק.

תזכיר חוק שפורסם ב-2011 עוסק בצמצום חובת הרישום, אבל כל עוד לא תוקן החוק, חובת הרישום הרחבה נותרת בעינה. חברות רבות אינן מודעות לחובות המוטלות עליהן על פי החוק ביחס למאגרי מידע, והן עלולות למצוא עצמן מפרות את החוק. ניתן לסווג את החובות מכוח החוק לחמישה תחומים עיקריים: רישום המאגרים, אופן איסוף המידע, השימוש במאגרים, אבטחת המידע וזכות העיון. התקנות החדשות באות להוסיף על חובות אלה - אבל נראה שגם הן אינן מותאמות באופן מלא למציאות הטכנולוגית הקיימת.

במסגרת התקנות מתבצעת חלוקה למאגר מידע שחלה עליו רמת אבטחה בסיסית, מאגר המחויב ברמת אבטחה בינונית ומאגר עם רמת אבטחה גבוהה. החלוקה מתבצעת בהתאם לבעל המאגר, סוגי המידע שנאספים בו, מטרת המאגר, מספר האנשים שעליהם המידע נאסף ומספר המורשים אליו. ככל שלפי התקנות נדרשת רמת אבטחה גבוהה יותר לסוג מאגר מסוים, כך יחולו עליו יותר חובות בכל הקשור לניהולו ואבטחתו.

כמה מההוראות הקבועות בתקנות החדשות משקפות את ההנחה שלבעל המאגר שליטה פיזית על מקום הימצאן של מערכות המידע המשמשות את המאגר. אבל כידוע, מרבית המידע של חברות מאוחסן כיום דרך ספקיות שירותי ענן, כמו אמזון. נראה כי יישום תקנות אלה על אחסון באמצעות שירותי ענן מעורר קשיים לא מבוטלים. על פניו, לפי התקנות החדשות, כחלק מהתקשרות עם חברה חיצונית לצורך אחסון מידע, בעל המאגר יידרש להכניס סעיפים שונים המתייחסים ליישום של התקנות - לרבות סעיפים לגבי מורשי גישה, זיהוי ואימות, בקרה ותיעוד וכן אבטחה פיזית.

כוח המיקוח מול חברת ענק לאחסון מידע הוא בדרך כלל מזערי, וייתכנו קשיים בביצוע שינויים בחוזים הסטנדרטים של חברה מסוג זה. בנוסף, בעל מאגר המידע יידרש לנקוט אמצעי בקרה ופיקוח על ספקית שירותי הענן, כדי שיוכל לעמוד בחובותיו לפי התקנות. אף שחברות גדולות מתאימות עצמן פעמים רבות לרגולציה של כל מדינה, מדובר בתהליך מורכב שלוקח זמן.

תהליכי החקיקה בתחום הגנת הפרטיות מתקדמים באטיות לאורך שנים. כתוצאה מכך, החקיקה נותרת מאחור ואינה מותאמת למציאות הטכנולוגית המתקדמת במהירות ומשתנה באופן תדיר. אם בעבר חובת הרישום הרחבה שקבועה בחוק הגנת הפרטיות היתה רלוונטית, כיום האפקטיביות והרלוונטיות שלה מוטלות בספק.

כך, גם יישום התקנות החדשות על שירותי ענן צפוי לעורר קשיים רבים. הרגולטור צריך לתת דעתו לעניין זה, ולפעול לצמצום הפער בין קצב התפתחות החקיקה לקצב התפתחות הטכנולוגיה.

עו"ד ספרונג הוא שותף ומנהל מחלקת היי־טק במשרד תדמור ושות' פרופ' יובל לוי ושות'. עו"ד ניסנבוים היא מומחית בהגנת הפרטיות ואבטחת מידע במשרד



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות