הרשות להגנת הפרטיות: מדריך עזר לסיוע לארגונים לצמצום סיכונים לפרטיות
מאת:
מערכת Telecom News, 23.11.22, 14:23
המדריך לביצוע תסקיר השפעה על פרטיות נועד לאפשר לארגונים בהם מתנהלים פרויקטים או נעשה שימוש בטכנולוגיות הכוללות איסוף מידע אישי ורגיש, לאתר מראש סיכונים אפשריים לפרטיות הציבור ולצמצמם מבעוד מועד.
ארגונים רבים במשק, במיוחד לאחר משבר הקורונה, מאמצים יותר ויותר את השימוש בכלים דיגיטליים ובטכנולוגיות מתקדמות, שמאפשרים יכולת גבוהה לאיסוף, עיבוד וניתוח מידע אישי ורגיש בהיקפים גדולים. אלמנט זה מגביר גם את הסיכונים לפרטיות המידע של הציבור.
כדי לסייע לארגונים לצמצם סיכונים לפרטיות הציבור והלקוחות, הרשות להגנת הפרטיות פרסמה את הנוסח הסופי של מדריך עזר מתודולוגי המפרט המלצות לאופן ביצוע תסקיר השפעה על הפרטיות (
Privacy Impact Assessment), לטובת כלל הארגונים במשק.
תסקיר השפעה על הפרטיות הוא תהליך, שנועד לנתח באופן מקיף ושיטתי את השפעת השימוש בטכנולוגיות על פרטיות הציבור והלקוחות. התסקיר מזהה את מכלול הסיכונים לפרטיות, בוחן חלופות ומציע את הדרך לצמצם את הסיכונים למינימום.
התסקיר נועד לשמש ארגונים במהלך הקמה וניהול של פרויקטים חדשים, שיש להם השפעה על הפרטיות, ובפרט מערכות טכנולוגיות חדשות ופרויקטים הכרוכים באיסוף ובעיבוד של מידע אישי. לכן, יש לבצע את התסקיר בשלבים המוקדמים של הנעת הפרויקט, במקביל לתהליכי הפיתוח והתכנון של מערכות/טכנולוגיות חדשות.
השימוש בתסקיר יאפשר לארגונים במשק לזהות סיכונים בתחום הפרטיות בשלב מוקדם ויסייע להם להתמודד עימם בצורה פשוטה ויעילה יותר, ובד"כ גם בעלות כספית נמוכה יותר. כ"כ, התסקיר מבטיח, שהפגיעה בפרטיות לא תעלה על הנדרש לשם הגשמת מטרות השימוש במידע, והוא גם נועד לסייע לארגון לבחון את העמידה בהוראות הדין בנושא.
ארגון, שמבצע תסקיר, צפוי גם להגביר את אמון הלקוחות בו, באמצעות העברת מסר, שנעשה שימוש בכלים, שיבטיחו, שהסיכון לפגיעה במידע האישי יהיה מינימלי.
הרשות מציינת, שאמנם, כיום אין בדין הישראלי חובה כללית ומפורשת לערוך תסקיר השפעה על הפרטיות. עם זאת, ביצוע תסקיר בעת הקמה וניהול של פרויקטים חדשים בעלי השפעה על הפרטיות, צפוי להיטיב הן עם הארגון והן עם ציבור לקוחותיו.
חשוב לציין, שבמדינות שונות, שמקיימות קשרי מסחר עם ישראל, עריכת תסקיר השפעה על פרטיות היא חובה חוקית, וזו עשויה לחול גם על ארגונים ישראלים הפועלים בחו"ל.
כ"כ, גם לפי הדין הישראלי חלק מרכיבי התסקיר חופפים להוראה בתקנות הגנת הפרטיות (אבטחת מידע), שדורשת מכל בעל מאגר מידע במשק להחזיק "מסמך הגדרות מאגר", ולערוך מיפוי של המערכות הטכנולוגיות המשמשות את המאגר.
מדריך העזר המתודולוגי לעריכת תסקיר השפעה על הפרטיות -
כאן.