מהו מחשוב ענן מבחינה משפטית?
ישראל אין חוק ספציפי למחשוב ענן — אבל זה לא אומר שיש ואקום משפטי. חוק הגנת הפרטיות, תשמ"א-1981, חל על כל מי שמחזיק מאגר מידע הכולל מידע אישי — בין אם השרת עומד בתל אביב ובין אם בוירג'יניה. ספק שירותי ענן שמעבד מידע אישי של ישראלים הוא "מחזיק מאגר" לפי החוק, וחייב לעמוד בכל דרישותיו. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו), תשנ"ז-1986, מגדירות את אמות המידה לשמירה נאותה על מידע אישי, כולל חובות שמירה ומחיקה. הנקודה המעשית: מעביר נתונים לענן לא מעביר אחריות — הוא שומר עליה.
תיקון מס' 13 לחוק הגנת הפרטיות, שנכנס לתוקף בשלבים מ-2023, העצים משמעותית את סמכויות הרשות להגנת הפרטיות. הקנסות האדמיניסטרטיביים עלו לסכומים של מאות אלפי שקלים, וניתן לחייב גם נושאי משרה באופן אישי. בנוסף, על פי עמדת הרשות, כל ארגון שמשתמש בשירותי ענן חיצוניים לעיבוד מידע אישי חייב לבצע הערכת השפעה על פרטיות (DPIA) כחלק מניהול סיכונים תקין — בפרט כאשר מדובר בנתונים רגישים כמידע רפואי, פיננסי או ביומטרי.
חובות קמפלייאנס עיקריות בשימוש בענן
חוק הגנת הפרטיות מטיל שלוש חובות מרכזיות על כל מי שמשתמש בשירותי ענן לעיבוד מידע אישי. ראשית, חובת ההסכמה — יש לקבל הסכמה מפורשת לפני איסוף מידע, בפרט מידע רגיש (רפואי, גנטי, ביומטרי) שדורש אישור בכתב. שנית, חובת הגישה — לכל אדם זכות לדעת מה מחזיקים עליו ולדרוש עותק או תיקון. שלישית, עקרון המינימיזציה — שמירת מידע אישי מעבר לנדרש למטרה המקורית היא הפרה עצמאית של החוק. ספק ענן שממשיך לשמור מידע לאחר סיום ההתקשרות — גם הוא נחשף לאחריות, ולא רק הלקוח שלו.
מי שמנהל מאגר מידע המחייב רישום (לפי סוג המידע ומספר הנרשמים) חייב לרשום את המאגר אצל רשם מאגרי המידע לפי חוק הגנת הפרטיות. שימוש בשירותי ענן אינו פוטר מחובת הרישום — המאגר הוא הנתונים, לא השרת הפיזי שמחזיק אותם. ארגונים רבים מפספסים נקודה זו ומוצאים עצמם בהפרה פרוצדורלית גם כשאבטחת המידע שלהם מצוינת.
ריבונות נתונים: כשהשרת בחו"ל, הדין בישראל
תקנות הגנת הפרטיות (העברת מידע אל מחוץ לגבולות המדינה), תשס"א-2001, אוסרות העברת מידע אישי לחו"ל אלא אם מדינת היעד מספקת רמת הגנה מספקת — או שנחתם חוזה ספציפי עם הגנות מקבילות. AWS, Google Cloud ו-Microsoft Azure כולן חתמו על Standard Contractual Clauses (SCC) המאושרים, אך הלקוח חייב לוודא שה-DPA שלו מפנה אליהם במפורש. "ספק גדול = אני בטוח" הוא לא הגנה משפטית.
גם כשהשרתים בחו"ל, חוק הגנת הפרטיות הישראלי חל על כל ארגון ישראלי שמשתמש בשירות. המשמעות הפרקטית: אם ספק הענן סובל מפרצת אבטחה — הארגון הישראלי הלקוח הוא שחייב לדווח לנושאי המידע ולרשות להגנת הפרטיות. חובת הדיווח לא עוברת לספק. ה-due diligence לפני חתימת חוזה ענן כולל: בדיקת תעודת SOC 2 Type II או ISO 27001 של הספק, בדיקת מדיניות breach notification שלו, ואימות שה-DPA עומד בדרישות ישראל.
DPA — ההסכם שרוב העסקים שוכחים לחתום
כל הסכם בין עסק לבין ספק שירותי ענן שמעבד מידע אישי חייב לכלול Data Processing Agreement (DPA). ה-DPA צריך לכלול: מטרת העיבוד המדויקת, הנחיות העיבוד (processing instructions), ערבויות אבטחה של הספק, אופן טיפול בבקשות גישה מנושאי המידע, ומה קורה לנתונים עם סיום ההתקשרות. ה-DPA אינו מסמך פורמלי בלבד — הוא הכלי שבו הארגון מוכיח שנקט אמצעי זהירות סבירים.
בפועל, חברות רבות "מקבלות" את תנאי הענן הסטנדרטיים של Google, AWS או Microsoft מבלי לבדוק אם ה-DPA שלהן עומד בדרישות הישראליות. השאלות שכדאי לשאול: האם ה-DPA מאפשר לספק להשתמש בנתונים לפיתוח מוצרים? האם יש הגבלה על מיקום השרתים? מה לוח הזמנים לחזרת הנתונים עם סיום החוזה? הרשות להגנת הפרטיות פרסמה הנחיות בנושא DPA שמהוות נקודת ייחוס חשובה לכל ארגון.
דרישות אבטחת מידע בענן
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, קובעות שלוש רמות אבטחה למאגרי מידע בהתאם לרגישותם. מאגרים ברמה הגבוהה (מידע רפואי, פיננסי, פלילי) מחייבים, בין השאר, הצפנה בעת העברה ואחסון, בקרת גישה מחמירה, וניטור שוטף. הצפנת end-to-end — גם in transit וגם at rest — היא כיום דרישת מינימום לכל ספק ענן שמטפל במידע רגיש. תקן ISO/IEC 27001, הנפוץ בקרב ספקי ענן בינלאומיים, מספק מסגרת מקובלת לניהול אבטחת המידע ומהווה אינדיקטור לכך שהספק לוקח אבטחה ברצינות.
תקנות אבטחת המידע גם מחייבות מינוי ממונה אבטחת מידע בארגונים שמנהלים מאגרים ברמה בינונית ומעלה, ועריכת סקרי סיכונים תקופתיים. כאשר עסק עובר לסביבת ענן, הוא לא יוצא מחובות אלה — אלא צריך לוודא שה-DPA עם ספק הענן מכסה אותן במפורש, כולל בדיקות חדירה (penetration testing) תקופתיות ודוחות SOC.
פרצת נתונים בענן: מי חייב לדווח ולמי?
חוק הגנת הפרטיות (לאחר תיקון 13) ותקנות אבטחת המידע קובעים חובת דיווח על אירועי אבטחה מהותיים. כאשר מתרחשת פרצה בספק הענן — הארגון הישראלי שמחזיק את מאגר המידע חייב לדווח לרשות להגנת הפרטיות ולנושאי המידע שנפגעו. הדיווח צריך לכלול: סוג המידע שנחשף, מספר האנשים המושפעים, הצעדים שננקטו לבלימת הנזק, ותוכנית התיקון. המסגרת הזמנית לדיווח — ובפרט הגדרת "פרצה מהותית" — היא שאלה שכדאי לוודא מראש עם יועץ משפטי ולא בזמן אירוע.
הכלל המעשי: אם ספק הענן מודיע לכם על פרצה — השעון התחיל לדקות. אל תמתינו לבדוק "מה הנזק בדיוק" לפני שאתם יוצרים קשר עם עורך דין. הרשות להגנת הפרטיות דוגלת בדיווח מוקדם, ופתיחות ושקיפות בזמן אירוע נחשבות לגורם מקל בהחלטות על קנסות.
מידע על עובדים בענן: מה חייבים לדעת
כשעסק מעביר לענן מידע על עובדים — תלושי שכר, מידע רפואי, הערכות ביצועים — הוא נכנס לתחום שבו חוק הגנת הפרטיות ודיני העבודה נפגשים. לפי חוק הגנת הפרטיות, עובד זכאי לדעת מה מחזיקים עליו ולדרוש גישה. לפי הפסיקה, עיבוד מידע עובדים בשירות ענן חיצוני מחייב שקיפות כלפי העובד — כולל הודעה על זהות הספק החיצוני ועל מיקום עיבוד המידע.
בפועל, מרבית מעסיקים מוסיפים סעיף על שימוש בכלים דיגיטליים בחוזה העבודה. זה לא מספיק לבדו. כאשר עוברים לפלטפורמת ענן חדשה, כדאי לעדכן את מדיניות הפרטיות לעובדים ולוודא שה-DPA מכסה גם את הגבלות השימוש במידע עובדים. מידע על עובדים שנשמר מעבר לתקופת הצורך — כמו ציוני ראיונות לאחר גיוס, או מידע רפואי לאחר סיום העסקה — מהווה הפרה גם ללא כל אירוע אבטחה.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בעת בדיקת DPA לקראת חוזה ענן, חפשו את הסעיף שמגדיר "subprocessors" — ספקי ענן משתמשים לעיתים קרובות בחברות בת כמעבדי משנה, וה-DPA חייב לחייב אותם לאותן חובות. אי-כיסוי של subprocessors הוא פרצה נפוצה.
- אסמכתא רלוונטית: תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 — בפרט נספח 2 המגדיר בקרות אבטחה לפי רמת מאגר. קריאה של הנספח לפני עריכת DPA תשפר משמעותית את איכות המשא ומתן.
- טעות נפוצה: להניח שתאגידים גדולים כמו Google או AWS "כבר עומדים בכל הדינים". הם עומדים בדינים שלהם — לא בהכרח בדינים הישראלים. ה-DPA הסטנדרטי שלהם לא תמיד עומד בדרישות תקנות תשע"ז ללא תוספות.
- נקודה טקטית: בדיקת DATA MAPPING לפני חוזה ענן — מיפוי של אילו נתונים זורמים לאן — מסייעת גם לזיהוי מאגרים שחייבים רישום, גם לתמחור נכון של ה-DPA, וגם לבניית תוכנית breach response ריאלית.
צריכים ייעוץ משפטי?
מוזמנים ליצור קשר לייעוץ ראשוני