מהי דליפת מידע ותחגויות הדיווח
בחוק הגנת הפרטיות והנתונים האישיים, התשפ״א-2021, הגדירה דליפת מידע (כשנקראת "הפרה") כאי-שימור של מידע אישי לפי התנאים שנקבעו בחוק. ייתכן כי מדובר בהדלפה בלתי מכוונת (למשל, שליחת דוא״ל לנמען לא נכון), גנבה מכוונת (כשמהקר עורק את המידע מהמערכת), או שיבוש של מידע (corrupted data). בכל המקרים, הרגולטורים בישראל מתייחסים לדרגות שונות של ח מוריות, וההחובה לדיווח תלויה בשאלה אם המידע יכול להוות "סיכון" להזכויות של אנשים.
סעיף 18 לחוק הגנת הפרטיות קובע שיש להודיע ל"בעל הרישות" (כלומר, לאדם שמידע שלו נפגע) "בחביון סביר" כשהפרה עלולה להוות סיכון גבוה לזכויותיו. לא קבוע בחוק מדויק מהו "סיכון גבוה", אך הפרקטיקה החוקית וקודיצים של משרד המשפטים מצביעים על כך שסיכון קיים כאשר: סוג המידע רגיש (תעודה זהות, מספר חשבון בנק, נתוני בריאות), מספר כלבים של אנשים הוא גדול, וההפרה עלולה להוות בסיס לעיוות זהות או תקיפה פיננסית.
דיווח מיידי כלול הודעה ל"פקיד הגנת הנתונים" של משרד המשפטים בתוך 72 שעות מהגילוי של ההפרה. זה חוק בינלאומי שמקורו בחוקי אירופה (GDPR), ובישראל אומץ כסטנדרט מינימלי. הדיווח צריך להיות מפורט וכתוב, לא בעל פה או במייל חסר תיעוד. אם חברה מאחר יותר מ-72 שעות בדיווח, הקנס הממשלתי עלול להיות בגודל משמעותי.
תוכן הודעת הדיווח הנדרשת
כאשר משנמצאה הפרה, ההודעה לבעל הרישות צריכה לכלול:
שם ופרטי הגוף המדווח: החברה או הארגון בעלי המידע צריכים להצביע על עצמם ועל אנשי קשר — משרד, טלפון, דוא״ל, וקביעת עורך דין או יועץ משפטי אם זה צפוי להיות מקרה משפטי.
תיאור מפורט של סוג ההפרה: האם זה גנבה (hacking), שגיאת בני אדם (מישהו שיגר דוא״ל ללא כוונה לנמען לא נכון), או שיבוש של מערכת (מחשב שקרס והנתונים אבדו). כל סוג דורש הנמקה שונה וצעדים שונים של תגובה.
סוג המידע שנחשף: תעודה זהות, מספר סוציאלי, כתובת, שם, מספר טלפון, נתוני חשבון בנק, כתובת דוא״ל, נתוני בריאות או יומן רפואי, תיעוד עבודה. כל סוג מידע דורש מדרגת זהירות שונה.
מספר אנשים שהושפעו: אפילו הערכה — "בין 500 ל-1000 אנשים" — טוב מאשר לא לציין את המספר בכלל. אם המספר גדול מ-1000, הדיווח צריך להכיל הצהרה שהחברה תחזיק בהתחדשות של הרשימה והודעות נוספות אם המספר יתברר כגדול יותר.
מקור ההתקפה אם ידוע: "המערכת נחדרה על ידי קוד זדוני מתור זה זה", או "עובד שכח את סיסמתו על הלוח והמנקה ראה אותה", או "מצטיין גנב את החומר כשעזב את החברה". אם מקור לא ידוע, יש להצביע על זאת בפירוש, כי הרשויות יידעו להחקור.
צעדים שנלקחו מיד: "קטענו את גישת המתקיף", "שבנו את סיסמאות בסיסי המידע", "בדקנו האם עוד מערכות נפגעו", "התחלנו הדיווח לכל הנתונים". זה מראה שהחברה לא כללי רק חיכתה אלא נקטה אקשן.
צעדים עתידיים למניעת חזרה: "נעדכן את מערכת ההצפנה", "נחזק את סיסמאות של עובדים", "נקיים הכשרה על אבטחה ממוג״ם", "נשנה גישה למידע לפי תפקיד עובד". זה מראה שהחברה למדה מהטעות.
הודעה לנתונים האישיים עצמם
בנוסף לדיווח לרגולטורים, חברה חייבת להודיע לכל אדם שנתונים שלו נפגעו. סעיף 19 לחוק הגנת הפרטיות קובע שההודעה צריכה להגיע "בחביון סביר", בדרך כלל בתוך שני שבועות מהגילוי. הודעה זו אפשר להישלח בדוא״ל, בדואר, או באמצעות SMS אם לחברה אין כתובת פוזיטיבית.
ההודעה לאדם צריכה להיות בשפה שמובנת לו וצריכה לכלול:
- שם החברה ופרטי קשר
- תיאור מפורט של מה שקרה
- סוג המידע שנחשף
- מה אדם יכול לעשות כדי להגן על עצמו (צפייה בחשבון בנק, בדיקה של רפורט אשראי)
- צעדים שהחברה נוקטת
- פרטי צוות נחמק או יועץ משפטי לשאלות
אם לחברה אין כתובת של אדם ספציפי (למשל, משום שהוא חסר כתובת דוא״ל), היא צריכה לפרסם הודעה פומבית בעיתון או באתר האינטרנט שלה, עם הוראה שנתונים שלו אולי נפגעו ותידרוך כיצד לקבל מידע נוסף.
יוצאים מחובה הדיווח
חוק הגנת הפרטיות מתן כמה חריגים לחובת הדיווח. אם ההפרה קטנה מאוד (למשל, דוא״ל שיחדר בטעות ללא כוונה מרע, אבל בעל הדוא״ל ודמה שהוא לא כלל פתח אותו), אזי ניתן לתרץ שלא היה סיכון ממשי.
בנוסף, אם המידע היה מוצפן בצורה דהמקצועית וההתקיף לא הוכל לפענח אותו, אז זה אולי לא מחייב דיווח, כי הנתונים במעשה לא נחשפו. אך החברה צריכה להיות מאוד זהירה בטענה זו — רקע בתיעוד ובדיקה של מי אצל כך מעמד שלה הוא מעצים וגם בעל רישות לא ידע שמידע שלו היה בסיכון.
קנסות על אי-דיווח
סעיף 44 לחוק הגנת הפרטיות קובע כי עי-דיווח, או דיווח חלקי או מדוכלא, יכול להוביל לקנס של עד 1,000,000 שקל. בנוסף, בעל הרישות יכול לתבוע את החברה בנזיקין בשל נזק שנגרם — כגון עיוות זהות, חסכונות מחשבון בנק, או נזק נפשי.
בתיקים חמורים — כגון דליפה ממצב רוקע של פרטי אלפים של אנשים — פקיד הגנת הנתונים יכול להמליץ להתביעון הכללי להגיש כתב אישום. זה יעלה על קנס בלבד וגם לפוגע בדימוי של החברה בעיני לקוחות.
שיתוף מידע בעת דיווח
בעת דיווח על הפרה, חברה מחויבת לשתף מידע עם רגולטורים אך אפשר לשמור על חלק מהמידע בסודיות אם זה עלול לפגוע בחקירה. לדוגמה, אם המשטרה חוקרת את מקור ההתקפה, ניתן לדחות את פרטיה עד אחרי תוכנו החקירה.
עובד שדיווח על הפרה ב"טוב כלב" (מה שנקרא "whistleblowing") מוגן בחוק עבודה. אם המעסיק ינקום בו או יפטור אותו בשל ההתריעה, זה יחשב לפיטורים שלא כדין, והעובד רשאי לתבוע פיצויים.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: הכינו ללקוח נוהל תגובת אירוע (Incident Response Plan) לפני שמתרחשת דליפה — רגולטורים מתייחסים בחיוב לארגונים שפועלים לפי נוהל מתועד.
- פסיקה רלבנטית: הרשות להגנת הפרטיות פרסמה הנחיות מפורטות לחובת הדיווח — אלה מחייבות יותר מהחוק עצמו ויש להכיר אותן.
- טעות נפוצה: המתנה עד לאישור עורך דין לפני הדיווח — שעון ה-72 שעות מתחיל מרגע הגילוי. דיווח מוקדם ולא שלם עדיף על דיווח מאוחר ומושלם.
- נקודה טקטית: בדיווח לרשות, תעדו פגמי אבטחה שתוקנו בעקבות האירוע — זה מקטין את הסנקציה הפוטנציאלית ומראה תום לב.