מדריך לביצוע תסקיר השפעה על פרטיות של הרשות להגנת הפרטיות

הרשות להגנת הפרטיות ("הרשות") ממשיכה לקדם את גישת "עיצוב לפרטיות", הדוגלת ביישום עקרונות של הגנת מידע ופרטיות בתהליכים עסקיים וניהול פרויקטים של ארגונים. והפעם, מדגימה הרשות מעבר מהנחיות כלליות למתן כללים אופרטיביים, בפרסום מדריך לביצוע תסקיר השפעה על פרטיות ("המדריך"). המדריך, אשר מחליף מדריך קודם שפורסם על ידי הרשות בשנת 2015, נכתב על בסיס מסמך של הרשות להגנת הפרטיות הבריטית (“ICO”) הנקרא: "How do we do Data Protection Impact Assessment?", והותאם לדין ותנאי המשק בישראל. בפרסום המדריך, הרשות מדגימה הכרה בהתפתחות של פרקטיקה אשר מתעצבת לאור קדמה טכנולוגית ושימוש בשיטות איסוף מידע חדשניות, שיש בהן כדי לגלם סיכונים חדשים לפרטיות האדם.

מהו תסקיר השפעה על פרטיות?
תסקיר השפעה על פרטיות ("תסקיר"), הוא תהליך פנים ארגוני, אשר נועד לסייע לארגון באיתור, הערכה וניהול של סיכונים לפרטיות בפרויקטים או פעילויות עסקיות וארגוניות הכוללות עיבוד של מידע אישי. התסקיר מאפשר לארגונים להעניק לנושא הפרטיות משקל משמעותי במסגרת תהליכי עיצוב פרויקטים, מוצרים או מערכות, תוך הקפדה על הגנה על מידע אישי ועמידה בחובות החוק. התהליך שמבוצע במסגרת התסקיר הינו גמיש ומאפשר את התאמתו לאופי הארגון, הפרויקט ותהליכי ניהול הסיכונים הנהוגים בארגון. 

על מי בעצם חלה החובה לביצוע תזכיר?
על אף שבשלב זה המדריך זמין להערות הציבור, ואינו מונה את המצבים הספציפיים שמחייבים בביצוע תסקיר, קיימת תשתית רגולטורית זרה והתייחסויות בהנחיות קודמות של הרשות, שמאפשרות לארגונים לקדם החלטות ביצועיות ולגבש מדיניות בנושא. במסמך שאומץ על ידי ה-European Data Protection Board בנושא ביצוע Data Protection Impact Assessment בהתאם ל-Article 35 ל-GDPR, מפורטות פעולות עיבוד מידע שונות אשר מצדיקות את ביצוע התהליך, לאור הסיכון הגבוה המגולם בעיבוד מידע לפרטיותם של אנשים. פעולות אלו כוללות ניטור שיטתי וקבוע של מידע; עיבוד מידע רגיש או בעל מאפיינים רגישים; עיבוד מידע שמאפיין אדם ומתאימו לפרופיל מסוים; ועוד. גם בישראל הרשות התייחסה למצבים מסוימים המצדיקים עריכת תסקיר, כגון מצבים שהוזכרו במסגרת הנחיותיה במדריך הגנת הפרטיות לעיר חכמה, שם מתייחסת הרשות לפוטנציאל הפגיעה בפרטיות במסגרת הטמעת אמצעים טכנולוגים חדשניים בערים חכמות (למשל שימוש בטכנולוגיות מתקדמות של זיהוי פנים); הנחיותיה בנושא אמצעים המיושמים לסיוע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש; והתייחסותה לקידום עקרון ה-Privacy by Design (עיצוב לפרטיות) שהוזכר לעיל.

מתי מבצעים את התסקיר?
הרשות ממליצה לבצע את התסקיר בשלבים מוקדמים של הנעת פרויקטים, במקביל לתהליך הפיתוח והתכנון של מערכות או טכנולוגיות חדשות. לאחר ביצוע שלביו המובנים של התסקיר, על כל ארגון לשלב את תוצאותיו ומסקנותיו בתכנון הפרויקט או הפעילות העסקית של הארגון, ולבצע מעקב שוטף אחר מימושן במסגרת תכנית העבודה.

מי אמור לבצע את תסקיר?
על פי הרשות, ניתן לבצע את התסקיר על ידי גורמים פנים ארגוניים או על ידי יועץ חיצוני בעל הכשרה מתאימה. במידה וקיים בארגון ממונה הגנת פרטיות, ראוי שתסקיר יערך בניהולו ובאחריותו. כמו כן, מומלץ לערב גורמים נוספים בעריכת התסקיר כגון מנהל הפרויקט, ממונה אבטחת המידע והיועץ המשפטי של הארגון.

ממה מורכב התסקיר?
בשלב המקדמי לביצוע התזכיר, הרשות מצפה כי תערך בחינה מקדימה של הצורך בביצוע התזכיר והאופן שיש לערכו בהתאם לאופיו של הארגון. במסגרת בחינה זו, יש לקחת בחשבון את המשאבים הזמינים לארגון, מיהו בעל התפקיד הנכון לביצוע התסקיר וכיצד ראוי לנהל את התהליך בתוך הארגון. כמו כן, מעבר לבחינה המקדמית שיש לערוך, הרשות מפרטת על אודות מספר תהליכים שיש להטמיע במסגרת התסקיר. תהליכים אלו כוללים מיפוי של פעילויות עיבוד מידע, התייעצות עם בעלי עניין רלוונטיים, הערכת חוקיות עיבוד המידע, בחינת הצורך והמידתיות של פעולות עיבוד המידע, זיהוי והערכת סיכונים לפגיעה בפרטיות וזיהוי אמצעים לצמצום הסיכונים שאותרו. לבסוף, יש לתקף ולאשר את התסקיר, וכאמור לעיל, לבצע מעקב שוטף אחר מימושו בארגון.

מה עושים לאחר שבוצע התסקיר?
הרשות חוזרת ומדגישה כי התסקיר אינו פעילות חד פעמית אלא תהליך מתמשך. לאחר ביצועו, יש לשלב את תוצאות ומסקנות התסקיר בתכניות העבודה של הארגון, תוך קביעת גורם אחראי לכל בקרה ולוחות זמנים. כמו כן, הרשות ממליצה לבחון את אפשרות פרסום התסקיר וזאת, לטובת קידום תחושת האמון של האנשים שעליהם נאסף מידע, ושיפור יכולתם למימוש זכויותיהם. לאחר השלמתו, נדרש לעדכן ולתקף את התסקיר על בסיס קבוע או בעת ביצוע שינויים מהותיים בפרויקט או במערכות התומכות בו בהיבטי עיבוד מידע.

המדריך אמנם פורסם רק לאחרונה, אך לאור עיגונו של עקרון Privacy by Design בדין הזר, והתייחסויותיה החוזרות של הרשות לנושא, אנו ממליצים ללקוחותינו לבחון את השיקולים לעריכת תסקיר בארגונם, על אחת כמה וכמה מקום בו מדובר בשימוש בטכנולוגיות מתקדמות הכרוכות בעיבוד מידע אישי של אנשים. הפרקטיקה מלמדת על המשמעות הרבה – הן בהיבט העסקי והן בהיבט המשפטי – באימוץ מדיניות ארגונית שמאפשרת להדגים עמידה בעקרונות של הגנת מידע ופרטיות. לכן, אנו מעודדים את לקוחותינו לבחון את פעולות עיבוד המידע שמתבצעות בארגונם בהתאם לאמור במדריך, וככל שנדרש, לאמץ מדיניות ארגונית שעולה בקנה אחד עם המלצות הרשות.

המדריך זמין להערות הציבור עד ליום חמישי ה- 20.9.21. 

חדשות נלוות