מה לסייבר ולמשאבי אנוש

קודם כל, כיוון שהנושא הוא משפטי במהותו חשוב לנו להבהיר כי:

הפוסט להלן הינו סקירה כללית של הנושא, שאינה חוות דעת משפטית ואינה באה להחליף ייעוץ משפטי. כל האמור בפוסט לרבות התוכן, המאמרים, הפרסומים, הקישורים, התמונות, העדכונים או כל מלל אחר (להלן: "המידע") אינו מהווה בשום אופן תחליף לייעוץ או ייצוג משפטי, והוא אינו מתיימר להיות שלם, מקיף, מדויק, מלא או עדכני ואינו  בא להמליץ או שלא להמליץ על נקיטת הליכים משפטיים כלשהם. מובהר, כי המידע בפוסט אינו מתיימר לשקף את המצב המשפטי בזמן בו המידע נקרא על ידי המשתמש. המידע מובא למשתמש בגדר מידע כללי בלבד ואין לעשות בו שום שימוש למטרות משפטיות. יודגש, כי AKT לא תהיה אחראית לשום נזק מכל מין וסוג שהוא העלול להיגרם למשתמש ו/או מי מטעמו עקב שימוש באמור בפוסט לרבות תוכנו המשפטי, קישורים למאמרים של צד ג' כלשהו או מי מטעמו.

ועכשיו לעניין עצמו:

הגנת מידע פרטי ומערכות מידע לניהול משאבי אנוש

מערכות מידע לניהול משאבי אנוש מחזיקות מידע אישי ופרטי של עובדי הארגון: פרטים אישיים, מועדי חופשות, מצב בריאותי, נתוני ביצועים, שכר – אלו רק דוגמאות בודדות.

חוק הגנת הפרטיות ובפרט העקרונות הקבועים בפרק ב' בו, מסדיר את השימוש החוקי במידע אודות אדם כהגדרתו בחוק וקובע את מסגרות ההגנה כנגד שימוש לרעה באותו מידע. על מנת להשיג תכלית זו, מטיל פרק ב' בחוק אחריות למניעת שימוש לרעה במידע, דליפה או גניבה של המידע על מי שאוסף ומעבד מידע עבור עצמו ועל מי שמספק לו שירותים. במקרה של מערכות מידע לניהול משאבי אנוש, בעל המאגר הוא הארגון.

  1. החוק אוסר לעשות שימוש במידע המצוי במאגר רשום אלא למטרה לשמה נמסר המידע.
  2. בעל מאגר מידע, מחזיק מאגר מידע ומנהל מאגר מידע מחויבים לדאוג לאבטחת המידע המצוי במאגר המידע.
  3. בעל מאגר המידע ומי שמחזיק בו, הם ועובדיהם, מחויבים בשמירת סודיות המידע אליו נחשפו אגב ביצוע עבודתם. אי שמירה על סודיות המידע מהווה עבירה פלילית שהעונש עליה 5 שנים.
  4. על הארגון למסור הודעה לעובד (האדם אודותיו המידע) שיכלול את הפרטים הבאים:
    • האם חלה על העובד חובה חוקית למסור את המידע, או שהדבר תלוי ברצונו;
    • מהי המטרה לשמה מתבקש המידע. ראוי כי מטרה זה תנוסח באופן מפורש, מפורט, בהיר וברור;
    • למי נמסר המידע המבוקש, ומהן המטרות של מסירת מידע זה. לדוגמא: לשכת שכר, מנהל הטבות פנסיוניות וכיוצא באלו.
  1. חובתו של הארגון לאפשר לעובד, במידה ויבקש, לעיין במידע המצוי אודותיו למעט במקרים ספורים המפורטים בחוק.
  2. על הארגון חלה חובה לאפשר לעובד תיקון של מידע אודותיו ככל שהמידע במאגר אינו נכון.

ומה עושים כאשר מאגר המידע מאוחסן בענן?

אולם במחשוב ענן עסקינן, ובייחוד במערכות משאבי אנוש אשר מסופקות על ידי ספק התוכנה כשירות לארגון, באמצעות אירוח באתר הספק. הפעלת שירותי התוכנה מאתר הספק היא דרך רשת תקשורת, בדרך כלל האינטרנט. המשתמש משתמש גם בתשתית חומרה, גם בפלטפורמה וגם בשירותים אפליקטיביים שפותחו על ידי הספק. זאת לעומת מצב בו הארגון רוכש מוצר תוכנה ומתקין אותו בשרתי הארגון.

במקרה זה, מאגר המידע, נתוני העובדים, מאוחסנים בשרתי הספק ולא בשרתי הארגון. כאמור לעיל, לפי החוק הישראלי בעל המאגר הינו הארגון, אולם במקרה זה, הארגון אינו זה המחזיק את המאגר, מבטיח את סודיות המידע המאוחסן בו ויכול למנוע שימוש לרעה בו.

הנושא מסתבך עוד יותר כאשר אנו מגלים שמרבית הספקים של מערכות המידע לניהול משאבי אנוש בענן מחזיקים את אתרי השרתים שלהם מחוץ לגבולות ישראל, ותחת שטח שיפוט שעליו לא חל כמובן הדין הישראלי.

כיצד על הארגון להתנהל במצב כזה? מה אומר המחוקק על כך?

מיהו הרגולטור האחראי? הרשות למשפט וטכנולוגיה (רמו"ט)

הרשות למשפט, טכנולוגיה ומידע (רמו"ט) הוקמה על ידי משרד המשפטים בספטמבר 2006, כרשות להגנת מידע אישי בישראל.

היעדים של רמו"ט הם לחזק את ההגנה על מידע אישי, להסדיר ולפקח על השימוש בחתימות אלקטרוניות, ולהגביר את האכיפה של עבירות פגיעה בפרטיות. בין שאר תפקידיה משמשת רמו"ט כמרכז ידע בממשלה לחקיקה ופרוייקטים בעלי היבטים טכנולוגיים, כגון ממשל זמין.

בתפקידה כרשות הגנת מידע אישי רמו"ט מאחדת תחתיה שלוש יחידות רגולטוריות שהיו קיימות קודם לכן:

  1. רשם מאגרי מידע אשר אחראי לפי חוק הגנת הפרטיות, על הפיקוח ועל אכיפת הגנת מידע אישי.
  2. רשם גורמים מאשרים אשר אחראי לפי חוק חתימה אלקטרונית, על הרישום והפיקוח על גורמים מאשרים.
  3. רשם שירותי נתוני אשראי ושירותי מידע על עוסקים אשר אחראי לפי חוק שירות נתוני אשראי, על מתן רישיונות ופיקוח על בעלי רישיונות מכוח החוק.

במצב בו המאגר מאוחסן בשרתי הספק – מה מעמד הספק בהקשר של חוק הגנת הפרטיות?

כבר ציינו כי איחסון המידע מחוץ לארגון אינה מפחיתה ממעמד הארגון כבעלי מאגר המידע. נשאלת השאלה מה מעמדו של ספק שירותי מחשוב הענן.

לצורך כך מגדיר החוק מעמד נפרד של "מחזיק" המידע.

הגדרה בחוק הגנת הפרטיות, קובעת כי "מחזיק" הוא "מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש". רמו"ט מבארת כי בעניין הגנת הפרטיות במאגרי מידע, יש לבחון את המונח בהקשר הייחודי של מידע, כאשר אפשרות השליטה במידע באה לידי ביטוי גם בהרשאות גישה למידע, אפילו אינה מלווה בהחזקה פיזית שלו.

לאור הגדרת המחזיק בחוק, כל הרשאת גישה למידע, גם לצורך תיקונים אגביים, תהפוך את נותן השירות למחזיק אשר חלות עליו הוראות החוק, היות והמאגר מצוי ברשותו "דרך קבע" ויש לו שליטה במידע המהווה הרשאה לעשות בו שימוש.

מהן חובות הארגון במקרה של העברת מאגר המידע למחזיק?

הרגולטור מדגיש כי בבחירת ספק שירותי מחשוב ענן בהקשר של החזקת מאגר מידע, על הארגון לבחון את ההיבטים הבאים:

  1. ניסיון קודם של הספק בעיבוד מידע אישי
  2. רקע שלו ומוניטין שלו בהקשר זה
  3. קיום חשש לניגוד עניינים מובנה או סיכון אחר לשימוש פסול במידע על ידי הספק או מי מטעמו

לאחר שנבחנו היבטים אלו ונחה דעתם של מקבלי ההחלטות בארגון, על בעל המאגר, הארגון, להבטיח באמצעות מסמך כתוב כי הספק נוקט באמצעים מספקים להבטחת פרטיותם של עובדי הארגון, וכי הוא מבטיח שהמידע לא יגיע לכל אדם שאינו מורשה לכך. על הארגון לחתום על מסמך המחייב את הספק, אשר מגדיר את המטרה שלשמה מותר לספק לעשות שימוש במידע ואת מדיניות אבטחת המידע המחייבת את הספק. על הארגון גם להגדיר תהליכי בקרה פנימיים על יישום מדיניות זו ואף למנות מבקר מטעמו.

אך מה לגבי העברת המידע לאתרי שרתים הנמצאים מחוץ לגבולות ישראל?

הרגולטור קובע באופן ברור כי אין להעביר מידע על עובדים ממאגר המידע עליו חל החוק הישראלי ומכיל מידע על עובדים ישראליים, אל מחוץ לגבולות ישראל, אלא בכפוף לשורה של תנאים.

לענייננו, ההוראה הרלוונטית ביותר בהוראות הרגולטור לגבי תנאים אלו, היא זו המתירה העברת מידע למאגר המנוהל במדינה שהינה צד לאמנה האירופית להגנת הפרט בהקשר לעיבוד אוטומטי של מידע רגיש.

כל החברות האיחוד האירופי כפופות לאמנה זו ולכן מותרות בהעברת נתונים. גם ארצות הברית, תחת הסכם עם האיחוד האירופי, מותרת בהעברת נתונים ועומדת בדרישות הרגולטור.

SAP SuccessFactors ועמידה בדרישות הרגולטור להגנה על פרטיות המידע

חוות השרתים המשרתות ארגונים ישראליים ממוקמות בהולנד וגרמניה. שתי המדינות חברות באיחוד האירופי ומכאן מותרות בהעברת מידע פרטי.

SAP מוכרת כנוקטת מדיניות מחמירה ביותר ומיישמת כלים מתקדמים ביותר להגנת המידע המאוחסן בשרתיה. בהקשר זה, בוודאי עומד הארגון בדרישות הרגולטור לאמצעים מספקים להבטחת פרטיותם של עובדי הארגון.

במסגרת הסכם רכישת השירותים, תנאי ה- Data Privacy אליהן מתחייבת SAP, מוצגים באופן מפורט ובכך מניחים את דעת  הרגולטור באשר לצורך בהסכמות כתובות בין הספק לארגון בהקשר זה.


רוצה להבין לעומק את המצב הרגולטורי של ארגונים המיישמים SAP SuccessFactors במדינות האיחוד האירופי? למאמר שלנו בנושא

לחצו כאן

אודות הבלוג

AKT הינה חברת הייעוץ למשאבי אנוש הגדולה בישראל. החברה מונה כ-100 יועצים ואנשי מקצוע ופועלים בה הצוותים המובילים בתחומם. אנו משרתים למעלה מ-100 לקוחות, מהארגונים הגדולים במשק, הרואים באנשיהם את המשאב המשפיע ביותר על תוצאותיהם העסקיות. בבלוג זה נשתף בניסיון ובידע שצברנו במאות הפרויקטים שניהלנו לאורך השנים.

הירשמו לעדכונים באימייל

פוסטים אחרונים

פוסטים לפי נושאים