ביום 14.09.2023 פרסמה הרשות להגנת הפרטיות ("הרשות") מדריך פעולה להתקשרות עם ספקי מיקור חוץ ("המדריך"). בעדכון זה נציג את עיקרי עמדת הרשות כפי שבאה לידי ביטוי במדריך.
תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 ("התקנות") מסדירה את אופן ההתקשרות בין הארגון לבין כל גורם חיצוני (שאיננו אדם יחיד), המספק לארגון שירות הכרוך במתן גישה למאגר המידע של הארגון.
במסגרת המדריך, הרשות מציינת 3 חובות מרכזיות המהוות תנאי להתקשרות הארגון עם ספק מיקור החוץ:
1. בדיקה מקדמית – יש לבחון את הסיכונים הכרוכים בהתקשרות עם הספק (בטרם ההתקשרות), בין היתר, בשים לב לנסיבות הספציפיות של השירות וטיב ורגישות המידע המעובד. במסגרת המדריך הרשות אף מצרפת שאלון בדיקה מוצע, אשר שימוש בו יצריך עיבוד והתאמה בשים לב לנסיבות הספציפיות של כל התקשרות.
2. בקרה תקופתית – יש לקבוע הוראות מפורטות בנוהל אבטחת המידע הארגוני בנוגע לנושאים המפורטים בתקנה 15 וכן לנקוט אמצעי פיקוח ובקרה על ספק מיקור החוץ, בהלימה לסיכונים הספציפיים הרלוונטיים להתקשרות עמו. הרשות מצרפת ככלי עזר, שאלון בקרה תקופתי, שגם אותו יש להתאים לנסיבות הספציפיות של ההתקשרות ולנקוט אמצעי פיקוח ובקרה נוספים במידת הצורך.
3. הסכם מחייב – הרשות עומדת על הצורך לערוך הסכם כתוב ומחייב בין הארגון (בעל המאגר) לבין ספק מיקור החוץ, אשר יקבע הנחיות מפורשות בשים לב לטיב השירות הניתן. הרשות כוללת כחלק מהמדריך הנחיות מפורטות לעניין תוכן ההסכם ובהן:
- הגדרה מפורשת של סוגי המידע שאליו רשאי הספק לגשת ומטרות השימוש לכל סוג של מידע;
- פירוט מערכות המאגר שהספק רשאי לגשת אליהן ומורשי הגישה מטעמו;
- פירוט רחב לגבי סוג העיבוד או הפעולות שהספק רשאי לבצע במידע;
- ציון מועד סיום ההתקשרות ואופן השבת המידע לידי בעל המאגר או השמדתו בסיום ההתקשרות, וקבלת דיווח מהספק על השבה ו/או מחיקה של מידע רלוונטי כאמור; בהקשר זה מציינת הרשות, כי אם מדובר בקבצים – יש לדרוש את מחיקתם מכל מערכת בה עובדו, לרבות תיבות דוא"ל, תיקיות ואף גיבויים;
- לעניין ספק המהווה "מחזיק", מדגישה הרשות כי ההסכם נדרש לפרט את אופן עמידתו בכלל חובותיו לפי התקנות, לרבות מתן הנחיות פרטניות ליישומן;
- דרישה מהספק להחתים את עובדיו (או כל גורם בעל הרשאה מטעמו) על הסכמים שיעגנו את חובותיהם לסודיות ולקיום התחייבויות הספק בהסכם עם בעל המאגר;
- יש לכלול הוראה לפיה ככל שהספק נעזר בספק משנה לשם מתן השירות, עליו להתקשר בהסכם עם אותו ספק משנה אשר יכלול את כל הנושאים המפורטים בהסכם של בעל המאגר עם הספק; ו-
- יש לכלול בהסכם סעיף המגדיר במפורש נוהל לפיו ידווח הספק לבעל המאגר על אופן ביצוע חובותיו ועמידתו בהוראות ההסכם.
פרסום המדריך מלמד על החשיבות שמקנה הרשות להתנהלות סדורה ואחראית בהתקשרות ארגונים עם ספקי מיקור חוץ וכן על הצורך של ארגונים לנקוט אמצעי פיקוח ובקרה על-מנת לוודא את עמידת הספקים בחובותיהם מכוח התקנות, כאשר יש להתאים את אמצעי הפיקוח והבקרה לנסיבות הפרטניות של כל התקשרות.
אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.