מתחילת חודש מאי פירסמה רשות הגנת הפרטיות 6 הליכי אכיפה, החושפים מגמות ברורות באסטרטגיית האכיפה של הרשות.
ראשית, מדובר בגידול בכמות. אנחנו עוקבים אחרי פרסומים אלו בשנתיים האחרונות ובדר”כ רואים 1-2 בחודש. בהתאם לעמדת הרשות המוצהרת מאז שעבר תיקון 13, אני מניחה שזו מגמה ולא ספציפי לחודש זה.
מעניין מאד ללמוד מהאיורעים:
קיימת שונות בין האירועים וגם מדובר בסוגי גופים שונים (בנק, חברת ביטוח, מוסד חינוכי, רשות מקומית, חברת תוכנה וכו’). כמעט בכולם הנושא הדומיננטי העולה הוא היעדר מתודולוגיה מסודרת לניהול סיכוני פרטיות. הארגונים נכשלו בעקרונות הבסיסיים: חוסר מיפוי סיכונים, היעדר נהלי אבטחה מעודכנים, אי-ביצוע בדיקות תקופתיות, וחוסר הדרכה מתאימה לעובדים. באחד המקרים הדגש היה על איחור בדיווח לרשות, אך גם שם נחשף היעדר תהליכי תחקור פנימיים מסודרים.
מעקב אחר הליכי האכיפה חיוני להיערכות לשינוי לפי תיקון 13 לחוק הגנת הפרטיות אשר יכנס לתוקף באוגוסט השנה. המגמה הנוכחית מעידה על הכיוונים שבהם הרשות תפעל עם הכלים החדשי ויכולה ללמד על הסטנדרטים המצופים.
אנחנו ב-PIL מאתרים פרסומים אלו מעבדים אותם ושולחים למשתמשות והמשתמשים. מי שרוצה לקבל את הפרסומים הספציפיים האלו – כתבו לי בפרטי.
הזמן לפעול הוא עכשיו – יש להטמיע לא רק הגנות אבטחת מידע טכניות, אלא גם נהלים ותכנית עבודה מסודרת ושוטפת לביצוע בקרות ניהול סיכונים. הרשות מצפה לגישה מערכתית ומקצועית למניעת אירועי פרטיות – לא רק לתיקון בדיעבד.
מאוגוסט הקרוב זה יבוא יחד עם קנס כספי.
