כועסים על שירותי המוקדים הטלפוניים? מסתבר שאתם צודקים

מגזר המוקדים הטלפונים נקבע כאחד מיעדי הפיקוח הרוחב המשמעותיים בשל מאפייניו הייחודיים שבאים לידי ביטוי, בין היתר, במתן שירותים לאחרים המתאפיינים בקבלת מידע אישי רב ממבקשי השירותים, כך שהמידע מנוהל על ידי מוקדי הטלפונים כמחזיקי המאגר (כהגדרתו בחוק), מתן שירות למגוון רחב של חברות המקבלות מידע אישי מסוגים שונים לרבות מידע רפואי רגיש ונתונים על משקי בית וניהול קשר אינטראקטיבי עם נושאי המידע, בין היתר באמצעות מיקור חוץ. נוכח האמור, לגופים הפועלים במגזר זה גישה למאגרי מידע בהיקפים עצומים על מיליוני נושאי מידע.

כחלק מפעילות הליך פיקוח הרוחב פנתה הרשות ל-5 גופים המעניקים שירותי מוקדים טלפוניים בהתאם להיקפי המידע, כמות נושאי המידע ורגישות המידע האישי, בדרישה למילוי שאלוני ביקורת. ארבעת הקריטריונים שנבחנו במסגרת פיקוח הרוחב הם: (1) בקרה ארגונית, (2) ניהול מאגרי מידע (3) אבטחת מידע, (4) עיבוד מידע אישי במיקור חוץ.

להלן ממצאי הדו"ח בהתייחס לקריטריונים שנבדקו:

בקריטריון של בקרה ארגונית, נמצאה רמת עמידה בינונית - נמוכה שבאה לידי ביטוי בעיקר באי מינויו של ממונה אבטחת מידע או במינוי שאינו עומד בהוראות תקנות אבטחת מידע בדבר עצמאותו ואי תלותו של ממונה אבטחת המידע, בקרב הגופים אשר מחויבים לכך על-פי החוק. בנוסף, נמצא תיעוד חלקי של נהלי אבטחת מידע ותוכנית בקרה שנתית שוטפת בנושא אבטחת מידע שאינם עומדים בדרישות החוק.

בקריטריון של ניהול מאגרי מידע, נמצאה רמת עמידה בינונית - נמוכה בכל הקשור לניהול מאגרי מידע, הנובעת בעיקר מאי רישום מאגרים אלו בפנקס המאגרים, ואי מסירת דיווחים שנתיים לרשם ביחס לגופים המחזיקים לפחות חמישה מאגרי מידע. כמו כן, אותר כשל בהליך איסוף המידע, הנוגע לאי מתן הודעה לנושא המידע בעת איסוף המידע בהתאם לחוק.

בקריטריון של אבטחת מידע, נמצאה רמת עמידה בינונית-גבוהה, כאשר הכשלים העיקריים בתחום זה נבעו ממנגנוני הרשאות שאינם עומדים בתקנות אבטחת מידע באופן שיבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בין המחזיק במאגר (המוקד הטלפוני) לבין בעל המאגר. בקריטריון זה אותר גם כשל ביחס להעברת מידע ברשת הציבורית באופן שאינו מוצפן דיו, ואי קיום תהליך מובנה ומסודר בנוגע לביטול הרשאות למאגר.

בקריטריון של עיבוד מידע אישי במיקור חוץ, נמצאה רמת עמידה בינונית- נמוכה בכל הקשור לאופן התקשרות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו, ובנוגע לאופן שבו הם מבטיחים הגנה על המידע, וכן בנושא נקיטת פעולות בכדי לוודא שהגורם החיצוני נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע.

בסיום הליך פיקוח הרוחב, נמצאו ליקויים הדורשים תיקון אצל כל חמשת הגופים שנבדקו, ובהתאם דרשה הרשות מאותם גופים לתקן את הליקויים שנמצאו, לספק תכנית מפורטת לתיקונם בליווי התחייבות נושא משרה לביצוע ולהשלמת התיקונים. כחלק מההליך, ביצעה הרשות ביקורת חוזרת לבדיקת יישום הדרישה לתיקון הליקויים בקרב 4 מהגופים שקיבלו הנחיות לתיקון ליקויים. במסגרת הביקורת החוזרת נמצא כי הגופים שיפרו את העמידה בתקנות הגנת הפרטיות באופן משמעותי וכי נכון למועד ביקורת המעקב, רוב הליקויים יושמו וטופלו.

עו"ד רביד פטל, הממונה על פיקוח הרוחב, הרשות להגנת הפרטיות: "מגזר המוקדים הטלפוניים מחזיק כחלק מפעילותו במידע אישי רב, המתקבל לעיתים מחברות שונות במטרה לספק עבור אותן חברות שירותי מוקד טלפוני, כאשר היקפי המידע, מגוון סוגי המידע, הגופים השונים המתקשרים עם המוקדים הטלפוניים, וכן תפקידם של המוקדים הטלפוניים כמחזיקים במידע עבור מבקשי השירות, מציב את הגופים הפועלים במגזר זה ברמת סיכון גבוהה לפגיעה בפרטיות. בהתאם לכך, ביצעה הרשות פיקוח רוחב במגזר זה, במטרה לבחון את אופן עמידת המוקדים הטלפוניים בהוראות החוק, והנחתה את הגופים בהם נמצאו ליקויים, לתקנם לצורך הגעה לרמת ציות מיטבית להוראות החוק. במהלך הליך הפיקוח ניכר היה כי פיקוחי הרוחב הקודמים יצרו תודעה ציבורית ומודעות רחבה אשר הביאה חלק מן הגופים להיערך לקראת פיקוח אפשרי. בנוסף, לאחר סיום ההליך, בשלב פיקוחי המעקב אחר תיקון הליקויים עלה, כי קיים שיפור משמעותי בעמידת הגופים המפוקחים ביישום הוראות הדין בתחום הגנת הפרטיות, כתוצאה מהליך פיקוח הרוחב. הרשות להגנת הפרטיות תמשיך לפעול לאכיפת מדיניותה, ותשקול את האפשרות לשוב ולבחון עמידתם של המוקדים הטלפוניים בהוראת החוק ותקנותיו. כנגד גופים שיימצא כי לא מילאו אחר ההנחיה לתיקון ליקויים, תשקול הרשות להטיל סנקציות בהתאם לסמכויותיה מכוח החוק".

'בחדרי' גם ברשתות החברתיות - הצטרפו!