אחריות משפטית בדליפות מידע בישראל: איפה אנחנו עומדים באמת?

2023 הייתה עוד שנה שבה דליפות מידע לא ירדו מהכותרות – אבל כמה באמת השתנה? לפי דו"ח עדכני של IBM, דליפת מידע ממוצעת בעולם עולה לארגון כ-4.45 מיליון דולר¹. בישראל, המסגרת החוקית העיקרית היא חוק הגנת הפרטיות, התשמ"א–1981², ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017³. האם זה מספיק? האם זה נאכף? והאם הארגון שלך באמת מוכן לרגע האמת?

מה אומר החוק בישראל?

1. תיעוד פנימי – לפי תקנה 11(א) לתקנות הגנת הפרטיות (אבטחת מידע)³, בעל מאגר מידע חייב לנהל נוהל תיעוד וטיפול באירועי אבטחת מידע.
2. דיווח לרשות – תקנה 11(ב) מחייבת דיווח "בהקדם האפשרי" במקרה של "אירוע אבטחה חמור", כגון פריצה, שיבוש או שימוש בלתי מורשה.
3. יידוע הציבור ? – החוק אינו מחייב ליידע את נושאי המידע שנפגעו; סעיף זה נותר לשיקול דעת הרשות, בהתאם לממצאי החקירה.

בעיות שדורשות תיקון

• הציבור לא תמיד יודע – כשאין חובה ליידע את מי שהמידע שלו דלף, נפגעת הזכות הבסיסית לדעת.
• "בהקדם האפשרי" זה לא מספיק ברור – נדרשת חקיקה מפורשת המגדירה זמן דיווח (כפי שנעשה בנהלי הרשות – 72 שעות)⁴.
• סנקציות? חלשות מדי – לפי סעיף 31ג לחוק הגנת הפרטיות⁵, הסכומים המרביים הם 50,000 ש"ח לתאגיד ו-20,000 ש"ח ליחיד – רחוק מלהרתיע.
• כמעט ואין אכיפה – לפי דוחות הרשות⁶, רק קומץ עיצומים הוטלו לאורך השנים – גם כאשר הייתה פגיעה רחבת היקף.

דוגמאות מהשטח

• שירביט (2020) – מתקפת סייבר חמורה, מידע אישי של מאות אלפים דלף. הקנס: 100,000 ש"ח לפי הודעת הרשות⁷. הוגשה גם תובענה ייצוגית של מאות מיליוני ש"ח⁸.
• כללית (2021) – דליפה של מידע רפואי רגיש. העיצום: 50,000 ש"ח בלבד. אף נפגע לא עודכן ישירות.

ומה עם אחריות אישית?

לא מספיק לכתוב נהלים – מישהו גם צריך לקחת אחריות.

• מנהל בתאגיד – לפי סעיף  31ז לחוק הגנת הפרטיות⁹, נושא משרה חייב לפקח ולעשות כל שביכולתו למנוע הפרות. הפרה עלולה לגרור קנס מינהלי.
• במקרים חמורים במיוחד – קיימת אפשרות לתביעה נזיקית אישית בגין רשלנות (בהתאם לפס"ד בריטיש קנדיאן בילדרס נ' אורן¹⁰).
• אין אחריות פלילית כיום – אך בעולם כבר קיימות מגמות כאלו. בישראל? עדיין לא.

מה כל מנהל צריך לעשות:

1. לתעד כל החלטה והמלצה בתחום אבטחת המידע.
2. לעדכן את הדירקטוריון על סיכונים והיערכות.
3. לרכוש ביטוח אחריות מקצועית מותאם.
4. לוודא שכל הנהלים מעודכנים ושיש הדרכות שוטפות.

ומה עם ענן?

כולם בענן – אבל מי אחראי כשיש דליפה?

• ספקי הענן – אחראים על התשתית.
• הארגון – אחראי על ההגדרות, ההרשאות והמידע עצמו.
• בחוזים – ברוב המקרים, ספקי הענן מגבילים את אחריותם. את החשיפה המשפטית – משאירים לך.

המלצות פרקטיות:

• לקרוא כל סעיף בחוזה ענן – במיוחד את סעיפי השיפוי והאחריות.
• להכין מראש נוהל תגובה מותאם: צוות, טמפלטים, יועצים משפטיים.

סיכום – איפה זה פוגש אותך?

• החוק בישראל מתעדכן – אבל עדיין חסר. צריך יותר שקיפות, יותר סמכויות לרשות, ויותר אחריות אישית.
• מי שמוביל את תחום המידע בארגון – צריך לקחת את זה אישית.
• אל תחכה לדליפה – תכין את המנגנונים כבר היום. זה לא "אם זה יקרה", אלא מתי.

הערות שוליים  

1. IBM Security. (2023). Cost of a Data Breach Report 2023. Retrieved from https://www.ibm.com/reports/data-breach
2. הרשות להגנת הפרטיות. (2021, יולי). עיצום כספי על חברת שירביט.
3. ת"צ (מחוזי ת"א) 28541-12-20 פלוני נ' שירביט חברה לביטוח בע"מ.
4. חוק הגנת הפרטיות, התשמ״א–1981, ס״ח 1015.
5. תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017, ק״ת 7809.
6. הרשות להגנת הפרטיות. (2021, פברואר). נוהל טיפול באירועי אבטחת מידע.
7. סעיף 31ג לחוק הגנת הפרטיות, התשמ״א–1981.
8. הרשות להגנת הפרטיות. (2022). דוח פעילות שנתי.
9. סעיף 31ז לחוק הגנת הפרטיות, התשמ״א–1981.
10. בריטיש קנדיאן בילדרס בע"מ נ' אורן, ע"א 725/78, פ"ד לה(4) 253.