כניסה למערכת
יצירת חשבון

ספקי שירות, מיקור חוץ והסכמי עיבוד מידע – מה עסקים צריכים להסדיר

תיקון 13 לחוק הגנת הפרטיות

אולי יעניין אתכם גם...

הקדמה

ההתנהלות מול ספקי שירות חיצוניים היא לא רק שאלה תפעולית, אלא חלק מהחובות הרחבות יותר שחלות על עסקים מכוח חוק הגנת הפרטיות. יש בעלי עסקים שחושבים שהפרטיות מתחילה ונגמרת במה שהגולש רואה באתר – יש מדיניות פרטיות, יש טופס, אולי יש באנר קוקיז, וזהו.

אבל בפועל, חלק גדול מהסיכון בתחום הפרטיות נמצא דווקא מאחורי הקלעים – אצל כל מי שנוגע במידע האישי שלכם בדרך: חברת האחסון, מערכת הדיוור, ה-CRM, הסליקה, שירותי הענן, האנליטיקה, המפתח, בונה האתר, האוטומציות, ולעיתים גם כלי AI.

ברגע שמידע אישי עובר דרך ספקי שירות חיצוניים, נשמר אצלם או נגיש להם, כבר לא מדובר רק ב"מסמך באתר". מדובר בהתנהלות שצריכה להיות מוסדרת, מתועדת ומנוהלת לאורך זמן.

זה נכון במיוחד בתקופה שבה האכיפה בתחום הפרטיות עולה מדרגה, והדרישה היא לא רק שיהיה לכם מסמך באתר, אלא שתהיו מסוגלים להראות איך אתם מתנהלים בפועל סביב המידע.

לא מספיק לפרסם מדיניות פרטיות

הרבה בעלי עסקים בטוחים שהסיכון העיקרי נמצא בטופס שבאתר או במדיניות הפרטיות שמפורסמת לציבור. מדיניות פרטיות היא מסמך חשוב, היא אמורה להסביר לאנשים איזה מידע נאסף עליהם, למה, איפה הוא נשמר, מי נחשף אליו ומה נעשה בו. אבל ברגע שמסתכלים רגע פנימה לתוך העסק, מבינים שהשאלה האמיתית היא לא רק מה כתוב באתר, אלא מה באמת קורה עם המידע בפועל.

בפועל, חלק משמעותי מהחשיפה נמצא דווקא מאחורי הקלעים:

  • מי מקבל גישה למידע
  • איפה המידע נשמר
  • מי מטפל בו
  • האם יש הרשאות מסודרות
  • האם יש הסכם מתאים
  • האם בודקים מה הספק עושה בפועל
  • האם יש תיעוד של ההחלטות שהתקבלו

הנקודה המרכזית היא שהסיכון המשפטי בתחום הפרטיות לא נקבע לפי גודל העסק, אלא לפי סוג המידע, היקפו, רגישותו, היקף הגישה אליו ואופן הניהול שלו. זו בדיוק הסיבה שעסק לא יכול להסתפק רק בפרסום מסמך. צריך גם מנגנון עבודה מסודר סביב המידע.

מי בכלל נחשב ספק שירות מבחינת פרטיות

כשלוקחים צעד אחורה, מגלים שרשימת הספקים שנוגעים במידע האישי בעסק היא בדרך כלל הרבה יותר ארוכה ממה שנדמה. זה יכולים להיות: חברת אחסון, מערכת דיוור, CRM, ספק ספק תחזוקה ותמיכהסליקה, שירות ענן, כלי אנליטיקה, צ'אט לאתר, מערכת פרסום או remarketing, בונה אתר או מפתח עם גישת אדמין, ספק תחזוקה ותמיכה, מערכת אוטומציה, ספק AI שמקבל מידע או נחשף אליו במסגרת השירות.

במילים פשוטות, אם גורם חיצוני יכול לראות מידע אישי, לשמור אותו, לעבד אותו, להעביר אותו או לבצע בו פעולה – הוא חלק משרשרת הספקים שצריך לבחון.

האחריות לא נעלמת רק כי יש ספק חיצוני

אחת הטעויות הנפוצות היא לחשוב שאם המידע יושב אצל ספק אחר, האחריות עוברת אליו. אבל מבחינת פרטיות, זה לא עובד כך.

הנחיית הרשות בנושא שימוש בשירותי מיקור חוץ לעיבוד מידע אישי מדגישה שהוצאת פעילות לספק חיצוני מחייבת הסדרה משפטית וארגונית מתאימה, בגלל הסיכונים שנלווים לכך. ההנחיה מתייחסת בין היתר לצורך בהגדרת היקף הגישה, קביעת מגבלות שימוש, פיקוח ותיעוד.

במילים פשוטות: ספק חיצוני לא מוחק את האחריות שלכם. הוא רק מחייב אתכם לנהל אותה נכון.

אז מה בעצם צריך להסדיר מול ספקי שירות

כאן מתחילים הדברים המעשיים באמת. לא מספיק לדעת שיש לכם ספק. צריך להבין בין היתר איזה מידע הוא מקבל, למה הוא מקבל אותו, האם הוא באמת צריך את כל הגישה הזו, האם הוא רשאי להשתמש במידע רק למטרה שהוגדרה, כמה זמן המידע נשמר, מה קורה כשההתקשרות מסתיימת, האם יש קבלני משנה, האם המידע עובר מחוץ לישראל, אילו אמצעי אבטחה חלים, איך מדווחים על אירוע אבטחת מידע, איך מתבצעת פעולת עיון/תיקון או עדכון של המידע.

זה השלב שבו הסכם עיבוד מידע, או נספח פרטיות ואבטחת מידע, הופך ממסמך "משפטי" למשהו מאוד מעשי. כי בסוף, זה המסמך שאמור להסדיר מי עושה מה עם המידע, מה מותר, מה אסור, ואיך שומרים על שליטה.

מהו הסכם עיבוד מידע ולמה הוא חשוב

הסכם עיבוד מידע נועד להסדיר את היחסים ביניכם לבין ספק השירות כשהוא נוגע במידע אישי. המטרה שלו אינה רק לייצר עוד מסמך, אלא לנסח בכתב את כללי המשחק ולקבוע את מסגרת ההתקשרות בכל הנוגע לארחיות הצדדים באשר למידע האישי הכרוך בשירות המסופק. במקרים רבים, דווקא כאן נחשף הפער: יש ספק, יש מערכת, יש שימוש בפועל, אבל אין מסמך מסודר שבאמת מגדיר את האחריות, הגבולות והחובות.

אבל גם הסכם טוב לא מספיק לבד

אפשר לחתום על הסכם מצוין, אבל אם אין סביבו תהליך עבודה מסודר – ההגנה עדיין חלקית. חשוב לזכור שההתנהלות מול ספקים חיצוניים לא נשארת רק "פנימית", ובמקרים הרלוונטיים היא גם צריכה להשתקף כלפי חוץ, בהתאם לעמדת הרשות להגנת הפרטיות בנושא חובת היידוע.

זכרו, כאשר ספקי שירות חיצוניים מפעילים כלים שעשויים להיות כרוכים באיסוף מידע אישי, חשוב לבחון גם את שאלת ההסכמה ותוכן הגילוי במסמך מדיניות הפרטיות באתר שלכם, במיוחד לאור גילוי הדעת של הרשות להגנת הפרטיות בנושא הסכמה.

מה כדאי לבדוק מול כל ספק, כבר עכשיו

כדי להפוך את הנושא לפרקטי, הנה רשימת בדיקה בסיסית:

1. האם לספק יש בכלל גישה למידע אישי

לא כל ספק רלוונטי. קודם בודקים האם יש לו גישה למידע אישי, ישירה או עקיפה.

2. איזה מידע עובר אליו

שמות, אימיילים, טלפונים, IP, נתוני שימוש, פרטי תשלום, מידע רגיש, לידים או נתוני לקוחות.

3. האם היקף הגישה באמת נדרש

הרבה פעמים לספק יש יותר מדי גישה רק כי זה היה נוח טכנית.

4. האם יש מסמך שמסדיר את הקשר

לא להסתפק בהנחות, מיילים או תנאים כלליים שלא באמת מותאמים למצב.

5. האם יש קבלני משנה

אם הספק עובד עם תשתיות נוספות, שירות ענן, תמיכה חיצונית או ספקי משנה – צריך לדעת את זה.

6. האם המידע עובר מחוץ לישראל

אם כן, צריך לבדוק גם את מסגרת ההעברה המתאימה.

7. מה קורה בסיום ההתקשרות

האם המידע נמחק, מוחזר, מגובה או נשאר נגיש.

8. האם קיימת בקרה תקופתית

עסקים רבים מתייחסים לספקים כמו משהו שמטפלים בו כשפותחים חשבון או חותמים על מסמך. אבל החוק דורש שניהול ספקים לא יהיה אירוע חד פעמי. ספקים מתחלפים. שירותים משתנים. כלים חדשים מתווספים. הרשאות נפתחות ולא תמיד נסגרות. ומידע עובר בין מערכות בלי שמישהו עצר למפות מחדש מה באמת קורה.

לכן, ניהול ספקים צריך להיות תהליך מתמשך. לא פרויקט חד פעמי.

מצב הפרטיות החדש בישראל דורש מעסקים בישראל לייצר שגרת בקרה על ספקים הכוללת:

  • מיפוי ספקים
  • בדיקת הרשאות
  • מעקב אחר שינויים
  • בדיקה אם נוספו ספקים חדשים
  • בחינה אם ההסכמים עדיין מעודכנים
  • תיעוד של החלטות ושינויים

וזה בדיוק המקום שבו עסקים מבינים שהם צריכים לא רק מסמך, אלא שיטה.

גם עסקים קטנים לא באמת "פשוטים" כמו שהם חושבים

בעלת קליניקה, יועץ, מאמן, חנות אונליין, אתר תדמית עם טופס, עסק קטן עם דיוור ואנליטיקה – כל אלה לפעמים נראים "קטנים", אבל בפועל פועלים מול כמה וכמה מערכות וספקים.

דווקא בעסקים כאלה, שבהם אין צוות פרטיות פנימי ואין נהלים מסודרים, הרבה פעמים נוצר פער:
יש שימוש במערכות, אבל אין מיפוי.
יש גישה למידע, אבל אין תיעוד.
יש ספקים, אבל אין הסדרה.
יש מסמך, אבל אין בקרה.

וכשיש פער כזה, קשה מאוד לדעת מה באמת צריך להציג אם תתעורר שאלה, תלונה או פנייה רגולטורית.

לסיכום – הפרטיות לא נגמרת באתר

אם המידע האישי בעסק שלכם עובר גם דרך ספקים, תשתיות, מערכות, דיוור, ענן, תמיכה, פיתוח או אוטומציות – אתם צריכים להסתכל על שרשרת הספקים כחלק בלתי נפרד מהפרטיות בעסק.

הדבר הנכון לעשות הוא לא להסתפק ב"יש לנו ספק", אלא לשאול: מי נוגע במידע, למה, באיזה היקף, לפי איזה הסכם, תחת אילו הגבלות, ואיך אנחנו בודקים שזה באמת קורה.

הגנת פרטיות טובה לא נבנית ממסמך אחד. היא נבנית ממסמכים, הסכמים, תיעוד, הרשאות, בקרה ויישום בפועל. במקום להישאר עם מסמך כללי בלבד, נכון לבנות מעטפת שמסבירה מה קורה, מתעדת את שיקול הדעת, ומאפשרת לעסק להתנהל בצורה הרבה יותר מסודרת לאורך זמן.

ב-E-LEGAL, המערכת אותה ייסדה עו"ד אביטל שיפמן, הכיוון הוא לא רק לייצר מסמך, אלא לבנות מעטפת מסודרת שעוזרת לעסק להבין מה צריך להסדיר, לתעד, ולנהל לאורך זמן גם מול ספקי השירות שלו.

*מידע זה הינו הצגה תמציתית בלבד של הדברים, שאין בה כדי למצות את מלוא הסוגיה ואינה מהווה תחליף לייעוץ משפטי.

elegal logo

מערכת להגנה משפטית קלה ומהירה לאתר

team@elegal.io

דפי האתר

אודות
מחירים
בלוג

מאמרים

למעלה
הצהרת נגישות
תקנון ותנאי שימוש
מדיניות פרטיות
© elegal.io

תוכנת E-LEGAL הינה מוצר B2B ומיועדת למשתמשים עסקיים בלבד ולא לצרכנים. E-LEGAL הינה מערכת להנגשת שירותים משפטיים ובכלל זה הפקת מסמכים משפטיים ע"י עו"ד, אך השירות שניתן בה והמסמכים אינם מהווים תחליף לייעוץ משפטי פרטני. אין להסתמך על תוכן כלשהו שמופיע באתר מבלי לפנות לייעוץ משפטי ספציפי לעובדות ולנסיבות המקרה. השירות נועד ככלי מניעתי לצמצום חשיפה משפטית, ואינו מבטיח מניעה מוחלטת של תביעה או הליך משפטי. האחריות ליישום הממצאים והמלצות בפועל חלה על בעל האתר. תוכן האתר מכיל מידע כללי וייתכן שאינו משקף התפתחויות משפטיות מחייבות. כל דרך של יצירת קשר איתנו דרך האתר, בין אם באמצעות הרשמה למערכת, טופס, צ'אט, אימייל או כל דרך אחרת, אינה יוצרת יחסי עורך דין-לקוח. אנא המנעו ממסירת מידע סודי או רגיש בכל דרכי ההתקשרות עימנו. השימוש באתר ובתוכנה שלנו כפוף לתקנון.

אתר זה מוגן באמצעות reCAPTCHA לכן חלים עליו תנאי השימוש ומדיניות הפרטיות של גוגל

Illstrations by Storyset