1. No category

‫פרטיות ומאגרי מידע ‪ -‬אתגרים ביישום במסגרת‬
‫קבוצת חברות‬
‫‪Dan Or-Hof, Partner, LLM, CIPP‬‬
‫‪Dano@pczlaw.com‬‬
‫‪972-9-9728000‬‬
‫כנס שנתי בנושא ‪ IT_GRC‬של האיגוד הישראלי לביקורת‬
‫ואבטחת מערכות מידע ‪20/10/2010‬‬
‫‪1‬‬
‫על מה נדבר?‬
‫ניהול מאגרי מידע בקבוצת חברות –‬
‫‪q‬מיהו בעל מאגר?‬
‫‪q‬מדוע זה חשוב?‬
‫‪q‬אתגרים ואפשרויות‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪2‬‬
‫בעל המאגר – חובות ואחריות‬
‫בעל מאגר מידע – הפונקציה החשובה ביותר‬
‫)‪ 21‬מופעים בחוק(‬
‫‪ q‬חייב לרשום את המאגר‬
‫‪ q‬יודיע על שינויים בפרטי המאגר‬
‫‪ q‬יאפשר עיון במידע יתקן מידע לפי בקשה‬
‫‪ q‬אחראי לאבטחת המידע‬
‫‪ q‬אחראי לטפל בענייני דיוור‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪3‬‬
‫מה המשמעות של "בעל מאגר מידע"?‬
‫מה זה מאגר מידע?‬
‫"אוסף נתוני מידע )אישי(‪ ,‬המוחזק באמצעי‬
‫מגנטי או אופטי והמיועד לעיבוד ממוחשב‪".‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪4‬‬
‫מה זה "בעלות" במאגר מידע?‬
‫‪ q‬בעלות קניינית ברשומות?‬
‫‪ q‬זכויות יוצרים ברשומות? לא רלבנטי‪ .‬מדובר‬
‫ברשומות עובדתיות‪ .‬בנוסף‪ ,‬אולי גם נשוא הרשומה‬
‫הוא הבעלים בה?‬
‫‪ q‬זכויות יוצרים במאגר )'יצירת לקט'( – לא רלבנטי –‬
‫מגן על הסידור והארגון של המאגר ולא על התוכן שלו‪.‬‬
‫בנוסף‪ ,‬גם מאגר מידע מוגן‪ ,‬ללא קשר אם‬
‫הסידור‪/‬ארגון שלו מקוריים‪.‬‬
‫‪ q‬זכויות כסוד מסחרי? אולי‪ ,‬אבל חלקי‪ .‬לא כל‬
‫המאגרים סודיים‪ .‬חלקם נגיש לציבור והוא עדיין נחשב‬
‫מאגר מידע )מאגר לשכת עורכי הדין(‪ .‬הסודיות איננה‬
‫תנאי לקיומו של מאגר מידע‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪5‬‬
‫האם המידע האישי הוא כלל קניין?‬
‫זכות )מעין( קניינית;‬
‫" בעוטפו בעוטפו אותה בחומות אלו‬
‫שבנה לה סביב סביב‪ ,‬הפך המחוקק את‬
‫זכות הפרטיות לזכות מעין קניינית‪ ,‬ואף‬
‫לערך לעצמו‪– ".‬‬
‫כלומר זו איננה באמת זכות קניינית‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪6‬‬
‫אז מה בכל זאת משמעות הבעלות במאגר?‬
‫‪ q‬בעלות במובן של שליטה – ההחזקה בכלים‬
‫המאפשרים לקבוע את דפוס הפעילות‪ ,‬לקבל‬
‫החלטות‪ ,‬להכריע‪ ,‬להפעיל השפעה דומיננטית‬
‫)בדומה ל'שליטה' לפי חוק ניירות ערך(‪.‬‬
‫‪ q‬השליטה הזו מנביעה אחריות – לרשום את‬
‫המאגר‪ ,‬לאבטח את המאגר‪ ,‬לאפשר עיון‪ ,‬למנות‬
‫מנהל‪/‬ממונה אבטחה וכו'‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪7‬‬
‫מיהו הבעלים?‬
‫בעלות = שליטה =< אחריות‪.‬‬
‫מיהו הבעלים? יכול להיות –‬
‫‪ q‬אדם;‬
‫‪ q‬חבר בני אדם )תאגיד‪ ,‬שותפות‪ ,‬עמותה‪ ,‬גוף‬
‫ציבורי(;‬
‫‪ q‬חבר תאגידים)?(‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪8‬‬
‫מה החוק אומר?‬
‫‪ q‬אין הגדרה לבעל מאגר מידע‪.‬‬
‫‪ q‬החוק לא דורש שבעל מאגר מידע יהיה אישיות‬
‫משפטית אחת‪.‬‬
‫‪ q‬החוק איננו מונע שלמאגר אחד יהיו שני בעלים‪.‬‬
‫‪ q‬החוק איננו מסדיר העברת בעלות במאגר‪.‬‬
‫‪ q‬החוק איננו מסדיר פעילות של מאגר במסגרת‬
‫קבוצת תאגידים‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪9‬‬
‫מדוע זה חשוב?‬
‫שני טעמים עיקריים‪:‬‬
‫‪ q‬זרימת מידע פנים ארגונית ‪ -‬ניהול משותף של‬
‫המידע‪ ,‬מינוף הערך הכלכלי של המידע;‬
‫‪ q‬הימנעות מהעברת מידע לצד שלישי‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪10‬‬
‫ומה במציאות?‬
‫‪ q‬השווקים עתירי הלקוחות ובעיקר השוק הפיננסי‬
‫ושוק התקשורת‪ ,‬עוברים תהליך קונגלומרציה‪.‬‬
‫‪ q‬גוף אחד שמוכר שירותי טלפוניה קווית‪ ,‬טלפוניה‬
‫בינלאומית‪ ,‬גישה לאינטרנט וכו'‬
‫‪ q‬גוף אחד שמציע שירותי ביטוח‪ ,‬השקעות‪ ,‬גמל‬
‫וכו'‪.‬‬
‫‪ q‬מבנה קבוצתי הנובע משיקולים מבניים‪ ,‬עסקיים‪,‬‬
‫או מדרישות רגולטורים )שיקולים האדישים‬
‫לשאלת ההגנה על המידע האישי(‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪11‬‬
‫ומה במציאות? )המשך(‬
‫‪ q‬מאות אלפי ‪ /‬מיליוני לקוחות‪ .‬חלקם נרכשו‬
‫כלקוחות )קרנות פנסיה ותיקות( לפני שנים רבות‬
‫– הרבה לפני חקיקת החוק‪ .‬רובם המכריע נרכש‬
‫לפני שהחוק תוקן לדרוש "הסכמה מדעת" )ב –‬
‫‪ .(2007‬כלומר – אין הסכמות ברורות להיקף‬
‫השימוש במידע‪.‬‬
‫‪ q‬מערכות מידע המשרתות את כלל הקבוצה‬
‫)מערכות שירות‪ ,‬תמיכה‪ ,‬בילינג‪.(...‬‬
‫‪ q‬מינוף הידע הקבוצתי‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪12‬‬
‫מי בעל המאגר במבנה כזה?‬
‫חברת שירותים‬
‫חברה בת‬
‫חברת אם‬
‫חברה בת‬
‫חברה 'נכדה'‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪13‬‬
‫הסכמה לא ישימה‬
‫‪ q‬כמות גדולה מאד של לקוחות‪ .‬קבלת הסכמות‬
‫גובל בבלתי אפשרי‪.‬‬
‫‪ q‬לעתים ללקוח אין כלל קשר לבעל המאגר )קרנות‬
‫פנסיה שמעבידים פתחו לעובדיהם(‪.‬‬
‫‪ q‬מנגנונים עוקפי הסכמה בחוק )לדוגמה‪ ,‬זכויות‬
‫וחובות בין קופת גמל לעמיתים נקבעת בתקנון‪.‬‬
‫העמיתים הם צד לתקנון‪ ,‬אך רק לקופה הזכות‬
‫לשנות את התקנון(‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪14‬‬
‫אפשרויות – הדרך הדווקנית‬
‫‪ q‬דווקנית ‪ -‬בעל מאגר צריך להיות אישיות‬
‫משפטית אחת‪ .‬התוצאה –‬
‫‪q‬כל שיתוף מידע בין חברות בקבוצה מהווה‬
‫העברת מידע לצד שלישי‪ .‬מחייב הסכמה‬
‫)מדעת(‪.‬‬
‫‪q‬בהעדר יכולת מעשית להשיג הסכמה ‪-‬‬
‫מגבלה חמורה על העברת מידע בין מאגרים‬
‫בקבוצה;‬
‫‪q‬יצירת מערך מידור הנובע ממבנה הקבוצה –‬
‫איננו רלבנטי להגנה המהותית על המידע‬
‫האישי‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪15‬‬
‫אפשרויות – דרכים נוספות‬
‫‪ q‬מהותית – מיהו השולט האפקטיבי במידע ‪ +‬מתן‬
‫שיקול דעת לשוק – החלט אתה מיהו השולט‪ ,‬אך‬
‫דע לך שלשליטה צמודה גם אחריות‪.‬‬
‫‪ q‬דרך ביניים – 'הרמת מסך' )כאשר א' 'שולט' ב –‬
‫ב'(‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪16‬‬
‫הגנה על מידע אישי כנכס ארגוני‬
‫‪q‬מידע אישי כנכס בעל ערך‪.‬‬
‫‪q‬בסיס למערכת אמון ונאמנות‪.‬‬
‫‪“Your privacy‬‬
‫‪is important‬‬
‫”‪to us‬‬
‫‪25,000,000‬‬
‫ככל שרשומת מידע תהיה בעלת ערך רב יותר‪ ,‬כך‬
‫יגדל האינטרס להגן עליה מפני שימוש לא מורשה‪,‬‬
‫לאבטח אותה ולשמור עליה בסוד‪.‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪17‬‬
‫תודה רבה!‬
‫עו"ד דן אור‪-‬חוף‪ ,‬שותף ‪LLM, CIPP‬‬
‫‪Dano@pczlaw.com‬‬
‫‪09-9728000‬‬
‫עו"ד דן אור‪-‬חוף‬
‫§‬
‫‪18‬‬