תפקיד הסכם עיבוד מידע בהגנת הפרטיות (DPA)
בעידן הדיגיטלי, מידע אישי הפך לאחד הנכסים הרגישים והיקרים ביותר של כל עסק וארגון, כמעט כל פעילות עסקית מאתר אינטרנט פשוט ועד מערכות CRM מתקדמות, שירותי ענן, שיווק דיגיטלי או אוטומציה כרוכה באיסוף, שמירה ועיבוד של מידע אישי.
מרגע שמידע זה מועבר לגורם חיצוני, גם אם מדובר בספק קטן או שירות טכנולוגי שגרתי, נוצרת חשיפה משפטית ממשית,
האחריות לשמירה על המידע ולעיבודו בהתאם לדין אינה עוברת לספק אלא היא נותרת על כתפי בעל המאגר, מנהלי הארגון ובעלי התפקידים הרלוונטיים.
כאשר מידע אישי יוצא מהמערכת הפנים-ארגונית, השליטה הישירה בו כבר אינה מלאה, די בדליפה אחת, בשימוש חורג או בהתרשלות של ספק חיצוני כדי לגרור את הארגון לקנסות, תביעות ופגיעה קשה באמון הלקוחות,
על רקע מציאות זו נולד הסכם עיבוד מידע, המוכר כ DPA (Data Processing Agreement) שהוא מסמך משפטי שנועד להסדיר, להגן ולצמצם סיכונים.
הסכם DPA הוא חוזה מחייב בין בעל המאגר או מנהל המידע לבין גורם חיצוני שמעבד עבורו מידע אישי,
תפקידו של ההסכם אינו פורמלי בלבד, הוא מגדיר באופן ברור מהו המידע המועבר, לאילו מטרות מותר להשתמש בו, אילו פעולות עיבוד מותרות ואילו אמצעי אבטחת מידע חייב הספק ליישם,
מעבר לכך, ההסכם קובע מנגנוני פיקוח, חובות סודיות, חובת דיווח במקרה של אירוע אבטחה והתחייבות למחיקת המידע או השבתו עם סיום ההתקשרות.
בדין הישראלי, החובה להסדיר את היחסים עם ספקים באמצעות הסכם עיבוד מידע מעוגנת בסעיף 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, תקנה זו קובעת כי בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע, חייב לבחון מראש את סיכוני אבטחת המידע ולקבוע בהסכם מפורט את היקף ההרשאות, מטרות העיבוד, אמצעי האבטחה, משך ההתקשרות, אופן השבת או השמדת המידע וחובת הדיווח והבקרה.
תיקון 13 לחוק הגנת הפרטיות חיזק עוד יותר את מנגנוני האכיפה והסנקציות, והבהיר כי מדובר בחובה מהותית ולא בהמלצה בלבד.
החובה להחתים על הסכם עיבוד מידע אינה תלויה בגודל העסק או בזהות הספק, השאלה המרכזית אינה אם הספק משתמש בפועל במידע, אלא האם יש לו גישה אליו, גם אם פוטנציאלית בלבד.
ספקי שירותי ענן, מערכות CRM, פלטפורמות דיוור, סוכנויות שיווק, פרילנסרים, מוקדי שירות לקוחות ואף ספקים פיזיים, כולם עשויים להיחשב כמעבדי מידע.
הסכם DPA ערוך היטב חייב להיות מותאם לשירות הספציפי ולסוג המידע המעובד, הוא אינו מסמך אחיד שניתן להוריד מהאינטרנט ולהחתים כלאחר יד.
התאמה כזו מאפשרת לארגון להגדיר גבולות ברורים, לצמצם חשיפות משפטיות וליצור ודאות במקרה של מחלוקת או אירוע אבטחה, בנוסף, להסכם יש תוקף והשלכות גם לאחר סיום ההתקשרות, בעיקר בכל הנוגע למחיקת המידע ואיסור שימוש עתידי בו.
חשוב לזכור כי ניהול פרטיות נכון אינו פעולה חד פעמית, יש לבחון ולעדכן הסכמי DPA בעת התקשרות עם ספק חדש, בשינויים מהותיים בשירות או בטכנולוגיה, בעקבות שינויי רגולציה וכן במסגרת מבדקי פרטיות תקופתיים,
בדיקה שנתית של ההסכמים הקיימים יכולה למנוע ליקויים יקרים ולחשוף פערים בזמן אמת.
בסופו של דבר, הסכם עיבוד מידע הוא הרבה מעבר לדרישה רגולטורית, הוא כלי ניהולי, משפטי ועסקי שמגן על הארגון, מחזק את אמון הלקוחות ומאפשר פעילות עסקית אחראית ובטוחה.
בעולם שבו מידע אישי הוא נכס רגיש ורגולציית הפרטיות הולכת ומחמירה, ויתור על DPA מותאם הוא סיכון שאין לו הצדקה.
עסקים וארגונים המעוניינים לפעול בשקט נפשי, לעמוד בדרישות חוק הגנת הפרטיות ותיקון 13לחוק הגנת הפרטיות ולהבטיח ניהול נכון וחוקי של מידע אישי חייבים לראות בהסכמי DPA חלק בלתי נפרד מהתשתית המשפטית והעסקית שלהם.
משרדנו מציע בדיקה ראשונית של האתר שלכם כדי לוודא עמידה בחוקי הגנת הפרטיות, דיני צרכנות ונגישות ולזהות סיכונים משפטיים מראש, מילוי טופס ההיכרות הראשונית מאפשר לנו להבין את אופי הפעילות שלכם, את אופן איסוף ושמירת המידע, ואת המסמכים הקיימים באתר.
נבחן את המידע ונספק המלצות לצמצום חשיפה משפטית, כך תוכלו לדעת היכן אתם עומדים מבחינה משפטית ולפעול בצורה אחראית ובטוחה מול הלקוחות והרשויות.