פרסום פרויקט
התחבר עם פייסבוק
התחבר עם LinkedIn
נקודת מפתח בניהול נכון של מידע וסיכוני אבטחה ורגולציה הכורכים בו, היא הכרה באופי הדינמי של הפיכת מידע ניטרלי או אנונימי, למידע אישי. הגמישות הדיגיטלית ויכולות העיבוד המאפיינות אותה, מגדירים מחדש ומאתגרים את היכולת להכניס Data לתוויות קשיחות. שינויים טכנולוגים, בנכסי המידע של הארגון, אפילו מחיקה של חלק ממידע קיים והשארת חלק מוגדר מתוכו, ועוד פרמטרים רבים, עשויים להגדיר מחדש את הגדרת המידע שאנו מנהלים, הדרישות הרלוונטיות בחוק ואת ניהול הסיכונים שלנו.. לכן אצבע על הדופק נדרשת תמיד, לא רק כלפי איומים על אבטחת המידע, אלא גם להערכה מתמדת של נכסי המידע שלנו והדינמיקה של אפיונם.
נקודת מפתח בניהול נכון של מידע וסיכוני אבטחה ורגולציה הכורכים בו, היא הכרה באופי הדינמי של הפיכת מידע ניטרלי או אנונימי, למידע אישי.
לכאורה גוף שאוסף או מחזיק במידע יכול להסתפק בבחינה ראשונה וחד פעמית של הגדרת המידע וסיווגו כעונה או לא להגדרת מידע אישי, ולקבוע את רמת האבטחה הרלוונטית לגביו.
סעיף 7 לחוק הגנת הפרטיות מגדיר מידע: "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". לאחר הגדרת "מידע" מופיעה הגדרת "מידע רגיש" הכוללת "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו".
התוספות של תקנות הגנת הפרטיות מגדירות את סוגי המידע הרלוונטיים לקביעת רמת אבטחה בינונית או גבוהה.
אולם הגמישות הדיגיטלית ויכולות העיבוד המאפיינות אותה, מגדירים מחדש ומאתגרים את היכולת להכניס דאטא לתוויות קשיחות.
התפיסה הקיימת בפסיקה וברגולציה בוחנת ומגדירה מידע לא רק לפי האינפורמציה הכלולה בו כעת באופן גלוי לעין, אלא לוקחת בחשבון את פוטנציאל כריית המידע מתוך המידע הקיים, בגבולות הסביר כמובן.
לדוגמה: גוף שהחזיק במידע שאינו עונה להגדרות המידע בחוק הגנת הפרטיות, אך לאחר זמן הוסיף מאגר נוסף, גם אם נפרד, המאפשר הצלבת מידע והובלה למידע אישי ע"י הנתונים הראשונים שלא נחשבו מלכתחילה כמידע אישי, עשוי להגדיר מחדש באחת את הגדרת מאגר הנתונים הראשונים ולהחשבתם כמידע אישי.
במקרים בהם נתון המזהה עשוי לשמש "מפתח", המאפשר גישה למידע על אודות אדם, הוא עשוי יוגדר כמידע אישי. במקרה מעניין שעסק באדריכל אשר פרסם הדמיות ממוחשבות על ביתו של לקוח, למרות התנגדות הלקוח, קבע בית המשפט העליון כי "גם מידע שמוצג בצורה אנונימית עלול לבסס קשר לאדם ספציפי... אין זה הכרחי כי שמו של אדם או תמונתו יופיעו לצד הפרסום; די בכך שניתן לקשור, באמצעים כלשהם, בין המידע לבין אדם ספציפי על דרך ביצועה של "הנדסה חוזרת".
בסטנדרט שנקבע לחוק נתוני אשראי הוגדר "מידע מזוהה" כ "מידע הכולל פרט מזהה של לקוח, או מידע שפרטים מזהים של לקוח הופרדו ממנו אך ניתן במאמץ סביר לזהות את הלקוח שאליו מתייחס המידע". בהצעת החוק הוסבר כי "לשם הערכת האפשרות לחזור ולזהות את הלקוח במאמץ סביר, יש לקחת בחשבון פרמטרים שונים, העשויים להשתנות עם הזמן, ובהם מידת המאמץ הטכנולוגי הנדרש לשם זיהוי הלקוח, מידת זמינותו של מידע נוסף שהצלבתו עם המידע המקורי עשויה להביא לזיהוי הלקוח, ועלות התהליך".
שינויים טכנולוגים, בנכסי המידע של הארגון, אפילו מחיקה של חלק ממידע קיים והשארת חלק מוגדר מתוכו, ועוד פרמטרים רבים, עשויים להגדיר מחדש את הגדרת המידע שאנו מנהלים, הדרישות הרלוונטיות בחוק ואת ניהול הסיכונים שלנו..
לכן אצבע על הדופק נדרשת תמיד, לא רק כלפי איומים על אבטחת המידע, אלא גם להערכה מתמדת של נכסי המידע שלנו והדינמיקה של אפיונם.
*האמור אינו מהווה מידע משפטי או ייעוץ משפטי*