פנקס מאגרי המידע

כאמור, יש בישראל חובה לרשום את המאגרים, במיוחד אם המאגר משמש לדיוור ישיר או לפרסום. יש עוד זכות משמעותית והיא "זכות העיון"; סעיף 13 לחוק נותן לכל אחד את הזכות לעיין במאגרים שמחזיקים במידע עליו. העיון כפוף לאגרה שנקבעה בתקנות הגנת הפרטיות, אבל היא של 20 שקלים (לא חדשים). כלומר, לכל אחד בפועל יש זכות לעיין במידע במשרדי מחזיק המאגר או לקבל פלט.

עכשיו, איך תדע באיזה מאגר יש עלייך מידע?

על-פי סעיף 12 לחוק הגנת הפרטיות, לכל אדם יש זכות לעיין בפנקס מאגרי המידע. מדובר על אותו פנקס שבו אנשים (שמכבדים את החוק) רשמו את המאגר שלהם בו. העיון בפנקס הוא עיון במסמך ממשלתי, ולכן הוא ללא תשלום. לאחר שעיינת בפנקס מאגרי המידע, ניתן לפנות אחד אחד לבעלי המאגרים שמופיעים בו (כ-15,000 מאגרים) ולבקש לעיין במידע עלייך (או לקבל אישור שאין מידע כזה). העיון במידע עדיין לא מאפשר מחיקה שלו, אבל הוא כן מאפשר לדעת מי יודע עלייך מה: לדוגמה, אם במאגר של חברה מסוימת שמכרה לך ביטוח חיים יש מידע מסוים, ואתה רואה אותו גם בחברה שמשווקת מכשירים סלולריים, שנמצאת בבעלות של אותה חברת אחזקות, אז כנראה שהם החליפו מידע. לכן, ביקשתי לפני כחודש את פנקס מאגרי המידע ממשרד המשפטים, ובצורה מפתיעה ויעילה אפילו קיבלתי אותו. בלינק הזה תוכלו לקבל גרסה אונליין של הפנקס.

1. ניהול מערכת מבוזרת מבוססת המונים לאיתור ספאמרים ומטרידים: לא אחת אנחנו מקבלים שיחות טלפון או מסרונים מטרידים מאנשים שאומרים שהם קיבלו את המידע שלנו בגלל X או Y. אם נניח מתקשרת נציגה מחברה סלולרית מסוימת ואומרת שיש לה מבצע לחברי קופת-חולים כללית. אתה שואל את הנציגה מהיכן הפרטים שלך, והיא אומרת שהיא קיבלה אותם מקופת-חולים. בשלב הזה, אתה יכול ללכת למערכת המאגר ולבדוק האם לקופת-החולים יש מאגר, ואז לעיין במאגר הזה ולראות האם יש העברה של המידע שלך החוצה. ברגע שתגלה שקופת-החולים העבירה מידע, תוכל לסמן גם את מספר הטלפון של המתקשר כספאמר, וגם את קופת-החולים כמי שלא מכבדת את הפרטיות שלך ומוכרת את המידע למשווקים. תוכל גם, במקביל, לעיין בכל המאגרים האחרים ולראות מי מהחברות שאתה עושה איתן עסקים, לא מכבדות את הפרטיות שלך. את המידע הזה, תוכנות כמו WeNoSpam, יוכלו לנצל. למי שלא מכיר, WeNoSpam היא אפליקציה סלולרית שעובדת בצורה פשוטה מאוד: כאשר אתה מקבל שיחה ממספר שלא שמור ברשימת אנשי הקשר שלך, היא שולחת שאילתה לשרת, בשאילתה היא שואלת "האם מספר הטלפון X הוא מספר של ספאמרים?". אם מתקבלת תשובה חיובית, היא חוסמת את השיחה (או המסרון). אם אתה מדווח על מספר טלפון כמספר של ספאמרים, זה גם נרשם. 2. איתור פרטי ספאמרים: ביחד עם המידע מפנקס המאגרים, אפשר יהיה לא רק לזהות את הספאמר, אלא גם לאסוף את הפרטים שלו ולאפשר תביעה מהירה יותר. במאגר תוכלו לראות את פרטי השולח, כולל ח.פ וכדומה. אם, לדוגמה, קיבלתם SMS מחברה המציעה לך להשתתף בהגרלת לוטו, ובשיחה הצלחתם לדלות מספיק פרטים, תוכלו להשתמש בפנקס כדי לאמת חלק מהפרטים ולבקש לאחר-מכן לעיין במידע שיש להם. אחת הבעיות עם ספאם טלפוני היא שאנחנו לא יודעים מי השולח ומהיכן יש לו את הפרטים שלנו. ולכן, אחרי שקיבלנו הודעה טלפונית, צריך לכתת רגליים כדי לתבוע. ברוב המקרים הודעת הספאם תוביל ללינק אלמוני שיגיע לעמוד נחיתה, וגם כאשר נקבל שיחה מהספאמרים ברגע שהם יבינו שמנסים להוציא מהם מידע, הם ינתקו. בפנקס המאגרים יש לנו את רשימת בעלי המאגר, וניתן יהיה להצליב את המספרים באמצעות Reverse Lookup. 3. "מה יודעים עליי": כזכור, על-פי סעיף-13 לחוק לכל אחד את הזכות לעיין במאגרים שמחזיקים במידע עליו. מה הבעיה? אנחנו לא יודעים מי המאגרים שמחזיקים עלינו מידע. לכאורה, בעלות "סמלית" של שליחת מכתב רשום לכל אחד מהמאגרים, אפשר לטפל בבעיה הזו. אלא, שאם יש 15,000 מאגרים, ושליחת דואר רשום עולה (בקירוב) 10 שקלים, מדובר על 150,000 שקלים. אבל, אפשר לרכז את הפניות. אתר מרוכז שיקום יכול לשלוח את כל הפניות לכל המאגרים מכל המבקשים החודשיים ולחסוך בעלות. הפתרון? מרימים אתר אינטרנט שבו כל אחד שמעוניין לקבל את התיק האישי שלו מכל המאגרים נרשם. בסוף החודש מאגדים את כל הנרשמים, ובודקים: אם יש 1,500 נרשמים, אז בעלות סמלית של 100 שקלים לאחד, אפשר לשלוח את החבילה הרשומה לכל בעלי המאגרים ולבקש שישלחו את התיק האישי לכל אחד מהאנשים שברשימה. החסרון במצב כזה הוא יצירה של מאגר של מבקשים, שעשוי להיות יעד סייבר לאחר-מכן. אבל החסרון הוא יחסית זניח בהתחשב בתועלת בעיון. 4. ספר/מועדון לקוחות: אם אתה עצמאי או חברה בתחום אבטחת המידע, ברור לך שלקוחות חדשים קשים להשגה, ולכן אתה צריך תמיד למצוא אל מי לפנות. כאן יש לך רשימה איכותית של חברות שמחזיקות מאגרי מידע וצריכות שירותים סביב אותם המאגרים: אבטחה שוטפת, ייעוץ, אופטימיזציה וכדומה. מה טוב מזה כדי להושיב טלפונית שתתקשר אחד אחד לכל הגורמים לקביעת פגישה? 5. בנק מטרות: כמובן, שהמשתמש הזדוני לא ממש חייב להיות מלאך שינסה למכור שירותי אבטחת מידע. משתמש זדוני מספיק יכול להבין שפנקס המאגרים הוא בנק מטרות, שיכול לעזור לו לנסות לדלות מידע על אנשים בין אם באמצעות הנדסה חברתית ובין אם באמצעות פריצה למאגרים.

1. קודם-כל, אתה יכול לבקש להסיר את עצמך מחלק מהמאגרים. סעיף 17ו לחוק הגנת הפרטיות, מאפשר לך לבקש מחיקה ממאגרים שמשמשים לדיוור ישיר. לצערנו, הפסיקה לא קבעה שספאם הוא דיוור ישיר, אלא דיוור ישיר הוא "פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על-פי אפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע"; כלומר, כל פניה שעושה פרופיילינג. לכן, אתה יכול לבדוק איזה מהמאגרים מוגדר כמאגר לדיוור ישיר ולבקש להימחק; 2. מהמידע שאתה לא יכול להסיר, אתה יכול לתקן. סעיף 14 לחוק הגנת הפרטיות, נותן לך את הזכות לתקן מידע לא נכון שמופיע במאגרים. זה אומר שאת כתובת המייל שלך ומספר הטלפון שלך אתה יכול לתקן לכתובת המייל שלך לצורך ספאם ולמספר הטלפון שלך לצורך ספאם, בהנחה שאתה באמת מחזיק כאלה. גולן טלקום, לדוגמה, מאפשרים לך להחזיק מספר טלפון וירטואלי רק לצורך כזה; 3. מידע שאתה לא יכול להסיר ולא יכול לתקן (כי הוא נכון) אתה יכול ליידע. הסכמה, על-פי חוק הגנת הפרטיות, ניתנת לחזרה (1222-09 ורדי נ' גוטסמן, השתנה בערעור, ע"א 1697/11 א. גוטסמן אדריכלות בע"מ ואח' נ' אריה ורדי, וגם תא 6023/07 אפריאט נ' ידיעות אחרונות). כלומר, אתה תמיד יכול לפנות למי שלא מוכן למחוק ולומר לו "אדון נכבד, אני לא מסכים שתעביר את המידע עליי ואני לא מוכן שתצור איתי קשר", גם אם יצירת הקשר היא לא לפי חוק הספאם (סעיף 30א לחוק התקשורת).

מה אתה יכול לעשות אם הארגון שלך מופיע ברשימה?

ככל הנראה, אם הארגון שלך מופיע ברשימה, אז אתם מחזיקים מאגר מידע. זה לא אומר שאתם ספאמרים, זה לא אומר שאתם גנבים, זה לא אומר שום דבר חוץ מזה שאתם מחזיקים מאגר שחייב ברישום. עכשיו, יכול להיות שתחליטו, בתור ארגון, לערוך בדיקה שוב ולבדוק האם באמת צריך להחזיק את המאגר.

האם באמת כל מי שמחזיק מערכת הנהלת חשבונות צריך רישום?

חלק ניכר מהמאגרים ברשימה הם מאגרי שכר של מקומות עבודה. זה טוב אם אתה עובד לשעבר שרוצה לעיין במידע, אבל האם זה אומר שכל מי שמנהל חשבות שכר צריך לרשום מאגר? בפועל, לא בהכרח. הדרישה לרישום מאגר היא בהתקיים אחד מהתנאים הבאים: מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000; יש במאגר מידע רגיש; המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה; המאגר הוא של גוף ציבורי כהגדרתו בסעיף 23; המאגר משמש לשירותי דיוור ישיר כאמור בסעיף 17ג (סעיף 8 לחוק הגנת הפרטיות). מבחינתנו, כאשר מקום העבודה מכיל פחות מ-10,000 עובדים, וכאשר העובדים הסכימו לאגירת המידע בהיותם עובדים, התנאי הוא שיש מידע רגיש.

ומהו מידע רגיש על-פי חוק הגנת הפרטיות?

על-פי סעיף 7, מידע רגיש הוא "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו" (או מידע שנקבע על-ידי שר המשפטים שהוא מידע רגיש). כל עוד מעסיק ינקוט בגישה מינימליסטית ויסרב לשמור מידע רפואי על המחלות של העובדים (מה שהתקבל לאחרונה כחובה), ולא ישמור מידע על הרקע הכלכלי או אמונות שלהם (בפועל: אם הוא לא יעקוב אחריהם במקום העבודה), ומאגר המידע שלו כמעביד יכלול רק את הנוכחות של העובד ואת השכר, אז ככל הנראה שאפשר יהיה להימנע מהרישום. במצב כזה, מעסיקים רבים יוכלו להימחק מפנקס המאגרים ויחסכו חובות רבות (אך לא את החובה לאבטח את המידע). לסיכום: חבל שעד היום לא פורסם פנקס מאגרי המידע ברבים. יש לפרסום שלו תועלת רבה גם לשקיפות השלטונית, אבל גם ליישומים ושימושים אזרחיים נוספים. אני מקווה שאני לא אצטרך לפנות בבקשות גילוי רבעוניות, אלא אצליח לעודד את המערכת לפרסם את המאגר בצורה יזומה. לבינתיים, יש לכם מאגר פתוח לשימוש.