1 באוקטובר 2015

פרטיות,הגנה על מידע אישי ומיחשוב ענן

ללא ספק הטרנד הנוכחי הוא מיחשוב ענן. מדובר בשירותי מיחשוב הניתנים למשתמש (יחיד, חברה, ארגון ציבורי גדול וכו’), באמצעות מחשב מרוחק אליו מתחבר המשתמש דרך רשת האינטרנט או באמצעות קו תקשורת ייעודי[1]. השימוש במיחשוב ענן מאפשר למשתמש לאחסן נתונים בשרתים ובמרכזי מיחשוב (דאטה סנטרים), הממוקמים מחוץ לגבולות הפיזיים של הארגון ולעיתים קרובות במרכזי מיחשוב המצויים בחו"ל אשר הגישה אליהם מרחוק. כתוצאה מכך מתייתר הצורך ברכישה וניהול שרתים, תוכנות מחשב ותשתיות מיחשוב יקרות ובמקום זאת שוכר אותם המשתמש כשירות מספק שירותי ענן בהתאם לצרכיו וליכולתו הפיננסית.

לצד התועלות טמונים בשימוש בשירותי ענן גם סיכונים. אחד מהסיכונים הוא פגיעה בפרטיות. ספק השירות נותן את שירותי הענן באמצעות מרכזי מחשבים שלו. פגיעה בפרטיות אפשרית, בין היתר, כאשר המשתמש חושף מידע פרטי לספק שירותי הענן לצורך גיבוי של קבצים באחד מהאמצעים לאחסון נתונים בענן המחשוב של הספק. המידע עלול להיחשף לאנשים לא מורשים למידע וזאת כתוצאה מליקויים באבטחת המידע של הספק, מגישה למידע שמועבר מהדאטה סנטר של הספק לעמדת הקצה של המשתמש באינטרנט ועוד.

קיים סיכון מוגבר לפגיעה בפרטיות בו שוכר המשתמש את שירותיו של ספק שירותי ענן אשר מרכזי המחשבים שלו נמצאים באחת ממדינות אירופה החברות באיחוד האירופאי (כגון: גרמניה, אירלנד, צרפת, איטליה וכיוצ"ב). מרגע שבו נחשף הספק באירופה למידע הפרטי, חלה על המשתמש החובה לציית לסט כללים נוקשים שמקורם בדירקטיבה האירופאית שמטרתה להגן על מידע אישי של אנשים פרטיים וזאת גם אם המידע הפרטי שייך לאנשים או ארגונים שמקום מושבם מצוי מחוץ לגבולות מדינות האיחוד האירופאי (כגון: ישראל, ארה"ב וכו’).

במאמר מוסגר יצוין, כי דירקטיבה היא סוג של דבר חקיקה שנעשה בו שימוש באיחוד האירופי כדי ליצור אחידות בין חוקי הפרטיות של המדינות החברות באיחוד האירופאי וכדי לדאוג לזרימה חופשית של מידע בין המדינות החברות. הדירקטיבה מהווה חלק בלתי נפרד ממערכת המשפט המקומית של כל מדינה ומדינה החברה באיחוד האירופי והיא מחייבת את המדינות החברות, חברות ויחידים לציית לדירקטיבה, ולאכוף את הוראותיה.

מאותו שלב בו נעשה שימוש בספק שירותי ענן חיצוני לו מרכז מיחשוב באירופה, כפוף המשתמש לדיני הגנת המידע האירופאים והוא חשוף לתביעות בבתי המשפט מצד אנשים פרטיים, חברות ולסנקציות מינהלתיות מצד רשות האכיפה המקומית. המשתמש, גם אם אין הוא מודע לכך או מעוניין בכך, מקבל על עצמו את האחריות ליישם על עצמו ועל ספק שירותי הענן את חוקי הגנת המידע על פי הדין האירופאי.

כיצד על המשתמש לנהוג ומה עליו לדרוש מספק שירותי הענן?

ראשית, על ספק שירותי הענן להבטיח שקיפות ולספק מידע על אמצעי אבטחת המידע בהם הוא נוקט לשמירה על המידע האישי אליו הוא נחשף. כמו כן, על הספק להראות כיצד הוא מיישם את חוקי הגנת המידע ובאיזה מערכות הפעלה הוא עושה שימוש ובין המשתמש לספק שירותי הענן חייב להיות הסכם כתוב המסדיר את השימוש שיעשה הספק במידע. ההסכם צריך לכלול, בין היתר, מידע על מיקומם של מרכזי המיחשוב בהם מאוחסן המידע האישי, על סוג המידע שהועבר מהמשתמש לספק שירותי הענן, על הפעולות שמבצע הספק על המידע (איסוף נתונים, איחסון, ארגון, תיעוד וכו’), והתחייבות הספק שהמידע ישמש אך ורק למטרות לשמן המידע הועבר לספק ולמטרות להן הסכים המשתמש.

שנית, מקום בו משתמש מחליט להתקשר עם ספק שירותי ענן, נדרש המשתמש לבחור בספק שביכולתו לספק אמצעים טכניים, פיזים וארגוניים בהתאם לחוקים החלים באיחוד האירופאי לעניין הגנת מידע  ולדאוג ליישומם של החוקים ולהטמעתם של האמצעים אצל הספק. המשתמש אשר מחויב כאמור על פי החוק להתקשר עם הספק בהסכם כתוב, מחויב לדאוג שההסכם יבטיח שהספק יפעל בכל עת על פי ההנחיות שיתווה לו המשתמש ולא יחרוג מהן.

שלישית, בנוסף לצורך בקיום שקיפות והסכם בכתב עם ספק שירותי המיחשוב, לפני איסוף המידע האישי מנשוא המידע והעברתו למרכזי המיחשוב של הספק, על המשתמש לקבוע לשם איזה מטרות הסכים נשוא המידע לאיסוף המידע ולהודיע על כך לנשוא המידע. המשתמש מוגבל למטרות אלה בלבד ועליו לוודא שקיבל את הסכמת נשוא המידע לחשיפת המידע הפרטי בפני הספק. חשוב להדגיש, כי כל שימוש שיעשה במידע הפרטי על ידי הספק, אשר יחרוג מהמטרות עליהם סוכם דורש מהמשתמש לפנות אל נשוא המידע ולקבל ממנו את הסכמת נשוא המידע לשימוש החורג.

רביעית, על המשתמש לדאוג כי מידע פרטי שאינו נחוץ עוד למשתמש יימחק גם אם המידע מאוחסן אצל הספק. אם לא ניתן למחוק את המידע בשל דרישות רגולטוריות כלשהן (כגון: הנהלת חשבונות ומיסים), על המשתמש לדאוג שהגישה למידע הפרטי תיחסם. האחריות למחיקת המידע שאיננו נחוץ עוד למשתמש היא על המשתמש ולא בתחום אחריותו של ספק השירותים.

לסיכום, השימוש בשירותי מיחשוב ענן אצל ספק חיצוני גורמת לחיסכון בעלויות. אך יש לזכור כי לצד החיסכון בהוצאות, כרוך השימוש בענן בסיכון מוגבר לפגיעה בפרטיות במיוחד מקום בו נחשף הספק למידע פרטי. כאשר שוכר המשתמש ספק העושה שימוש במרכזי מחשבים הנמצאים באחת ממדינות האיחוד האירופי כפוף המשתמש לדיני הגנת המידע באירופה. מדובר בסט כללים סבוך ומורכב אשר חושף את המשתמש לתביעות מצד אנשים פרטיים ולסנקציות וקנסות מינהלתיים מצד הרשות להגנת מידע באירופה. מכאן, שחשוב שהמשתמש יהיה ער לאחריות שלו לבחור בספק שירותי ענן שיכול להבטיח רמה נאותה של ציות לכללי הדירקטיבה האירופאית להגנה על מידע אישי ואשר ביכולתו לספק אמצעים טכניים, פיזים וארגוניים שימנעו את זליגתו של המידע האישי לאנשים לא מורשים.

האמור לעיל הינו מידע כללי ואינו מהווה חוות דעת משפטית. במידה והנכם/ן מתעניינים/ות לקבל מידע נוסף על נושאים משפטיים הנוגעים לפרטיות, להגנה על מידע אישי על פי הדין האירופאי ולמיחשוב ענן, הנכם מוזמנים/ות ליצור עמנו קשר על פי הפרטים שלהלן:

          מאמר אורח מאת אלון ספושניק עורך דין מוסמך במשפטים ובמינהל עסקים

                          alon.saposhnik@sr-lawoffice.co.il

#כתבות אורחים #hebrew #technology #מחשוב ענן #security #israel #clouds #אבטחת מידע #פרטיות #privacy #שרותי ענן #law #בית תוכנה