מאת: עו"ד אסף יצחקי, יועץ לחברי הלשכה בתחום הגנת הפרטיות והלבנת הון
מגזר סוכנויות הביטוח בישראל נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות בשל מאפייניו הייחודיים. ביניהם, שימוש נרחב של כלל הציבור בשירותי סוכנויות הביטוח, איסוף מידע בהיקפים נרחבים ושמירתו לתקופה ממושכת והחזקת מידע רגיש (כגון מידע רפואי ומידע על נכסים והתחייבויות). בנוסף, המעבר הטכנולוגי המואץ לרכישת שירותי ביטוח במרחב הדיגיטלי, מעלה סיכונים נוספים לפריצה למאגרי מידע וגניבת נתונים.
הדו"ח מתייחס לפיקוחי הרוחב שביצעה הרשות בין החודשים יולי 2019 למאי 2020 במגזר סוכנויות הביטוח, ולביקורת מעקב על הגופים שהיו תחת פיקוח בין החודשים ינואר 2021 למרץ 2021.
בשלב הראשון בהליך הפיקוח, נבחרו על ידי הרשות 35 סוכנויות ביטוח על בסיס בחינת היקפי המידע המוחזקים, כמות הלקוחות ורגישות המידע במסגרת השירותים הניתנים ללקוחות. הסוכנויות שנבחרו, נדרשו למלא שאלוני ביקורת המתייחסים לקריטריונים שונים ובהם:
בקרה ארגונית – בחינת קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות ואת מינויים של גורמים בעלי אחריות בתחום.
ניהול מאגרי מידע – בחינת אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ואיסוף של מידע ביומטרי.
עיבוד מידע אישי במיקור חוץ – לרבות בחינת ההתקשרויות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו, והאופן בו הם מבטיחים הגנה על המידע.
אבטחת מידע – בחינת עמידת הגופים בהוראות תקנות אבטחת מידע בהתייחס לניהול המידע
האישי שבבעלותם ובהחזקתם.
בשלב השני, נוכו גופים אשר סיימו או שינו פעילותם, וכן גופים אשר השיבו מענה מאוחד בשל פעילות עסקית מאוחדת, ניהול מאגר משותף או ניהול תשתית טכנולוגית משותפת (סה"כ נוכו 7 גופים). יצוין כי בסוכנות ביטוח אחת בוצע הליך הפיקוח (אימות נתונים והשלמת מידע) במשרדי הגוף המפוקח.
בסיום ההליך, מתוך 28 סוכנויות ביטוח שנבחנו, נמצאו ב- 26 גופים ליקויים הדורשים תיקון, והרשות הנחתה את הגופים לתקן את הליקויים שנמצאו בתוך זמן קצוב, ולספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה בכיר בארגון בדבר אופן ביצוע והשלמת התיקונים. במסגרת ביקורת מעקב שנעשתה בקרב 20% מהגופים שקיבלו הנחיות לתיקון ליקויים, נמצא כי מרבית הגופים שיפרו את העמידה בתקנות הגנת הפרטיות באופן משמעותי וכי 97% מהליקויים יושמו וטופלו.
ממצאי פיקוח הרוחב עלה כי ישנה אי בהירות בקרב סוכנויות הביטוח באשר לסיווגן כמחזיקות
או בעלות מאגרי מידע וכפועל יוצא מכך, בקשר לחובותיהן כבעלות מאגרי מידע כלפי לקוחותיהן.
בעניין זה עמדת הרשות להגנת הפרטיות היא כי בעסקת ביטוח טיפוסית, חברת הביטוח היא בעלת מאגר המידע על אודות המבוטח, וסוכנות הביטוח משמשת כזרועה הארוכה כמחזיקה, אך אינה רוכשת בעלות במידע על אודות המבוטח. משמעות הדבר היא כי ההסכמה הניתנת על-ידי המבוטח לחברת הביטוח למטרה המוצהרת, אינה מהווה הסכמה לשימושים נוספים על ידי סוכנות הביטוח.
לפיכך, במקרים בהם מבקשת סוכנות הביטוח לקיים מערכת יחסים משפטית נפרדת מחברת הביטוח עם המבוטח, עליה להסדיר יחסים גלויים ונפרדים עם המבוטח. במקרה זה על סוכנות הביטוח לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח.
לסיכום, לדברי עו"ד אסף יצחקי, ממצאי דו"ח הפיקוח ממחישים את הצורך בהכנת תוכנית ציות מסודרת בתחום הגנת הפרטיות ואבטחת מידע, וזאת כדי להגן על המידע הנשמר על-ידי סוכנויות הביטוח, ולצורך מניעה של חשיפה פוטנציאלית להליכים משפטיים.
*נתונים מדו"ח ממצאי הפיקוח שפורסם באתר האינטרנט של הרשות להגנת הפרטיות מיום 25/10/22