Recreating Cybercloud Safeguarding Today


Blog with us, and Navigate the Cyber Jungle with Confidence!

We are here for you, let us know what you think

4.3.12

מפעילי רב קו אוספים מידע רגיש מנוסעים - עכשיו ההנחיות

מפעילי כרטיס הרב קו אספו ועודם אוספים מידע רגיש של ציבור השמתמשים בכרטיס במאגר מידע לא מוגן כשהוא בגדר "מידע רגיש".
למרות רגישות המידע המצוי בחזקתם לא קיימו מפעילי הרב קו והחברות העושות בו שימוש כולל משרד התחבורה כל רישום של המאגר והכל תחת החסות של משרד התחבורה, הברון הבלתי מעורער של שימוש במידע פרטי השייך לתושבי מדינת ישראל. החוק אגב, מורה לרשום את מאגר המידע בפנקס מאגרי המידע ולעמוד בתנאים המוגדרים ע"י הרגולטור.

המפעילים לא הסתפקו רק במידע הרגיש אותו אישר להם משרד התחבורה לאסוף ואספו גם נתונים נוספים בהם מין, שם מוסד לימודים וכתובת מוסד לימודים, מצב בריאותי, מצב כלכלי, נתוני שימוש בכרטיס, מספר הקו שנעשה בו שימוש, מספר כלי התחבורה בו בוצעה הנסיעה, תחנת העלייה על אמצעי התחבורה, שעת העלייה עליו והמיקומים בהם היה.

בעקבות תלונות הציבור ופניות של הורים החרדים לתופעה, הפיץ הרמו"ט - הרשות למשפט מידע וטכנולוגיה של משרד המשפטים, הנחיות ביניים עד שיחוקק חוק לעניין זה.
את ההנחיה תוכלו לקרוא בדף זה

תקציר ההנחיות להלן:
  1. אין לעשות שימוש בידע רגיש.
  2. יש לקבל מהנוסע הסכמה לצורך איסוף מידע אודות הנוסע ואודות השימוש בכרטיס החכם.
  3. אין לאסוף מידע רגיש כדוגמת מס' ת.ז. בשבב הכרטיס, כדי שלא יעובד באמצעים מחשוביים.
  4. מותר לאסוף פרטי קשר של נוסע. אולם פרטי קשר אלה צריכים להיות בהיקף המינימלי ביותר הנדרש, יש להבהיר ללקוח כי הפרטים נדרשים לשם יצירת קשר, לכן זכותו למסור פרטים בהיקף מצומצם בלבד. הוא (הנוסע) רשאי לבחור למסור אחד או יותר מאלה: כתובת, מספר טלפון, מספר טלפון נייד, או כתובת דואר אלקטרוני, ואינו חייב למסור פרטים נוספים.
  5. אם כרטיס נרכש על-ידי מעסיק ניתן לרשום את פרטי המעסיק.
  6. יודגש כי ככל שמפעיל תחבורה ציבורית מעוניין להקים מועדון לקוחות או לבצע פעולות שיווקיות אחרות הקשורות באיסוף מידע מהציבור, חל איסור לקשור בין איסוף זה לבין איסוף לצרכי הרב קו.
  7. הקמת חלופה לכרטיס החכם הרב-קו, שתהווה חלופה אנונימית לכרטיס.
  8. חובה לקבל אישור על בסיס הסכמה מדעת של הלקוח, ובהתאם להוראות סעיף  11 לחוק ולפקודת התעבורה, עליו להציג בפני הנוסע, במעמד ההנפקה, את חלופת הכרטיס האנונימי העומדת לרשות הנוסעים.
  9. ביחס לנוסע שהוא קטין, ההסכמה מדעת לאיסוף המידע והשימוש בו יכולה להינתן רק על ידי מי שהוא האפוטרופוס של הקטין.
לנוסע שהוא קטין, המידע אותו המפעיל רשאי לאסוף לצורך הנפקת כרטיס מזוהה לקטין הוא המידע הבא בלבד: שם הקטין, מספר
  1. תעודת הזהות של האפוטרופוס נותן ההסכמה וכן תאריך סיום הזכאות לקטין (במקום תאריך הלידה של הקטין, הנדרש היום).
שימוש במידע על ידי המפעילים
  1. שימוש במידע מזוהה ייעשה רק לשם מתן שירות לנוסע.
  2. מידע על נתוני מיקום יימחק מיד לאחר ביצוע התחשבנות בין המפעילים.
  3. חל איסור לקשור בין איסוף מידע לצורך שיווקי קריא מועדון לקוחות לבין איסוף לצרכי הרב קו.
 לפי חוק מאגרי מידע סעיף 17, על מפעילי כרטיס חכם חלה האחריות לאבטחת המידע במאגר המידע.

לשם כך עליהם לקיים היבטי אבטחה למידע הרגיש הנאסף, והם:
  1. הפרדת מאגרי מידע אצל המפעיל
  2. הפרדת מידע מזהה מנתונים
  3. צמצום המידע המזהה אודות הנוסע הנכלל בשבב
  4. הגבלת גישה וניטור
האמור בהנחיה זו ייכנס לתוקף בשני שלבים: הראשון 15.03.2012, השני 15.04.2012, עד למועד זה יעבירו המפעילים אל הרשם . נוהל אבטחת מידע בהתאם.
להרחבה..