הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה לרשות על אירוע אבטחת מידע אשר העלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה כי מכשיר טלפון נייד אשר שימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה.
במסגרת הליך הפיקוח, נתגלה כי תחקיר פנימי שביצעה חברת ישראכרט, העלה כי עובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.
מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.
מממצאי הפיקוח של הרשות עלה, כי מכשיר הטלפון הנייד שימש מעין “מוקד ווטסאפ” אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.
ממצאי הליך הפיקוח שביצעה הרשות העלו כי במועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.
בנוסף, החברה לא הקפידה שרמת האבטחה של מכשיר הנייד המשמש אותה תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים. יצוין, כי ממצאי הפיקוח לא הצביעו על אינדיקציה לפיה דלף מידע בפועל, ולא התקבלו תלונות ברשות המעידות על דלף מידע, אך עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה..
בהתאם לממצאים אלו קבעה הרשות כי חברת ישראכרט הפרה את תקנות הגנת הפרטיות (אבטחת מידע).
הרשות הבהירה לחברה כי ככל שבכוונתה להמשיך ולהשתמש בהתקנים ניידים לצרכים הקשורים במערכות מאגרי המידע, עליה לוודא כי מוטמעות במכשיר מערכות הגנה ובקרה המותאמות לסוג המידע, רגישות המידע ואופן השימוש בו.
יצוין, כי בהתאם להנחייה של הרשות להגנת הפרטיות (מס’ 1/2018), בתנאים מסוימים, ניתן לראות בגופים אשר כפופים להוראות המפקח על הבנקים בעניין אבטחת מידע ועומדים בהן, כמי שמקיימים גם את תקנות הגנת הפרטיות (אבטחת מידע). אולם, במקרה זה נמצא כי החברה הפרה מספר תקנות המחייבות גם גופים אשר כפופים להוראות המפקח על הבנקים, כך שלא ניתן לראות בה כמי שמקיימת את התקנות.
יצוין כי חברת ישראכרט העבירה את ממצאי התחקיר הפנימי שערכה לידי הרשות ודיווחה על תיקון הליקויים הרלוונטיים הקשורים במכשיר הנייד. כמו כן, החברה איתרה, באמצעות מנגנוני אבטחה העומדים לרשותה ותחקור שביצעה, את העובד שגנב את המכשיר והשיבה את המכשיר תוך מספר ימים.
הרשות להגנת הפרטיות מגבירה את האכיפה ופועלת למיצוי כל הכלים והסמכויות שבידה במקרים בהם ישנה אינדיקציה ברורה להפרה של הוראות חוק הגנת הפרטיות או התקנות.
