דלגי לתוכן הראשי
הגנתא
מד חוסן
מד חוסן
הגנת הפרטיות · מדריך לעסקים

ווטסאפ והגנת פרטיות: מה אסור לעשות עם מידע אישי בעסק שלך

ווטסאפ הוא כלי תקשורת זמין, נוח ומובן מאליו לרובנו, אבל לעסקים ועובדיהם המתכתבים עם הלקוחות, העובדים ונותני השירותים שלהם, ובעיקר עבור אנשי מקצוע המחויבים בסודיות (סוכני ביטוח/פנסיה, רופאים, רואי חשבון, עורכי דין, פסיכולוגים, וכו') הוא יכול להיות מלכודת רגולטורית. במאמר זה נבחן: מה הסיכון, מהן הנחיות הרשות להגנת הפרטיות, ומה אפשר לעשות במקום.

בתוקף מ-2024 רלוונטי לכל עסק עדכני לתיקון 13 מבוסס על הנחיות הרשות להגנת הפרטיות

מאת הגנתא

01

בקצרה

בעשור האחרון התפתחה תופעה של העברת מידע אישי בין עסקים לבין נושאי המידע שבמאגרי המידע שלהם (לדוגמה בין רופא למטופל, בין סוכן ביטוח למבוטח, בין רואה חשבון לעוסק פטור או מורשה, בין עורך דין למיוצג וכו'), באמצעות כלים "אזרחיים-פרטיים": טלפונים סלולריים, מחשבים ניידים ואפליקציות בשימוש פרטי כגון WhatsApp, Gmail ו-Telegram. העברת מידע אישי באמצעים אלה חושפת את העסק ואת נושאי המידע לסיכונים משמעותיים.

היעד האסטרטגי של הרשות להגנת הפרטיות הוא צמצום השימוש בתוכנות לא ייעודיות להעברת מידע אישי ומידע בעל רגישות מיוחדת למינימום ההכרחי, תוך מעבר למערכות ארגוניות מאובטחות וסגורות.

הודעות ומסמכים אישיים הכוללים מידע אישי רגיש מהווים חשיפה רגולטורית כמו גם פוטנציאל לדליפת המידע לגורמים עוינים. מאמר זה מרכז את התובנות וההנחיות של הרשות להגנת הפרטיות, מבהיר את החובות הקיימות ומספק המלצות פרקטיות לצמצום הסיכונים, בנוגע להעברת מידע אישי באמצעות כלים אלה.

02

מה צריך להכיר?

ווטסאפ אינו "כמו דוא"ל":

עסקים רבים משתמשים בווטסאפ באופן יומיומי. ברוב המקרים הדבר לגיטימי לחלוטין. הסיכון מתחיל כשמערבים את הכלי הזה במידע אישי של אנשים אחרים, ובמיוחד במידע בעל רגישות מיוחדת כגון:

תעודות מזהות מידע רפואי מידע פיננסי מידע משפטי מידע פסיכולוגי מידע גנטי

כשמידע כזה מוחזק או מועבר דרך ווטסאפ, נוצרים סיכונים שאינם קיימים בערוצי תקשורת מבוקרים ומאובטחים.

לפי חוק הגנת הפרטיות, התשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, חובה ליישם אמצעי אבטחה ההולמים את רמת הסיכון של המידע. אילו אמצעי אבטחה הטמעת בכל מכשירי הטלפון הסלולרי שבהם מועבר המידע האישי? אילו אמצעי אבטחה מוטמעים בווטסאפ? האם קראת אי-פעם את מדיניות הפרטיות ואבטחת המידע של ווטסאפ?

מעבר לכך, חובת הסודיות המקצועית של סוכן הביטוח, הרופא, עורך הדין, הפסיכולוג ועוד מטילה חובה לשמור על המידע בלי קשר לחוק הגנת הפרטיות עצמו. הפרת הסודיות עלולה לחשוף לתביעה אזרחית, להליכי משמעת, לעיצומים כספיים ולתביעות משפטיות ללא הוכחת נזק.

אלה הסיכונים הספציפיים של ווטסאפ:

1אובדן או גניבה של המכשיר

המכשיר עצמו הוא כונן אחסון לכל דבר. אם הוא אובד או נגנב, כל ההיסטוריה (לפעמים שנים של מידע) חשופה - וכשמכשיר כזה נגנב, הוא גם ייפרץ, וכך גם כל המידע שבו.

2גיבויים בענן

גיבויי ווטסאפ נשמרים בחשבונות הענן האישיים של כל בעל מכשיר. כשמדובר במידע של לקוחות, עובדים או נותני שירותים, המשמעות היא אחסון של המידע בחשבון פרטי שלך או של עובדיך, שאין עליו שליטה רגולטורית מלאה או אבטחה ברמה מספקת. החשיפה לטעויות אנוש (סיסמה חלשה, השתלטות על חשבון, גניבת מכשיר, לחיצה על קישור זדוני וכדומה) קיימת עם אמצעי הגנה פחותים.

3העברה והפצה

הודעת ווטסאפ ניתנת להעברה בלחיצה אחת. צילום מסך נעשה בלחיצה אחת. צילום מסמך שנשלח ללקוח אחד יכול בקלות רבה מדי להישלח בטעות ללקוח אחר.

4שיחות קבוצתיות

קבוצות ווטסאפ הן ערוץ הפצה לכל החברים. אם שלחת מידע אישי לקבוצה, גם אם בטעות - כל החברים בקבוצה רואים אותו. למחיקה אין השפעה אם הקובץ ירד אוטומטית למכשיר, או אם מישהו כבר צילם או שמר.

5יישום אמצעי הגנה

בווטסאפ אין מנגנון המאפשר להגביל מי רואה את ההודעה שנשלחה. הדבר פוגע במנגנון ניהול ההרשאות על פי עקרון הצורך לביצוע התפקיד, כנדרש בתקנות הגנת הפרטיות (אבטחת מידע). כמו כן, למשתמש אין שליטה על אמצעי ההגנה הקיימים באפליקציה עצמה.

6בלבול בין שיחה אישית לעסקית

המכשיר הוא מכשיר אחד, והשיחות הפרטיות והעסקיות באותו ממשק. הסיכון: שליחת מידע ללקוח כאשר התכוונת לעמית; הצגת השיחה למישהו אחר בלי לשים לב לחלון הסמוך; שליחת מידע למעגל לא נכון.

7מדיניות הפרטיות של ווטסאפ

בשנים האחרונות החלה להיכנס תפישה שלפיה אם השירות חינמי - המוצר הוא אנחנו. האם בדקת את מדיניות הפרטיות של ווטסאפ? האם לדעתך היא עולה בקנה אחד עם הדרישות החלות עליך להגנה על המידע האישי של לקוחותיך, עובדיך ונותני השירותים שלך?

מה אסור?

על פי עמדת הרשות להגנת הפרטיות:

אסור להעביר מידע אישי (כגון צילומי תעודות זהות, פרטי חשבון בנק, מידע רפואי, מידע פיננסי, מידע ביטוחי, מידע משפטי וכיוצא באלה) ללא הסכמה של נושאי המידע, כנדרש בהנחיות הרשות להגנת הפרטיות.

אסור לאחסן מידע אישי של נושאי מידע בווטסאפ האישי או העסקי. ווטסאפ אינו נחשב ערוץ מאובטח למאגרי מידע במשמעות החוק, שכן גניבת הטלפון או השתלטות על האפליקציה מביאה לדלף המידע האישי האגור בו.

אסור להניח שמשתמש שמחק הודעה מהווטסאפ שלו אכן "מחק את המידע" מהטלפון שלו, שכן לעיתים מדובר בצילומי מסך, מסמכים, גיבויים והעברות לגורמים אחרים שעדיין קיימים.

לא בטוחים אם השימוש שלכם בווטסאפ תקין? דברו איתנו ←

03

מי אחראי על היישום?

האחריות העליונה מוטלת בראש ובראשונה על בעל השליטה במאגר המידע - כלומר על העסק עצמו, ולא על בעל תפקיד ספציפי בעסק.

04

למה זה רלוונטי לעסק שלך?

עסקים רבים אינם מודעים לכך שהם "בעלי שליטה במאגר מידע" לפי החוק. אם הנך:

  • שומר רשימת לקוחות (כולל שם, ת"ז, דוא"ל, טלפון, היסטוריית רכישות)
  • מחזיק נתוני עובדים או נתוני מועמדים שלא נקלטו לעבודה
  • שומר פרטי יועצים ונותני שירותים (כולל חשבוניות וקבלות)
  • מפעיל מצלמות אבטחה שמצלמות אנשים
  • מקבל בווטסאפ או בדוא"ל מסמכים הכוללים מידע אישי אודות אנשים

הנך בעל שליטה במאגר מידע ולכן דיני הגנת הפרטיות חלים עליך.

לא בטוחים אם השימוש שלכם בווטסאפ תקין? דברו איתנו ←

05

מיתוסים נפוצים

מיתוס

"ווטסאפ מוצפן מקצה לקצה, אז זה בטוח."

שגוי

ההצפנה מגנה על ההודעה בזמן שהיא עוברת מגורם אחד לגורם אחר, אך היא לא מגנה מפני אובדן המכשיר, צילום מסך, העברה ידנית, חיבור לא מורשה לחשבון, מקום האחסון בענן, או אי-מחיקת המידע כשהעובד מסיים את עבודתו. הצפנה היא שכבת הגנה אחת בלבד, הקיימת אך ורק במעבר בין הגורמים.

מיתוס

"הלקוח עצמו שלח לי את המידע בווטסאפ, אז זה באחריותו."

שגוי

ברגע שהמידע מועבר אליך כחלק ממתן השירותים, הנך "בעל שליטה במאגר מידע" - ולכן החובה להגן על המידע האישי לפי דרישות החוק והתקנות חלה עליך.

מיתוס

"כולם משתמשים בווטסאפ. אם הרשות תתפוס מישהו, זה לא יהיה אני."

שגוי

הרשות להגנת הפרטיות פרסמה באופן מפורש הנחיות להתנהלות בעת שימוש בווטסאפ. כמו כן, פעלה ועדיין פועלת ביישום הליכי פיקוח במגזרים מסוימים שאותם היא מוצאת לנכון לבחון. תפיסה אקראית? כנראה שלא. תפיסה ממוקדת על מגזרים מועדים? כנראה שכן.

מיתוס

"מחקתי את ההודעה - אז המידע נמחק."

שגוי

אסור להניח שמשתמש שמחק הודעה מהווטסאפ שלו אכן "מחק את המידע" מהטלפון. לעיתים קרובות צילומי מסך, מסמכים, גיבויים והעברות לגורמים אחרים עדיין קיימים.

06

מה לעשות עכשיו?

  1. צרו ערוץ עסקי מבוקר ומאובטח

    דוא"ל עסקי בתשלום (דוא"ל חינמי אינו מאובטח דיו), פורטל לקוחות מאומת או מערכת ניהול לקוחות (CRM) ייעודית. לא הסקסי ביותר - אבל הסטנדרט המקובל, שישמור טוב יותר על המידע האישי הדיגיטלי.

  2. כתבו נוהל פנימי להתנהלות בווטסאפ

    הגדירו בעסק מה מותר ומה אסור בנוגע לווטסאפ, הדריכו את העובדים ותעדו את ההדרכה והמשתתפים.

  3. הפרידו בין ערוצים

    אם מוכרחים להשתמש בווטסאפ מול נושאי המידע, וודאו שהתקשורת עימם בסיסית בלבד, ואת המידע האישי העבירו בערוץ עסקי מבוקר ומאובטח. נושאי המידע ישמחו לדעת שאתם מקפידים על אבטחת המידע האישי שלהם.

  4. הפרידו בין ווטסאפים

    אם מעדיפים להשתמש בווטסאפ מול נושאי המידע, צרו - בנוסף לווטסאפ הפרטי - ווטסאפ עסקי במספר טלפון אחר. הפרידו בין המידע הפרטי והאישי שלכם לבין המידע האישי של נושאי המידע.

  5. היערכו לתרחיש של חסימת הווטסאפ

    במקרים רבים חברת מטא (בעלת האפליקציה) חוסמת את הגישה לווטסאפ בעקבות גניבת טלפון ואף בעקבות דיווחי סרק זדוניים. החזרת הגישה לאחר אירועים אלה מורכבת ביותר, ולעיתים הגישה חסומה לתקופה של שבועיים, חודש ואף יותר - בלי שיש עם מי לתקשר כדי להחזירה.

  6. הפרידו בין גיבויי הענן

    הפרידו בין מקום אחסון הגיבויים של הווטסאפ הפרטי לבין מקום אחסון הגיבויים של הווטסאפ העסקי.

  7. כתבו נוהל פנימי להיערכות לאירוע אבטחה

    היערכו לתרחישים שונים של גניבת מכשיר, חדירה לגיבויים, דלף מידע וכדומה. הכינו מראש תוכנית פעולה לכל תרחיש: אופן הטיפול בכל סוג של אירוע, אופן תיעוד האירוע על פי תבנית קבועה מראש, בחינת הצורך בדיווח לרשות להגנת הפרטיות ועוד.

  8. קבלו הנחיות פרטניות

    מומלץ להתייעץ עם גורם מקצועי כדי לקבל הנחיות פרטניות המותאמות לסיכונים הספציפיים בעסק שלכם - לרבות ובעיקר במקצועות החייבים בחובת סודיות על פי דין או כללי אתיקה.

אם הדברים אינם ברורים או מוכרים לך - מומלץ לשכור את שירותיו של איש מקצוע. לקביעת פגישה ללא עלות ←

07

איך הגנתא יכולה לסייע לך להגן על מידע אישי בערוצי התקשורת?

הגנתא מציעה כלים ושירותים פרקטיים לעסקים שצריכים לעמוד בדיני הגנת הפרטיות בישראל, למשל:

מד חוסן

שאלון חינמי לבדיקה של רמת ההגנה הכוללת בעסק שלך. בדיקה קצרה, תובנות מיידיות.

סקר פערים מלא

בדיקה מקצועית מקיפה, כולל ניתוח ספציפי של השימוש בווטסאפ ובערוצי תקשורת אחרים.

כתיבת נהלים

נוהל אבטחת מידע שכולל הוראות ספציפיות לכלי תקשורת כמו ווטסאפ, דוא"ל וחתימה דיגיטלית.

ייעוץ פרטני

ייעוץ ספציפי המותאם לעסק שלך. קביעת פגישה ללא עלות.

התחל/י את מד החוסן ← לעמוד השירותים ← לקביעת פגישה ללא עלות ←
08

הגדרות רלוונטיות

בעל שליטה במאגר מידע
מי שקובע, לבד או עם אחר, את מטרות עיבוד המידע שבמאגר המידע, או ארגון/אדם שהוסמך בחיקוק לעבד מידע במאגר מידע. למשל עסק הקובע שמטרת מאגר לידים נועדה לשם מסירתו לאחר. בעל השליטה יהיה העסק עצמו ולא בעל תפקיד ספציפי בעסק.
הצפנה מקצה לקצה
הגנה על תוכן ההודעה בזמן המעבר בין השולח לנמען בלבד. אינה מגנה על המידע השמור במכשיר, בגיבויים בענן או מפני העברה וצילום מסך.
מאגר מידע
אוסף של מידע אישי המעובד באמצעי דיגיטלי, למעט חריגים שפורטו בחוק. למשל: שמירה של פרטי הלקוחות וההזמנות שביצע - זהו מאגר מידע אודות לקוחות.
מידע אישי
כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין. למשל: באמצעות שם, מספר זהות, מזהה ביומטרי (כגון: טביעת אצבע), נתוני מיקום (כגון: GPS), מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.
מידע בעל רגישות מיוחדת
מידע אישי הכולל: מידע רפואי, מצב בריאותי, נתוני שכר, צנעת חיי המשפחה, נטייה מינית, מידע גנטי או ביומטרי, דעות פוליטיות, אמונות דתיות, עבר פלילי, מוצא, נתוני מיקום ועוד.
נושא מידע
האדם שהמידע האישי הוא אודותיו - לקוח, עובד, מועמד לעבודה, מטופל או נותן שירותים.
עקרון הצורך לביצוע התפקיד
עיקרון שלפיו גישה למידע אישי תינתן רק למי שזקוק לה לצורך מילוי תפקידו, ובהיקף המזערי הנדרש.
ערוץ עסקי מבוקר
ערוץ תקשורת שבשליטת העסק, עם ניהול הרשאות, אבטחה ותיעוד - כגון דוא"ל עסקי מוצפן, מערכת CRM מאובטחת או פורטל לקוחות מאומת.
09

מקורות מקצועיים

  • הרשות להגנת הפרטיות - הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים - נוסח מעודכן בעקבות תיקון 13 לחוק הגנת הפרטיות.
    https://www.gov.il/he/pages/medical_information_share
    אם הקישור לא נפתח, ייתכן שחוסם פרסומות בדפדפן חוסם את הדומיין - נסה/י להשבית אותו לעמוד זה, או חפש/י את שם המסמך בשורת החיפוש באינטרנט.
הערה משפטית: מאמר זה הוא תקציר המספק מידע מקצועי כללי בלבד ואינו מהווה ייעוץ משפטי. החוק והתקנות מורכבים ויישומם תלוי במאפיינים הייחודיים של כל עסק. מומלץ להתייעץ עם מומחה בתחום הגנת הפרטיות לפני איסוף מידע אישי ו/או קבלת החלטות עסקיות.
© 2018-2026 הגנתא - כל הזכויות שמורות. אין להעתיק או לשנות תוכן זה ללא רשות מפורשת בכתב.

שתפו את המאמר

לא בטוח/ה איפה להתחיל?

מד החוסן הוא שאלון חינמי קצר של 10 שאלות בדיני הגנת הפרטיות. תוצאות אישיות יתקבלו תוך מספר דקות.

ללא התחייבות, ללא עלות.

התחל/י את מד החוסן לתיאום שיחה

רוצים לדבר? שיחת ייעוץ ראשונית קצרה ללא התחייבות → קביעת פגישה