ההנחיה בנושא הגנת הפרטיות במידע אישי במיקור חוץ, תקפה לשורה ארוכה של שירותים הניתנים למעסיקים הן למגזר העסקי והן למגזר הציבורי, המספקים שירות לאזרח.
במקרים רבים בהם השירות ניתן לאזרח במיקור חוץ, לא ידוע כלל לאזרח כי העומד מולו אינו נציג הארגון אלא נותן שירות על תקן קבלן חיצוני. ההנחיה החדשה קובעת מספר עקרונות בסיסיים הדורשים הסדרה בטרם הוצאת פעולות עיבוד מידע למיקור חוץ, לרבות:
• בחינה מקדימה של הלגיטימיות להוצאת הפעילות למיקור חוץ.
• הגדרה ברורה של אופי השירות שיבוצע במיקור חוץ וקביעה מדויקת של מטרת השימוש במידע, כך שלא יתבצע שימוש שלא למטרה לשמה נתקבל המידע.
• הגדרת דרישות אבטחת מידע ושמירה על סודיות, כדי למנוע זליגה של המידע.
• הבטחת מתן זכות עיון ותיקון לאזרח אליו המידע נוגע.
• עקרונות לאופן בחירת הקבלן, כגון ניסיון קודם ובירור חשש לניגוד עניינים.
• הדרכה והטמעה של דיני הפרטיות בקרב עובדי הקבלן נותן השירות.
• אופן קיום בקרה של המזמין על עמידת נותן השירות בדיני הפרטיות.
• משך שמירת המידע הנמסר לקבלן לצורך ביצוע השירות ומחיקתו עם גמר ההתקשרות.
לנוחיות ציבור ספקי השירותים ודורשי השירותים, ניסח משרד המשפטים רשימת בדיקה Chek-List לבחינת קיום הוראות ההנחיה בהתקשרות לשירותי מיקור חוץ (נספח ב' להנחיה).
לדברי עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, "שירותי מיקור חוץ ניתנים היום במסגרות רבות ומגוונות. מסמך זה הוא שלב נוסף במאמץ של רמו"ט, להנחות את הציבור כיצד לעמוד בהוראות חוק הגנת הפרטיות, ובכך לשפר את ההגנה בפועל על זכותו של כל אזרח לפרטיות. הנחיות רשם מאגרי המידע מיועדות להדריך את מי שמבקש לציית לחוק כיצד לפעול בהתאם לדרישות חוק הגנת הפרטיות, ומבהירה את החובות בטרם יופעלו סנקציות על מפרי החוק".
עו"ד עמית אשכנזי, יועמ"ש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, ציין כי "הפניית פעולות עיבוד מידע אישי לביצוע בידי קבלן חיצוני, איננה פוטרת את בעל מאגר המידע מאחריותו ומחובותיו על פי דיני הפרטיות. מטרת הנחיה זו היא להסדיר ולהגדיר מחדש את השירותים הניתנים בצורת מיקור חוץ, בכפוף להגנה המידע האישי של כל אדם. הדברים נכונים במיוחד כאשר הארגון מזמין העבודה הינו גוף ציבורי."
לצפייה בהנחיה ולהורדת הקובץ לחצו כאן.