במסגרת חוק הגנת הפרטיות הכשרה חברה לביטוח בע"מ ("הכשרה" או "החברה") מיישמת כללים הנוגעים להבטחת הפרטיות והגנת המידע האישי כדלקמן:
1. עיבוד הוגן וחוקי - הכשרה מעבדת מידע אישי באופן הוגן וחוקי ואוספת מידע אישי רק בהסכמה של נשוא המידע או ממקורות הפועלים כדין.
2. הגבלת מטרה - הכשרה מעבדת מידע אך ורק למטרות שלשמן נמסר לה על ידי נשואי מידע.
3. מידע עודף - הכשרה אינה אוספת מידע מעבר לנדרש לצורך מימוש המטרות שלשמן הוא נמסר.
4. שקיפות - הכשרה מפרטת את מטרות השימוש במידע שנאסף; העברות מידע, מטרותיהן וזהות הנעברים; קיומן של זכויות עיון, תיקון והתנגדות.
5. זכות עיון, תיקון והתנגדות - הכשרה מכבדת את נשואי המידע לעיין במידע אישי אודותיהם; לתקנו במידה שנמצא לא מדוייק או מעודכן; ולהתנגד לשימוש בו למטרות דיוור ישיר.
6. סודיות ואבטחה - הכשרה שומרת על סודיות מידע אישי ומיישמת מנגנונים טכנולוגיים וארגוניים נגד אבדנו, פגיעה בשלמותו, גישה אליו ללא הרשאה או שינויו שלא כדין. מידע רגיש יזכה לדרגת אבטחה גבוהה והגישה אליו תחייב הליכי זיהוי או אימות זהות הולמים.
7. אחריות - הכשרה מיישמת מנגנונים ארגוניים להבטחת האחריות של החברה, מנהליה, עובדיה, וספקיות שירותים עימם היא עובדת לקיום המדיניות והעקרונות ולהטלת סנקציות במידה של הפרה.
8. הכשרה אוספת מידע אישי בשלושה שלבים עיקריים:
8.1. שלב ההצעה והחיתום; שבמסגרתו נאסף מידע אישי, כגון פרטים אישיים, פיננסיים, רפואיים, עבר ביטוחי, ועוד, לצורך הערכת סיכונים וקביעת הפרמיות.
8.2. שלב ניהול הפוליסה, שבמסגרתו משולמות הפרמיות והפוליסה הינה בתוקף ומנוהלת על ידי החברה.
8.3. שלב התביעות, שבמסגרתו נאסף מידע אישי, כגון מידע רפואי, לצורך החלטה האם יש לשלם את הכיסוי הביטוחי ומהו גובה הסכום שיש לשלם.
9. איסוף מידע אישי יכול להתבצע ישירות מול הלקוח או מול מי שפועל מטעמו (כגון: סוכן ביטוח, עורך דין, מעביד וכדו') או כל אדם אחר הפונה לחברה, בשיחה או בכתב באמצעות טפסים או מסמכים אחרים, במפגש או באמצעי קשר מרוחקים כגון: מרכז שירות לקוחות, אתר האינטרנט של החברה, אפליקציה של החברה, עמוד ברשת חברתית וכיוצ"ב. במידה שלקוח, או אחר הפונה לחברה, נדרש למסור מידע אודות אדם אחר מלבדו (למשל, נהג נוסף או מוטב), יובהר לו כי עליו להשיג את הסכמתו של אותו אדם למסירת המידע.
10. לעיתים אוספת הכשרה מידע אישי גם אודות מי שאינם לקוחות החברה, כגון לקוחות פוטנציאלים שלא הפכו ללקוחות, צדדים שלישיים התובעים לקוחות של החברה, ועוד. במידה שהכשרה מקליטה שיחות טלפון עם פונים, נמסרת לפונים הודעה על כך בתחילת השיחה.
11. הכשרה אוספת ומשתמשת במידע אישי למטרות הבאות:
11.1. ניהול עסקי ביטוח, כולל ביטוח רכב חובה, ביטוח רכוש, ביטוח חיים, ביטוח מנהלים, ביטוח בריאות ועוד.
11.2. חיתום פוליסות ביטוח.
11.3. יישוב סכסוכים ותביעות ביטוח.
11.4. שיווק מוצרי ביטוח, מוצרים משלימים ומוצרים קשורים אחרים, כולל דיוור ישיר ללקוחות.
11.5. הערכת סיכונים וניתוח סטטיסטי ואקטוארי.
11.6. ציות להוראות החוק, התקנות והרגולטורים.
11.7. אימות זהות לקוחות או צדדים שלישיים המתקשרים עימה.
11.8. מסירת הודעות ודיווחים ללקוחות.
11.9. הקלטה ותיעוד של שיחות או תכתובת עם נציגי שירות או גורמים שונים בחברה למטרת בקרה, שיפור השירות או קיום הוראות החוק והרגולציה.
11.10. איתור, חקירה ומניעה של הונאות, תרמיות או עבירות שונות.
11.11. ניהול הליכים משפטיים.
11.12. ניהול מאגר עובדים וספקי שירותים, כולל בחינת מועמדים, גיוס, תוכניות הכשרה מקצועית, שכר והטבות, שעות עבודה ומנוחה, ימי חופשה ומחלה, הליכים משמעתיים, ציות לחוק ולרגולציה, ומתן יפויי כוח.
12. הכשרה אינה עושה שימוש במידע אישי שלא למטרה שלשמה נמסר; כך למשל, הכשרה אינה משתמשת במידע רפואי שהתקבל על קרובי משפחה של לקוח במסגרת חיתום פוליסת ביטוח בריאות לצורך שיווק או חיתום של פוליסות נוספות לאותם בני משפחה.
13. הכשרה מעבירה מידע אישי לצדדים שלישיים אך ורק בהסכמה של נשואי המידע, או לצורך מתן שירותי הביטוח, לצורך פעילותה כמבטח, או לקיום הוראות חוק או רגולציה.
14. הכשרה מעבירה מידע אישי לגורמים הבאים:
14.1. חברות בקבוצת הכשרה (בכפוף להודעה ללקוח).
14.2. סוכנויות ביטוח.
14.3. מי שפועל מטעמו של הלקוח (כגון סוכני ביטוח, עורכי דין, רופאים).
14.4. ספקיות שירותי מחשוב וטכנולוגיות מידע, לרבות העברת מידע לספקי שירותי ענן בחו"ל.
14.5. ספקי שירות של החברה, כאשר השירות כרוך במסירת מידע אישי כגון: שירותי דפוס, שירותים רפואיים, שמאות, חקירות, עורכי דין, מוסכים, שירותי ארכיב.
14.6. מבטחי משנה.
14.7. רגולטורים, רשויות אכיפת חוק ובתי משפט.
14.8. משרד הרישוי.
14.9. חברות שעשויות לרכוש את השליטה בהכשרה או הפעילות העסקית שלה.
14.10. גורמים אשר להכשרה חובה על פי דין למסור להם מידע.
14.11. צדדים שלישיים עמם יש להכשרה הסכמים, אשר עשויים לעשות במידע שימוש לצרכיהם.
14.12. גורמים נוספים, אך ורק ככל שהדבר נחוץ לשם קיום עסקי הביטוח.
15. בכל מקרה של העברת מידע אישי, מוודאת הכשרה כי מקבל המידע מחוייב הסכמית לשמור על סודיות המידע האישי ואבטחתו.
16. כל אדם זכאי לעיין במידע אישי אודותיו המוחזק בידי הכשרה.
17. הכשרה תאפשר לנשוא מידע לעיין במידע אישי אודותיו לאחר הגשת בקשה בכתב בהתאם להוראות החוק בליווי תשלום כדין, כל עוד לא קיימת עילה שבדין לדחיית הבקשה.
18. כך למשל, אין בעל מאגר חייב למסור מידע בניגוד לחסיון שנקבע לפי כל דין, אלא אם כן המבקש הוא מי שהחסיון נועד לטובתו. "דין" - לרבות הלכה פסוקה.
19. נשוא מידע זכאי להגיש בקשה בכתב לתיקון מידע אישי או למחיקת מידע אישי שאינו נכון, שלם, ברור או מעודכן, והכשרה תתקן את המידע האישי כל עוד לא קיימת עילה שבדין לדחיית הבקשה.
20. נשוא מידע זכאי לדרוש בכתב שמידע אישי אודותיו יימחק ממאגר מידע המשמש לדיוור ישיר או שמידע אישי אודותיו המוחזק במאגר מידע המשמש לשירותי דיוור ישיר לא יימסר לאדם, לסוג בני אדם או לאנשים מסויימים.
21. בקשות למימוש זכות העיון, תיקון או התנגדות לדיוור ישיר יש להפנות אל הממונה על הגנת הפרטיות:
· עו"ד שגיא קהלני
יועץ משפטי ומזכיר החברה
22. הכשרה תשיב על בקשה למימוש זכות העיון, תיקון או התנגדות במהירות האפשרית ובכל מקרה לא יאוחר מתוך 30 יום מיום שנתקבלה.
23. הפניות יטופלו על פי הכללים בחוזר גופים מוסדיים 2009-9-9 – "הסדרת אופן התנהלותם של הגופים המפוקחים במסגרת בירור תלונות ציבור".
24. הכשרה מתחייבת לשמור על סודיות של המידע האישי ברשותה. כל עובד של הכשרה וכל ספקית שירות בעלת גישה למידע אישי שברשות הכשרה מוחתמים על כתב סודיות ומתודרכים לשמור על סודיות מידע אישי והעדר שימוש בו אלא במסגרת מילוי תפקידם.
25. הכשרה מיישמת מנגנונים טכנולוגיים וארגוניים נגד אבדן מידע אישי, פגיעה בשלמותו, גישה אליו ללא הרשאה או שינויו שלא כדין, הכל בהתאם למסמך מדיניות הדירקטוריון "ניהול סיכוני אבטחת מידע" וחוזר גופים מוסדיים 2006-9-6 – "הוראה לניהול סיכוני אבטחת המידע של הגופים המוסדיים. דגש מיוחד מוענק לאבטחת מידע אישי המועבר על רשתות תקשורת ולאבטחת מידע רגיש.
26. בין היתר, מיישמת הכשרה את מנגנוני אבטחת המידע הבאים:
26.1. מיפוי מערכות מידע וסקר סיכונים תקופתי.
26.2. אבטחה פיסית וסביבתית על התשתית הפיסית של מאגרי המידע.
26.3. אבטחת מידע בניהול כוח אדם.
26.4. הגבלת גישה ישירה של סוכנים וסוכנויות אל מאגר המידע, למעט בתנאים המפורטים בהוראה.
26.5. ניהול הרשאות גישה למערכות המידע של הארגון והגבלתן בהתאם לעקרון ה- "need to know".
26.6. ניהול סיסמאות.
26.7. הפעלת אמצעים לזיהוי ואימות זהות של מורשי גישה למאגרי המידע ושל נשואי מידע המבקשים גישה למידע אישי אודותם המצוי במאגרי המידע, בהתאם לנוהל החברה בנושא אימות זהות לקוח לצורך מתן גישה למידע שעליו במאגר מידע.
26.8. הפרדה במידת האפשר של מערכות מידע הקשורות לאינטרנט ממערכות המשרתות את מאגר המידע, התקנת חומות אש (firewalls), והצפנה של מידע אישי המועבר על רשתות תקשורת.
26.9. נקיטת אמצעי הגנה סבירים ומקובלים (כולל הצפנה במידת הצורך) בעת העברת מידע אישי על גבי התקנים ניידים או הוצאת פלט של מידע אישי.
26.10. תיעוד גישות למאגר המידע ואירועי אבטחה המעלים חשש לפגיעה בשלמות מידע אישי או לשימוש בו ללא הרשאה.
26.11. ביצוע גיבוי תקופתי של המידע האישי במאגר המידע ואימוץ נהלים ומנגנונים להבטחת שיחזור המידע האישי בעקבות אירועים של אובדן או הרס.
26.12. ביצוע ביקורות תקופתיות פנימיות וחיצוניות.
27. הכשרה אינה מעבירה מידע אישי לספקית שירותים בטרם עריכת בדיקת נאותות וקבלה של הבטחות חוזיות ליישום חובות הסודיות והאבטחה על ידי ספקית השירותים ועובדיה. הכשרה מיישמת את נוהל העברת מידע לספקיות שירותים במיקור חוץ. בכלל זה, מקיימת הכשרה ביקורות, כולל ביקורות פתע, אצל ספקיות שירותים לוודא את אופן קיומן את המדיניות.
28. מידע רגיש זוכה לדרגת אבטחה גבוהה והגישה אליו מחייבת הליכי זיהוי או אימות זהות הולמים.
29. הכשרה אינה שולחת הודעות בדיוור ישיר למי שביקש להסיר את שמו ממאגר המידע המשמש לצורך דיוור ישיר.
30. הכשרה רשאית לשלוח לך מסרים שיווקיים ופרסומות בקשר עם מוצריה באמצעות רשתות חברתיות, פקסימיליה, מערכת חיוג אוטומטית, דוא"ל, smsאו בכל מדיה אלקטרונית אחרת.
31. הכשרה אינה שולחת דברי פרסומת באמצעות אימייל, מסרונים ("סמס"), פקס או מערכת חיוג אוטומטי, בלא קבלת הסכמה מפורשת מראש של הנמען, בהתאם להוראות חוק התקשורת.
32. נשוא מידע המעוניין להתלונן על אופן יישום המדיניות על ידי הכשרה או מי מעובדיה, יפנה בכתב אל הממונה להגנת הפרטיות, שיחקור את התלונה. אם הגיעה תלונה מרשם מאגרי המידע, ישתף עימו הממונה על הגנת הפרטיות פעולה בחקירת התלונה. במידה שנגרם לנשוא המידע נזק, ישתף הממונה על הגנת הפרטיות מידע עם היועץ המשפטי במטרה לאפשר את פיצויו של נשוא המידע באופן הוגן. במידה שהטיפול של הממונה על הגנת הפרטיות אינו משביע את רצונו של נשוא המידע, זכאי נושא המידע לפנות בתלונה לרשות להגנת הפרטיות. אתר האינטרנט של הרשות להגנת הפרטיות:
https://www.gov.il/he/Departments/General/public_inquiries_ilita
לצפייה והורדת המדיניות המלאה לחצו כאן >>