תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017
בתאריך 8 במאי 2018, נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן – "התקנות") אשר קובעות הוראות שונות וחובות בתחום אבטחת המידע אשר חלות על מי שמנהל או מחזיק במאגר מידע ממוחשב אשר נכלל בו מידע אישי של אנשים הנוגע לאישיותם, למעמדם האישי, לצנעת אישותם, למצבם הבריאותי והכלכלי, להכשרה המקצועית שלהם, לדעות ואמונות ועוד.
מטרת התקנת התקנות היא לפרט ולקבוע את עקרונות אבטחת המידע הנוגעים לניהול ושימוש במידע אישי אשר מצוי במאגרי מידע ממוחשבים (Data Basesׂ). בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 (להלן – "החוק") שמכוחו הותקנו התקנות נקבע כי האחריות לאבטחת המידע שבמאגר המידע חלה על בעל מאגר המידע (הכוונה לארגון או לחברה או לעסק שאוסף ומעבד את המידע המצוי במאגר המידע). בתקנות הורחבה האחריות לאבטחת מידע ונקבע בהן, כי החובה ליישום התקנות חלה גם על מנהל מאגר המידע ועל מי שמחזיק במאגר (כמו למשל חברת תוכנה שמחזיקה במאגר המידע ומספקת ללקוחות שירותי תמיכה טכנית או חברה המפתחת מערכות מידע או כמו למשל ספק שירותי ענן שמחזיק בשרתיו את מאגר המידע לצורך אספקת שירותי ענן שונים כגון מתן שירותי איחסון ושירותי גיבוי ואיחזור מידע).
התקנות מטילות חובות אבטחת מידע בהתאם לשלוש רמות אבטחה: רמת אבטחה, בסיסית, בינונית וגבוהה. סיווג רמות אבטחת המידע נקבע בתקנות בהתאם לרגישות המידע שמצוי במאגר המידע, לפעילות שנעשית במאגר ובהתאם למספר בעלי ההרשאה אשר להם יש גישה למאגר. ככל שרמת האבטחה היא גבוהה יותר התקנות מחילות חובות רבות יותר ולהיפך.
בין יתר החובות החלות על ארגונים שבבעלותם מאגרי מידע ועל מחזיקים במאגר ניתן לציין את החובה למנות ממונה על הגנת הפרטיות וממונה על אבטחת מידע. כמו כן, קיימת חובה להכין מסמך הגדרות מאגר ולאמץ מדיניות ונהלי אבטחת מידע. בנוסף, התקנות מחייבות לבצע מיפוי מערכות מידע וסקר סיכוני אבטחת מידע, לערוך בקרה על בעלי הרשאות גישה למאגר, לתעד אירועי אבטחת מידע ולדווח לרשות להגנת הפרטיות על אירועים חמורים ויש גם חובה לקבוע נהלי עבודה לקבלני מיקור חוץ העושים שימוש במאגר המידע ולחתום איתם על הסכם בכתב המתייחס ליישום חובות אבטחת המידע והגנת מידע ופרטיות.
להלן נביא המלצות שיסייעו לחברות המנהלות או מחזיקות במאגר מידע, למנהלי מחשוב ותקשורת, למנהלי בסיסי נתונים וכיוצ"ב לבחון את עמידתם בדרישות החוק והתקנות ולהיערך ליישום החובות המוטלות עליהם:
- בידקו האם מונה ממונה על הגנת הפרטיות וממונה על אבטחת מידע.
- בידקו האם קיימים נהלים בתחום אבטחת מידע.
- וודאו אם נערכה תוכנית עבודה לבקרה שוטפת בנושא אבטחת מידע והגנת הפרטיות.
- בידקו האם נערכה ביקורת של יועץ אבטחת מידע ושל עו"ד חיצוני העוסק בדיני הגנת הפרטיות.
- בצעו סקר סיכוני אבטחת מידע ומיפוי מערכות מידע.
- בידקו האם ניתנה הסכמה מאת נושאי המידע לכלול את הנתונים שנאספו עליהם במאגר מידע.
- בידקו האם מאגר המידע שבחזקתכם נרשם כדין אצל רשם מאגרי המידע.
- וודאו אם ננקטו אמצעים לאפשר לנושאי המידע לבקש למחוק את המידע שלהם מהמאגר.
- הכינו רשימת מחזיקים ובעלי הרשאה להם יש גישה למאגר מידע ובידקו האם הם חתומים על הסכם כלשהו הכולל התייחסות לסודיות המידע.
- בידקו האם מבוצע מעקב ותיעוד של אירועי אבטחת המעלים חשש לשימוש במאגר בלא הרשאה.
- וודאו האם העברת מידע ממאגרי המידע נעשית באמצעות שיטות הצפנה מקובלות.
- ככל שחברה אשר בבעלותה מאגר מידע התקשרה עם חברה חיצונית או עסק או גורם חיצוני (חברת תוכנה, ספק ענן, ספק שירותי DBA, ספק שירותי הנה"ח וניהול כוח אדם, וכו'), לצורך קבלת שירות הכרוך במתן גישה למאגר המידע או בהעברת קבצים ממאגר המידע אל הגורם החיצוני, יש לבחון האם קיים הסכם המתייחס לאופן עיבוד המידע, לאופן יישום החובות בתחום אבטחת המידע, לסוגי הפעולות שהגורם החיצוני רשאי לעשות במאגר המידע, לאופן השבת המידע לידי בעלי המאגר בסיום ההתקשרות וביעורו, להחתמת בעלי הרשאות אצל הגורם החיצוני על התחייבות לשמור על סודיות המידע וכיוצ"ב נושאים אשר חובה על ההסכם לכלול על פי התקנות.
- ככל ולחברתכם התקשרות עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע, המאפשרת לגורם החיצוני לספק את שירותיו באמצעות גורם חיצוני נוסף (כמו למשל חברת תוכנה אשר מעניקה לבעל המאגר בנוסף לשירותי תוכנה גם שירותי איחסון מידע וגיבויים באמצעות ספק ענן), יש לוודא שהגורם החיצוני החתים את הגורם הנוסף על הסכם המכיל את החובות בתחום אבטחת מידע והגנה על מידע כמפורט בתקנות.
לאור פעילות פיקוח ואכיפה מינהלית יזומה שמבצעת הרשות להגנת הפרטיות אצל גופים המנהלים או המחזיקים מאגרי מידע מומלץ לבחון את עמידתכם בהוראות החוק והתקנות ולקבל עצה מקצועית בנוגע ליישום החובות החלות על בעלי מאגרים ומחזיקי מאגרים בתחום אבטחת מידע והגנת מידע.
האמור לעיל הינו מידע כללי ואינו מהווה חוות דעת משפטית.
לקבלת ייעוץ מקצועי יש לפנות עם מלוא פרטי המקרה לעורך דין.
אלון ספושניק, עורך דין @ כל הזכויות שמורות
בעלת תואר מוסמך במשפטים ובמינהל עסקים MLB מאוניברסיטאות Bucerius ו-WHU בגרמניה.
טלפון: 072-2502512 * פקס: 072-2502521
כשתירשמו לבלוג, נשלח אליכם מייל כשיהיו עדכונים חדשים באתר כדי שלא תפספסו.
