התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. מפרי התקנות צפויים לקנסות של כמה מיליוני שקלים
היום, 8 במאי, נכנסות לתוקף תקנות הגנת הפרטיות (אבטחת מידע), המפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, ביניהם משרדי נסיעות, חברות תעופה ומלונאים. התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. מפרי התקנות צפויים לקנסות של כמה מיליוני שקלים.
תקנות GDPR באיחוד האירופי
להזכירכם, ב-25 במאי יכנסו תקנות אבטחת הפרטיות באיחוד האירופי – תקנות GDPR, שנועדו להגן על הגולשים באינטרנט. משרדי נסיעות, חברות תעופה ומלונאים שיכשלו עם לקוחות אירופים בהגנה על המידע שלהם, יקנסו עד 4% מהמחזור השנתי, או 20 מיליון יורו. ראה מאמר ב-IAS מתאריך 3 במאי תחת הכותרת "לא ערוכים לקראת הגנת הפרטיות באיחוד האירופי", ובאותה הנשימה נוסיף: לא ערוכים לקראת הגנת הפרטיות בהתאם לתקנות הישראליות, הנכנסות, כאמור, היום לתוקף.
בחודש מרץ השנה אישרה וועדת חוקה, חוק ומשפט בכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע), שקבעה שרת המשפטים, המפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות שהן יוזמה של הרשות להגנת הפרטיות שהיא גם הגוף המפקח על יישומן, קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות טכנולוגית), שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה גם לאנשים עליהם המידע שנחשף.
התקנות החדשות יוצאות דופן בכך שהן חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי הכפופה לחוק הישראלי
בכל מגזרי המשק: ציבורי ופרטי כאחד. לכן הן עוצבו במתכונת מודולארית, המכילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.
מאגרים שחלה עליהם רמת האבטחה הבסיסית
הגדרת מאגרים אלה היינה על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
מאגרים שחלה עליהם רמת האבטחה הבינונית
בקבוצה זו נכללים מאגרי מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו לאחר, או שהינם בבעלות גוף ציבורי, או שהם מכילים מידע כגון – מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף לתוספת הראשונה.
מאגרים שחלה עליהם רמת האבטחה הגבוהה
מאגרי מידע, לרבות של גוף ציבורי, שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או מספר מורשי הגישה למידע זה עולה על 100.
החובות החלות על בעל מאגר יחיד היינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחה פיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימשו בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.
החובות החלות על כל שאר בעלי המאגרים כוללת דרישה להכנת מסמך הגדרות המאגר, במסגרתו יתנו את הדעת על איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש; עריכת נוהל אבטחת מידע; מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים; אבטחה פיזית; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספות.
חידוש משמעותי בתקנות הוא חובת ההודעה אודות אירועי אבטחה חמורים (תקנה 11):
בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, יודיעו להרשות להגנת הפרטיות באופן מיידי בקרות אירוע אבטחה חמור וכן ידווחו לרשות להגנת הפרטיות על הצעדים שנקטו בעקבות האירוע. בנוסף, במקרים אלה, רשאי רשם מאגרי המידע להורות לבעל מאגר המידע (לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר) להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.
חידוש נוסף המופיע בתקנות הנו במסגרת תקנה 20, המאפשר לרשם מאגרי המידע להחריג מתחולת התקנות, באופן מלא או חלקי, מאגרים מסוימים או מגזרים מסוימים, על מנת למנוע נטל פרוצדוראלי או בירוקרטי.
מהי אבטחת מידע?
אבטחת מידע פירושה הגנה על שלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים.
על מי חלות התקנות?
התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על האנשים שמידע על אודותיהם קיים במאגר המידע.
על איזה מידע חלות התקנות?
התקנות חלות על מידע המכיל נתונים על מעמדו האישי של אדם (כגון סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועית ועוד. דוגמה נוספת למידע שיש להגן עליו היא מספר תעודת הזהות של אדם.
מהו מאגר המנוהל בידי יחיד?
זהו מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד ("חברת אני"), ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים. לדוגמה, משרד נסיעות, שבה היחיד מנהל מאגר לקוחות הכולל פרטים כמו תאריכי לידה, קשרי משפחה ועוד. למאגר זה יכולים לגשת גם העובדים המסייעים ליחיד.
אבל אם יש במשרד שלושה עובדים ויותר?
אז כבר לא מדובר במאגר יחיד. במקרה זה יחולו חובות אחרות, המפורטות במדריך המלא לתקנות הגנת הפרטיות (אבטחת מידע).
כתובת מקוצרת לכתבה זו: https://www.ias.co.il?p=83139