בעוד כחודש ייכנסו לתוקף תקנות אבטחת המידע הישראליות וכדאי שתכירו אותן מקרוב

כולם מדברים על ה-GDPR, אבל בעוד קצת יותר מחודש ייכנסו לתוקפן גם תקנות המידע הישראליות וכדאי מאוד שתכירו אותן ותיערכו לקראתן

מקור: Pixabay

מאת: קרן מיכאלי ומיכאל גילינסקי

ב-8/5/2018 ייכנסו לתוקף תקנות אבטחת המידע בתחום הגנת הפרטיות אשר חלות על כלל המשק הישראלי ומבקשות להגן על האנשים הפרטיים שמידע על אודותיהם קיים במאגר המידע. מידע על מעמדו האישי של אדם (סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועית, מספר תעודת הזהות ועוד. כל אלה הם רק חלק קטן מהמידע אשר צריך להיות מוגן ע”י תקנות הגנת הפרטיות בתחום אבטחת המידע.

כמו כן, במאי תיכנס לתוקפה גם הרגולציה האירופאית, ה-GDPR, שתחול גם על חברות ישראליות הפעילות במסגרת האיחוד האירופאי אשר מחזיקות ואוספות מידע אישי אודות אזרחיו. כחלק מה-GDPR, הרשויות האירופאיות מוסמכות להטיל קנסות בשיעורים שלא היו כדוגמתם ויכולים להגיע לעד 4% מהמחזור השנתי הגלובאלי של החברה, או 20 מיליון יורו, לפי הגבוה מביניהם).

תקנות אלו קובעות מה יהיו המנגנונים האירגוניים וכן כוללות דרישות מהותיות של שינוי (ניטרליות טכנולוגית), שמטרתם שימוש באבטחת המידע כחלק משגרת ניהול ותחזוקת הארגון. בין שאר העידכונים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות, ולפי דרישתה גם לאנשים עליהם המידע שנחשף.

אז מה החידוש?

תקנות אלה חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי הכפופה לחוק הישראלי בכל מגזרי המשק: ציבורי ופרטי כאחד, וכל מי שמחזיק ומשתמש במאגר מידע בניגוד לחוק ייצטרך לתת את הדין. התקנות החדשות מטילות את האחריות לעמוד בהן על בעל מאגר המידע, על מנהלי הארגון ועל מחזיק המאגר. יותר מזה, לא מזמן הוגשה הצעת חוק המבקשת לתת לגיטימציה לממונה הכללי על מאגרי המידע ממשרד המשפטים להטיל קנסות של עד 3 מילון שקל בגין הפרת תקנות הגנת הפרטיות.

המטרה: “שייראו וייראו”

ראוי לציין כי עד עתה הקנסות והעונשים הכספיים שניתנו לא היו גבוהים וכן האכיפה נחשבת לדלה יחסית. חברות רבות כבר קיבלו קנסות בעבר על הפרה של תקנות הגנת הפרטיות. הנה כמה דוגמאות: ב-30/9/2017 חברת “שי שירותי סיעוד בע”מ” קיבלה קנס בגובה 400 אלף שקלים על כך שהפיצה מידע אישי אודות מאושפזים שלה אשר מקורו במאגרי המידע של בתי החולים בהם אושפזו. החברה עשתה זאת לצרכיה העסקיים בלבד, ללא הסכמתם של המאושפזים, ובניגוד להוראות סעיף 8(ב) לחוק הגנת הפרטיות. החברה ביצעה 16 הפרות של הסעיף ולכן שילמה קנס גבוה במיוחד.

דוגמא נוספת מהעבר הלא רחוק היא של מפלגת “יש עתיד”, ברשותו של יאיר לפיד. ב-3/5/2017 קיבלה המפלגה קנס מנהלי וקביעת הפרה בגובה 55 אלף שקלים על העברה של רשימות הכוללות מידע רגיש על ניצולי שואה לגופים שונים ללא הסכמתם המפורשת של הניצולים.

לא כל המאגרים שווים

מאגרי המידע מוגדרים לפי רמת האבטחה שלהם: בסיסית, בינונית או גבוהה. כמו כן קיימת הגדרה נפרדת למאגר מידע המנוהל בידי יחיד, כשמאגר מידע המנוהל ע”י יחיד מוגדר מאגר שהגישה אליו נמצאת בידי לא יותר מ-3 אנשים, ובלבד שמטרתו איננה איסוף מידע לצורך מסירתו לאחר (כמו שירות דיוור ישיר), הוא איננו מכיל מידע על יותר מ-10,000 איש ולא כולל מידע הכפוף לחובת סודיות.

מאגר מידע בעל רמת אבטחה בסיסית מוגדר כמאגר שאינו מוגדר כמנוהל על ידי יחיד ואינו נכנס לאחת הקבוצות הבאות של רמת אבטחה גבוהה יותר; מאגר מידע בעל רמת אבטחה בינונית הוא מאגר שמורשי הגישה אליו עולים של עשרה, שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש; מאגר מידע בעל רמת אבטחה גבוהה הוא מאגר של גוף ציבורי גדול שמטרתו לאסוף מידע לצורך מסירתו לאחר או כזה המכיל מידע רגיש, ובלבד שהוא מכיל מידע על 100 אלף אנשים ומעלה או שמספר מורשי הגישה אליו עולה על 100.

מידע רגיש יכול לכלול מידע מהסוגים הבאים: מידע על צנעת חיי האדם; התנהגותו של אדם ברשות היחיד; מידע רפואי או נפשי; מידע גנטי; מידע אודות דעות פוליטיות או אמונות דתיות; על עבר פלילי; נתוני תקשורת; מידע ביומטרי; מידע על נכסיו, חובותיו והתחייבויותיו של אדם; הרגלי צריכה של אדם וכדומה.

אז איך נערכים לתקנות הגנות הפרטיות ואבטחת המידע?

מקור: Pixabay

הצעדים שיש לעשות כדי להיערך כראוי לחידוש התקנות במאי משתנים בהתאם לרמת האבטחה של מאגר המידע. הגדרת מאגר המידע (על פי תקנה 2 בתקנות הגנת הפרטיות) שלפניכם הוא צעד שיש לעשות בכל רמה של מאגר מידע. מדובר במסמך שצריך להיות קיים באירגון ובמסמך זה יש לענות על השאלות הבאות:

מה השימוש שלי במידע? תיאור של פעולות איסוף ושימוש במידע
לשם מה המידע נאסף? תיאור מטרות השימוש במידע
איזה סוג מידע יש לי בכלל? סוגי המידע השונים הנכללים במאגר המידע
האם המידע מועבר על ידי גם לחו”ל? אם המידע עובר או בשימוש מחוץ לגבולות ישראל יש לציין זאת
האם נעשות פעולות עיבוד מידע באמצעות  גורם חיצוני? )הכוונה לקבלן חיצוני שאינו בעל מאגר המידע אך מחזיק בו או רשאי לעשות בו שימוש בעבור בעל המאגר(
מהם הסיכונים העיקריים  במקרה של פגיעה באבטחת המידע?
איך בכוונת האירגון להתמודד עם הסיכונים האלה אם יתרחשו?
ציון שמם של נושאי התפקידים באירגון: מנהל/ת מאגר המידע, מחזיק/ת המאגר והממונה על אבטחת המידע

צעד נוסף שחל כמעט על כל רמות אבטחת המידע (למעט מאגר מידע המנוהל ע”י יחיד) הוא הגדרת הממונה על אבטחת המידע (על פי תקנה 3 בתקנות הגנת הפרטיות) – כשעל פי חוק הגנת הפרטיות, נדרשים גופים מסוימים למנות ממונה על אבטחת מידע: מי שמחזיק בחמישה מאגרי מידע החייבים ברישום לפי החוק, ביניהם  גוף ציבורי כגון בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי.

שימו לב: אם מונה ממונה על אבטחת המידע – ולא משנה מדוע נעשה המינוי – יש לפעול כך: הממונה יהיה כפוף באופן ישיר למנהל מאגר המידע או המחזיק, למנהל בכיר אחר הכפוף לו או למנכ”ל הארגון הממונה על אבטחת המידע יכין נוהל אבטחת מידע ויביאו לאישור ההנהלה הבכירה של הארגון. הממונה יתווה תוכנית לבקרה שוטפת על העמידה בדרישות התקנות, יבצע אותה ויספק להנהלת הארגון ולמנהל המאגר את ממצאיו. הממונה על אבטחת המידע לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד אינטרסים במילוי תפקידו.

בנוסף, אם בעל מאגר המידע הטיל על ממונה אבטחת המידע משימות נוספות שאינן קשורות בנוהל אבטחת המידע והבקרה השוטפת (לדוגמה: מנהל מערכות המידע של המאגר), עליו להגדירן בצורה ברורה משימות אלו בעל מאגר המידע יספק לממונה אבטחת המידע את המשאבים הדרושים לו לשם מילוי תפקידו בצורה הטובה ביותר.

על קצה המזלג

התקנות מונות 20 סעיפים בסה”כ ומפרטות בדיוק מהי האחריות החלה בכל סוג של מאגר מידע. כאמור, זהו רק חלק קטן מהפעולות שיש לעשות כדי לאכוף את התקנות החדשות. לנוכח החידושים בדיני הגנת הפרטיות כדאי להתעדכן בעדכוני התקנות האחרונים, בשיטות האכיפה וביישומן בשטח וכמובן שייעוץ משפטי ייתן את המענה ואת האכיפה המלאה ביותר.

מאמר זה מהווה סקירה כללית, הוא אינו מלא ואינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם.

נכתב ע”י קרן מיכאלי, מנהלת שיווק בשיתוף מיכאל גילינסקי, ראש מחלקת מערכות מידע ורגולציה באודיט בקרה וביקורת

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

5 תגובות על "בעוד כחודש ייכנסו לתוקף תקנות אבטחת המידע הישראליות וכדאי שתכירו אותן מקרוב"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ש.
Guest

אל מי פונים אם יש חשש להפרה של התקנות ?

קרנינה
Guest

היי ש. אתה יכול לפנות למשרד שבכתבה – אודיט בקרה וביקורת >https://www.audit-fa.co.il/ והם יישמחו לעזור בכל שאלה ופנייה:
info@audit-fa.co.il זה המייל

מיכאל גילינסקי
Guest
מיכאל גילינסקי

לרשות הגנת הפרטיות –

בעעע
Guest

“ב-30/9/2018 חברת “שי שירותי….”
אהבתי את היכול לחזות חצי שנה אל תוך העתיד :)

מיכאל גילינסקי
Guest
מיכאל גילינסקי

בדיקת עירנות :)

wpDiscuz

תגיות לכתבה: