ENGLISH
business-corporate-protection-safety-security-concept

הגנת הפרטיות (אבטחת מידע)

מרץ 2018

חוק הגנת הפרטיות מחייב רישום מאגרים הכוללים מידע על אנשים בנסיבות מסוימות, כאשר הוא מוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב (בכפוף לחריגים בחוק).
ב-8 למאי 2018 יכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. תקנות אלו נועדו לעגן הסדר מקיף יותר מההסדר הקיים כיום בחוק הגנת הפרטיות ותקנותיו, בנוגע להגנה על מאגרי מידע ולהתנהלות בקשר למאגרי מידע של גופים ציבוריים ופרטיים. כלומר, מעבר לחובת רישום שהייתה קיימת עד כה, ההסדר כולל גם מנגנונים להגנה מפני שימוש לרעה במידע המצוי במאגרים. במאמר זה נסקור בקצרה את עיקר הקבוע בתקנות.

אחריות בעלים, מחזיקים ומנהלים של מאגרי מידע

החובות החלות בתקנות על בעל מאגר מידע חלות גם על מחזיק מאגר מידע ומנהל מאגר מידע (למעט חובות מסוימות) בשינויים המחויבים.
בתקנות ישנה חלוקה לארבעה סוגי מאגרי מידע, כאשר החובות בקשר לכל אחד מחמירות בהתאם לפרמטרים שונים (ממאגר המנוהל על ידי יחיד ועד מאגר עליו חלה רמת אבטחה גבוהה). לדוגמא, חובת אבטחה בינונית מוטלת על מאגר המכיל מידע רפואי או מידע על מצבו הנפשי של אדם; וחובת אבטחה גבוהה מוטלת על מאגר מידע שעיקר מטרתו היא מסירתו לאחר או מכיל מידע על למעלה מ-100,000 אנשים.

אילו חובות מתווספות מכוח התקנות?

להלן עיקרי החובות המפורטות בתקנות החדשות (קיים שוני בהיקף החובות החלות על כל מאגר בהתאם לסיווגו):

  1. עריכת מסמך המגדיר את תכולת המאגר, פעולות האיסוף והשימוש במידע.
  2. ממונה אבטחת מידע – גופים מסוימים, כגון גוף המחזיק בחמישה מאגרי מידע, בנקים וחברות דירוג אשראי, נדרשים למנות ממונה אבטחת מידע. הממונה נדרש ליצור נוהל אבטחת מידע, שיאושר על ידי בעל המאגר, ותכנית לבקרה שוטפת על עמידה בדרישות התקנות.
  3. עריכת נוהל אבטחה – הוראות בעניין אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר המידע ולמערכותיו ותיאור אמצעי הגנה על המאגר.
  4. ניהול הרשאות גישה – מתן גישה במידה הנדרשת לכל אדם בהתאם לצורך וניהול ההרשאות.
  5. אבטחת מידע בניהול כוח אדם – חובת נקיטת אמצעים סבירים כדי לוודא התאמת אדם לקבל גישה למאגר.
  6. תיעוד אירועי אבטחה – יש לתעד (אוטומטית ככל האפשר) כל מקרה שבו התגלה אירוע שמעלה חשש לפגיעה בשלמות מידע או שימוש ללא הרשאה או שימוש בחריגה מהרשאה.
  7. מיקור חוץ – בהתקשרות עם גורם חיצוני, שכרוכה במתן גישה למאגר, ייבחנו סיכוני אבטחת המידע טרם ההתקשרות ויוסדר אופן השימוש במידע עם אותו גורם.
  8. ביקורת תקופתית – אחת ל-24 חודשים בידי גורם בעל הכשרה שאינו ממונה האבטחה.

האם ניתן לקבל פטור?

רשם מאגרי המידע רשאי, ככל שראה טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת המידע כמפורט בתקנות או להחיל על מאגר מסוים חובות אבטחה.

האם חייבים לדווח על אירועי אבטחה?

לגבי חלק מסוגי המאגרים ישנה חובת דיווח לרשם מאגרי המידע על אירועי אבטחת מידע חמורים, במסגרתם רשאי רשם מאגרי המידע להורות על מסירת הודעה לנושאי מידע העלולים להיפגע מן האירוע.

קיומה של אחריות פלילית

חשוב לזכור כי אי עמידה בהוראות התקנות משמעה הפרת הוראות חוק הגנת הפרטיות, אשר עלולה, במקרים מסוימים, להוביל להטלת אחריות פלילית, לרבות עונש מאסר.

סיכום

נראה כי החלת התקנות מעידה על רצון המחוקק להעצים את ההגנה על המידע השמור במאגרי מידע והוא מצטרף למגמה כללית בעולם בנושא זה. מוצע להסתייע בגורם משפטי הבקיא בדיני הגנת הפרטיות בכדי לוודא עמידה בהוראות התקנות החדשות.

מאמר זה אינו מתיימר לסקור את הנושא כולו, הוא מכיל מידע כללי וחלקי בלבד ואינו מהווה ייעוץ או חוות דעת מכל סוג. יש להתייעץ עם עורך דין בכל מקרה לגופו.

המפורט לעיל מהווה מידע כללי בלבד ואינו כולל סקירה מקיפה של כל הוראות הדין ומכלול הסוגיות הרלוונטיות לנושא המאמר.
אין באמור לעיל כדי להוות ייעוץ משפטי ויש להיוועץ עם עורך דין, לפי הצורך, תוך בחינת נסיבותיו המיוחדות של כל מקרה.

מאמרים נוספים

ייפוי כח מתמשך – מה זה?

הכלי המשפטי של יפוי כח מתמשך מאפשר לכל אחד ואחת מאיתנו להחליט היום, מי וכיצד ידאגו לנו, לגופנו, למשפחתנו, לנכסינו ולעסקינו, וזאת במידה ובעתיד לא נוכל, חלילה, לקבל החלטות כאלו בעצמנו…

שימוש חופשי ביצירה בה בעל זכות היוצרים אינו ידוע לפי סעיף 27א – פתרון או בעיה?

רוב האנשים אינם יודעים זאת, אך בכל פעם שהם מפרסמים תמונה, אפילו אם זה ברשת חברתית, הם חשופים לכך שכל גוף או אדם ייקח את אותה התמונה (למשל לאחר שזו הועברה בין כמה אנשים) ויעשה בה שימוש, ואפילו שימוש מותר. וישאל את עצמו השואל – איך זה יכול להיות? איך אדם יכול לעשות שימוש בתמונה אישית, שאני צלמתי ולא הייתה לי כל כוונה שתגיע לכולי עלמא, ועוד שזה יהיה בסדר?..

אתגר המדפסת התלת מימדית בעולם הקניין הרוחני

ספק רב אם צ'אק האל ידע לאילו מחוזות יגיע עולם המדפסות התלת מימדיות, כשהוא רשם את הפטנט למדפסת התלת מימדית שאותה הוא המציא, אי שם בתחילת שנות ה – 80 של המאה הקודמת. 40 שנים לאחר מכן, ספק רב אם גם אנחנו מסוגלים להעריך לאן עוד היא יכולה להתפתח…

חשיפות של יזמים באופן אישי לתביעות מצד עובדים?

האם מנכ"ל או בעלים של חברת סטארט-אפ יכול להיות מחויב לשלם חוב בגובה מאות אלפי שקלים שהחברה צברה כלפי עובד בכיר שהועסק בה, בין היתר בגין הפרות חוזרות ונשנות של זכויותיו, לרבות אי תשלום שכרו…

האם קבוצה לשיווק ופרסום מוצרים ברשתות החברתיות חשופה לתביעת קניין רוחני?

קבוצות רכישה ברשתות החברתיות השונות כבר מזמן הפכו לדבר שבשגרה אשר רבים מאיתנו עושים בהן שימוש. אך מה קורה כאשר השיווק והפרסום ברשתות אלו נעשה תוך מכירת מוצרים מזויפים? מי נושא באחריות לפעילות מפרה שכזו? האם פייסבוק רשאית להסיר חשבונות מפרים ללא התראה מוקדמת?..

הקניין הרוחני של משחקי לוח ומשחקי קופסא

כאשר אנו יוצרים משחקי לוח וקופסא – כיצד אנו מגינים על זכויות המשחק שלנו ושומרים על עצמנו מפני תביעות של אחרים…