הגנת הפרטיות (אבטחת מידע)

חוק הגנת הפרטיות מחייב רישום מאגרים הכוללים מידע על אנשים בנסיבות מסוימות, כאשר הוא מוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב (בכפוף לחריגים בחוק).
ב-8 למאי 2018 יכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. תקנות אלו נועדו לעגן הסדר מקיף יותר מההסדר הקיים כיום בחוק הגנת הפרטיות ותקנותיו, בנוגע להגנה על מאגרי מידע ולהתנהלות בקשר למאגרי מידע של גופים ציבוריים ופרטיים. כלומר, מעבר לחובת רישום שהייתה קיימת עד כה, ההסדר כולל גם מנגנונים להגנה מפני שימוש לרעה במידע המצוי במאגרים. במאמר זה נסקור בקצרה את עיקר הקבוע בתקנות.

אחריות בעלים, מחזיקים ומנהלים של מאגרי מידע

החובות החלות בתקנות על בעל מאגר מידע חלות גם על מחזיק מאגר מידע ומנהל מאגר מידע (למעט חובות מסוימות) בשינויים המחויבים.
בתקנות ישנה חלוקה לארבעה סוגי מאגרי מידע, כאשר החובות בקשר לכל אחד מחמירות בהתאם לפרמטרים שונים (ממאגר המנוהל על ידי יחיד ועד מאגר עליו חלה רמת אבטחה גבוהה). לדוגמא, חובת אבטחה בינונית מוטלת על מאגר המכיל מידע רפואי או מידע על מצבו הנפשי של אדם; וחובת אבטחה גבוהה מוטלת על מאגר מידע שעיקר מטרתו היא מסירתו לאחר או מכיל מידע על למעלה מ-100,000 אנשים.

אילו חובות מתווספות מכוח התקנות?

להלן עיקרי החובות המפורטות בתקנות החדשות (קיים שוני בהיקף החובות החלות על כל מאגר בהתאם לסיווגו):

1. עריכת מסמך המגדיר את תכולת המאגר, פעולות האיסוף והשימוש במידע.
2. ממונה אבטחת מידע – גופים מסוימים, כגון גוף המחזיק בחמישה מאגרי מידע, בנקים וחברות דירוג אשראי, נדרשים למנות ממונה אבטחת מידע. הממונה נדרש ליצור נוהל אבטחת מידע, שיאושר על ידי בעל המאגר, ותכנית לבקרה שוטפת על עמידה בדרישות התקנות.
3. עריכת נוהל אבטחה – הוראות בעניין אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר המידע ולמערכותיו ותיאור אמצעי הגנה על המאגר.
4. ניהול הרשאות גישה – מתן גישה במידה הנדרשת לכל אדם בהתאם לצורך וניהול ההרשאות.
5. אבטחת מידע בניהול כוח אדם – חובת נקיטת אמצעים סבירים כדי לוודא התאמת אדם לקבל גישה למאגר.
6. תיעוד אירועי אבטחה – יש לתעד (אוטומטית ככל האפשר) כל מקרה שבו התגלה אירוע שמעלה חשש לפגיעה בשלמות מידע או שימוש ללא הרשאה או שימוש בחריגה מהרשאה.
7. מיקור חוץ – בהתקשרות עם גורם חיצוני, שכרוכה במתן גישה למאגר, ייבחנו סיכוני אבטחת המידע טרם ההתקשרות ויוסדר אופן השימוש במידע עם אותו גורם.
8. ביקורת תקופתית – אחת ל-24 חודשים בידי גורם בעל הכשרה שאינו ממונה האבטחה.

האם ניתן לקבל פטור?

רשם מאגרי המידע רשאי, ככל שראה טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת המידע כמפורט בתקנות או להחיל על מאגר מסוים חובות אבטחה.

האם חייבים לדווח על אירועי אבטחה?

לגבי חלק מסוגי המאגרים ישנה חובת דיווח לרשם מאגרי המידע על אירועי אבטחת מידע חמורים, במסגרתם רשאי רשם מאגרי המידע להורות על מסירת הודעה לנושאי מידע העלולים להיפגע מן האירוע.

קיומה של אחריות פלילית

חשוב לזכור כי אי עמידה בהוראות התקנות משמעה הפרת הוראות חוק הגנת הפרטיות, אשר עלולה, במקרים מסוימים, להוביל להטלת אחריות פלילית, לרבות עונש מאסר.

סיכום

נראה כי החלת התקנות מעידה על רצון המחוקק להעצים את ההגנה על המידע השמור במאגרי מידע והוא מצטרף למגמה כללית בעולם בנושא זה. מוצע להסתייע בגורם משפטי הבקיא בדיני הגנת הפרטיות בכדי לוודא עמידה בהוראות התקנות החדשות.

מאמר זה אינו מתיימר לסקור את הנושא כולו, הוא מכיל מידע כללי וחלקי בלבד ואינו מהווה ייעוץ או חוות דעת מכל סוג. יש להתייעץ עם עורך דין בכל מקרה לגופו.