תקנות הגנת הפרטיות הישראליות
ביום 21 במרץ 2017 אישרה ועדת חוקה, חוק ומשפט שבכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017. תקנות אלה מפרטות את אופן יישומה של חובת אבטחת המידע המחייבת על פי חוק כל גורם המנהל או מעבד מאגר של מידע אישי.
התקנות פורסמו ברשומות ונכנסו לתוקף ביום 8 במאי 2018.
התקנות החדשות נועדו להטמיע עקרונות אבטחה בשגרת ניהול המידע בארגון לשם מימוש תכלית חוק הגנת הפרטיות, זאת כדי לענות על הצורך הגובר בוודאות נורמטיבית, קביעת רף מינימאלי אחיד וברור והתאמה לנורמות העדכניות בעולם בכל הקשור לשמירה על פרטיותם של האזרחים.
התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות מבחינה טכנולוגית), שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו”ט), ולפי דרישתה חובת דיווח גם לאנשים שהמידע שנחשף נוגע אליהם.
על מי חלות התקנות?
התקנות חלות על כל המשק הישראלי! כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים.
סוגי מאגרי מידע
התקנות מבחינות בין ארבעה סוגי מאגרי מידע שלהם נדרשת רמת אבטחה ההולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.
1. מאגרי מידע המנוהלים על ידי יחיד
על סוג מאגר זה חלה החובה הנמוכה ביותר. הגישה למאגר כזה נמצאת בידי עד שלושה מורשים, הוא אינו מכיל מידע על יותר מ-10,000 אנשים, הוא לא נועד לאיסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר) והוא אינו כולל מידע הכפוף לחובת סודיות.
2. מאגרים שחלה עליהם רמת האבטחה הבסיסית
אלו מאגרים שאינם מנוהלים בידי יחיד ואינם מוגדרים כמאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
3. מאגרים שחלה עליהם רמת האבטחה הבינונית
מאגרי מידע שמספר מורשי הגישה אליהם עולה על עשרה ומטרתם לאסוף מידע לצורך מסירתו לאחר, מאגרי מידע בבעלות גוף ציבורי או מאגרי מידע המכילים מידע רגיש. הגדרת מידע רגיש כוללת חלק מסוגי המידע הבאים (רשימה חלקית ולא סופית) – מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף.
4. מאגרים שחלה עליהם רמת האבטחה הגבוהה
מאגרי מידע, לרבות מאגרי מידע של גוף ציבורי שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה אליהם עולה על 100 מורשים.
חשוב לציין כי החובות החלות על בעל מאגר יחיד הינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחתו הפיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.
החובות החלות על כל שאר בעלי המאגרים כוללות דרישה להכנת מסמך הגדרות המאגר תוך התייחסות לאיסוף המידע, מטרות השימוש בו, סוגי המידע ומתן דיווח האם לא נאסף מידע מעבר לדרוש. כמו כן כוללות החובות עריכת נוהל אבטחת מידע, מיפוי המערכות (למאגר מידע המחייב את רמת האבטחה הגבוהה נדרש גם ביצוע סקר סיכונים), אבטחה פיזית, חובות באשר לגיוס עובדים, ניהול הרשאות גישה, זיהוי, אימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות, אבטחת תקשורת וחובות נוספות כמפורט בתקנות.
עיקרי התקנות וחובותיהן:
• אפיון המידע המוגן ויצירת מסמך הגדרות מסודר.
• מיפוי מערכות המאגר וביצוע סקר סיכונים.
• הכנת נוהל אבטחת המידע הארגוני ונוהל התמודדות עם אירועי אבטחת מידע.
• קביעת הוראות מהותיות בניהול אבטחת המידע של הארגון.
• חובות ישימות בשמירת מידע ועיבודו.
• חובת דיווח על אירוע אבטחה חמור.
מאגרי מידע בעלי רגישות בינונית וגבוהה מחייבים ביצוע מבדקי חדירה, ביקורות פנימיות וציות, הטמעת אמצעי אבטחה מתקדמים ועוד.
משרד מונרוב ושות’ מתמחה בהכנת ארגונים לתקן ניהול מערכת אבטחת מידע ISO27001 ועמידה בדרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז – 2017 והחוק החדש להגנת המידע האירופאי – ה-GDPR, שנכנסו לתוקף במאי 2018.
מוזמנים ליצור קשר בכל שאלה בנושא וצוות מומחי מונרוב ושות’ ישמחו לסייע גם לכם בהכנה לקראת התקנות החדשות.