חצור, ‏21/02/19, ‏ט"ז אדר א תשע"ט

לכבוד

קהל לקוחותינו

שלום רב,

הנדון: תקנות הגנת הפרטיות (אבטחת מידע), התשנ"ז-2017

במרץ 2017 פורסמו על ידי משרד המשפטים תקנות אבטחת מידע (אבטחת מידע) התשע"ז 2017 (להלן: "התקנות"), ואלה נכנסו לתוקף במאי 2018.

התקנות, מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, לרבות קיבוצים, אגודות שיתופיות ותאגידיהם, אשר ברשותם מאגר מידע החייב ברישום, ובכלל זה גם מאגרי מידע בהתייחס לנתונים על אודות חברים עובדים וכיוצ"ב – הקיימים, למיטב ידיעתנו, אצל חלק לא מבוטל מקהל לקוחותינו.

התקנות מבחינות בין ארבעה סוגי מאגרי מידע:  (1) מאגרים המנוהלים בידי יחיד; (2) מאגרים שחלה עליהם רמת אבטחה בסיסית; (3) מאגרים שחלה עליהם רמת אבטחה בינונית; ו- (4) מאגרים שחלה עליהם רמת אבטחה גבוהה. כפועל יוצא מכך, חלק מההוראות בתקנות חלות בהתאם לסוג המאגר

להלן עיקרי החובות תחת התקנות (החובות האמורות אינן חלות על כל סוגי המאגרים אלא יש לקיימן בהתאם לסוג המאגר, כמפורט בתקנות):

  • ניסוח מסמך הגדרות מאגר– יש לנסח מסמך הגדרות מאגר הכולל תיאור כללי של  פעילות איסוף ושימוש במידע, תיאור מטרות שימוש במידע, סוגי המידע השונים הכלולים במאגר, פרטים על העברת מאגר המידע אל מחוץ לישראל, ועוד. המסמך יעודכן בכל עת בעת שינוי משמעותי ונחיצות השמירה של המידע במאגר תיבדק אחת לשנה.
  • נוהל אבטחה– ינוסח מסמך נוהל אבטחת מידע אשר יכלול, בין היתר, הוראות בעניין  אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר, תיאור אמצעי אבטחה על מערכות המאגר, הוראות למורשי הגישה, סיכונים שחשוף להם המאגר ואופן הטיפול בהם, אופן התמודדות עם אירועי אבטחת מידע, ועוד.
  • מיפוי מערכות וסקר סיכונים– יוחזק מסמך מעודכן של מבנה המאגר אשר יכלול, בין  היתר, פרטים אודות תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע, מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו, עריכת סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות למערכות המאגר, ועוד.
  • אבטחה פיזית וסביבתית– מערכות המאגר יישמרו במקום מוגן, התואם את אופי פעילות  המאגר ורגישות המידע בו.
  • ניהול הרשאות גישה– תיקבענה הרשאות גישה למאגר המידע בהתאם להגדרות תפקיד,  ינוהל רישום מעודכן של רשימת ההרשאות התקפות ויובטח שרק למורשי הגישה תהיה גישה למאגר. מתן הרשאת גישה למידע או שינויה ייעשה לאחר נקיטת אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם.
  • ניהול ותיעוד אירועי אבטחה– בעל מאגר מידע יתעד את כל אירועי האבטחה בקשר עם מאגר  המידע. התקנות קובעות, חובת דיווח לרשם מאגרי המידע על אירועי אבטחת מידע חמורים, במסגרתם, רשאי רשם מאגרי המידע להורות על מסירת הודעה לנושאי מידע העלולים להיפגע מן האירוע.
  • התקנים ניידים– בעל מאגר המידע יגביל או ימנע אפשרות לחיבור התקנים ניידים  למערכות המאגר או ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד.
  • אבטחת תקשורת– מערכות המאגר לא תחוברנה לרשת האינטרנט או לרשת ציבורית  אחרת ללא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב (לרבות שימוש באמצעי הצפנה מקובלים).
  • מיקור חוץ– התקנות קובעת הוראות לעניין התקשרויות מול גורמים חיצוניים שונים לצורך  קבלת שירות, הכרוך במתן גישה למאגר המידע.
  • גיבוי ושחזור– בהתאם לרמת הרגישות של המידע במאגר, ייקבעו נהלים מסודרים לביצוע  גיבוי ושחזור של מידע.
  • ביקורות תקופתיות– קיום ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה  לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא עמידה בהוראות התקנות.

סיכום

אחריות לאבטחת המידע במאגר, חלה על בעל המאגר וכן על נושאי משרה שהינם מנהל המאגר והמחזיק.

הפרת החובות בחוק הגנת הפרטיות ובתקנות מכוחו, נתונה לסנקציה מנהלית ואחריות פלילית על התאגיד, לרבות נושאי המשרה שבו.

על כן, יש לבחון בזהירות הראויה את הסיווג לרמות האבטחה הנדרשות ולפנות לקבלת ייעוץ מקצועי ומשפטי ככל שנדרש.

לצורך בדיקה האם מאגרי המידע שברשותכם עומדים בדרישות החוק והתקנות, להמלצות על גורמי מקצוע רלוונטיים וסיוע משפטי ניתן להסתייע במשרדנו.

 למידע נוסף ו/או הרחבות ניתן לפנות למשרדנו.

 

בכבוד רב,

קופרשמיט גולדשטיין, עו"ד