אם אינך רואה מייל זה לחץ כאן
headline_hb_0

פרטיות תחת רגולציה: תקנות הגנת הפרטיות (אבטחת מידע) והוראות 
ה-GDPR

headline_hb_0
במהלך חודש מאי הקרוב, צפויות להיכנס לתוקף תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז- 2017 ("תקנות אבטחת מידע"), וכן רגולציה אירופאית מעודכנת ומקיפה בתחומי הפרטיות:  General Data
Protection Regulation ("GDPR")


א. תקנות אבטחת המידע הישראליות, מחייבות כל גוף בישראל שהינו בעלים של מאגר מידע, מחזיק, מנהל, או עושה שימוש כלשהו במאגרי מידע.

התקנות חלות לגבי כל מאגר מידע, ומחייבות נקיטה באמצעים המפורטים במסגרתן – וזאת, גם אם מאגר המידע אינו רשום כנדרש.

לגבי כל מאגר מידע, יש להחיל וליישם רמת אבטחה מותאמת, אשר נקבעת בהתאם לרגישותו של המידע, מספר מורשי הגישה למאגר, וכמות האנשים שמידע אודותיהם נשמר במאגר.

חידוש מרכזי ומשמעותי בתקנות, הינו חובת דיווח לרגולטור (הרשות להגנת הפרטיות), אודות אירועי אבטחת מידע, בהתאם לסייגים ולמגבלות המפורטים בתקנות. במקרים מסוימים, הרשות להגנת הפרטיות אף רשאית לחייב את בעל מאגר המידע, להודיע על אירוע האבטחה לכל מי שעלול להיפגע כתוצאה מאירוע זה (ולרבות לקוחות, עובדים, או כל גורם אחר שמידע אודותיו נשמר במאגר, ואשר עלול להיפגע כתוצאה מאירוע האבטחה).

בתמצית, עיקרי הדרישות העולות מהתקנות החדשות, הינן:​
 
  • מיפוי - התקנות מחייבות מיפוי של מאגר המידע ומערכותיו. יש להחזיק מסמך מעודכן, של מבנה מאגר המידע ומערכותיו, אשר יכלול, בין היתר, פירוט אודות תשתיות המאגר, מערכות החומרה, רכיבי תקשורת ואבטחת המידע, תרשים רשת, ועוד.​​
  • ​​מסמך הגדרות מאגר - יש לנסח "מסמך הגדרות מאגר" (לכל מאגר בנפרד), אשר יכלול הגדרות שונות אודות המאגר, תיאור פעולות האיסוף והשימוש במידע, מטרות השימוש במידע, סוגי המידע, סיכונים עיקריים, ועוד.
  • ממונה אבטחת מידע - על גופים מסוימים חלה חובה למנות ממונה על אבטחת מידע, שתפקידיו כוללים בין היתר, הכנת נהלי אבטחת מידע, ותכנית בקרה שוטפת לעניין העמידה בתקנות.
  • נהלי אבטחת מידע - יש לנסח, וליישם, נהלי אבטחת מידע מפורטים לכל מאגר, אשר יכללו בין היתר, הוראות אבטחה פיזית וסביבתית של אתרי המאגר, פירוט הרשאות גישה, תיאור אמצעי הגנת המאגר ואופן הפעלתם, סיכונים, אופן ההתמודדות עם אירועי אבטחת מידע ועוד.
  • סקרי סיכונים ומבדקי חדירות - לגבי מאגרי מידע מסוימים, יש לערוך סקרים תקופתיים לאיתור סיכוני אבטחת מידע, וכן מבדקי חדירות תקופתיים למערכות המאגר.
  • תיעוד אירועי אבטחה - יש לבצע תיעוד של כל מקרה שבו עלה חשש לפגיעה בשלמות המידע, לשימוש בו ללא הרשאה או לחריגה מהרשאה.​​
  • ​ניהול כוח אדם והרשאות גישה - בטרם מתן או שינוי הרשאת גישה לעובד, יש לנקוט באמצעים בכדי לוודא, כי לא תינתן הרשאה לאדם שאינו מתאים. יש לאפשר גישה למאגר המידע, רק בהתאם להגדרות תפקידיהם של מורשי הגישה, ובמידה שאינה עולה על הנדרש.​​​
  • ​זיהוי ואימות - יש לנקוט באמצעים הנדרשים, בכדי לוודא כי הגישה למאגר ולמערכותיו, תתבצע על ידי בעלי הרשאה תקפה בלבד.
  • בקרה ותיעוד גישה - במאגרי מידע מסוימים, יש ליישם מנגנון אוטומטי לתיעוד כל גישה למערכות המאגר.
  • ​התקנים ניידים - יש להגביל (או למנוע לחלוטין, במקרים המתאימים) את אפשרות החיבור של התקנים ניידים למערכות המאגר, וזאת בשים לב לרמת האבטחה החלה על המאגר, לרגישות המידע בו ולסיכונים הכרוכים בחיבור התקנים מסוג זה.
  • ​אבטחת תקשורת - אין לחבר את מערכות המאגר לאינטרנט או לרשת ציבורית אחרת, ללא התקנת אמצעי הגנה מתאימים. במאגר מידע שניתן לגשת אליו מרחוק יש להחיל  אמצעים לזיהוי ואימות המתקשר, ובחלק מהמקרים, תוך שימוש באמצעי פיסי הנתון לשליטתו הבלעדית של בעל ההרשאה.
  • ​מיקור חוץ - בטרם מתן גישה למאגר המידע, לגורם חיצוני, יש לעמוד בדרישות המפורטות בתקנות, וכן לקבוע מגבלות והתחייבויות מתאימות, במסגרת ההסכם מול הגורם החיצוני שלו מוענקת הגישה.
  • ​ביקורת תקופתית - בנוגע לחלק ממאגרי המידע, חלה חובה לערוך ביקורת תקופתית, אחת ל-24 חודשים לפחות, בכדי לוודא עמידה בהוראות התקנות. ​​
התקנות עוסקות במגוון נושאים נוספים, והאמור לעיל מהווה סקירה תמציתית בלבד, של חלק מהדרישות, הכלולות בתקנות אלו.

ב. החקיקה האירופאית (GDPR), מתייחסת למגוון היבטים נוספים הקשורים למידע, פרטיות, וזכויותיו של האדם לגביו נאסף או מעובד המידע.

הוראות ה-GDPR חלות בקשר לגופים העוסקים, אוספים, בעלים, או מעבדים, של מידע הקשור לתושבי האיחוד האירופי – וזאת, ללא תלות במיקומם הטריטוריאלי של אותם גופים. 

דהיינו, בכל הקשור לטיפול במידע אודות אירופאים, הוראות ה-GDPR חלות גם לגבי חברות וגופים ישראליים (וגם כשגופים וחברות אלו פועלים מתוך שטחה של מדינת ישראל).

חידוש מרכזי ומשמעותי נוסף העולה מהוראות ה-GDPR, הינו מתן סמכות לרגולטור, להטלת קנסות בהיקפים משמעותיים, שיכולים להגיע עד כדי 20 מיליון אירו, או 4% מהמחזור הכולל, של אותו גורם שיפעל בניגוד להוראות אלו.  

בין היתר, הוראות ה-GDPR  כוללות התייחסויות לסוגיות אלו:
  • מגבלות אודות איסוף ועיבוד מידע - איסוף ועיבוד מידע מוגבל למטרות לגיטימיות, באופן חוקי, הוגן ושקוף, ורק במידה הנדרשת.
  • הסכמה - ככלל, נדרשת הסכמה מפורשת של נושא המידע לאיסוף או עיבוד המידע (למעט חריגים).
  • זכויות לגבי המידע - לנושא המידע זכות לקבלת המידע שנאסף או מעובד לגביו,  וכן לקבלת פירוט אודות מטרות איסוף המידע, זהות הגורמים שחשופים למידע, משך הזמן שהמידע עתיד להישמר, מקורות המידע, ועוד. בנוסף, לנושא המידע זכויות לתיקון המידע, מחיקתו, ניודו לגורמים אחרים, ועוד.
  • ​​אבטחת מידע ודיווח אודות אירועי אבטחה - הוראות ה-GDPR  מחייבות בין היתר, שמירה על אבטחת המידע, וכן מחילות חובת דיווח אודות אירועי אבטחה, לרשות האירופית הממונה, ובמקרים מסוימים אף לנושאי המידע שצפויים להיפגע מאירוע האבטחה (בכפוף לחריגים). 
en_image2
ש. הורוביץ ושות׳
רחוב אחד העם 31, תל אביב יפו
טלפון: 5670700 3(0) 972+
s-horowitz.com
חפשו אותנו גם ב:
en_bottom_gray
כל הזכויות שמורות לש. הורוביץ ושות' © 2018.
דיוור זה מיועד למטרות אינפורמטיביות בלבד ואין בו משום התחייבות כלשהי לדיוק ו/או שלמות המידע הכלול בו. אין להתייחס ו/או להסתמך על הכתוב כעל ייעוץ משפטי מקצועי או תחליף לייעוץ שכזה. הסתמכות על תוכנו של דיוור זה ו/או שימוש בו, לא ייצרו בשום אופן יחסי עורך-דין – לקוח בינך לבין ש. הורוביץ ושות' ולא יהיה בהם כדי להטיל על ש. הורוביץ ושות' אחראיות כלשהי לתוצאות שתגרמנה מכך. תוכנו של דיוור זה והזכויות בו יישארו בכל עת בבעלות ש. הורוביץ ושות'.