בקרוב ייכנסו לתוקפן תקנות הגנת פרטיות חדשות לאבטחת מידע המצוי במאגרי מידע, אשר יחולו על גופים פרטיים וציבוריים המעבדים מידע אישי. התקנות החדשות מפרטות את עקרונות אבטחת המידע בהתבסס על תקני אבטחת מידע מקובלים בעולם, מותאמות לשינויים והתפתחויות טכנולוגיות שחלו ביחס למאגרי מידע ממוכנים, וכוללות מנגנונים שונים שכל ארגון המעבד מידע אישי נדרש ליישם כחלק אינטגרלי מניהול עסקיו על מנת להגן על זכויות נושאי המידע מפני שימוש לרעה במידע הקיים אודותם במאגרי המידע של הארגון. זאת, בשונה מדרישות אבטחת מידע כלליות שקיימות בחוק הגנת הפרטיות, התשמ"א-1981 ובתקנות שהותקנו מכוחו, שעסקו בעיקר בהגנה על אינטרס הארגון.
התקנות קובעות מנגנונים שונים. ברובד הראשון יקבע בעל המאגר מהו המידע המוגן, מהן מטרות השימוש והעיבוד שלו, מיהם הגורמים אליהם מועבר המידע ומהם הסיכונים הקשורים אליו. בכלל זה, ימפה בעל המאגר את מערכות המידע המשמשות את המאגר מבחינת רכיבי חומרה, תוכנה, תשתית ותקשורת, יזהה נקודת תורפה וינקוט אמצעי אבטחה מתאימים. במאגרים מסוימים יש אף להכין סקר סיכונים על ידי בעל מקצוע מדי 18 חודשים, וכן מבדקי חדירות המדמים התקפה על מערכות ממוחשבת, וביקורות פנימיות אחת לשנתיים לעניין עמידה בנוהל האבטחה ובתקנות.
ברובד השני הארגון יקבע נוהל אבטחת מידע להתוויית מדיניות ארגונית אחידה וברורה להגנה על מידע בארגון. הנוהל יחול על כלל העובדים בארגון ויכלול, בין היתר, הנחיות לקביעת הרשאות גישה לעובדים, דרישות אבטחה פיזית, התמודדות עם אירועי אבטחה ועוד, ויעודכן על בסיס קבוע בהתאם לשינויים שחלים במערכות המידע בהם מצוי המידע, בתהליכי עיבוד המידע ובסיכונים טכנולוגיים חדשים ביחס אליו. נוהל זה ניתן יהיה להצגה גם כלפי צדדי ג' ובכך עשו לסייע לארגון להוכיח את עמידתו בנוהל ובתקנות במצבי פגיעה במאגר מידע.
הרובד השלישי כולל הוראות מהותיות בתחום ניהול אבטחת המידע, כמו הגדרת תפקידיו של ממונה אבטחת המידע והכפפתו לנושא משרה בכירה; קביעת הוראות לעניין עיבוד מידע אישי במיקור חוץ (שחלקן כבר באו לידי ביטוי בהנחיית רשם מאגרי המידע מס' 2/2011); מחויבות לביצוע ביקורות תקופתיות; חובות דיווח לרשם מאגרי המידע על אירוע אבטחה חמור, וכן חובת הודעה, אם יורה כך הרשם, לנושא המידע העלול להיפגע; נקיטה באמצעים פיזיים וסביבתיים לאבטחת המידע, וכן הוראות המורות על תיעוד והפקת לקחים מאירועי אבטחה; קביעת נהלים לגיבוי ושחזור נתונים ושמירת נתונים בהתקנים ניידים (כמו מחשב נייד, כונן פלאש).
בדומה לחוק הגנת הפרטיות, התקנות החדשות מטילות את האחריות לעמוד בהן על בעל מאגר המידע (קרי גוף ציבורי או פרטי שקיבל מנושאי המידע נתונים ומבצע בהם פעולת עיבוד), על מנהל המאגר (מנכ"ל או נושא משרה אחר שהסמיך המנכ"ל), וכן על מחזיק המאגר (מי שברשותו מאגר מידע דרך קבע, והוא רשאי לעשות בו שימוש עבור בעל המאגר). התקנות מונחות בידי עיקרון המידתיות, כך שככל שמדובר במאגר גדול יותר (מבחינת היקף הנתונים או מורשי הגישה) ובעל נתונים רגישים יותר, החובות המוטלות על בעליו, מחזיקיו ומנהליו בנושא אבטחת המידע משמעותיות יותר.
לרשם מאגרי המידע סמכויות לפטור מאגרים מסוימים מחובות אבטחת מידע, או להחיל חובות מחמירות, והכל בהתאם לאופי המאגר והארגון המדובר. כך למשל פטור מתחולת רוב הוראות התקנות בעל מאגר שהוא האדם היחיד שמאגר המידע מצוי ברשותו.
יושם אל לב כי התקנות החדשות לא ייכנסו לתוקף במלואן במועד אחיד, אלא חלקים מהן ייכנסו לתוקף במועדים שונים, וזאת לצורך מתן יכולת לארגונים להיערך ליישומן.
הפניות: טיוטת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016 (כפי שהובאו לאישור ועדת חוקה, חוק ומשפט)
