תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017) – אישרה אשתקד ועדת חוקה, חוק ומשפט. הן מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי..

התקנות, יוזמה של הרשות להגנת הפרטיות – הגוף שמפקח על יישומן – קובעות מנגנונים ודרישות שמטרתן לקדם את היישום של מדיניות הסייבר ואבטחת המידע כחלק משגרת היומיום של ניהול העסק.

על מי חלות התקנות?

התקנות חלות על כל המשק הישראלי ללא יוצא דופן – כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע מכל סוג, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים. התקנות חלות על כלל מאגרי המידע העונים על הגדרת "מאגר מידע" בסעיף 7 לחוק הגנת הפרטיות, בכללם מאגרים שהמידע שבהם נאסף ממקורות פומביים.  

אז איך זה עובד?

התקנות קובעות שלוש רמות של מאגרי מידע, עליהן  חלות  רמות  אבטחה שונות, בהתאם לסיכוני האבטחה שהם מייצרים.

בשלב ראשון נדרש לבחון מהי רמת האבטחה שחלה על המאגר שבבעלותכם. למסקנה זו ניתן להגיע בהתאם להגדרות הבאות:

מאגר מידע המנוהל על-ידי יחיד – מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש.

מאגרי מידע ברמת אבטחה בסיסית – מדובר במאגרים שלא חלה עליהם רמת אבטחה בינונית או גבוהה, ואינם מאגרים המנוהלים בידי יחיד.

מאגר מידע ברמת אבטחה בינונית – מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר או מאגר מידע הכולל מידע על צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע על דעות פוליטיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על נכסיו של אדם, הרגלי צריכה וכו' או מאגר מידע שבעליו הוא גוף ציבורי (משרדי ממשלה, רשויות מקומיות וכו'). בנוסף, מספר בעלי ההרשאה אצל בעל מאגר המידע אינו עולה על עשרה.

מאגר מידע ברמת אבטחה גבוהה – מאגר מידע שחל עליו רמת אבטחה בינונית, שיש בו מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה בו עולה על 100.

מהן הסנקציות על הפרת החוק?

הפרת התקנות עלולה להביא להטלת סנקציה מצד הרשות להגנת הפרטיות (משרד המשפטים), כדלהלן:

q    ביטול אישור מאגר מידע (רישומו בפנקס המאגרים).

q    פרסום ההפרה לציבור – ההפרה עלולה להוות בסיס לתביעות אזרחיות ייצוגיות ואחרות.

q    חקירות פליליות שבסופן מועבר תיק החקירה לפרקליטות המדינה להגשת כתבי אישום.

השירותים שאנו מציעים:

שלב ראשון – זיהוי פערים בין המצב הקיים למצב הרצוי בהתאם התקנות.

שלב שני – בהתאם לתוצאות שלב ראשון, זיהוי הפערים בין המצב הקיים למצב הרצוי בהתאם לתקנות, נוכל להעניק את השירותים הבאים לדוגמא:

•       כתיבת מסמך הגדרות מאגרי המידע

•       כתיבה וסיוע ביישום של נוהלי עבודה לאבטחת מידע פיזית וסביבתית כנדרש בתקנות

•       ביצוע ניסיונות חדירה יזומים למערכות המידע

•       סקר סיכונים בתחום אבטחת המידע

•       ייעוץ בנושא אבטחת מידע פיזית וסביבתית

•       מתן הרשאות גישה, בקרה ותיעוד