Client Update: New Database Maintenance Regulations [Hebrew]
26/05/2017
image

בתאריך 08.05.2017 פורסמו ברשומות תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017 (“התקנות“), אשר עתידות להיכנס לתוקף בחלוף שנה מיום פרסומן, ביום 07.05.2018.

חוק הגנת הפרטיות תשמ”א-1981 (“החוק“) אוסר על ניהול או על החזקת מאגר מידע הטעון רישום מבלי שנרשם. הרשות למשפט וטכנולוגיה במשרד המשפטים משמשת כרשם מאגרי המידע בישראל (“רשם“). הרשם אחראי לנהל פנקס ובו רישום של מאגרי המידע הטעונים רישום. על פי החוק, חברה מסחרית בעלת מאגר מידע חייבת לרשמו בהתקיים אחד מהתנאים הבאים: (א) מספר האנשים שמידע אודותם קיים במאגר עולה על עשרת אלפים; (ב) המאגר מכיל מידע רגיש; (ג) המאגר כולל מידע על אנשים אשר לא נמסר לבעל המאגר על ידם או בהסכמתם; (ד) המאגר משמש לצרכי דיוור ישיר.

התקנות החדשות רלוונטיות לכל ארגון אשר ברשותו מאגר מידע הכולל מידע פרטי על לקוחות, ספקים או עובדים. כך לדוגמא התקנות חלות, על כל עסק המחזיק מידע אישי על עובדיו, דוגמת תלושי משכורת, מידע על תפקודם המקצועי, מידע על בריאותם, קורות חיים וכד’. מטרת התקנות לפרט ולקבוע את עקרונות אבטחת המידע הקשורים באחסון, שימוש וניהול המידע.

תקנות אלה, השואבות השראה מתקני אבטחת מידע מקובלים בעולם, קובעות לראשונה הסדר מקיף ומעודכן ביחס לחקיקה הקיימת בתחום ההגנה על מאגרי מידע.

התקנות קובעות סיווג של מאגרי מידע ברמות שונות של אבטחה. החלוקה מתבצעת בהתאם לסוגי המידע שנאספים במאגר, רגישות המידע, מטרת האיסוף, מספר האנשים שעליהם נאסף המידע ומספר המורשים למאגר.

במסגרת התקנות מתבצעת הבחנה בין ארבעה סוגים של מאגרי מידע: מאגר המנוהל בידי יחיד; מאגר שחלה עליו רמת האבטחה הבסיסית; מאגר שחלה עליו רמת האבטחה הבינונית; מאגר שחלה עליו רמת האבטחה הגבוהה. ככל שלפי התקנות נדרשת רמת אבטחה גבוהה יותר לסוג מאגר מסוים, כך יחולו עליו יותר חובות בכל הקשור לניהולו ואבטחתו. כך לדוגמה ארגון המחזיק אחד מסוגי המידע הבאים: מידע על צנעת אישיותו של אדם, מידע רפואי, מידע גנטי, מידע ביומטרי, נתוני תקשורת, מידע על הרגלי צריכה של אדם, מידע על נכסיו של אדם, מידע על התחייבויותיו הכלכליות או מצבו הכלכלי של אדם, מחויב ברמת אבטחה בינונית לפי התקנות. במקרה שבמאגר, מידע על למעלה מ- 100,000 אנשים או שיש למעלה מ-100 מורשים למאגר, המאגר מחויב ברמת אבטחה גבוהה לפי התקנות.

התקנות מחייבות ארגונים המחזיקים מאגרי מידע, היערכות משמעותית, הכוללת, בין היתר, יצירת מסמך הגדרות למאגר, מיפוי מערכות המאגר, ביצוע סקר סיכונים, ניהול הרשאות גישה, זיהוי ואימות מורשי גישה, בקרה ותיעוד גישה, תיעוד של אירועי אבטחה, אבטחה פיזית וסביבתית של המאגר, ועוד.

כך לדוגמה, במסגרת ההיערכות לכניסת התקנות לתוקף, על בעל מאגר, גם זה המחויב ברמת האבטחה הבסיסית בלבד, לקבוע נוהל אבטחת מידע מקיף ומפורט. על נוהל זה לכלול, בין השאר, הוראות בעניין אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר המידע ולמערכות המאגר, אופן התמודדות עם אירועי אבטחת מידע וניהול ושימוש בהתקנים ניידים.

בנוסף, ארגון המבצע מיקור חוץ ומתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע, נדרש לבחון טרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהתייחס בהסכם ההתקשרות להוראות המפורטות בתקנות.

חידוש נוסף, אשר נקבע במסגרת התקנות, מתייחס לחובת דיווח לרשם מאגרי המידע במקרים מסוימים של אירוע אבטחת מידע חמור, ועל הצעדים שננקטו במסגרת הטיפול בו. עוד קובעות התקנות, כי בסמכות הרשם להורות על מסירת הודעה על אירוע אבטחת מידע לציבור שעלול להיפגע מן האירוע.

הפרה של הוראות מסוימות בחוק בעניין רישום מאגר, איסוף המידע, השימוש בו או אבטחת מידע יכולה לעלות לכדי עבירה פלילית. הפרה של הוראות החוק במקרים מסוימים, מהווה גם עוולה אזרחית. הפרה של התקנות יכולה לעלות כדי הפרה של חובת אבטחת מידע הקבועה בחוק.

לאור העובדה שההיבט היישומי של תקנות אלה עלול לקחת פרק זמן ממושך, נמליץ לחברות המחזיקות מידע פרטי להיערך בהתאם.

מזכר זה כולל מידע חלקי בלבד ואינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי פרטני. מזכר זה מוגש כשירות ללקוחותינו, תוך הבהרה שמקרה ספציפי טעון בדיקה ודיון.

Fields marked with an * are required