עדכון לקוחות | דיני הגנת הפרטיות - מאי 2018

 תקנות הגנת הפרטיות (אבטחת מידע) נכנסו לתוקפן ביום 8 במאי 2017 - מה זה בעצם אומרעדי אבטה, עו"ד 

 

על רקע סיכוני הסייבר ורפורמת ה-GDPR באירופה, ביום 8 במאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות הגנת הפרטיות" או "התקנות"). מטרתן של התקנות לפרט את יישומה של חובת אבטחת המידע המעוגנת בחוק הגנת הפרטיות, התשמ"א-1988 ("חוק הגנת הפרטיות" או "החוק"), שעד כה הייתה עמומה למדיי, ובכך להגביר את ההגנה על המידע שנאסף עלינו מפני חשיפה, העתקה ושימוש על ידי גורמים שאינם מורשים.

 

התקנות חלות באופן גורף על כל בעלים, מנהל ומחזיק מאגר מידע אישי - למעשה, כל עסק, בין אם פרטי ובין אם ציבורי, המחזיק מידע על עובדים ו/או לקוחות ו/או ספקים.

 

בהתאם למאפיינים שונים שהתקנות מונות (ר' להלן), מחולקים מאגרי המידע השונים לארבעה סוגים, לפי רמות אבטחה שונות (בסיסית, בינונית, גבוהה ומאגר המנוהל על ידי יחיד). כל שגדל הסיכון שיוצר עיבוד המידע, כך רמת האבטחה שתחול על המאגר תהא חזקה יותר:

 

  • מאגר המנוהל על ידי יחיד כשמו הוא מאגר שמנהל יחיד או תאגיד בבעלות יחיד, כאשר רק היחיד ולכל היותר שני אנשים נוספים הם בעלי הרשאות למאגר, ובלבד שמטרתו אינה איסוף מידע לצורך מסירתו לאחר, המידע שבו אינו כפוף לסודיות והוא אינו מכיל מידע על יותר מ-10,000 איש. מדובר במאגר שחלה עליו רמת האבטחה הנמוכה ביותר. 

 

  • המאגר שחלה עליו רמת האבטחה הבסיסית מאופיין על דרך השלילה - כאשר לא מדובר במאגר מידע המנוהל על ידי יחיד וכאשר לא מדובר במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה - אזי שמדובר במאגר שחלה עליו רמת האבטחה הבסיסית. 
 
  • מאגר המידע שחלה עליו רמת האבטחה הבינונית הוא מאגר שמספר בעלי ההרשאות בו עולה על עשרה וכאשר מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר, או שבעליו גוף ציבורי, או הכולל "מידע רגיש" מתחום צנעת הפרט/מידע רפואי/דעות פוליטיות/עבר פלילי/הרגלי צריכה וכו' (במקרים מסוימים, הגם שמאגר מסוים יכלול מידע רגיש - עדיין לפי התקנות תחול עליו רמת האבטחה הבסיסית בלבד). 
 
  • מאגר המידע שחלה עליו רמת האבטחה הגבוהה הוא מאגר מידע שחלה עליו רמת האבטחה הבינונית ובנוסף מכיל מידע על אודות 100,000 איש ומעלה או שמספר בעלי ההרשאה בו עולה על 100

 

מבחינת החובות החלות על כל סוג מאגר, כאמור, מאגרי המידע מסווגים בהתאם לרמת הסיכון שיוצר כל מאגר - ולכן, ככל שעולים ברמת הסיווג, כך החובות שיש ליישם הופכות להיות רחבות יותר. החובות כוללות, בין היתר, חובה לערוך מסמך הגדרות המאגר, חובה לתעד אירועי אבטחה, חובה להגביל את הגישות למאגר וחובה לדווח באופן מיידי לרשות להגנת הפרטיות בקרות אירוע אבטחה חמור.

 

סיווג סוג המאגר ויישום החובות שבצידו אינם מלאכה פשוטה כלל ומצריכים היערכות רצינית ומקיפה מצד בעל מאגר המידע. אנו עומדים לרשותכם בכל שאלה בנושא אבטחת מידע, לרבות סיוע בתכנון הטמעה ויישום החובות השונות

הבהרה: עדכון זה נועד לספק מידע כללי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנדונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו