מוכנים? תקנות הגנת הפרטיות (אבטחת מידע) נכנסות לתוקף!
מאת:
ישי טנצר 28.4.18, 18:35
ב-8.5.18 תיכנסנה לתוקף בארץ תקנות חדשות בנושא של הגנת פרטיות ואבטחת מאגרי מידע במקביל ל-GDPR באירופה. מה המטרה? מי יצטרך להתאים את התנהלותו לרוח התקנות? מהן 4 רמות סיווג המאגרים? מהם 9 עיקרי התקנות?
בזמן האחרון אנו שומעים יותר ויותר על שימוש לרעה במידע אישי של משתמשים ע"י ארגונים שונים ובראשם פייסבוק. השימוע בסנאט של
מארק צוקרברג בהחלט העלה את המודעות לבעיות פרטיות ואבטחת מידע בקרב הציבור. פרשות אלו קרו חודשים ספורים לפני כניסת תקנות ה
GDPR- באירופה, שנועדו למנוע שימוש לרעה במידע של משתמשים ע"י עסקים.
אירועים אלה אולי הפתיעו את הציבור אבל לא את הרגולטורים ,שמודעים לנושא כבר תקופה ארוכה. תקנות אלו משפיעות בצורה מהותית על מודלים עסקיים של חברות, שאוספות וצוברות מידע על משתמשים אירופאים גם אם החברות עצמן נמצאות מחוץ לאירופה.
בזמן שכל הזרקורים מופנים לאירופה, הקהל הישראלי מפספס התפתחות דרמטית אצלנו בנושא. ב-8.5.18 תיכנסנה לתוקף בארץ תקנות חדשות ב
נושא של הגנת פרטיות ואבטחת מאגרי מידע. אסקור כאן את התקנות האלו והשלכותיהן:
מטרת התקנות
לעלות בצורה משמעותית את רמת אבטחת המידע האישי בישראל.
מי יושפע?
התקנות חלות על כל מי שמבצע עיבוד ושמירה של מידע אישי בישראל, גופים פרטים וציבורים כאחד. בעולמנו הדיגיטלי זה אומר, שהן חלות על
כולנו. התקנות מסתכלות על כל גוף כזה כמנהל מאגר מידע. מרגע זה נשתמש במושג זה להסברים והבהרות.
סיווג המאגרים
התקנות הן מודולריות ומכילות חובות הולכות וגדלות בהתאם לגודל הארגון ,כמויות מידע מעובדות ורגישות המידע. אתייחס ל-4 הרמות המוגדרות בתקנות (מהפחות מחמיר ליותר מחמיר). להלן סיכום של עיקרי החלוקה:
- מאגר מידע מנוהל ע"י יחיד - מדובר על עסקים קטנים (כולל עצמאים) שהמידע שלהם לא רגיש במיוחד והם משתמשים במידע לצורך תפקוד העסק ולא מוסרים אותו לצד שלישי.
- מאגרי מידע ברמת אבטחה בסיסית - ארגונים המעבדים מידע אישי, שאינו מוגדר כרגיש.
- מאגרי מידע ברמת אבטחה בינונית - ארגונים המעבדים מידע אישי או רפואי רגיש.
- מאגרי מידע ברמת אבטחה גבוהה - מדובר על מאגרי מידע גדולים (מעל 100,000 אנשים) עם מורשי גישה רבים (מעל 100).
עיקרי התקנות:
הדברים הנדרשים במסגרת התקנות שונים בהתאם לסיווג המאגר. להלן מספר נקודות עיקריות:
- מסמך הגדרות המאגר- תיאור המידע שנשמר ותהליכי העיבוד.
- מינוי אחראי אבטחת מידע בארגון.
- מיפוי סיכונים.
- נוהל אבטחת מידע.
- ניהול הרשאות גישה למאגר.
- אבטחה פיזית והקשחה.
- הדרכות לכוח אדם בנושא של אבטחת מידע.
- תיעוד ודיווח על אירועי אבטחת מידע (התקפות, פריצות, זליגת מידע).
- ביקורות תקופתיות ועדכון נהלים.
התקנות הן מאוד מקיפות (לא רלוונטיות לכל רמות האבטחה). זו רק רשימה מצומצמת של נושאים עיקריים להמחשה. יישום התקנות דורש שילוב של הבנה משפטית, עולם תוכן, פיתוח תוכנה, אבטחת מידע ועוד. נגמרו הימים בהם אפשר היה לתת לכל אחד לתחזק ולפתח מערכות מידע. היום בעל המאגר אחראי על פי החוק על פעולות של קבלני משנה ועובדים המטפלים במאגר מידע. זה מעלה באופן אוטומטי את רף האיכות הנדרש. כ"כ, זה מקשה על עבודה מול גופים בחו"ל (פרילנסרים וחברות פיתוח), שלא מכירים את התקנות ולא מקיימים את תהליכי העבודה הנדרשים.
מהיום כל מי שעוסק בפיתוח/תחזוקת תוכנה יצטרך להתאים את התנהלותו לרוח התקנות. כלומר, הליכי עבודה סדורים ומאורגנים, כלים אוטומטים המאפשרים בקרה, ניהול יומני גישה וגיבויים.
הרגולטור מדגיש, שעמידה בתקנות היא לא פעולה חד פעמית אלה תהליך מתמשך של עדכון והתאמות לשינוים המתרחשים. בעלי מאגרי מידע נדרשים לבחון את השינויים בפעילות העסקית שלהם לוודא עמידה בתקנות.
לסיכום
ניתן לראות, שרגולטור ניגש בצורה מאוד מקיפה לנושא אבטחת מידע אישי בישראל. מוטלת חובה ואחריות על כל גורם, שעוסק באיסוף, עיבוד ואגירת מידע, להתייחס למידע אישי כלנכס מוחשי רגיש בעל ערך רב.
מידע זה לא מהווה המלצה משפטית לגבי עמידה/חוסר עמידה בתקנות או צעדים נדרשים לצורך כך. נדרש ניתוח ספציפי של כל מקרה לגופו כדי להמליץ על דרכי פעולה אפשריות.
מאת:
ישי טנצר, אפריל 2018.
מנכ"ל איניטק - בית תוכנה לפיתוח מוצריים דיגיטליים.
https://www.initech.co.il/he/data-protection/
contact@initech.co.il