מחר ייכנסו לתוקף תקנות הגנת הפרטיות שיזמה שקד עקב דליפת המידע בפייסבוק - 0404
מחר ייכנסו לתוקף תקנות הגנת הפרטיות שיזמה שקד עקב דליפת המידע בפייסבוק דיאגו מיטלברג

מחר ייכנסו לתוקף תקנות הגנת הפרטיות שיזמה שקד עקב דליפת המידע בפייסבוק

לאחר שבארצות הברית נחשף גודל המחדל בדליפת המידע של מיליוני העוקבים ברשת פייסבוק, שרת המשפטים פועלת למנוע זליגת מידע דומה בישראל. ביום שלישי הקרוב ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) של שרת המשפטים ויחולו על כל גוף במשק הישראלי שמנהל מידע אישי, ציבורי ופרטי כאחד. עם יישומן צפויה קפיצת מדרגה באופן בו מידע אישי מוחזק ונשמר. חידוש משמעותי בתקנות הוא חובת דיווח לרשות להגנת הפרטיות במקרה של אירוע אבטחת מידע חמור, ולפי דרישתה גם לנפגעים עצמם.

עם התפתחות הטכנולוגיה והפיכתם של שירותים רבים לדיגיטליים, הולכים וגדלים גם השימושים במאגרי מידע ממוחשבים בהם נשמר מידע אישי רב ורגיש על אנשים ולקוחות. בשנים האחרונות גוברים דיווחים על אירועי אבטחת מידע כתוצאה מכשלים באבטחת המידע וניהול הגישה אליו במסגרתם דלפו פרטים אישיים של אלפים וחלה פגיעה משמעותית בפרטיות.

תקנות הגנת הפרטיות (אבטחת מידע) שהתקינה שרת המשפטים איילת שקד, בהמלצת הרשות להגנת הפרטיות, נועדו לשים סוף לתופעה ולחייב אבטחה ראויה של המידע מכל גורם שמנהל מידע על אנשים – בין אם מדובר בלקוחות, עובדים, ספקים, ילדים, מטופלים ועוד, בהתאם לרמת הסיכון במקרה של דליפתו.

כדי להימנע מעודף רגולציה ולהכבדה מיותרת על העסקים בישראל, התקנות מבחינות בין ארבעה סוגים של מאגרי מידע: מאגר מידע המנוהל על ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה.

רמת האבטחה נקבעת בהתאם לסקירת איומים שעל הארגון לבצע, בהתבסס על ארבעה פרמטרים:

1) זהות הארגון – גופים ציבורים וחברות שסוחרות במידע אישי, נדרשים לרמת אבטחה הגבוה ביותר, לעומת עוסק יחיד שנדרש לרמה בסיסית ביותר של אבטחה. על עצמאים או בעלי עסקים קטנים, לדוגמא על בעלים של חנות פרחים, סוכני ביטוח פרטיים או פסיכולוגים, יחולו דרישות שונות מחברות ביטוח, מועדוני לקוחות וכדומה.

2) גודל המאגר – ככל שכמות המידע במאגר גדולה יותר, כך הוא נחשב לרגיש יותר. במאגר עם מעל ל-100 אלף פריטים נדרשת רמת אבטחה גבוהה.

3) רגישות המידע – ככל שהמאגר מכיל סוגי מידע רגישים יותר, כך רמת האבטחה הנדרשת גבוהה יותר. מהו מידע רגיש? מידע רפואי או ביומטרי לדוגמה.

4) מספר מורשי הגישה – ככל מספר האנשים שרשאים להיחשף למידע שבמאגר גבוה יותר, כך נדרשת רמת אבטחה גבוהה יותר. מעל 100 מורשים – המאגר מצריך אבטחה ברמה הגבוה ביותר.

התקנות קובעות מנגנונים ודרישות שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון. בין היתר, הן דורשות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם למי שזכותו לפרטיות נפגעה כתוצאה מהאירוע.

לצורך היערכות לתקנות הרשות להגנת הפרטיות מעמידה לרשות הציבור מידע ומדריכים, שאלות ותשובות אודות כלל סעיפי התקנות, הזמינים באתר היחידה.

שרת המשפטים, ח"כ איילת שקד: "התפתחות טכנולוגית לא סותרת אבטחת מידע. בתקנות החדשות אנחנו מאזנים בין שמירה קפדנית על פרטיותם של אזרחי ישראל לבין מניעת רגוחציה מיותרת על העסקים. מדינת ישראל מחויבת לעשות הכל למנוע דליפת מידע בדומה לזאת שהיתה למשתמשי פייסבוק בארצות הברית. הזכות לפרטיות היא זכות יסוד שחובה עלינו לבצר אותה".

 

ראש הרשות להגנת הפרטיות, עו"ד אלון בכר: "בשנים האחרונות אנו עדים להתגברותם של אירועי אבטחת מידע חמורים שהובילו לדליפות מידע אישי ולסיכונים משמעותיים לפרטיותם של אנשים. תקנות הגנת הפרטיות, שיכנסו לתוקף ביום שלישי השבוע, הן נקודת מפנה משמעותית בכל הקשור להגנה על פרטיותם של אזרחי ישראל. לראשונה, כל גוף במשק שמחזיק מידע אישי על אנשים יחויב, על פי חוק, לרמת אבטחת מידע מוגדרת שתקבע בהתאם להיקף המידע ורגישותו ולדווח לרשות להגנת הפרטיות במקרה של אירוע אבטחה חמור וליידע את מי שנפגע מכך, בהתאם להחלטתה. יישומן של התקנות במשק יהווה אבן דרך משמעותית, בהגנה על מידע אישי ועל הזכות לפרטיות במדינת ישראל, ולצמצום הפערים אל מול הסטנדרטים הבינלאומיים בתחום זה".