תקנות הפרטיות או-טו-טו נכנסות לתוקף; מה עושים?

תקנות הפרטיות הישראליות ייכנסו לתוקף מחרתיים (ג') ואלה של האיחוד האירופי, ה-GDPR – מאוחר יותר החודש, ב-25 בו. שאלות רבות עולות בקרב ארגונים לקראת הגעתן של התקנות האלה, ובמיוחד בנוגע לאלה האירופיות: האם הן רלוונטיות אליהם? מה עושים כדי להתכונן אליהן ולמלא אותן על הצד הטוב ביותר? ומהו העונש על מי שמפר אותן?

עו"ד נעמי אסיא, בעלת משרד עורכי דין ותיק ומומחית לתחום, נתנה מורה נבוכים על התקנות הללו במפגש של פורום מנהלי אבטחת המידע CISO מבית אנשים ומחשבים, שנערך באחרונה במשרדי HackerU ברמת גן.

בתחילת דבריה היא אמרה כי "חשוב להדגיש שחוקי הגנת הפרטיות בארץ ובעולם מתייחסים רק לאנשים ולא לחברות, אבל אם לחברות יש מאגרי מידע על אנשים, כמו העובדים והלקוחות שלהן – התקנות, הן הישראליות והן האירופיות, רלוונטיות גם לגביהן".

התקנות האירופיות

"תקנות ה-GDPR יגבירו את הפיקוח על איבוד מידע אישי של אלה שמרכז חייהם הוא באיחוד האירופי, לא רק אזרחים. הן חלות על כל חברה שיש לה באירופה עובדים, נציגויות וחברות בנות, בפרט על חברות שיש להן Big Data. התקנות כוללות את הזכות להישכח ומאפשרות לתושבי האיחוד לעיין במידע אודותיהם, למחוק ולהעיר", אמרה עו"ד אסיא.

"התקנות יוצאות מנקודת הנחה שמאגרי מידע הם בעלי ערך מדיני, פוליטי וכלכלי רב, ויש חשש שהם יגיעו לצדדים שלישיים, כולל באמצעים לא כשרים", הוסיפה. "לכן, הן קובעות שמותר לאסוף מידע אבל אסור להשתמש בו שלא למטרה שלשמה הוא נאסף מלכתחילה. כלומר, איסוף מידע על הלקוחות הוא דבר לגיטימי, אבל אם מעבירים אותו למישהו כדי שישלח ללקוח פרסומת, למשל – זה אסור, אלא אם הארגון יידע אותו על כך. הסיבה לכך היא שמשלוח פרסומת היא לא המטרה שלשמה המידע הזה נאסף".

בנוסף, ה-GDPR קובע שכל ארגון שמעסיק יותר מ-250 עובדים חייב למנות ממונה פרטיות (DPO). התקנות מגדירות את תפקידיו ואת אלה של ממונה אבטחת המידע: על האחרון לדאוג לעריכת סקר תקופתי, ייסודם וקיומם של נהלי אבטחת מידע, ניהול הרשאות, קביעת אמצעי אבטחה פיזיים ודיגיטליים ושמירה על שלמות המידע. תפקיד ה-DPO הוא ייעוץ ופיקוח על פעילות החברה בנושא עיבוד המידע האישי; פיתוח ויישום של מדיניות ונהלים בנושא, בהתאם לחקיקה המקומית ול-GDPR; תיאום בין אנשי ה-IT ליועצים המשפטיים; עריכת ביקורות ופיקוח על התאימות בין הוראות החוק ליישומן בחברה; איתור סיכונים בנושא הפרטיות במידע שלהם חשופה החברה ומתן מענה להם; פיקוח על קבלני משנה וספקים; והוא מהווה גורם מייצג של החברה מול הגופים והרשויות האמונים על ביצוע הוראות החוק.

מה עושים כשקורים אירועי אבטחת מידע ודליפת מידע? "לפי ה-GDPR, במקרים כאלה יש לנקוט באמצעים מהירים ולצמצם את הפגיעה במי שהמידע שלו, כולל ליידע אותו ואת הרשויות בתוך 72 שעות", אמרה עו"ד אסיא.

מהו העונש על ארגון שחווה מקרה של הפרת הפרטיות? הסנקציות מאוד חריפות: 4% מהמחזור השנתי או 20 מיליון יורו – הגדול מביניהם.

התקנות הישראליות

כשבועיים וחצי לפני ה-GDPR, ייכנסו לתוקפן התקנות של הרשות הישראלית להגנת הפרטיות. אלה אינן מחמירות כמו המקבילות האירופיות, אבל בהחלט נמצאות בכיוון. הן מחייבות הגדרת מדיניות ונהלים – מה מותר ומה אסור במקום העבודה בכל הנוגע לפרטיות, ומגדירות שלוש רמות אבטחה: בסיסית, בינונית וגבוהה. עוד הן מחייבות קביעת נהלי אבטחה; מיפוי מאגרי מידע ועריכת סקרי סיכונים; ניהול ותיקוף הרשאות גישה למאגרי מידע; בקרה ותיעוד גישה – חובה לשמור שנתיים אחורה; ניהול מערכות המחשוב שעליהן שמורים מאגרי המידע; תיעוד אירועי אבטחה וסייבר; וחובת שמירה, גיבוי ושחזור של נתוני אבטחה.

יצוין שבעוד שבעת אירוע שיש בו משום הפרת הפרטיות, התקנות האירופיות מחייבות ארגונים להודיע על כך גם למי שהפרטיות שלו נפגעה, הארגונים הישראליים פטורים מחובת ההודעה הזאת וחייבים לדווח על האירוע רק לרשם מאגרי המידע. זה יכול להורות לארגון לדווח ללקוח הנפגע, על פי שיקול דעתו.

לסיכום אמרה עו"ד אסיא כי "מנהל שמתעלם לחלוטין מאבטחת מידע וסייבר – אין ספק שהוא רשלן. ישראל נמצאת במקום ה-29 מבחינת מתקפות סייבר, ועל ארגונים לקחת זאת בחשבון ולהיערך בהתאם". כאחד המענים לכך, ציינה, חברות ביטוח מציעות ביטוחי סייבר, שמגנים על ארגונים מפני המתקפות הללו.