מורה נבוכים לתקנות הגנת הפרטיות

היום (ג') נכנסות לתוקפן תקנות הגנת הפרטיות (אבטחת מידע). התקנות מפרטות כיצד ארגונים נדרשים לעמוד בחובת אבטחת המידע, המוטלת בחוק הגנת הפרטיות – על כל גורם המנהל, או מעבד מאגר של מידע אישי.

"התקנות נועדו לשים סוף לתופעות דליפת מידע ולחייב אבטחה ראויה של המידע מכל גורם שמנהל מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד", נמסר ממשרד המשפטים.

במרץ לפני שנה אושרו בכנסת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017. התקנות, שהן יוזמה של הרשות להגנת הפרטיות (לשעבר רמו"ט) במשרד המשפטים – שהיא גם הגוף המפקח על יישומן, קובעות מנגנונים ארגוניים ודרישות מהותיות, שמטרתם להפוך את אבטחת המידע לחלק משגרת ניהול הארגון.

בין שאר החידושים, התקנות מטילות חובת דיווח על אירועי אבטחה חמורים לרמו"ט, ולפי דרישתה – גם לאנשים עליהם המידע שנחשף. התקנות חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי, הכפופה לחוק הישראלי בכל מגזרי המשק: ציבורי ופרטי כאחד.

"עם כניסת התקנות לתוקף", מעריכים במשרד המשפטים, "צפויה קפיצת מדרגה כללית ברמת אבטחת המידע האישי בישראל". התקנות החדשות מחליפות את התקנות הקיימות בעניין זה, משנת 1986, שהיו מיושנות ולא התאימו לעידן הדיגיטלי.

הבחנה בין סוגי מאגרי מידע

התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג, כאשר יש אבחנה בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם. רמת האבטחה נקבעת בהתאם לסקירת איומים שעל הארגון לבצע, בהתבסס על ארבעה מימדים:

• זהות הארגון – גופים ציבורים וחברות שסוחרות במידע אישי, לעומת עוסק יחיד, חנות פרחים, לעומת חברות ביטוח.
• גודל המאגר – ככל שכמות המידע במאגר גדולה יותר, כך הוא נחשב לרגיש יותר.
• רגישות המידע – ככל שהמאגר מכיל סוגי מידע רגישים יותר, כך רמת האבטחה הנדרשת גבוהה יותר. מידע רגיש, לדוגמה הוא מידע רפואי.
• מספר מורשי הגישה – ככל שמספר האנשים שרשאים להיחשף למידע שבמאגר גבוה יותר, כך נדרשת רמת אבטחה גבוהה יותר.

סוג מאגר המידע הראשון הוא מאגר מידע המנוהל על ידי יחיד, עליו חלות החובות הפחותות ביותר. מדובר על מאגרים המנוהלים בידי יחידים, כשהגישה למידע שבמאגר הינה לבעלים ולכל היותר לעד שני מורשי גישה נוספים. דוגמה לבעלת מאגר שכזה היא הקוסמטיקאית שמנהלת מאגר לקוחות. מנגד, לדוגמה, פסיכיאטרית המנהלת לבדה מאגר מידע אודות מספר מצומצם של מטופלים, לא תחסה תחת הגדרת בעל מאגר יחיד, כי המידע במאגר שלה רגיש ביותר.

סוג שני של מאגרים הוא זה שחלה עליהם רמת האבטחה הבסיסית. הגדרה זו היא על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ושאינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.

הסוג השלישי הוא מאגרים שחלה עליהם רמת האבטחה הבינונית. זו כוללת מאגרי מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו לאחר, או שהינם בבעלות גוף ציבורי, או שהם מכילים מידע כגון מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף.

הסוג הרביעי הוא מאגרים שחלה עליהם רמת האבטחה הגבוהה. אלה הם מאגרי מידע שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש אודות 100 אלף אנשים ויותר, או שמספר מורשי הגישה למידע זה עומד על יותר מ-100.

החובות החלות על בעל מאגר יחיד הן המצומצמות ביותר: חובה להכנת מסמך הגדרות המאגר, אבטחה פיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.

החובות החלות על כל שאר בעלי המאגרים כוללת דרישה להכנת מסמך הגדרות המאגר: איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש; עריכת נוהל אבטחת מידע; מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים; אבטחה פיזית; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספים.

מה החידושים בתקנות?

חידוש משמעותי בתקנות, הוא חובת ההודעה אודות אירועי אבטחה חמורים: בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, יודיעו באופן מיידי שקרה אירוע אבטחה חמור וכן ידווחו לרשות להגנת הפרטיות על הצעדים שנקטו בעקבות האירוע. במקרים אלה, רשם מאגרי המידע רשאי להורות לבעל מאגר המידע – לאחר שהתייעץ עם ראש המערך הלאומי להגנת הסייבר – להודיע על אירוע האבטחה למי שעלול להיפגע מהאירוע.

חידוש נוסף בתקנות, מאפשר לרשם מאגרי המידע להחריג מתחולת התקנות, באופן מלא או חלקי, מאגרים מסוימים, או מגזרים מסוימים, על מנת למנוע נטל פרוצדורלי או בירוקרטי.

עו"ד אלון בכר, ראש הרשות להגנת הפרטיות, אמר כי "בשנים האחרונות אנו עדים להתגברותם של אירועי אבטחת מידע חמורים, שהובילו לדליפות מידע אישי ולסיכונים משמעותיים לפרטיותם של אנשים. תקנות הגנת הפרטיות שנכנסות היום (ג') לתוקף, הן נקודת מפנה משמעותית בכל הקשור להגנה על פרטיותם של אזרחי ישראל".