תקנות הגנת הפרטיות - אבטחת מידע
ברצוננו לעדכנכם בתקנות החדשות אשר תוקנו ע"י שרת המשפטים בעניין הגנת פרטיות ואבטחת מידע המצוי במאגרי מידע (מצ"ב).
תקנות אלו ייכנסו לתוקפן בעוד מספר חודשים, אך לאור היקף הפעילות הנדרש מכם אנו ממליצים לכם להתחיל ולהיערך כבר כעת. רצוי להיעזר בעורך דין תקנות הגנת הפרטיות המבצע יישום והטמעה של התקנות במקרה זה.
תקנות אלו יחולו על גופים פרטיים וציבוריים אשר מעבדים מידע אישי.
כללי
התקנות החדשות מפרטות את עקרונות אבטחת המידע בהתבסס על תקנות אבטחת מידע מקובלות בעולם, מותאמות לשינויים והתפתחויות טכנולוגיות שחלו ביחס למאגרי מידע ממוכנים, וכוללות מנגנונים שונים שכל ארגון המעבד מידע אישי נדרש ליישם כחלק אינטגרלי מניהול עסקיו על מנת להגן על זכויות נושאי המידע מפני שימוש לרעה במידע הקיים אודותם במאגרי המידע של הארגון. זאת, בשונה מדרישות אבטחת מידע כלליות שקיימות בחוק הגנת הפרטיות, התשמ"א-1981 ובתקנות שהותקנו מכוחו, שעסקו בעיקר בהגנה על אינטרס הארגון.
2. התקנות קובעות 3 מנגנונים כדלהלן:
ברובד הראשון יקבע בעל המאגר מהו המידע המוגן, מהן מטרות השימוש והעיבוד שלו ומיהם הגורמים אליהם מועבר המידע ומהם הסיכונים הקשורים אליו. כמו כן נדרש בעל המאגר למפות את מערכות המידע ולנקוט אמצעי אבטחה מתאימים. במאגרים מסוימים נדרש, ע"פ התקנות להכין סקר סיכונים על ידי בעל מקצוע מדי 18 חודשים, מבדקי חדירות המדמים התקפה על מערכות ממוחשבת, וביקורות פנימיות אחת לשנתיים לעניין עמידה בנוהל האבטחה ובתקנות.
ברובד השני הארגון יקבע נוהל אבטחת מידע להתוויית מדיניות ארגונית אחידה וברורה להגנה על מידע בארגון.
הרובד השלישי כולל הוראות מהותיות בתחום ניהול אבטחת המידע.