הידעתם? בחודש מאי 2018 ייכנסו לתוקפן תקנות הגנת הפרטיות חדשות, כפועל יוצא של החוק להגנת הפרטיות. תקנות אלו תוקנו ע"י שרת המשפטים בעניין רמת אבטחת המידע הנדרשת במסגרת חוק הגנת פרטיות במאגרי מידע (מצ"ב) וייכנסו לתוקפן בעוד פחות מחודשיים.
הרשות להגנת הפרטיות היא הגוף האחראי לקיומן ואכיפתן של תקנות אלו. התקנות יחולו על גופים פרטיים וציבוריים המעבדים ואוגרים מידע אישי. התקנות החדשות מטילות את האחריות לעמוד בהן על בעל מאגר המידע, על מנהלי הארגון ועל מחזיק המאגר. כשירות לגופים הפרטיים והציבוריים תימצתנו לכם את עיקרי התקנות [1]:
עיקר התקנות
התקנות החדשות מפרטות את עקרונות אבטחת המידע בהתבסס על תקני אבטחת מידע מקובלים בעולם, מותאמות לשינויים והתפתחויות טכנולוגיות שחלו ביחס למאגרי מידע ממוכנים, וכוללות מנגנונים שונים שכל ארגון, המעבד מידע אישי, נדרש ליישם כחלק אינטגרלי מניהול עסקיו. זאת, בכדי להגן על זכויות נושאי המידע מפני שימוש לרעה במידע הקיים אודותם במאגרי המידע של הארגון. מצב זה שונה בתכלית מדרישות אבטחת המידע הכלליות שקיימות בחוק הגנת הפרטיות, התשמ"א-1981 שעסקו בעיקר בהגנה על אינטרס הארגון.
התקנות קובעות 3 מנגנונים של פעולות:
ברובד הראשון יקבע בעל המאגר מהו המידע המוגן, מהן מטרות השימוש והעיבוד שלו ומיהם הגורמים אליהם מועבר המידע ומהם הסיכונים הקשורים אליו. כמו כן נדרש בעל המאגר למפות את מערכות המידע ולנקוט אמצעי אבטחה מתאימים. במאגרים מסוימים נדרש, ע"פ התקנות להכין סקר סיכונים על ידי בעל מקצוע מדי 18 חודשים, מבדקי חדירות המדמים התקפה על מערכות ממוחשבת, וביקורות פנימיות אחת לשנתיים לעניין עמידה בנוהל האבטחה ובתקנות.
ברובד השני הארגון יקבע נוהל אבטחת מידע להתוויית מדיניות ארגונית אחידה וברורה להגנה על מידע בארגון.
הרובד השלישי כולל הוראות מהותיות בתחום ניהול אבטחת המידע.
קנסות שניתנו עקב הפרת התקנות
קנס מנהלי וקביעת הפרה הם רק דוגמאות לעונשים הצפויים לאירגונים העוברים על חוק הגנת הפרטיות. הרשות להגנת הפרטיות פועלת ללא הרף כדי לאכוף את התקנות השונות הקשורות לאבטחת המידע. הנה כמה דוגמאות לקנסות שקיבלו חברות שונות:
ב30/9/2017 חברת "שי שירותי סיעוד בע"מ", מקבלת קנס בגובה 400,000 (!) ₪ על כך שהשתמשה במידע אישי אודות מאושפזים, אשר מקורו במאגרי המידע של בתי החולים בהם אושפזו, לצרכיה העסקיים, ללא הסכמתם של המאושפזים, ובניגוד להוראות סעיף 8(ב) לחוק הגנת הפרטיות. חברת שי ביצעה לא פחות מ16 הפרות של הסעיף ולכן שילמה קנס גבוה.
דוגמא נוספת ומוכרת היא של מפלגת "יש עתיד" הידועה. ב-3/5/2017 הוטל על המפלגה קנס מנהלי וקביעת הפרה בגובה 55,000 ₪ (!) על העברת רשימות שכוללות מידע רגיש על ניצולי שואה, ללא הסכמתם המפורשת של הניצולים.
הנה דוגמא להפרה של חוק הגנת הפרטיות, שחצתה את גבולות הרשות והגיעה עד לבית המשפט המחוזי. ב 21/06/2017 "בנק ירושלים" מבצע הפרה של סעיף 17 לחוק הגנת הפרטיות. האירוע נבע מכשל, לכאורה, באבטחת המידע באתר הבנק, בעטיו התאפשרה פריצה לאחד מאתרי המסחר שלו ומידע רגיש אודות הלקוחות דלף החוצה. המחדל גרר תביעה ייצוגית בגובה 3 מיליון ₪. הבנק ספג מכה קשה מכל הבחינות, תדמיתית וכמובן עסקית.
כיצד תיישמו את התקנות החדשות?
לקראת כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע) בחודש מאי 2018 כדאי לבדוק האם אתם ערוכים ומוכנים לכך?
חוק הגנת הפרטיות כולל סעיפים רבים. לשימושכם סיכום של תמצית החוק:
בידקו: האם התקנות חלות עליכם?
קיבעו: מהי רמת האבטחה של המאגר שלכם?
הגדירו: במסמך הגדרות המאגר את כל הפרטים הלוגיסטיים והמהותיים
מנו: ממונה על אבטחת המידע
ייצרו נוהל אבטחה
מיפוי מערכות המאגר וביצוע סקר סיכונים
דאגו לאבטחה פיזית וסביבתית של מאגר המידע
קיבעו: מי מהכוח אדם באירגון יכול לנהל את מאגר המידע
קיבעו ניהול הרשאות גישה למאגר המידע
זיהוי ואימות: יש לוודא שמי שניגש למידע במאגר הוא עובד מורשה
ניהול בקרה ותיעוד גישה
תעדו אירועי אבטחה
הגבילו שימוש של התקנים ניידים
הקפידו על ניהול מאובטח ומעודכן של מערכות המאגר
שימו לב, האם אם מערכות המאגר מחוברות לרשת האינטרנט או לרשת ציבורית אחרת?
בידקו מהם סיכוני אבטחת המידע כאשר אתם נעזרים במיקור חוץ
הקפידו על ביקורות תקופתיות
שימרו על נתוני האבטחה לתקופת זמן ע"פ החוק
דאגו לגיבוי ושחזור נתוני האבטחה באופן תקופתי
בידקו: על מי האחריות לאבטחת המידע?
היו ערים לרגולציה ותקנים מקבילים
ומה אתם עשיתם בנושא?
נשאלת השאלה מה אתם עשיתם כדי להיות מוכנים לעדכונים בתקנות הגנת הפרטיות? האם הסדרתם וקבעתם מיהם בעלי התפקידים בנושא, הבנתם איזה סיווג מאגר מידע יש ברשותכם, ערכתם ביקורות פנימיות וביצעתם סדרת פעולות הכרחיות? אין ספק כי עם רשימה כה ארוכה של סעיפים, כדאי להתכונן לתקנות אלו מראש.
לדוגמא, ידעתם כי קובץ אקסל עם פרטי עובדי החברה נחשב גם הוא למאגר מידע? אתם לא לבד, הרבה עסקים לא מודעים לפרטי החוק ולא יודעים כיצד לאכוף אותו בעצמם. חברת אודיט בקרה וביקורת מציעה לכם ליווי צמוד ופיקוח בתהליך אכיפת תקנות אבטחת המידע. אנו באודיט בטוחים כי ביצוע תהליך של בדיקה, בקרה ואכיפה של תקנות אלו ע"י צוות בעל ניסיון מוכח בביצוע ביקורות אלו, בשילוב ידע המשפטי יסייע לחברתכם בעמידה בדרישות החוק.
עדכון החוק - 14/3/2018 חברות יהיו חשופות לקנס עד 3 מיליון ש"ח על הפרות של תקנות הגנת הפרטיות
הכנסת אישרה בקריאה ראשונה שינוי של חוק הגנת הפרטיות כך שרשות הגנת הפרטיות תוכל להטיל קנסות כספיים במקרים שונים של הפרות, כמו כן, נקבעו עוד כמה חובות.
הצעת החוק שהוגשה לפני שבועיים מבקשת להסמיך את הממונה על מאגרי המידע (בעל תפקיד במשרד המשפטים) להטיל קנסות שיכולים להגיע לכ-3 מיליון שקל בגין הפרת חובות בתחום הגנת הפרטיות. זאת לעומת המצב כיום בו יש סנקציות כספיות נמוכות בנושא, והאכיפה נחשבת דלה יחסית. בנוסף, לפי ההצעה, על מנהלים ודירקטורים בחברות תוטל חובה לפקח ולעשות כל שניתן למניעת עבירות על החוק בידי עובדיו. אם יימצא כי נושאי המשרה לא טיפלו בנושא זה כראוי, הדבר ייחשב כעבירה, ויותר מכך, נושא המשרה עצמו עלול למצוא עצמו משלם קנס (דבר שלא היה כדוגמתו בעבר).
כחלק מהתחזקות עולמית של דיני הגנת הפרטיות, כך גם מתחזקים הכלים לאכיפה שלהם ולכן הוגשה הצעת חוק זאת שמטרתה לתת יותר כלים ועוצה לרגולטור בתחום הגנת הפרטיות.
ככל שהטכנולוגיה מתפתחת, כך גם מתפתחת הרגולציה. כיום ישנה המגמה הולכת וגוברת לפריצה למערכות של חברות ע"י האקרים למיניהם, כך שהסיכון לחשיפת מידע אישי על לקוחות גדל. בישראל אחת הדוגמאות הבולטות לכך בשנים האחרונות הייתה גניבת נתונים על לקוחות חברת כרטיסי האשראי לאומי קארד בידי עובד לשעבר בחברה.
לנוכח כל השינויים בדיני הגנת הפרטיות כדאי שגם שאירגון שלכם יהיה מעודכן בעידכוני התקנות האחרונים, בשיטות האכיפה וביישומן בשטח.
[1] קריאת תמצית זו אינה מהווה תחליף לעיון בנוסח המלא של תקנות אבטחת מידע ובהיוועצות עם גורמים מקצועיים ביחס לתחולת התקנות.
אודיט בקרה וביקורת מציעה לכם ליווי צמוד ופיקוח בתהליך אכיפת תקנות אבטחת המידע ויישום תקנות הגנת הפרטיות.