האם אתם מוכנים לתקנות הגנת הפרטיות החדשות? | אלקלעי מונרוב
ייעוץ עסקי בקרה וניהול סיכונים

האם אתם מוכנים לתקנות הגנת הפרטיות החדשות?

האם אתם מוכנים לתקנות הגנת הפרטיות החדשות?

בזמן שכולם מדברים על ה – GDPR – החוק האירופאי להגנת המידע שיכנס לתוקף ב – 28 במאי 2018 ועל השפעתו על חברות ישראליות, אחרים מחמיצים את תקנות הגנת הפרטיות החדשות של הרשות להגנת הפרטיות (לשעבר רמו"ט) אשר יכנסו לתוקף באותו החודש בדיוק!

למעשה, תקנות אלו בעלות השפעות משמעותיות כמעט על כל גוף וארגון הפועלים במשק הישראלי, החל בסטארט – אפים ועד לחנות הפרחים השכונתית שלנו, ולכן עלינו להתייחס לתקנות אלו ברצינות רבה לא פחות מהיחס הנדרש לחוק האירופאי להגנת המידע (ה – GDPR).

 

 קצת על תקנות הגנת הפרטיות

ביום 21 במרץ 2017 אישרה ועדת חוקה, חוק ומשפט שבכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017. תקנות אלה מפרטות את אופן יישומה של חובת אבטחת המידע המחייבת על פי חוק כל גורם המנהל או מעבד מאגר של מידע אישי.


התקנות פורסמו ברשומות כבר ביום 8 במאי 2017, וצפויות להיכנס לתוקף ביום 8 במאי 2018.

התקנות החדשות נועדו להטמיע עקרונות אבטחה בשגרת ניהול המידע בארגון לשם מימוש תכלית חוק הגנת הפרטיות, זאת כדי לענות על הצורך הגובר בוודאות נורמטיבית, קביעת רף מינימאלי אחיד וברור והתאמה לנורמות העדכניות בעולם בכל הקשור לשמירה על פרטיותם של האזרחים.

התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות מבחינה טכנולוגית), שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה חובת דיווח גם לאנשים שהמידע שנחשף נוגע אליהם.

 

על מי חלות התקנות?

התקנות חלות על כל המשק הישראלי! כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים.

סוגי מאגרי מידע

התקנות מבחינות בין ארבעה סוגי מאגרי מידע שלהם נדרשת רמת אבטחה ההולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.

  1. מאגרי מידע המנוהלים על ידי יחיד

על סוג מאגר זה חלה החובה הנמוכה ביותר. הגישה למאגר כזה נמצאת בידי עד שלושה מורשים, הוא אינו מכיל מידע על יותר מ – 10,000 אנשים, הוא לא נועד  לאיסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר) והוא אינו כולל מידע הכפוף לחובת סודיות.

  1. מאגרים שחלה עליהם רמת האבטחה הבסיסית

אלו מאגרים שאינם מנוהלים בידי יחיד ואינם מוגדרים כמאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.

  1. מאגרים שחלה עליהם רמת האבטחה הבינונית

מאגרי מידע שמספר מורשי הגישה אליהם עולה על עשרה ומטרתם לאסוף מידע לצורך מסירתו לאחר, מאגרי מידע בבעלות גוף ציבורי או מאגרי מידע המכילים מידע רגיש.

 

הגדרת מידע רגיש כוללת חלק מסוגי המידע הבאים (רשימה חלקית ולא סופית) – מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף.

 

  1. מאגרים שחלה עליהם רמת האבטחה הגבוהה

מאגרי מידע, לרבות מאגרי מידע של גוף ציבורי שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה אליהם עולה על 100 מורשים.

 

חשוב לציין כי החובות החלות על בעל מאגר יחיד הינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחתו הפיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.


החובות החלות על כל שאר בעלי המאגרים כוללות דרישה להכנת מסמך הגדרות המאגר תוך התייחסות לאיסוף המידע, מטרות השימוש בו, סוגי המידע ומתן דיווח האם לא נאסף מידע מעבר לדרוש. כמו כן כוללות החובות עריכת נוהל אבטחת מידע, מיפוי המערכות (למאגר מידע המחייב את רמת האבטחה הגבוהה נדרש גם ביצוע סקר סיכונים), אבטחה פיזית, חובות באשר לגיוס עובדים, ניהול הרשאות גישה, זיהוי, אימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות, אבטחת תקשורת וחובות נוספות כמפורט בתקנות.

 

עיקרי התקנות וחובותיהן:

  • אפיון המידע המוגן ויצירת מסמך הגדרות מסודר.
  • מיפוי מערכות המאגר וביצוע סקר סיכונים.
  • הכנת נוהל אבטחת המידע הארגוני ונוהל התמודדות עם אירועי אבטחת מידע.
  • קביעת הוראות מהותיות בניהול אבטחת המידע של הארגון.
  • חובות ישימות בשמירת מידע ועיבודו.
  • חובת דיווח על אירוע אבטחה חמור.

מאגרי מידע בעלי רגישות בינונית וגבוהה מחייבים ביצוע מבדקי חדירה, ביקורות פנימיות וציות, הטמעת אמצעי אבטחה מתקדמים ועוד.

 

משרד אלקלעי מונרוב ושות' AlMo מתמחה בהכנת ארגונים לתקן ניהול מערכת אבטחת מידע ISO27001 ועמידה בדרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 והחוק להגנת המידע האירופאי חדש ה- GDPR אשר שניהם ייכנסו לתוקף במהלך חודש מאי 2018.

מוזמנים ליצור קשר בכל שאלה בנושא וצוות מומחי אלקלעי מונרוב ושות' AlMo ישמחו לסייע גם לכם בהכנה לקראת התקנות החדשות.

 

 אנא השאירו פרטים ואנו נחזור אליכם בהקדם:

 הנני מאשר הצטרפות לרשימת תפוצה

מאמרים

יצירת קשר