תקנות הגנת הפרטיות הישראליות | אלקלעי מונרוב
ייעוץ עסקי בקרה וניהול סיכונים

תקנות הגנת הפרטיות הישראליות

תקנות הגנת הפרטיות הישראליות

 קצת על תקנות הגנת הפרטיות

ביום 8 במאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017 . תקנות אלה מפרטות את אופן יישומה של חובת אבטחת המידע המחייבת על פי חוק כל גורם המנהל או מעבד מאגר של מידע אישי.

על מי חלות התקנות?

התקנות חלות על כל המשק הישראלי! כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים.

סוגי מאגרי מידע

התקנות מבחינות בין ארבעה סוגי מאגרי מידע שלהם נדרשת רמת אבטחה ההולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.

  1. מאגרי מידע המנוהלים על ידי יחיד

על סוג מאגר זה חלה החובה הנמוכה ביותר. הגישה למאגר כזה נמצאת בידי עד שלושה מורשים, הוא אינו מכיל מידע על יותר מ – 10,000 אנשים, הוא לא נועד  לאיסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר) והוא אינו כולל מידע הכפוף לחובת סודיות.

  1. מאגרים שחלה עליהם רמת האבטחה הבסיסית

אלו מאגרים שאינם מנוהלים בידי יחיד ואינם מוגדרים כמאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.

  1. מאגרים שחלה עליהם רמת האבטחה הבינונית

מאגרי מידע שמספר מורשי הגישה אליהם עולה על עשרה ומטרתם לאסוף מידע לצורך מסירתו לאחר, מאגרי מידע בבעלות גוף ציבורי או מאגרי מידע המכילים מידע רגיש.

הגדרת מידע רגיש כוללת חלק מסוגי המידע הבאים (רשימה חלקית ולא סופית) – מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף.

  1. מאגרים שחלה עליהם רמת האבטחה הגבוהה

מאגרי מידע, לרבות מאגרי מידע של גוף ציבורי שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה אליהם עולה על 100 מורשים.

חשוב לציין כי החובות החלות על בעל מאגר יחיד הינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחתו הפיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.

החובות החלות על כל שאר בעלי המאגרים כוללות דרישה להכנת מסמך הגדרות המאגר תוך התייחסות לאיסוף המידע, מטרות השימוש בו, סוגי המידע ומתן דיווח האם לא נאסף מידע מעבר לדרוש. כמו כן כוללות החובות עריכת נוהל אבטחת מידע, מיפוי המערכות (למאגר מידע המחייב את רמת האבטחה הגבוהה נדרש גם ביצוע סקר סיכונים), אבטחה פיזית, חובות באשר לגיוס עובדים, ניהול הרשאות גישה, זיהוי, אימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות, אבטחת תקשורת וחובות נוספות כמפורט בתקנות.

עיקרי התקנות וחובותיהן:

  • אפיון המידע המוגן ויצירת מסמך הגדרות מסודר.
  • מיפוי מערכות המאגר וביצוע סקר סיכונים.
  • הכנת נוהל אבטחת המידע הארגוני ונוהל התמודדות עם אירועי אבטחת מידע.
  • קביעת הוראות מהותיות בניהול אבטחת המידע של הארגון.
  • חובות ישימות בשמירת מידע ועיבודו.
  • חובת דיווח על אירוע אבטחה חמור.

מאגרי מידע בעלי רגישות בינונית וגבוהה מחייבים ביצוע מבדקי חדירה, ביקורות פנימיות וציות, הטמעת אמצעי אבטחה מתקדמים ועוד.

חברתנו אלקלעי מונרוב ושות' AlMo הינה בעלת ניסיון מעשי בתחום אבטחת המידע והסייבר והגנת המידע מביצוע פרויקטים בעשרות ארגונים ובכלל זה מתמחה בהכנת ארגונים לעמידה לדרישות החוק בהתאם לרמת סוג המאגר.

מוזמנים ליצור קשר בכל שאלה בנושא וצוות מומחי אלקלעי מונרוב ושות' AlMo ישמחו לסייע גם לכם לעמידה בתקנות.

 אנא השאירו פרטים ואנו נחזור אליכם בהקדם:

 הנני מאשר הצטרפות לרשימת תפוצה

יצירת קשר