החובה לאבטחת מידע והגנת הפרטיות מעוגנת מזה כ- 40 שנה במסגרת חוק הגנת הפרטיות, התשמ"א – 1981 (להלן: החוק)
מאז, נרשמו מעט מאגרי מידע וולא בכל ארגון מונה ממונה אבטחת מידע ובסה"כ תחום זה עבד על "טייס אוטומטי".
בתקופה הנוכחית, בה השימוש ברשתות החברתיות, באינטרנט ובאפליקציות (מרשתת ויישומונים) הופכים לאח גדול של ממש החושף היכן אנו, מתי, עם מי, מה אוכלים היכן מבלים ומה קונים, מה יש לנו ושומר את המידע (ביג דאטה) העולם לא נשאר אדיש.
בשנת 2017 הותקנו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 שנכנסו לתוקפן ב- 2018 (להלן: התקנות).
התקנות "הגיחו לאוויר העולם" שנה לאחר התקנת התקנות באירופה GDPR (General Data Protection Regulation)
אם כן, מה הן בעצם החובות החלות על חברה או יחידים המחזיקים במאגר מידע? ובכלל – האם הנושא צריך להיות מעוגן כמדיניות ואסטרטגיה וכחלק מהנושאים העולים לדיון על שולחן הדירקטוריון?
על פי החוק והתקנות, קיימות ארבע רמות אבטחה למאגר מידע:
מאגר המנוהל בידי יחיד, מאגר בסיסי, מאגר ברמת אבטחה בינונית ומאגר ברמת אבטחה גבוהה.
ניקח לדוגמא שבחברה שהנך משמש כדירקטור ישנם מעל 10 עובדים בעלי הרשאת גישה למידע, והמידע בו החברה מחזיקה הנו 'מידע רגיש' כהגדרתו : נתונים על אישיותו של אדם, צנעת אישיותו, למשל הרגליו המיניים, מצב בריאות, מצב כלכלי, דעות ואמונות. (הגדרה שתורחב בקרוב במסגרת תיקון החוק)- או אז מאגר זה הינו מאגר ברמת אבטחה בינונית החלות עליו חובות רבות מתוך החוק והתקנות וכמו כן זהו מאגר החייב ברישום.
בנוסף, קיימת חובה חקוקה עפ"י תקנה 2 גם לתאר את המאגר במסמך, מהיכן המידע נאסף, כיצד הוא נשמר והאם יש הלימה בין מטרת מסירת הנתונים לשימוש בהם.
עוד חייב בעלה מאגר (החייב) , עפ"י תקנה 6 (א) לאבטח את המאגר פיזית וסביבתית, ליצור נוהל זיהוי ואימות משתמשים במערכות המאגר ונוהל התנהגות והתנהלות בשעת אירוע אבטחה ופריצה למאגר, כמו גם נוהל שימוש בהתקנים ניידים ועוד נהלים מנהלים שונים.
האם מבוצעת אכיפה ליישום הוראות דיני אבטחת מידע והגנת הפרטיות?
התשובה לכך היא בהחלט כן. הרשות להגנת פרטיות במשרד המשפטים, מבצעת אכיפה בקרב עסקים ולגופים נוספים המחזיקים במידע רגיש אודות לקוחות, ספקים עובדים וכו'.
מה הן סמכויות הרשות? עפ"י סעיף 10 לחוק הגנת הפרטיות יש לרשם מאגרי המידע סמכויות נרחבות הן להגשת קנסות מנהליים, להתלות ו/או לבער מאגר מידע. הרשם רשאי להעביר חומרי חקירה לפרקליטות המדינה ולהמליץ על חקירה פלילית, בימים אלו יש מי שקורא להעניק לרשם סמכויות פליליות עצמאיות.
אז איך בעצם מתכוננים לאכיפה שכזו? מה צריך לעשות על מנת לעמוד בדרישות החוק והתקנות?
• מילוי שאלון וניתוח מאגר
• רישום מאגרי מידע במשרד המשפטים
• אפיון המאגר
• כתיבת תיק נהלי אבטחת מידע והגנת פרטיות (על פי סעיפי החוק והתקנות)
• הטמעת הנהלים בקרב עובדי המשרד/חברה/ארגון/רשות
• ליווי בייצוג מול משרד המשפטים
• ביקורות ובדיקות חדירות חוסן ועמידות (PT)
בימים אלו, ברי כי הגנת הפרטיות איננה עוד בגדר המלצה. להיפך, הרגולציה המחויבת בהתאמות להסכמים ואמנות בעולם, הולכת ומדייקת את האמצעים והכללים בנושא אבטחת הגנת הפרטיות. ארגונים רבים בארץ ובעולם מאמצים מדיניות אבטחת מידע והגנת פרטיות קפדנית, הן על מנת לעמוד בדרישות החוק ולהימנע מהליכים העלולים להינקט כנגד הארגון, והן על מנת לחזק את אבטחת המידע וסגירת שעריו בפני 'אורחים' בלתי רצויים.