דילוג לתוכן העיקרי
fw_before_content
content

חוזר ברית פיקוח: התארגנות ליישום חוק הגנת הפרטיות (מאגרי מידע)

יוני 2019
חוזר מקצועי מספר 55/19
ברית פיקוח
ברית פיקוח

ברצוננו לעדכנכם, כי לאחרונה חלה התפתחות משמעותית בתחום האכיפה של חוק הגנת הפרטיות[1] בנוגע למאגרי מידע.

יודגש, כי אי עמידה בתקנות מתוקף החוק מהווה עבירה פלילית.

נזכיר, כי במרץ 2017, אישרה הכנסת את תקנות הגנת הפרטיות (אבטחת מידע)[2], המפרטות את אופן יישומה של חובת אבטחת המידע, המוטלת בחוק הגנת הפרטיות, על כל גורם המנהל או מעבד מאגר של מידע אישי (התקנות נכנסו לתוקף במאי 2018).

הנדרש בהתאם לתקנות

התקנות מפרטות צעדים לניהול ויישום אבטחת מידע, בהתאמה לרגישות מאגרי המידע והמידע המצוי בהם, וזאת לפי 4 רמות אבטחה אשר התקנות מגדירות:

  • רמה אבטחה למאגר ברשות יחיד
  • רמת אבטחה בסיסית - מידע כגון שם מלא, טלפון, כתובת.
  • רמת אבטחה בינונית - ת.ז, מידע רפואי, פיננסי, הרגלי צריכה, דעות פוליטיות, אמונותיו ועוד כמוגדר בחוק.
  • רמת אבטחה גבוהה - מאגרי מידע, לרבות של גוף ציבורי, שמטרתם איסוף מידע לצורך מסירתו לאחר או שיש בהם מידע רגיש, כמתואר לעיל, אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה למידע זה עולה על 100.

לפי רמת אבטחת המידע, התקנות דורשות יישום במספר נושאים.

לדוגמה:

  • כתיבת נוהל אבטחת מידע.
  • בקרות פיסיות להגנה על המידע (למשל מצלמות / בקרת כניסה).
  • חיזוק אבטחת מידע בתהליך גיוס כוח אדם.
  • נוהל תגובה לאירועי אבטחת מידע.
  • מיפוי מערכות מחשוב הקשורות למאגרי מידע.
  • ניהול אבטחת מידע.

ועוד...

כיצד מתארגנים?

ההתארגנות מתחילה מגילוי כל המאגרים בהם יש מידע המוגדר על פי חוק כדורש אבטחה, חלקם ברורים מאליהם, חלקם פחות, למשל קובץ אקסל המכיל פרטים אישיים מסוימים על אודות בעלי עניין - עשוי להיחשב כמאגר מידע.

לאחר מיפוי המאגרים, נבחנת בפועל רמת אבטחת המידע במאגרים ועל פי התוצאות, נבנה התוואי הדרוש להגן עליהם במידה הנכונה במסגרת החוק.

שלב א' - מיפוי וסקירת פערים

1)  מיפוי מאגרי המידע הקיימים בקיבוץ (כגון, קהילה, עובדים, ספקים, לקוחות).
2)  קביעת רמת אבטחת מידע (ברשות יחיד, בסיסית, בינונית, גבוהה).
3)  סקר פערים (הפערים הקיימים מול הנדרש לבצע בתקנות).

שלב ב' - יישום דרישת התקנות וצמצום פערים

1)  יישום השלמת הפערים לטובת עמידה בתקנות הגנת הפרטיות.
2)  הכנת תיקייה לטובת ניהול והצגה במקרה של ביקורת של הרשות להגנת הפרטיות.

למעוניינים, במידע נוסף - ניתן לפנות לאלון צוקר, טלפון 052-7928885,  alon.zuker@sophtix.com

 

 


[1] חוק הגנת הפרטיות, תשמ"א-1981.

[2] תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

הוספת תגובה חדשה