בחודש מאי האחרון נכנסו לתוקף תקנות הגנת הפרטיות אבטחת מידע החדשות. מדובר על רפורמה משמעותית המהווה נקודת מפנה בכל הקשור לאבטחת המידע האישי בישראל ושמירה על פרטיותם של אזרחי מדינת ישראל.
התקנות קובעות – לראשונה – מנגנונים וכלים פנים-ארגוניים, שמטרתם הפיכת אבטחת המידע בקשר עם מאגר המידע, בהתאם למאפייני המאגר, לחלק משגרת ניהול הארגון בכלל, וניהול המידע בפרט. מטרת המנגנונים היא להמחיש בצורה ברורה יותר את חובותיהם ואחריותם של ארגונים בתחום אבטחת המידע.
כל זאת, על מנת להגן על זכויות נושאי המידע במאגר המידע, מפני שימוש לרעה במידע אודותיהם, הן על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון עצמם. מלבד זאת, התקנות החדשות נועדו גם לשמר את מעמדה של ישראל כמדינה שחקיקת הגנת הפרטיות בה תואמת את דרישות החקיקה האירופית המקבילה (בין היתר ולאור רגולציית ה-GDPR האירופית החדשה שנכנסה גם היא לתוקף לאחרונה).
הרפורמה בתחום אבטחת המידע כפי שמקבלת ביטוי באמצעות התקנות החדשות, נחלקת למספר רבדים, הכוללים: מיפוי ואפיון מאגר המידע; קביעת רמת האבטחה הנדרשת בגינו על-פי המיפוי והאפיון כאמור (מאגר יחיד, רמה בסיסית, בינונית או גבוהה) ועל-פי מספר פרמטרים (זהות הארגון ופועלו, רגישות המידע, מספר נושאי המידע ומספר מורשי הגישה למאגר); וכן אימוץ מדיניות ציות ואכיפה סדורה בקשר עם אבטחת המאגר בהתאם לרמת האבטחה הנדרשת וקבוע לעניין זה בתקנות.
כך, בעת אירוע שמהווה פגיעה בפרטיות במאגר המידע, מצבו של ארגון שנקט בכל האמצעים והפעולות הנדרשות ממנו על-פי התקנות על מנת למנוע את התרחשות הפגיעה, יהיה שונה מארגון שלא נקט בהם.
חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות
בעניין זה, הרשות להגנת הפרטיות נוקטת מדיניות אכיפה מקלה וסובלנית, כפי שפורסם על-ידה, כלפי המדווחים לה אודות מקרי אירועי אבטחה, שמיושמת בהדרגה עד ליום 1 בינואר 2019, כשלאחר מועד זה – תבוצע אכיפה ויישום מלאים של התקנות על-ידי הרשות בנושא זה. יחד עם זאת, ולפי המדיניות הרשמית, הרשות תחמיר עם גורמים שלא דיווחו על אירועי אבטחה שאירעו אצלם כנדרש בתקנות (ע"ע – הפרסומים בתקשורת אודות פרשת אירוע האבטחה שאירע לאחרונה בחברת איתוראן).
במישור האחריות – הפרה של חלק מהחובות הנוגעות לאבטחת המידע מהוות עבירה פלילית וגם עלולות להוביל להטלת קנס מנהלי, הן ברמת הארגון והן ברמת נושאי המשרה ושדרת הניהול בארגון.
כיום האכיפה נחשבת לדלה ומקלה יחסית והסנקציות המנהליות הכספיות בנושא הן נמוכות מאוד.
יחד עם זאת, לא לעולם חוסן. הצעת חוק ממשלתית מחודשת המקודמת בימים אלה נועדה להסדיר מתן סמכויות פיקוח ואכיפה אפקטיביות נרחבות לרגולטור (ברוח חקיקת ה-GDPR האירופית) וכן מתן סמכות להטלת עיצומים כספיים בגין הפרות החוק בסכומים משמעותיים שעשויים להגיע עד לסך של כ-3 מיליון ש"ח. כמו כן, על-פי ההצעה, תוטל אחריות ישירה על נושאי משרה בארגון לפקח ולעשות כל שניתן למניעת עבירות על-ידי עובדיו בקשר עם מאגרי המידע.
פורסם לראשונה באתר גלובס Dun's 100