תקנות אבטחת מידע חדשות המכילות חובות חדשות על מנהלי מאגר מידע
לאחרונה פורסמו תקנות הגנת הפרטיות, בהן נקבעו נורמות חדשות ומקיפות לפעילותם של מי שמנהלים או מחזיקים במאגרי מידע בכל הנוגע לנהלי אבטחת מידע. למעשה, התקנות נוגעות לגופים רבים במשק הישראלי, בין אם מדובר בעסקים קטנים המנהלים מידע על לקוחותיהם ובין אם מדובר בתאגידי ענק.
בין ההוראות הכלולות בתקנות נקבעה, לראשונה בישראל, חובת הודעה על אירועי אבטחה חמורים לרשם מאגרי המידע ברשות למשפט טכנולוגיה ומידע במשרד המשפטים. במקרים מסוימים הרשם רשאי אף לחייב את בעל המאגר להודיע על אירוע האבטחה גם לנושאי המידע (Data subject) שעלולים להיפגע מהאירוע.
התקנות יכנסו לתוקף ב- 8.5.2018 ואין ספק שהחלת התקנות יחייבו גופים רבים בישראל להיערך ולהתאים את פעולותיהם לניהול מאגרי מידע ולאבטחת המידע.
חלוקת מאגרי המידע לסוגים
התקנות מבחינות בין ארבע רמות של מאגרי מידע, אשר לגבי כל אחת מהן נקבע היקף שונה של חובות:
מאגר המנוהל בידי יחיד
מדובר במאגר מידע המנוהל בידי יחיד או תאגיד בבעלות יחיד, שבו רשאים לעשות שימוש היחיד ועד שני בעלי הרשאה נוספים. התקנות מחריגות לעניין זה מאגר שמטרתו העיקרית היא שירותים כגון שירותי דיוור ישיר, מאגר שיש בו מידע אודות 10,000 איש ומעלה, ומאגר הכולל מידע הכפוף לחובת סודיות מקצועית לפי דין או לפי אתיקה מקצועית.
רמה זו נתונה להיקף מצומצם יחסית של חובות, כגון: הכנת מסמך המתאר את מאפייניו העיקריים של המאגר; שמירה פיזית של המאגר, נקיטת אמצעים להגבלת הגישה למאגר, תיעוד אירועים המעלים חשש לפגיעה בשלמות המידע, לשימוש בו או לחריגה מהרשאה, הגבלת האפשרות לחיבור התקנים ניידים, ניהול מאובטח של מערכות המאגר, והגבלות על חיבור מערכות המאגר לרשת האינטרנט.
מאגר בעל רמת אבטחה בסיסית
מדובר במאגר מידע שאינו נמנה על יתר רמות המאגרים שסווגו בתקנות.
נוסף לחובות החלות על מאגר המנוהל בידי יחיד, חלות על מאגר זה חובות כגון: מינוי ממונה על אבטחת מידע, קביעת נוהל לאבטחת מידע ועדכונו מידי שנה, מיפוי מערכות המאגר, אבטחת מידע בניהול כוח אדם, ניהול הרשאות גישה, הוראות בדבר זיהוי ואימות, והוראות בדבר מיקור חוץ ושמירת נתוני אבטחה.
מאגר בעל רמת אבטחה בינונית
מדובר במאגר מידע שמספר מורשי הגישה אליו גבוה מ-10, אשר עונה לאחד מהתנאים הבאים: (א) מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כעיסוק, לרבות שירותי דיוור ישיר; (ב) בעליו הוא גוף ציבורי; (ג) הוא כולל מידע רגיש באחד מהנושאים הבאים: צנעת חייו האישיים של אדם, מידע רפואי או מידע על מצב נפשי, מידע גנטי, מידע אודות דעות פוליטיות או אמונות דתיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על מצבו הכלכלי של אדם, והרגלי הצריכה של אדם.
נוסף לחובות החלות על מאגר בעל רמת אבטחה בסיסית, חלות על מאגר זה חובות כגון: נוהל מחמיר לאבטחת מידע, קיום הדרכות תקופתיות לבעלי הרשאות לפחות אחת לשנתיים, הוראות מחמירות בדבר זיהוי ואימות, ניהול מנגנון אוטומטי לתיעוד הגישה למערכות המאגר, חובת הודעה על אירוע אבטחה חמור, ביצוע ביקורות תקופתיות אחת ל-24 חודשים לפחות, מיון וסיווג עובדים, וקביעת נהלים לגיבוי המידע.
מאגר בעל רמת אבטחה גבוהה
מדובר במאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר, לרבות שירותי דיוור ישיר, או שהוא כולל מידע רגיש, ובלבד שיש בו מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה למידע בו עולה על 100.
על מאגר מסוג זה חלות כל הוראות התקנות, כאשר נוסף על החובות החלות על מאגר בעל רמת אבטחה בינונית, חלות על מאגר זה חובות כגון: עריכת סקר סיכוני אבטחת מידע וביצוע מבדקי חדירות אחת ל-18 חודשים לפחות.
הפרת החובות בתקנות נתונה לסנקציות מנהליות ופליליות.