חקיקה/ תקנות לאבטחת מאגרי מידע

ב- 8 במאי 2017, פורסמו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות"), אשר יכנסו לתוקף ב- 8 במאי 2018. התקנות יחולו על כל אדם או חברה בישראל אשר מנהלים או מחזיקים במאגר מידע. התקנות נועדו לקבוע הסדר לעניין ההגנה הפיזית והמיחשובית על מאגרי מידע ולעניין סדרי הניהול שלהם.

התקנות קובעות שלוש רמות של מאגרי מידע, מאגר ברמת אבטחה בסיסית, בינונית וגבוהה. התקנות מטילות חובות כלליות על כל בעל מאגר מידע וחובות נוספות על בעל מאגר מידע ברמת אבטחה בינונית ו/או גבוהה.

החובות המוטלות על כל בעל מאגר מידע כוללות, בין השאר:

  • קביעת מסמך הגדרות המאגר אשר יכלול, בין היתר, תיאור כללי של פעולות איסוף, עיבוד ושימוש במידע, ופרטים על העברה ושימוש במידע מחוץ לישראל.
  • קביעת נוהל אבטחה כתוב אשר יכלול, בין היתר, הוראות בעניין האבטחה הפיזית של האתר בו נמצאות תשתיות ומערכות החומרה של מאגר המידע, הרשאות הגישה למאגר והסיכונים אליהם חשוף המידע ואופן הטיפול בהם, לרבות מנגנוני הצפנה.
  • נקיטת אמצעים על מנת לברר שאין חשש כי בעל הרשאה למאגר המידע אינו מתאים לקבל גישה זו למידע וקיום הדרכות לבעלי ההרשאות בנוגע לחובותיהם על פי החוק, התקנות ונוהל האבטחה.
  • תיעוד כל מקרה בו התגלה אירוע המעלה חשש לשימוש במידע בלא הרשאה או בחריגה מהרשאה.
  • הגבלה או מניעה לחלוטין של חיבור התקנים ניידים למערכות מאגר המידע, בהתאם לרמת אבטחת המידע שבמאגר והסיכונים המיוחדים למאגר שנובעים מחיבור ההתקן הנייד.
  • בחינה של סיכוני אבטחת מידע הכרוכים בהתקשרות עם ספק שירותים שיקבל גישה למאגר המידע טרם ההתקשרות, והסכמה עם ספק השירותים על עניינים שונים, כגון: המידע שהוא יהיה רשאי לעבד ואופן השבת המידע בסיום ההתקשרות.

על בעל מאגר מידע ברמת אבטחה בינונית או גבוהה חלות, בין השאר, גם החובה לדווח לרשם מאגרי המידע על אירוע אבטחה חמור שאירע והחובה לערוך ביקורת אבטחת מידע על ידי גורם בעל הכשרה מתאימה לפחות אחת לשנתיים.

במקרים מסוימים תחול על בעל מאגר מידע גם חובה למנות ממונה על אבטחת מידע.

בהתקיים טעמים מוצדקים, רשם מאגרי המידע רשאי לפטור מאגר מסוים מחובות אבטחת מידע או להחיל על מאגר מסוים חובות אבטחה לפי התקנות.

(תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.