הקליקו כאן כדי לקבל את המדריך השלם לאבטחת מידע ומאגרי מידע

 

תקנות אבטחת מידע – מה זה ולמה זה טוב?

ב- 8 במאי 2018 נכנסו לתוקף תקנות אבטחת מידע (בשמן הרשמי: תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז – 2017).

התקנות מגבירות את ההגנה על מאגרי מידע הנמצאים בידי כל גורם פרטי, מסחרי או ציבורי.

מטרת התקנות היא להפוך את אבטחת המידע לחלק אינטגרלי משגרת ניהול המידע, וכן לקיים בקרה שוטפת על אירועי אבטחה ודליפת מידע, בעיקר בדרך של חובת דיווח לרשות להגנת הפרטיות.

האם תקנות אבטחת מידע בישראל קשורות לתקנות GDPR באירופה?

תקנות אבטחת מידע בישראל נכנסו לתוקף בסמוך לכניסתן לתוקף של תקנות הגנת הפרטיות של האיחוד האירופי – GDPR (General Data Protection Regulation).

חשוב לשים לב, שמדובר על תקנות שונות שיכולות לחול במקביל. אם עומדים בתקנות מסוג אחד, זה לא אומר בהכרח שעומדים בתקנות האחרות.

תקנות GDPR מחילות חובות נוספות ומוגברות על כל גורם ישראלי שמחזיק מידע אישי על מי שנמצא או מתגורר בתחומי האיחוד האירופי. לדוגמא – תקנות GDPR חלות על כל גורם ישראלי שמוכר מוצרים או שירותים לאזרחי מערב אירופה.

לעוד מידע על GDPR – ראו כאן.

מה זה מאגר מידע?

לפני שנבין מה זה “מאגר מידע” על פי חוק, צריך לדעת מה כולל המונח “מידע”.

חוק הגנת הפרטיות, תשמ”א – 1981 קובע, ש”מידע” פירושו נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. בהתאם לפסיקת בתי המשפט ולעמדת הרשות להגנת הפרטיות (הגוף במשרד המשפטים שאחראי על רגולציית הפרטיות בארץ) – גם מס’ תעודת זהות נחשב למידע.

החוק מגדיר גם את המונח “מידע רגיש”. כלומר, נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו.

“מאגר מידע” הוא אוסף נתוני מידע, המוחזק באמצעי מגנטי (כגון דיסק קשיח) או אופטי (כגון התקן CD) המיועד לעיבוד ממוחשב.

חשוב לדעת, שאוסף לשימוש אישי שאינו למטרות עסק, או אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, אינו מהווה מאגר מידע. זאת, בתנאי שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף (אוסף נוסף מאפשר לבצע הצלבות מידע בין שני מאגרים “פטורים”).

האם צריך לדווח על מאגר מידע או לרשום מאגר מידע?

חובת הרישום של מאגר מידע נגזרת מאופי המאגר. אם מתקיים במאגר אחד מהתנאים הבאים, יש חובה לרשום את מאגר המידע:

  1. מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000; או –
  1. יש במאגר מידע רגיש (ר’ למעלה מה זה “מידע רגיש”); או – 
  1. המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם; או –
  1. המאגר הוא של גוף ציבורי שהוגדר בחוק; או –
  1. המאגר משמש לשירותי דיוור ישיר. כלומר, העברת רשימות, מדבקות או נתונים לצורך פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע. הפנייה יכולה להתבצע בכתב, בטלפון, בדרך ממוחשבת (אימייל) או באמצעי אחר.

על מי חלה החובה לרשום מאגר מידע?

כל מי שמחזיק מאגר מידע שנכלל באחת הקטגוריות שהוצגו לעיל – חייב לרשום את מאגר המידע שלו.

כמה עולה האגרה לרשום מאגר מידע?

החל מאוגוסט 2017 לא נגבות אגרות עבור רישום מאגרי מידע.

האם מותר להשתמש במאגר מידע שלא נרשם?

החוק אוסר על אדם לנהל ולהחזיק מאגר מידע, אלא אם כן המאגר נרשם או שהתקבל אישור מפורש מהרשות להגנת הפרטיות להמשיך ולנהל אותו עד שיירשם.

לאיזה צרכים מותר לי להשתמש במאגר מידע?

מותר להשתמש במידע שבמאגר מידע החייב ברישום רק למטרה שלשמה הוקם המאגר.

לדוגמא – אם מרפאה מחזיקה במאגר מידע על חולים הנזקקים מעת לעת לתרופה מסויימת (כדי לדעת למי מותר להנפיק את התרופה), אסור לה להשתמש במאגר הזה לצורך שליחת פרסומים מסחריים למכשיר שיכול להיות רלבנטי לריפוי המחלה.

מה זה אבטחת מידע?

אבטחת מידע משמעותה הגנה על שלמותו של מידע, כולל מפני חשיפה, שימוש והעתקה בידי גורמים שאינם מורשים.

על מי חלות תקנות אבטחת מידע?

ככלל, תקנות אבטחת מידע חלות על כל המשק הישראלי.

חשוב להדגיש, שהתקנות אינן חלות על סתם “מידע” שאינו חלק מ”מאגר מידע”. התקנות חלות רק על “מאגרי מידע”. ר’ לעיל מה זה “מידע” ומה זה “מאגר מידע”.

אני בן אדם פרטי או בעל עסק קטן – האם חלות עלי תקנות אבטחת מידע?

תקנות אבטחת מידע קובעות, שמאגר מידע המנוהל בידי יחיד פטור מהתקנות.

“יחיד” – כלומר, בנאדם פיזי. להבדיל מחברה, עמותה, וכו’.

“מאגר המנוהל בידי יחיד” הוא מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים מטעמו רשאים ויכולים לעשות שימוש במאגר.

חשוב לשים לב לחריגים הבאים – מאגרי המידע שלהלן, גם אם הם מנוהלים בידי יחיד, כפופים לתקנות אבטחת מידע:

  1. מאגרי מידע של עורכי דין, רואי חשבון, רופאים וכל מי שמאגר המידע שבידיו כולל מידע, שלגביו בעל המאגר כפוף לחובת סודיות מקצועית מכוח החוק או לפי כללי אתיקה מקצועית.
  1. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר (ר’ לעיל הגדרת “דיוור ישיר”.
  1. מאגר מידע שיש בו מידע אודות 10,000 אנשים ויותר.

איך אני יודע מה האבטחה שמאגר המידע שלי צריך?

אם המאגר אינו מאגר מידע המנוהל בידי יחיד (ר’ לעיל), הרי שהמאגר כפוף לתקנות אבטחת מידע.

כדי לקבוע את רמת האבטחה צריך לבדוק את סוג המאגר. תקנות אבטחת מידע קובעות שלוש רמות אבטחה למאגרי מידע שעליהם הן חלות:

  1. מאגר מידע עם רמת אבטחה גבוהה.
  1. מאגר מידע עם רמת אבטחה בינונית.
  1. מאגר מידע עם רמת אבטחה בסיסית.

מה זה מאגר מידע עם רמת אבטחה גבוהה?

מאגר מידע שחלה עליו רמת אבטחה גבוהה הוא מאגר מידע שכולל את אחד מהבאים, כולל מאגר של גוף ציבורי, ובתנאי שבמאגר יש מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה שרשאים לגשת אליו עולה על 100:

  1. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר (ר’ למעלה הגדרה של “דיוור ישיר”).
  1. מאגר מידע הכולל מידע שהוא אחד מאלה:
  • מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד.
  • מידע רפואי או מידע על מצבו הנפשי של אדם.
  • מידע גנטי.
  • מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם.
  • מידע על אודות עברו הפלילי של אדם.
  • נתוני תקשורת, מיקום ותעבורה של מכשירי טלפון, GPS וכו’.
  • מידע ביומטרי.
  • מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם.
  • הרגלי צריכה של אדם שיש בהם כדי ללמד עליו מידע שהוא אחד מהנ”ל, או על אישיותו של אדם, אמונתו או דעותיו.

מה זה מאגר מידע עם רמת אבטחה בינונית?

מאגר מידע שחלה עליו רמת אבטחה בינונית הוא מאגר מידע שכולל את אחד מהבאים:

  1. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר (ר’ למעלה הגדרה של “דיוור ישיר”).
  1. מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בחוק.
  1. מאגר מידע הכולל מידע שהוא אחד מאלה:
  • מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד.
  • מידע רפואי או מידע על מצבו הנפשי של אדם.
  • מידע גנטי.
  • מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם.
  • מידע על אודות עברו הפלילי של אדם.
  • נתוני תקשורת, מיקום ותעבורה של מכשירי טלפון, GPS וכו’.
  • מידע ביומטרי.
  • מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם.
  • הרגלי צריכה של אדם שיש בהם כדי ללמד עליו מידע שהוא אחד מהנ”ל, או על אישיותו של אדם, אמונתו או דעותיו.

שימו לב לחריגים הבאים – על מאגרי המידע שלהלן לא חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית:

  1. המאגר כולל פרטי מידע שונים על אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע רגיש, גנטי וכו’.
  1. מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה.

מה זה מאגר מידע עם רמת אבטחה בסיסית?

מאגר מידע עם רמת אבטחה בסיסית הוא מאגר שלא חלה עליו רמת אבטחה בינונית או רמת אבטחה גבוהה.

מה זה אומר שחלה עלי רמת אבטחה גבוהה, בינונית או בסיסית? מה צריך לעשות?

על בעל המאגר חלות חובות שמשתנות בהתאם לרמת האבטחה שחלה על המאגר שלו.

המדריך המלא לאבטחת מידע ומאגרי מידע נמצא – כאן.

במדריך מופיע פירוט מסודר של החובות החלים על בעל מאגר מידע לפי רמת האבטחה של המאגר שברשותו.

לא קיימתי את הוראות תקנות אבטחת מידע או לא רשמתי מאגר מידע – מה יעשו לי?

מי שפוגע בפרטיות ולא מקיים את הוראות חוק הגנת הפרטיות ותקנותיו חושף עצמו לסנקציות שונות, פליליות ואזרחיות.

בעל מאגר מידע עלול להיות חשוף למאסר, לקנסות, לתובענות יצוגיות ולתשלום פיצויים אזרחיים ללא הוכחת נזק בסכום שבין 50,000 ₪ ל- 100,000 ₪ (הסכומים צמודים למדד ומתעדכנים).

יש לכם שאלה לגבי אבטחת מידע, מאגרי מידע או הגנת הפרטיות?  – צרו עמנו קשר.

האמור לעיל הוא סקירה כללית ואינו מהווה ייעוץ משפטי. ייעוץ משפטי מקצועי מחייב בדיקה פרטנית של הנסיבות הספציפיות.

צרו קשר