תקנות הגנת הפרטיות נועדו לפקח ולהסדיר את כל נושא מאגרי המידע והשימוש בהם. התקנות קובעות נהלים ותחומי אחריות לגבי כל מי שמחזיק במאגר מידע ממוחשב; נהלים לגבי אבטחת המידע והשימוש בו.
תקנות הגנת הפרטיות הן אינן דבר חדש, הן נכנסו לתוקף בשנת 2018, אך למרות זאת עסקים רבים נשאר מאחור ואינם מיישמים מתוך חוסר מודעות. עסקים רבים אינם מבינים שהמידע העסקי שהם מחזיקים בו הוא מאגר מידע לכל דבר וחלות עליו תקנות מיוחדות אשר חובה למלא. אז נכון, אם העסק שלכם הוא דוכן קפה, המציע קפה ללקוחות מזדמנים; ככל הנראה הוא אינו צריך להיות מוטרד מהחוק. אך אם דוכן הקפה שלכם השתכלל קצת והפך לרשת ארצית המחזיקה דוכנים רבים ויש לה צוות עובדים אשר פרטיהם האישיים שמורים בצורה ממוחשבת ואולי גם מועדון לקוחות, אולי חציתם את הקו – יש לכם מאגר מידע.
להוציא מקרים חריגים, ניתן להגיד שבאופן כללי תקנות הגנת הפרטיות הן חובה לכל בעל עסק. מאגר המידע הוא לא מושג הרלוונטי רק לחברות IT, אלא לכל עסק בו יש מאגר ממוחשב הכולל פרטים אישיים של אזרחי ישראל. ובינינו, באיזה עסק אין מאגר שכזה?
החוק להגנת הפרטיות מגדיר במפורש מהו מאגר מידע. רוב העסקים נכנסים לתוך ההגדרה הזו והחוק תקף לגביהם. על פי החוק יש לרשום את מאגר המידע בפנקס מאגרי המידע המנוהל על ידי הרשות להגנת הפרטיות במשרד המשפטים. החוק מעניק לרשות את כל הסמכות לפקח ולבצע חקירות אשר יכולות להביא להגשת כתבי אישום.
סוגי מאגרי מידע
בעוד בכל עסק נוכל למצוא מאגר מידע, החוק רואה הבדלים בסוגי מאגרי המידע וקובע תקנות שונות לגבי כל סוג של מאגר מידע. לכן הדבר הראשון שעל העסק לעשות הוא לבדוק את סיווג מאגר המידע שלו על פי החוק, על מנת ליישם את התקנות הדרושות.
החוק מחלק את מאגרי המידע ל 4 סוגים כדלקמן:
-
מאגר מידע המנוהל על ידי יחיד
החוק מגדיר זאת כמאגר מידע הנמצא בידי יחיד (או תאגיד בבעלות יחיד); הגישה אליו אינה ניתנת ליותר מ 3 אנשים; המידע איינו מועבר לצד שלישי; אין בו יותר מ 10,000 רישומים ואין בו מידע אשר חל עליו דין אחר של סודיות מקצועית על דין או אתיקה מקצועית.
עבור מאגר שכזה יש לנסח מסמך המתאר, בין היתר, את דרכי איסוף המידע, מטרת השימוש, פרטים לגבי השימוש מחוץ לגבולות המדינה, פרטי מנהל המאגר והממונה על אבטחת המידע. יש לוודא כי המאגר מוגן מבחינה פיזית; יש למנות ממונה על אבטחת מידע שאינו בניגוד עניינים; יש לקבוע נהלי אבטחה; לבצע מיפוי מערכת הכולל רישום של כל רכיבי המערכת; יש לנהל רישום של בעלי הרשאות הגישה; יש לתעד אירועי אבטחה; להגביל התחברות של התקנים ניידים; להפריד בין מאגר המידע לשאר מערכות המחשוב; להשתמש באמצעי אבטחת סייבר. במידה והמידע מעובד במיקור חוץ, יש צורך בהתקשרות חוזית המגדירה היטב את מטרות השימוש, סוג העיבוד וכו. -
מאגר מידע ברמת אבטחה בינונית
כאשר מספר מורשי הגישה גדול מעשרה ומטרתו היא איסוף מידע לצורך מסירתו לאחר, או כולל מידע רגיש כגון: מידע רפואי, מידע כלכלי (גם מידע על הרגלי צריכה), מידע על אמונתו ודתו, מידע ביומטרי ועוד. על המחזיקים במאגר מידע ברמת אבטחה בינונית חלקות תקנות מחמירות יותר הכוללות : אבטחה פיזית של הגישה למאגר; אמצעי זיהוי מחמירים יותר; גיבוי המידע; ביקורת תקופתית; הדרכת עובדים מורשי גישה לגבי נהלי אבטחה והחוק; בקרת ותיעוד גישה; דיווח על אירועי אבטחה וביקורות תקופתיות פנימיות או חיצוניות.
-
מאגר מידע ברמת אבטחה גבוהה
מאגר מידע האוסף מידע לצורך מסירתו לאחר ויש בו יותר מ 100,000 רישומים, או יותר מ 100 מורשי גישה. זוהי הרמה המחמירה ביותר, בנוסף לכל התקנות הקודמות, ישנה דרישה לביצוע סקר סיכונים תקופתי, מבדקי חדירות והפקת לקחים מאירועי אבטחה.
-
מאגרי מידע ברמת אבטחה בסיסית
בהגדרה זו נכנסים כל מאגרי המידע שאינם בידי יחיד, אך גם אינם נדרשים לרמת אבטחה בינונית או גבוהה. מאגרי מידע אלו מחויבים לעדכון שנתי של נוהל האבטחה, הדרכת כוח אדם מורשה ושמירת מידע על יישום התקנות למשך 24 חודשים.
