תקנות הגנת הפרטיות (אבטחת מידע)

מאת: עו"ד אלי שמעוני

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, אשר נכנסו לתוקף במאי 2018 מפרטים את החובה ואופן הביצוע שיש לבעלי מאגרי מידע מסוגים שונים, לשמור ולאבטח מאגרים אלו בצורה נאותה (עפ"י ההגדרות בחוק), בעיקר בכדי למנוע פגיעה רחבה בפרטיותם של אלו הנמצאים במאגרי המידע השונים. התקנות הישראליות מקלות ביחס לתקנות האירופאיות, והן שמות את הדגש בעיקר על השליטה במאגרים השונים ואבטחת המידע האישי במאגר. בתקנות האירופאיות עוסקים בהרחבה גם בהרחבה בשימושים המותרים במאגרים.

תקנות הגנת הפרטיות.

התקנות חלות על כל גוף או יחיד המחזיק במאגר מידע (עפ"י ההגדרה של מאגר מידע בחוק), ובכל ענפי המשק הישראלי. החשיבות הרבה שהמחוקק רואה בהגנה על מאגרי מידע ועל הפרטיות, מתורגם לכך שנקבע כי החוק חל על כל אדם, גוף, ארגון, עסק, עמותה, חברה המחזיקים מאגר מידע העונה על הגדרה זו בחוק (סעיף 7 לחוק הגנת הפרטיות).
תקנות הגנת הפרטיות של האיחוד אירופי GDPR – על בסיסן הוחלו התקנות בישראל. גופים אשר מחזיקים ומעבדים מידע אשר תוכנו מתוך האיחוד האירופי, חייבים לעמוד גם בתקנות אלו. חברות הפועלות באיחוד (גם אם הן ממוקמות בישראל), מלונות, חברות תעופה, חברות הייטק, חברות פינטק, חברות תיירות ועוד… כולם נדרשים לעמוד בתקנות האיחוד האירופי – GDPR.

התקנות בישראל מחלקות את בעלי המאגרים עפ"י קטגוריות, ולפיכך גם את רמת האבטחה שהם נדרשים ליישם:

מאגר מידע המנוהל על ידי יחיד:
מאגר זה, נדרש לחובות המינימאליות ביותר. מדובר במאגרים המנוהלים על ידי אדם יחיד, לרבות תאגיד בבעלות יחיד, כאשר הגישה למידע שבמאגר הינה לשלושה אנשים לכל היותר. קהל היעד הוא בעיקר בעלי עסקים קטנים. חריג: מאגר לא יקבל מעמד זה, אם הוא מעל 10,000 רשומות ו/או מיועד לדיוור ישיר, ו/או כולל בתוכו מידע הכפוף לחובת סודיות.

מאגרים שחלה עליהם רמת האבטחה הבסיסית:
מאגרים שאינם מוגדרים כמנוהלים ע"י יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה. מדובר במאגר עם דרישות פחותות משמעותית ממאגרים ברמת אבטחה בינונית או גבוהה.

מאגרים שחלה עליהם רמת האבטחה הבינונית:
בקבוצה זו נכללים מאגרי מידע אשר מטרתו היא איסוף מידע לטובת אחר ו/או שמספר מורשי הגישה אליהם עולה על 10. רמת אבטחה זו נדרשת גם ממאגרים אשר או שהם מכילים מידע רגיש כמו מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, מידע פוליטי, מידע אישי, מידע כלכלי/פיננסי, הרגלי צריכה, הרשעות בפלילים ומידע רגיש נוסף. בקבוצה זו נכללים גם מאגרי מידע של גופים ציבורים (רק משום היותם גוף ציבורי – רשויות, משרדי ממשלה, תאגידים ציבוריים ועוד..).

מאגרים שחלה עליהם רמת האבטחה הגבוהה:
מאגרים המוגדרים ברמת האבטחה הבינונית, והם מכילים למעלה מ- 100,000 רשומות, ו/או שמספר מורשי הגישה למידע זה עולה על 100 משתמשים.

החובות החלים על בעלי המאגרים.

אלו כוללים דרישה להכנת מסמך הגדרות המאגר (תיאור פעולות של איסוף המידע, מטרות השימוש), אבטחת המידע (שמירה פיזית על החומרה המאכסנת את המידע); עריכת נוהל אבטחת מידע; אבטחה טכנית לשמירה על מאגר המידע (בארגון ומחוצה לו), מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה ושמירת נתונים אלו; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשור, ביקורות תקופתיות, מינוי מנהל מאגר, רישום המאגר.
בעל המאגר המוגדר מחויב לקבוע את מטרות המאגר בעת רישומו ולאסוף מידע רק במידה הנדרשת כדי לעמוד במטרות שקבע. מודגש, כי ניתן לעשות שימוש במידע שנאסף, רק למטרה לה הוא נמסר.

על אלו חלה האחריות לשמירה על מאגרי המידע, עפ"י החוק: בעל מאגר המידע, מנהל המאגר שהוסמך, המחזיק במאגר המידע ורשאי לעשות בו שימוש.

הסנקציות לאלו שאינם עומדים בהוראות החוק ותקנות הגנת הפרטיות:

אי רישום מאגר, או אי עמידה ברמת האבטחה הנדרשת למאגר, או שימוש במידע שבמאגר שלא למטרה שלשמה נמסר מהווים פגיעה בפרטיות ועשויים להטיל על המפר קנס של עד 25,000 ₪ לכל הפרה, פיצוי ללא הוכחת נזק של עד 50,000 ₪ לכל הפרה, חשיפה לתביעה ייצוגית, ואפילו עשוי להיחשב כעבירה פלילית (עד 5 שנות מאסר). ). באיחוד האירופי, הסנקציות קשות אף יותר – קנס של  2-4% ממחזור ההכנסות השנתי או 10-20 מיליון יורו – הגבוה מביניהם.

החוק ותקנות אינם חלים על אלה: כאשר מתבצע שימוש במידע אישי לצרכים אישיים בלבד, שימוש במידע אישי לצורכי חקירה (בכללם מניעת עבירות פליליות) ושימוש במידע אישי לצורכי ביטחון שונים (שב"כ, מוסד ואחרים).

אלי שמעוני, משרד עורכי דין בהרצליה ובתל אביב, עוסק בתחום האזרחי/מסחרי, בתחום רישום מאגרי מידע ויישום תקנות הגנת הפרטיות (גם במסגרת של תביעות ייצוגיות) ובייצוג תובעים ונתבעים. פנו אלינו בכל שאלה ונשמח לסייע.
במייל: [email protected], טלפון: 09-8669556, 03-5507155.
האמור לעיל הינו בגדר מידע כללי בלבד ואינו בא להחליף ייעוץ ו/או חוות דעת משפטית הדרושה, בדרך כלל, טרם נקיטת הליכים משפטיים.

img

עו"ד אלי שמעוני

עו"ד אלי שמעוני בוגר תואר ראשון במשפטים (LL.B) ובעל תואר שני במנהל עסקים (MBA) ומביא ידע משפטי עשיר בתחומי התמחותו. בנוסף, עו"ד שמעוני בוגר קשת רחבה של הסמכות מקצועיות בתחומי המשפט האזרחי, הבנקאות, הציות, הקניין הרוחני, הממשל התאגידי ועוד… תחומי העיסוק העיקריים של עו"ד שמעוני: ליטיגציה אזרחית ומסחרית, תובענות ייצוגיות, גישור ובוררות, קניין רוחני, חברות, תביעות ייצוגיות, מקרקעין, צוואות וירושות, תביעות כספיות, מטבעות קריפטוגרפיים, בנקאות, ציות והשקעות.

    לייעוץ וקביעת פגישה השאירו פרטים ונחזור בהקדם: