הכותב: אסף לנדאו, עו"ד*

התשובה הקלה היא שכנראה שלא.

התשובה הנכונה היא שכדאי להתכונן, וזה אפילו יותר קל משחושבים.

בצמידות זמנים מעניינת, מאי 2018 הוא החודש בו נכנסים לתוקף גם חוק אירופאי להגנת מידע (GDPR) וגם תקנות חדשות להגנת הפרטיות מבית היוצר של הרשות להגנת הפרטיות.

בעוד ה-GDPR חל בעיקרון רק על גופים שעובדים באירופה או על בסיס מידע שמקורו באירופה, תקנות הגנת הפרטיות בישראל חלות כמעט על כולם. כן, גם על הסטרטאפ המתקדם שהמציא טכנולוגיה חדשה וגם על רופא השיניים העצמאי וכמעט כל מי שביניהם.

קצת על התקנות

השם המלא הוא "תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017" והן אושרו כבר במרץ 2017, בוועדת חוק, חוקה ומשפט, ונכנסו לתוקף ב-8 במאי 2018.

מטרת התקנות היא הטמעת עקרונות לאבטחת מידע בשוטף, של כל מאגר מידע, קביעת רף אבטחה מינימאלי ויישור קו בהתאם לנורמות אבטחת מידע מקובלות בעולם – הכל כדי לשמור על פרטיות האזרחים, שהמידע עליהם נמצא כמעט בכל מקום.

התקנות מנסות להסדיר מנגנונים ארגוניים ושיטות עבודה, כדי להטמיע הרגלי עבודה שוטפים לשמירה על המידע והפרטיות. בנוסף, התקנות מחייבות, במקרים מסוימים, להודיע על פרצות אבטחה גם לרשות להגנת הפרטיות וגם לאזרחים שהמידע עליהם נפרץ.

על מי חל כל הסיפור הזה?

ובכן, ב-3 מילים: כמעט על כולם.

ובקצת יותר מילים: הן חלות על כל מי שמנהל או מחזיק כל סוג של מאגר מידע בישראל (כולל חברות, עסקים, ארגונים שונים, למטרות רווח או שלא למטרות רווח, וגם – אנשים פרטיים).

שימו לב – ההגדרות רחבות מאוד ומומלץ לכל אחד לבדוק האם המידע שהוא מחזיק, עונה על ההגדרה. כן, גם אקסל פשוט עם רשימת לקוחות עשוי להיחשב כמאגר מידע וכפוף לתקנות החדשות.

מהו מאגר מידע?

התקנות מגדירות 4 סוגים או רמות של מאגרי מידע, ומחילות על כל אחד מהם רמה שונה של אבטחה נדרשת:

1. מאגר מידע שמנוהל ע"י יחיד

הרמה הנמוכה ביותר והדרישות המינימליות ביותר. מדובר במאגר שיש אליו גישה למקסימום 3 אנשים מורשים; לא מכיל מידע על יותר מ-10,000 אנשים; לא נאסף כדי למסור לאחרים (למשל דיוור ישיר); לא כולל מידע שכפוף לחובת סודיות.

בעל המאגר מחויב להכין מסמך הגדרות עבור המאגר הכולל נתונים בדבר אבטחה פיזית, ניהול הרשאות, תיעוד פרצות אבטחה, הגבלת שימוש בהחסנים ניידים (disk on key), הפרדת מערכות ואבטחת תקשורת.

2. מאגר ברמת אבטחה בסיסית

מאגר שלא מנוהל ע"י יחיד, ולא מוגדר כמאגר ברמת אבטחה בינונית או גבוהה.

3. מאגר ברמת אבטחה בינונית

מאגר שלא מנוהל ע"י יחיד; יש אליו גישה למקסימום 10 אנשים מורשים; נאסף כדי למסור לאחרים או שהוא בבעלות גוף ציבורי או שהוא מכיל מידע רגיש.

מידע רגיש הוא מידע אשר כולל, בין היתר: מידע רפואי, גנטי, מידע על אמונה או דת, מידע פלילי ועוד.

4. מאגר ברמת אבטחה גבוהה

מאגר של גוף ציבורי שנאסף כדי למסור לאחרים; מכיל מידע רגיש על 100,000 אנשים או יותר; יש אליו גישה ליותר מ-100 אנשים מורשים.

ברמות הגבוהות יותר, נדרשת הכנת מסמך מפורט יותר, התייחסות לאופן איסוף המידע והשימוש בו, סוגי המידע הנאספים ועוד. כמו כן, ישנן חובות הקשורות בנוהלי אבטחת מידע, אבטחה פיזית, ניהול סיכונים, ניהול הרשאות, אופן גיוס עובדים והרשאתם, תיעוד פרצות אבטחה ודיווח עליהן, ביצוע בדיקות חדירה, ביקורות פנימיות וחיצוניות, אמצעי אבטחה מתקדמים, מינוי ממונה אבטחת מידע ועוד.

אי-עמידה בדרישות התקנות, עשויה לגרור סנקציות וגם חושפת את בעל מאגר המידע לתביעות, בתנאים מסוימים. מומלץ לקחת את העניין ברצינות ולהכין את השטח בהקדם. זה נכון וכדאי גם בשביל להימנע מהליכים מיותרים, וגם כדי להגן באמת על המידע החשוב שמסתובב בכל מקום, שבסופו של דבר – הוא מידע על אנשים.

*משרד ארבל, בראון, לנדאו – עורכי דין, עוסק בהכנת ארגונים וחברות לעמידה בתנאי תקנות הגנת הפרטיות החדשות, וכן ה-GDPR האירופי.