תקנות הגנת הפרטיות


מגבירים את ההגנה על המידע האישי בישראל!

 

תקנות הגנת הפרטיות (אבטחת מידע) חלות על כל מי שמנהל או מחזיק מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד מכלל ממגזרי המשק בישראל, ציבורי ופרטי כאחד, ומגדירות דרישות אבטחת מידע ברורות, בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם.

איך זה עובד?
התקנות מבחינות בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם: 
מאגר מידע המנוהל על ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה


איך אדע מה רמת האבטחה שחלה על מאגר המידע שברשותי?


ואם אני עצמאי או בעל עסק קטן?

 

אם אתם עצמאים או בעלי עסקים קטנים שמנהלים מידע על אנשים דעו כי התקנות מגדירות דרישות אבטחה מיוחדות לכם.

מי נחשב על פי התקנות לעצמאי או בעל עסק קטן? מדובר על מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד ("חברת אני"), ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים.

אבל, רגע רגע – יש חריגים
שימו לב כי קיימים שלושה סוגי מאגרים שלמרות שהם מנוהלים על ידי יחיד, לא ייחשבו כ"מאגר המנוהל על ידי יחיד":
1. כאשר בעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית. לדוגמה – עורך דין או פסיכיאטר.
2. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר.
3. מאגר מידע שיש בו מידע לגבי 10,000 אנשים ומעלה.
אם מאגר המידע הוא אחד מן השלושה הללו - אין מדובר ב"מאגר המנוהל על ידי יחיד", ועליכם לבחון איזו רמת אבטחה חלה על המאגר, בהתאם לאמור בתקנות.

 

היעזרו במדריך תקנות הגנת הפרטיות (אבטחת מידע) לעצמאים ועסקים קטנים.


במקרה של אירוע אבטחה חמור מדווחים לרשות להגנת הפרטיות

 

דעו כי במקרה של אירוע אבטחה חמור כמו פריצה לרשת הארגון או דליפת מידע אישי ממאגרי המידע שלו - עליכם לדווח על כך לרשות להגנת הפרטיות.

על בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, חובה לדווח לרשות להגנת הפרטיות באופן מיידי בעת אירוע אבטחה חמור ועל הצעדים שנקטו בעקבות האירוע.

באתר הרשות להגנת הפרטיות תמצאו דוגמאות לאירועי אבטחה חמורים והוראות כיצד מדווחים לרשות להגנת הפרטיות


מה כדאי לדעת?

אבטחת מידע פירושה הגנה על שלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים.

תקנות הגנת הפרטיות (אבטחת מידע) נכנסו לתוקף ב-08.05.2018, מגדירות את רמת אבטחת המידע הנדרשת מכל גורם במשק בישראל, ציבורי ופרטי כאחד, המנהל או מעבד מידע אישי דיגיטלי אודות אנשים וקובעות מנגנונים שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון.

להגביר ולחזק את ההגנה על המידע האישי של כל אחד ואחת מאיתנו, באמצעות דרישות אבטחת מידע ברורות בהן על גופים וארגונים לעמוד, בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם.

התקנות חלות על כל מי שמנהל או מחזיק מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד מכלל מגזרי המשק הישראלי, ציבורי ופרטי כאחד.

התקנות חלות על מידע המכיל נתונים על מעמדו האישי של אדם (כגון סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועית ופרטים נוספים כגון מספר תעודת הזהות וכרטיס האשראי ועוד.

תקנות הגנת הפרטיות (אבטחת מידע) בנויות במתכונת המכילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.

רמת אבטחה בסיסית:

מאגרים שלא חלה עליהם רמת האבטחה הבינונית או הגבוהה, ואינם מאגרים המנוהלים בידי יחיד.

מהו מאגר המנוהל בידי יחיד? מדובר במאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש- ראו מדריך תקנות אבטחת מידע למאגר המנוהל בידי יחיד.

אם המאגר שבבעלותכם אינו מאגר המנוהל בידי יחיד, עליכם לבדוק אם על המאגר חלה רמת האבטחה הבינונית או הגבוהה. אם שתי הרמות הללו לא חלות - מדובר במאגר שחלה עליו רמת האבטחה הבסיסית.

 

רמת אבטחה בינונית:

  1. מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
  2. מאגר מידע שבעליו הוא גוף ציבורי (משרדי הממשלה, רשות מקומית וכו');
  3. מאגר מידע הכולל מידע על צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע על דעות פוליטיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על נכסיו של אדם וכו', הרגלי צריכה.

שימו לב! בכל אחד מהמקרים הבאים תחול על המאגר רמת האבטחה הבסיסית, ולא הבינונית:

  1. מאגר הכולל מידע רפואי או מידע על מצבו הנפשי של אדם, מידע על עבר פלילי, מידע על נתוני תקשורת ומידע ביומטרי אם מדובר בתמונות פנים בלבד, או: מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי וכו', בתנאי שהמידע מתייחס רק למועסקים או הספקים של בעל מאגר המידע, ומשמש לניהול העסק בלבד, ואינו כולל את המידע הבא: צנעת חייו של אדם; מידע גנטי; מידע על דעות פוליטיות; מידע ביומטרי לעניין מידע שאינו תמונת פנים והרגלי צריכה של אדם.
  2. מספר בעלי ההרשאה אצל בעל מאגר המידע אינו עולה על עשרה.

 

רמת אבטחה הגבוהה:

רמת אבטחה גבוהה חלה על מאגרים המכילים מידע אודות 100 אלף איש ומעלה או שמספר בעלי הרשאה למידע בהם עולה על 100, המשמשים לדיוור ישיר או שמכילים מידע רגיש.

בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן לדווח לרשות על הצעדים שנקט בעקבות האירוע.

חובת הדיווח חלה על בעל המאגר, מנהל המאגר וגם על המחזיק במאגר, אולם די בדיווח יחיד על אירוע כדי לקיים את החובה עבור שלושת הגורמים גם יחד.

מידע נוסף באתר הרשות.

במטרה להעמיד לציבור מידע וכלים לצורך יישומן של תקנות הגנת הפרטיות (אבטחת מידע), הרשות להגנת הפרטיות מפרסמת רשימה של אירועי אבטחה המסווגים בהתאם לפרשנותה כחמורים.

לתשומת לבכם – יודגש, כי בכל מקרה של ספק, מומלץ להעביר לרשות להגנת הפרטיות דיווח על האירוע כאירוע אבטחה חמור.

הכנסו לרשימת דוגמאות לאירועי אבטחה חמורים באתר הרשות להגנת הפרטיות.

 דיווח על אירוע אבטחה חמור מתבצע באמצעות טופס מקוון

הסבר מפורט אודות אופן הגשת הדיווח ניתן למצוא באתר הרשות להגנת הפרטיות

תשומת לבכם כי דיווח אינו גורע מחובותיכם לעמוד בהוראות החוק והתקנות ולנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בגינו

באתר הרשות להגנת הפרטיות תמצאו תשובות לשאלות בנושאים שונים הקשורים בתקנות הגנת הפרטיות (אבטחת מידע) ובהן שאלות בנוגע לחובות בעל מאגר המידע והמחזיק בו, תיעוד אירועי אבטחה, תפקיד הממונה על אבטחת המידע, זיהוי ואימות, מיקור חוץ ועוד.

** המידע באתר זה הוא מידע חלקי המוגש כשירות לציבור ואין בו כדי להוות מסמך רשמי כלשהו **

אודות האתר  |  תנאי שימוש  |  נגישות  | מפת אתר  |  תמיכה טכנית  |  שימוש בקבצי "cookies"  |  חופש המידע

חזור לראש הדף