שו”ת בנושא חובות בעל מאגר מידע, מנהל המאגר והמחזיק בו.

ש: כיצד רואה הרשות את חלוקת האחריות על אבטחת המידע שבמאגר ודיווח על אירועי אבטחה בין בעל המאגר לבין המחזיק?

ת: סעיף 17 לחוק קובע שבעל המאגר, המחזיק או מנהל המאגר “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. תקנה 19(ב) לתקנות מחילה את מרבית חובותיו של בעל המאגר לפי התקנות “גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין”. על רקע זה, עמדת המחוקק והרשות היא שבעל המאגר והמחזיק נושאים ביחד ולחוד באחריות לאבטחת המאגר, כאשר את חלוקת התפקידים ביניהם לביצוע בפועל של החובות המפורטות בתקנות יש לקבוע במפורש בהסכם ביניהם, בהתאם לתקנה 15(2) שעוסקת בתנאים להתקשרות של בעל המאגר עם גורם חיצוני לצורך קבלת שירות שכרוך במתן גישה למאגר המידע. 

ש: האם בעל המאגר מחויב למנות מנהל מאגר? 

ת: החוק והתקנות לא מחייבים מינוי מנהל מאגר. יחד עם זאת, מנכ”ל החברה הוא האחראי למילוי החובות שמוטלות בחוק על מנהל המאגר, לרבות חובת אבטחת המידע, ויישא באחריות המוטלת עליו. נזכיר, כי ס’ 17 לחוק קובע, כי בעל מאגר מידע, מחזיק במאגר או מנהל מאגר, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

ש: מיהו גורם בעל הכשרה מתאימה לעריכת ביקורת פנימית או חיצונית?

ת: רמת המומחיות הנדרשת חייבת להיות תואמת את הרגישות, המורכבות והיקף הנתונים שבידי הארגון, בהתאם למקובל מקצועית. לדוגמה, כאשר פעילות הארגון מורכבת במיוחד ונגזרות ממנה מערכות מידע מורכבות, הכשרה מתאימה ראוי שתממש רמה גבוהה יותר של מומחיות וניסיון מקצועי. היקף המיומנות נגזר מגודל המשימה. לגופו של עניין, הכשרה מתאימה ראוי שתכלול גם שליטה בדרישות החוק והתקנות בישראל לעניין הגנת הפרטיות ואבטחת המידע, היכרות עם האופי העסקי של המגזר בו הלקוח פועל, ובהשלכה של זה על מערכות המידע, ניסיון והכשרה במערכות מידע, ובפרט ביישום אבטחת מידע. ההכשרה והניסיון בנושאים אלו יהיו בהתאמה לרגישות המידע ומורכבות המערכות באופן שיאפשר לאדם לבצע את תפקידו לבחון נוהלים, להעריך סיכונים, לזהות ליקויים, ולהציע אמצעים לתיקונם.

ש: האם קיימת רשימה של בודקים חיצוניים שהוסכמו על-ידי הרשות להגנת הפרטיות לצורך ביקורת כאמור בהוראה?

ת: הרשות להגנת הפרטיות איננה מסמיכה גורמים מקצועיים בתחום אבטחת מידע. במידה ולא קיים אדם בעל הכשרה מתאימה בארגון, גורמים כגון אלו קיימים בשוק וניתן לשכור את שרותיהם. 

ש: מה פירוש “מנגנוני הצפנה מקובלים”?

“ההצפנה מקובלת” נחשבת ככזאת תחת קונצנזוס מקצועי של מומחי אבטחה, אך עשויה להיות לא רלוונטית או חלשה בעתיד, באופן שיישום שלה לא יספק רמה נאותה של הגנה. אבטחת מידע הנה תהליך מתמשך ולא חד פעמי, ולכן, את ההחלטה בבחירת מנגנון ההצפנה הרלוונטי יש לתעד ולעדכן במידת הצורך בהתאם לקונצנזוס המקצועי באותה עת. בעת בחירת מנגנון הצפנה יש לבחון את איכות המנגנון והיישום הנכון של ההצפנה המוצעת. יישום נכון מחייב להבין מהי רמת ההגנה הנדרשת בהתאמה לסיכונים. על בעל מאגר להכיר את אופן הפעלת ההצפנה, לדוגמה, ייתכן שמכשיר כלשהו מוצפן במצב כבוי, אבל לא בזמן במצב הפעלה. ישנם מוצרים עם “מפתחות ברירת המחדל” אותם נדרש לשנות מיד בשלב ההתקנה. בעל מאגר נדרש ליישם אמצעי הגנה מתאימים בשים לב לסיכונים. הצפנת מידע אישי במאגר הוא אחד מבין אמצעי ההגנה החשובים המעידים על האופן בו מקיים בעל המאגר את חובותיו לאבטחת המידע האישי. כך למשל, מנגנון הצפנה יחשב גם לאמצעי הגנה סביר למידע אישי שהועתק להתקן נייד.

להתייעצות ראשונית

jacob@lalumlaw.co.il

052-7700359