ש: האם חובת הדיווח לרשם במקרה שאירע “אירוע אבטחה חמור” חלה על המחזיק במאגר, או שהחובה חלה רק על בעל המאגר (תקנה 11ד(1))?
ת: החובה חלה גם על המחזיק. תקנה 19(א) קובעת, כי החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר ולמעט החובות הקבועות בתקנות 2 ו-15(א)- יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין. תקנה 15(א)(2)(ה) קובעת שבעל מאגר יקבע בהסכם עם המחזיק את אופן יישום חובותיו לעניין התקנות, ובהסכם זה יכול בעל המאגר להגדיר שהמחזיק ימלא אחר חובת דיווח זו גם עבור בעל המאגר.
ש: עוד באותו נושא- תקנה 11ד(1) קובעת, כי במידה ומתרחש אירוע אבטחה חמור, בעל המאגר יודיע על כך לרשם באופן מיידי. האם נקבע פרק זמן שבמהלכו יש להודיע על קרות האירוע?
הכוונה במונח “באופן מיידי” היא שנדרש למסור את ההודעה בסמוך ככל האפשר למועד הגילוי וללא דיחוי בנסיבות העניין. הרשות עשויה לפרסם הוראות מדויקות יותר לגבי זמן המענה, אך ככלל, יש לקיים את חובת הדיווח תוך 24 שעות ממועד גילויו של אירוע האבטחה, ולא יאוחר מ-72 שעות מאותו מועד.
ש: תקנה 11(ד)(2) קובעת, כי הרשם רשאי להורות לבעל מאגר המידע להודיע על אירוע האבטחה לנפגעים. איזה קריטריונים יילקחו בחשבון במסגרת החלטת הרשם?
ת: החלטת רשם מאגרי המידע בדבר יידוע הנפגעים הפוטנציאליים מהאירוע, תיבחן בכל מקרה לגופו תוך איזון שיקולים כגון: הסתברות גבוהה לכך שהאירוע יישא השלכות שליליות לגבי המידע האישי או הפרטיות של נושאי המידע, הסיכוי שאירוע אבטחה יוביל לגניבת זהות, למעשי הונאה, לנזק פיזי או נפשי או לפגיעה בשם הטוב, יעילות וחשיבות היערכות נושאי המידע כאמצעי להקטנת הנזק ועוד. למשל, במקרה שתתגלה חדירה למאגר מידע שהכניסה אליו היא באמצעות שם משתמש וסיסמא, יתכן שהרשם ימצא לנכון להורות על יידוע הלקוחות, על מנת שיוכלו לשנות את הסיסמאות שלהם ולהקטין את הנזק.
להתייעצות ראשונית
jacob@lalumlaw.co.il
052-7700359
אודות המחבר
