האם החוק חל עליכם?
חוק הגנת הפרטיות, התשמ”א-1981 (להלן: “החוק”) והתקנות שהותקנו מכוחו חלות על כל מי שמנהל מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד.
המטרה היא לשמור על פרטיותו של אדם. בעולם בו אנחנו חיים אנו חשופים מדי יום לפריצות למאגרי מידע המוחזקים בידי גופים שונים.
קיימת הבחנה בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:
1. מאגר מידע המנוהל על ידי יחיד (עד שלושה מורשים בכפוף לחריגים)
2. מאגרי מידע שחלה עליהם רמת האבטחה הבסיסית.
3. מאגרי מידע שחלה עליהם רמת האבטחה הבינונית.
4. מאגרי מידע שחלה עלים רמת האבטחה הגבוהה.
התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על הפרט שמידע אודותיו קיים במאגר המידע.
התקנות חלות על מידע המכיל את בין היתר את אחד מהנתונים שלהלן: מידע על צנעת חייו של אדם, מידע רפואי או מידע על מצבו הנפשי של אדם, מידע גנטי כהגדרתו בחוק, דעות פוליטיות, עבר פלילי, נתוני תקשורת – איכון לפי החוק, מידע ביומטרי, מידע על נכסים, חובות והתחייבויות כלכליות, הרגלי צריכה שיש בהם כדי ללמוד על אישיותו של אדם, אמונותיו או דעותיו.
עיקרי החובות החלות עליכם:
כאמור לכל מחזיק במאגר על פי סוגו ישנן חובות שעליו לעמוד בהן, כגון:
1. חובת דיווח בעת קרות אירוע אבטחה חמור.
2. רישום מאגר המידע במשרד המשפטים.
3. כתיבת מסמך הגדרות המאגר.
4. מינוי ממונה אבטחת מידע.
5. כתיבת נוהל אבטחה.
6. מיפוי מערכות המאגר וביצוע סקר סיכונים.
7. אבטחה פיזית וסביבתית.
8. אבטחת מידע בניהול כח אדם.
9. ניהול הרשאות גישה.
10. זיהוי ואימות- דרישות מיוחדות.
11. בקרה ותיעוד גישה.
12. תיעוד אירועי אבטחה.
13. התקנים ניידים.
14. ניהול מאובטח ומעודכן של מערכות המאגר.
15. אבטחת תקשורת.
16. מיקור חוץ.
17. ביקורות תקופתיות.
18. שמירת נתוני האבטחה.
19. גיבוי ושחזור נתוני אבטחה.
לשימת ליבך: זוהי רשימה חלקית, יש לבחון כל סוג מאגר ואת החובות הייחודיות למאגר זה.
אכיפה מנהלית / פלילית:
חוק הגנת הפרטיות אינו נטול שיניים ויכול למעשה להגיע לידי אכיפה מנהלית ופלילית. אכיפה זו מתבצעת על ידי חוקרים ומפקחים המוסמכים ברשות להגנת הפרטיות, ולהם סמכות להגיש כתבי אישום פליליים, הטלת קנסות מנהליים בהתאם לתקנות העבירות המנהליות (קנס מינהלי – הגנת הפרטיות), תשס”ד-2004 ושלילת האפשרות לעשות שימוש במידע במקרים של הפרת הוראות החוק.
לחוקרים ולמפקחים ברשות סמכות לדרוש ידיעות ומסמכים. הם רשאים להיכנס לכל מקום שיש יסוד להניח שמופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ בהתאם להוראות פקודת סדר הדין הפלילי (מעצר וחיפוש) [נוסח חדש], התשכ“ט-1969, אם שוכנעו כי הדבר דרוש לשם קיום הוראות החוק. עוד הם רשאים לבצע חקירות מחשב, ואפילו להיכנס לבית הפרטי שלך באמצעות צו בית משפט, לשם חקירות מסוג זה.
אין בהליכי האכיפה המתנהלים ברשות להגנת הפרטיות בכדי לבוא במקום הסעדים העומדים בפני מי שנפגעה פרטיותו, ושבאפשרותו לנקוט בכל הליך על-פי חוק. קיימים מקרים בהם עוולות אלו ייחשבו כעוולות על פי פקודת הנזיקין.
קנסות
* הנתונים לקוחים מתוך אתר הרשות להגנת הפרטיות במשרד המשפטים
דרישות טכנולוגיות:
על כל מאגר חלות חובות ודרישות טכנולוגיות שנועדו להגן על המידע הכלול בו. להלן יובאו חלק מן הדרישות הללו:
1. מיפוי מערכות המאגר וביצוע סקר סיכונים.
2. אבטחה פיזית וסביבתית.
3. ניהול הרשאות גישה.
4. זיהוי ואימות- דרישות מיוחדות.
5. בקרה ותיעוד גישה.
6. התקנים ניידים.
7. ניהול מאובטח ומעודכן של מערכות המאגר.
8. אבטחת תקשורת.
9. שמירת נתוני האבטחה.
10. גיבוי ושחזור נתוני אבטחה.
יודגש כי לכל מאגר מידע קיימות דרישות טכנולוגיות ספציפיות.
השירותים שלנו
DATA WATCH מתמחה במתן פתרון משפטי וטכנולוגי, הכולל פתרונות אישיים ומותאמים לעסק שלך, כמפורט להלן:
- אפיון העסק והגדרת המאגר.
- רישום מאגרים.
- סקר עמידה בדרישות התקנות.
- כתיבת נהלי אבטחה.
- ניהול מסמכים מול שירותי מיקור חוץ הניתנים לארגון
- ניהול יומן ביקורות תקופתיות.
- שירות שוטף כממונה הגנת מידע פרטיות חיצוני.
- עריכת פעילות פרו אקטיבית במטרה להקטין את הסבירות לפגיעה ולחשיפה.
- עריכת סקר סיכונים לזיהוי חשיפות זליגת מידע (ממוקד בסוג מידע הקריטי לארגון).
- ייצוג בביקורת משרד המשפטים.
אודות המחבר
