X
יומן ראשי
חדשות תחקירים
כתבות דעות
סיפורים חמים סקופים
מושגים ספרים
ערוצים
אקטואליה כלכלה ועסקים
משפט סדום ועמורה
משמר המשפט תיירות
בריאות פנאי
תקשורת עיתונות וברנז'ה
רכב / תחבורה לכל הערוצים
כללי
ספריה מקוונת מיוחדים ברשת
מגזינים וכתבי עת וידאו News1
פורמים משובים
שערים יציגים לוח אירועים
מינויים חדשים מוצרים חדשים
פנדורה / אנשים ואירועים
אתרים ברשת (עדכונים)
בלוגרים
בעלי טורים בלוגרים נוספים
רשימת כותבים הנקראים ביותר
מועדון + / תגיות
אישים פירמות
מוסדות מפלגות
מיוחדים
אירועי תקשורת אירועים ביטוחניים
אירועים בינלאומיים אירועים כלכליים
אירועים מדיניים אירועים משפטיים
אירועים פוליטיים אירועים פליליים
אסונות / פגעי טבע בחירות / מפלגות
יומנים אישיים כינוסים / ועדות
מבקר המדינה כל הפרשות
הרשמה למועדון VIP מנויים
הרשמה לניוזליטר
יצירת קשר עם News1
מערכת - New@News1.co.il
מנויים - Vip@News1.co.il
הנהלה - Yoav@News1.co.il
פרסום - Vip@News1.co.il
כל הזכויות שמורות
מו"ל ועורך ראשי: יואב יצחק
עיתונות זהב בע"מ
X
יומן ראשי  /  מאמרים
רם תורן עו"ד משרד עו"ד גדעון פישר ושות'
דוא"ל בלוג/אתר רשימות מעקב

שיר ברזילי עו"ד משרד עו"ד גדעון פישר ושות'
דוא"ל בלוג/אתר רשימות מעקב
בעידן הטכנולוגי, בו המידע זמין ונגיש באינטרנט, ובו כל אדם, פעמים רבות ללא כל מחשבה בטרם מעשה, מעביר מידע לגופים שונים אשר מחזיקים מאגרי מידע באינטרנט, נדרש פיקוח אדוק יותר על הגופים המחזיקים במידע רגיש
▪  ▪  ▪
[צילום: ארלדו פרס/AP]

בעידן הטכנולוגי, בו המידע זמין ונגיש באינטרנט, ובו כל אדם, פעמים רבות ללא כל מחשבה בטרם מעשה, מעביר מידע לגופים שונים אשר מחזיקים מאגרי מידע באינטרנט, נדרש פיקוח אדוק יותר על הגופים המחזיקים במידע רגיש.
הזכות לפרטיות הינה זכות עליונה במעלה וההגנה הקיימת לזכות זו קיימת הן בחוק יסוד: כבוד האדם וחירותו והן בחוקים רבים ובתקנות שהותקנו מכוח חוקים אלו. אחד החוקים אשר מגנים על הזכות לפרטיות הינו חוק הגנת הפרטיות, תשמ"א- 1981 (להלן: "החוק") והתקנות שהותקנו מכוחו. מטרתו של פרק ב' לחוק הגנת הפרטיות ומטרתן של התקנות שהותקנו מכוחו הינו להגן על המידע הפרטי שנותן אדם לגופים שונים אשר מחזיקים מאגרי מידע.
בשנים האחרונות התפרסמו מספר מקרים של דליפת מידע רגיש ביותר אשר הדגישו ביתר שאת את הצורך בהידוק הפיקוח והגברת האחריות החלה על מחזיקי מאגרי מידע ונושאי המשרה באותם גופים. לאור כך, פורסמו ביום 8.5.2017 תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות" ו/או "תקנות אבטחת מידע"). תקנות אלו מעדכנות ומרחיבות את תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו- 1986 (להלן: "תקנות הגנת הפרטיות 1986)"
ביום 21.3.2017, נערך דיון בנושא תקנות הגנת הפרטיות בוועדת החוקה. יו"ר ישיבת הוועדה, ח"כ רויטל סויד אמרה לעניין ההסדר החדש אשר נקבע בתקנות אבטחת מידע כך:
"היסטוריה בהסדרת מאגרי המידע"
... התקנות נועדו לקבוע הסדר מעודכן, מקיף ומפורט יותר מזה הקיים כיום בתקנות הגנת הפרטיות, לעניין ההגנה הפיזית והלוגית על מאגרי מידע ולעניין סדרי הניהול וכללי העבודה בקשר למאגרי מידע של גופים ציבוריים ופרטיים. ההסדר כולל מנגנונים וכלים פנים ארגוניים הממחישים את חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע אישי ומטרתם להנחיל עקרונות אבטחת מידע כדי להגן על זכויות נושאי המידע במאגרים מפני שימוש לרעה על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. המנגנונים המוצעים נחלקים למספר רבדים - ברובד הראשון, בעל המאגר נדרש לקבוע מהו המידע המוגן והסיכונים הקשורים אליו. ברובד השני, נדרש הארגון לקבוע נהלים מפורטים וברורים לאבטחת המידע, כך שבעת פגיעה בפרטיות במאגר מידע, מצבו של ארגון שנקט באמצעים סבירים למניעת הפגיעה, יהיה שונה מארגון שלא נקט בהם. הרובד השלישי כולל הוראות מהותיות בניהול אבטחת מידע. בהיבט האחריות הארגונית, התקנות הן מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר, ככל שמדובר במידע רגיש יותר וככל שיותר אנשים בארגון חשופים למידע ".
להלן נציג את עיקרי החידושים שחלו בתקנות הגנת הפרטיות על בסיס החלוקה שהציגה ח"כ רויטל סויד. נדגיש, מאמר זה אינו ממצה את כלל השינויים שחלו ויחולו בעקבות תקנות הגנת הפרטיות.
1. הגדרת המידע המוגן והסיכונים הקשורים אליו:
תקנות הגנת הפרטיות מבחינות בין ארבעה סוגים של מאגרי מידע כאשר על כל מאגר חלים כללים שונים ואחריות בעל המאגר משתנה בהתאם לסוג המאגר: (1) מאגר המנוהל בידי יחיד". (2)
"מאגרים שחלה עליהם רמת האבטחה בסיסית". (3) מאגרים שחלה עליהם רמת האבטחה הבינונית". (4) "מאגרים שחלה עליהם רמת אבטחה גבוה". התקנות קובעות כי על בעל מאגר המידע להגדיר במסמך מוסדר מידע על-אודות המאגר לרבות סוג המידע המוחזק במאגר; פרטים על-אודות העברת מידע אל מחוץ לגבולות המדינה; פעולות עיבוד המידע; הסיכונים העיקריים של הפגיעה באבטחת המידע ואופן ההתמודדות עם סיכונים אלו ועוד. על בעל מאגר המידע חלה חובה לעדכן את המסמך כאשר חלים שינויים מהותיים וכן לבדוק אחת לשנה את הפרטים המצוינים בו (להלן: "מסמך הגדרות המאגר"). בנוסף למסמך הגדרות המאגר, על בעל מאגר המידע להחזיק מסמך מעודכן של מבנה מאגר המידע ורשימת מצאי מעודכנת של מערכות המידע. סעיף 5 לתקנות אבטחת המידע מפרט מהם הפרטים שיש לכלול במסמך הנ"ל. עוד קובע סעיף 5 כי בין כלל החובות המוגברות החלות על מאגר מידע
שחלה עליו רמת אבטחה גבוהה, חובה על בעל מאגר המידע לוודא כי נערך סקר לאיתור סיכוני אבטחת מידע וכן לערוך מבדקי חדירות למערכות המידע על-מנת לבחון את עמידות המערכת מפני סיכונים פנימיים וחיצוניים. בהתאם לסקר, על בעל המאגר לעדכן את מסמך הגדרות המידע וכן חובה עליו לפעול לתקן את הליקויים שהתגלו בסקר ובמבדקי החדירות.
2. קביעת נהלים לאבטחת מידע:
חובה על בעל מאגר המידע למנות ממונה אבטחה אשר יהיה כפוף למנהל המאגר / למנהל הפעיל של בעל המאגר / המחזיק במאגר / לנושא משרה בכיר הכפוף ישירות למנהל המאגר (להלן: "הממונה"). על הממונה חלה החובה להכין נוהל אבטחת מידע וכן תוכנית לבקרה שוטפת על עמידה בתקנות הגנת הפרטיות. בנוסף לחובות החלות על הממונה לעניין קביעת נהלי אבטחה, חלה חובה על בעל מאגר המידע לקבוע
מסמך נוהל אבטחת מידע (להלן: "נוהל אבטחת מידע"). פרטי נוהל אבטחת המידע יחייבו כל בעל הרשאה במאגר בהתאם להרשאה הנתונה לו. תקנה 4 קובעת מהם הפרטים שחובה לכלול בנוהל כאשר על בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוה, לכלול פרטים נוספים. על בעל מאגר המידע לבחון אחת לשנה את הצורך בעידכון הנוהל וזאת מבלי לגרוע מחובתו לעדכן את הנוהל כאשר מתרחשים שינוים במערכות המאגר וכן כאשר נודע לבעל המאגר על סיכונים חדשים למערכת
המאגר.
3 . הוראות מהותיות בניהול אבטחת המידע:
תקנות הגנת הפרטיות קובעות כללים רבים לעניין ניהול אבטחת המידע בפועל כאשר כללים רבים הינם דרישות טכניות. להלן, נביא דוגמאות לכללים האופרטיביים שעל בעל המאגר לנקוט. תקנות הגנת הפרטיות 1986, החילו חובה על מנהל מאגר מידע לנהל רישום בדבר הרשאות השימוש במאגר. התקנות החדשות, הרחיבו את הכללים בכל הנוגע להרשאות שימוש במאגר. התקנות מחילות חובה על בעל המאגר לנקוט באמצעים סבירים ומקובלים במיון העובדים על-מנת לוודא כי לא קיים חשש שמקבל ההרשאה אינו מתאים לקבל גישה למידע המצוי במאגר. נקבע כי הרשאה תינתן בהתאם להגדרת התפקיד של המורשה ובהתחשב ברגישות המידע אליו ניתנת ההרשאה. חובה על בעל מאגר המידע לנהל רישום מעודכן של כלל ההרשאות שניתנו על-ידו. שינוי נוסף בין תקנות הגנת הפרטיות 1986 לבין התקנות החדשות ניתן לראות בכל הנוגע לחובה החלה על בעל מאגר מידע לעניין דיווח על מקרים חריגים. בעבר, נדרש מנהל המאגר לנהל יומן אירועים חריגים כפי שהוגדרו בתקנות. כיום, חובת התיעוד חלה על בעל מאגר המידע כאשר החובה הינה לתעד כל מקרה בו התעורר חשש לפגיעה בשלמות המידע, לשימוש במידע בלא הרשאה ובכל מקרה של חריגה מהרשאה (להלן: "אירוע אבטחה"). על בעל מאגר המידע לכלול בנוהל אבטחת
המידע הוראות התמודדות עם אירועי אבטחת מידע, לפי חומרת המקרה ורגישות המידע. ניתן לראות כי בתקנות מתהדק הפיקוח על בעל מאגר מידע. אחת הדוגמאות לכך הינה החובה החלה על בעל מאגר מידע להודיע לרשם מאגרי המידע (להלן: "הרשם") בכל מקרה בו מתרחש אירוע אבטחה חמור, וכן לדווח על הצעדים שנקט בעקבות האירוע. כלומר, התקנות החדשות מטילות חובת דיווח על בעל מאגר מידע בכל מקרה של אירוע אבטחה חמורה כהגדרתו בתקנות.
חובה נוספת אשר נועדה להבטיח את התנהלות מאגר המידע בפועל, לאור התקנות והנהלים הפנימיים, הינה, החובה על בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוה, לדאוג לכך שאחת ל-24 חודשים תיערך ביקורת פנימית או חיצונית על התנהלות המאגר ע"י גורם מקצועי שהוא אינו ממונה האבטחה של המאגר.
4. אחריות מנהל ומחזיק מאגר המידע:
כפי שניתן לראות מן המתואר לעיל, ככל שמאגר המידע הינו מאגר שחלה עליו רמת אבטחה גבוהה יותר, כך הולכת וגדלה דרישת המחוקק מבעל המאגר. הכללים החלים על מאגרי מידע אלו הינם מרחיבים יותר והפיקוח אדוק יותר. התקנות מחילות את החובות החלות על בעל מאגרי המידע, על מנהל המאגר ומחזיק המאגר בשינויים המחייבים. כלומר, התקנות מחילות אחריות רחבה על הדמויות הראשיות ביותר במאגרי המידע.
5. סמכויות רשם מאגרי המידע:
חידוש נוסף שניתן לראות בתקנות הינו הגדלת סמכותו של הרשם. התקנות קובעות כי בסמכות הרשם לפטור מאגרים מסוימים מחובת אבטחת המידע לפי התקנות. התקנות מגדירות לרשם כי בטרם קבלת החלטה על מתן פטור למאגר, עליו לשקול את גודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאה בו בטרם יקבל החלטה לפטור מאגר מידע מחובות האבטחה.
סעיף זה העלה את חשש ועדת החוקה שכן הסעיף מעניק סמכות נרחבת לרשם ללא כל פיקוח. בתגובה לחששות אלו אמר עו"ד אייל זנדברג ממשרד המשפטים את הדברים הבאים: "לרשם אין סמכות לשנות את הדין לגבי מאגרים באופן כללי אלא מדובר על מאגר מסוים. לכאורה, ביחס לכל סמכות שניתנת לרשות מינהלית ניתן לטעון שקיים חשש של שימוש לרעה, כך שזו שאלה שקיימת יום יום בהענקת סמכויות כזו. אך ההנחה שלנו היא שרשות מינהלית פועלת באופן תקין ולפי הוראות הדין.
לסיכום, תקנות הגנת הפרטיות דורשות התאמות והיערכות רבה מצד בעלי מאגרי המידע. לאור כך, נקבע, כי תחילתן של התקנון הינו שנה מיום פרסומן (משמע, תחילתן של התקנות הינה ביום 8.5.2018). כלומר, ניתנה לבעלי מאגרי המידע תקופה בת שנה להיערך לשינויים הרבים הנדרשים בהם לאור תקנות אבטחת המידע.
בכדי לעמוד על כלל דרישות המחוקק לעניין אבטחת מידע והגנה על הפרטיות יש לעיין בתקנות עצמן. אין באמור במאמר זה בכדי להקיף את מלוא השינויים והחידושים אשר עתידים לחול על אבטחת המידע במאגרי המידע.

עו"ד רם תורן, ראש המחלקה המסחרית בגדעון פישר ושות', ועו"ד שיר ברזילי ממשרד עו"ד גדעון פישר ושות'.
תאריך:  24/04/2018   |   עודכן:  24/04/2018
מועדון VIP להצטרפות הקלק כאן
פורומים News1  /  תגובות
כללי חדשות רשימות נושאים אישים פירמות מוסדות
אקטואליה מדיני/פוליטי בריאות כלכלה משפט
סדום ועמורה עיתונות
ההתפתחויות בחקיקה בתחום הגנת הפרטיות
תגובות  [ 1 ] מוצגות  [ 1 ]  כתוב תגובה 
1
זוכר לטובה
יוא"ב  |  24/04/18 16:50
 
תגובות בפייסבוק
 
ברחבי הרשת / פרסומת
רשימות קודמות
יובל לובנשטיין
כעת כל רשת מותחת עד למקסימום את מחיר הצרכן גם במחיר של הפרשי מחיר בקופה בין המחיר על המוצר לבין מחירו במחשב "ובמקרה הטוב" היא תזכה את הצרכן בשל "טעויות" אלה - והעיקר לשפר וכמה שיותר מהר את הרווח
רון בריימן
שר הביטחון חייב לעשות לאלתר שני צעדים מתבקשים: לשנות את שם התפקיד של "מתאם הפעולות בשטחים" למתאם הפעולות ביהודה ובשומרון ולהורות למפקד גלי צה"ל לשנות את שם התפקיד של "הכתב בשטחים" לכתב ביהודה ובשומרון
זהר דרוקמן
כיצד "נולדה מחדש" מערכת המשפט הישראלית מתוך המערכת המנדטורית, מהם התהליכים שהיא חוותה לאורך השנים ומה צופן לה העתיד?
רפי לאופרט
ראש הממשלה שגה בהתנהלותו המניפולטיבית בטקס הדלקת המשואות וראוי שיתנצל על כך ללא דיחוי, בפני הציבור
אסתר שניאורסון גרי
לחסל את הרוצח של אלאור אזריה, לא יעלה על הדעת... הוא הרי כבר שכב על הרצפה, אולי לא היה מסוגל לזחול אל אקדחו המושלך, אולי לא הייתה מאיתו כבר סכנה, אז מה פתאום להרוג סתם מישהו שבא רק לרצוח, ולא עלה בידו?
כל הזכויות שמורות
מו"ל ועורך ראשי: יואב יצחק
עיתונות זהב בע"מ New@News1.co.il