תקנות הגנת הפרטיות בנוגע לאבטחת מידע נכנסות לתוקף מחר (יום ג', 8.5.18). הן יחולו על כל גוף שמנהל מידע אישי, ציבורי ופרטי. התקנות מחייבות את מחזיקי המידע לדווח לרשות להגנת הפרטיות במקרה של אירוע אבטחת מידע חמור, ולפי דרישתה - גם לנפגעים עצמם.
התקנות עוסקות במידע על לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד. הן נחתמו בידי שרת המשפטים,
איילת שקד, על-פי המלצת הרשות להגנת הפרטיות, בראשותו של עו"ד אלון בכר. התקנות מבחינות בין ארבעה סוגים של מאגרי מידע: מאגר מידע המנוהל על-ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה. רמת האבטחה נקבעת בהתאם לסקירת איומים שעל הארגון לבצע, בהתבסס על ארבעה פרמטרים:
- זהות הארגון - גופים ציבורים וחברות שסוחרות במידע אישי נדרשים לרמת אבטחה הגבוה ביותר, לעומת עוסק יחיד שנדרש לרמה בסיסית ביותר של אבטחה. על עצמאים או בעלי עסקים קטנים, כולל סוכני ביטוח פרטיים או פסיכולוגים, יחולו דרישות שונות מחברות ביטוח, מועדוני לקוחות וכדומה.
- גודל המאגר - ככל שכמות המידע במאגר גדולה יותר, כך הוא נחשב לרגיש יותר. במאגר ובו למעלה מ-100,000 פריטים נדרשת רמת אבטחה גבוהה.
- רגישות המידע - ככל שהמאגר מכיל סוגי מידע רגישים יותר (כגון מידע רפואי או ביומטרי), כך רמת האבטחה הנדרשת גבוהה יותר.
- מספר מורשי הגישה - ככל מספר האנשים שרשאים להיחשף למידע שבמאגר גבוה יותר, כך נדרשת רמת אבטחה גבוהה יותר. מעל 100 מורשים - המאגר מצריך אבטחה ברמה הגבוה ביותר.
בכר הגדיר את התקנות ב"נקודת מפנה משמעותית בהגנה על פרטיותם של אזרחי ישראל. לראשונה, כל גוף במשק שמחזיק מידע אישי על אנשים יחויב על-פי חוק לרמת אבטחת מידע מוגדרת שתקבע בהתאם להיקף המידע ורגישותו ולדווח לרשות להגנת הפרטיות במקרה של אירוע אבטחה חמור וליידע את מי שנפגע מכך, בהתאם להחלטתה. יישומן של התקנות במשק יהווה אבן דרך משמעותית, בהגנה על מידע אישי ועל הזכות לפרטיות בישראל ולצמצום הפערים אל מול הסטנדרטים הבינלאומיים בתחום זה".