החל מהיום: תקנות סייבר ושמירת פרטיות חדשות בישראל
החוקים החדשים מחלקים את מאגרי המידע על לקוחות ומשתמשים לשלוש רמות, עבור עסקים בכל הגדלים. החידושים המרכזיים: חובת דיווח על אירועי סייבר ועדכון המשתמשים, חשיפת פרטי התמודדות עם מקרי דליפה - ועונש של עד חמש שנות מאסר
ה-GDPR, תקנות הגנת הפרטיות האירופיות, אמורות להיכנס לתוקפן בסוף החודש - אך כבר היום (ג') נכנסת לתוקף הגרסה הישראלית שלהן ולהשפיע על אזרחי, עסקי ותאגידי ישראל. התקנות החדשות מנסות ליישר קו עם הדרישות האירופיות, שהן הרבה יותר מפורטות ומחמירות.
בעל מאגר מידע? התקנות משפיעות עליך
נפלת קורבן למתקפה? עליך לעדכן את המשתמשים צילום: Fortune
קראו עוד בכלכליסט:
- נחשפה נוזקה מתקדמת שמפצחת מכשירי אנדרואיד במזה"ת
- וורן באפט: לאף אחד אין מושג איך בונים ביטוח נגד סייבר
- לאחר הפריצה: כך האקרים הופכים מידע גנוב לכסף
את התקנות החדשות - תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017) - אישרה אשתקד ועדת חוקה, חוק ומשפט. הן מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי.
התקנות, יוזמה של הרשות להגנת הפרטיות - הגוף שמפקח על יישומן - קובעות מנגנונים ודרישות שמטרתן לקדם את היישום של מדיניות הסייבר ואבטחת המידע כחלק משגרת היומיום של ניהול העסק.
בעל מאגר מידע? התקנות משפיעות עליך
החידושים העיקריים של התקנות הן חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה גם למשתמשים ולקוחות שנפגעו או נמצאים בסכנה בשל אירועי אבטחה. התקנות החדשות חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי הכפופה לחוק הישראלי בכל מגזרי המשק: ציבורי ופרטי כאחד.
למרות שהתקנות החדשות מנסות לסגור את הפער שנוצר מול השינויים הטכנולוגיים שנוצרו ב-30 השנים האחרונות, הן עדיין מבוססות על חוק הגנת הפרטיות הישראלי שנחקק ב-1972. התקנות הקודמות מ-1986 הוחלפו רובן ככולן בתקנות החדשות.
חלוקה לסוגי מאגרי מידע
הכללים החדשים קובעים רף של אחריות בהתאם לגודלו של המאגר, סוג המידע הנשמר בו וכן מספר המורשים לניהולו או לתפעולו. המדינה קבעה שלוש דרגות אבטחה לסוגי המאגרים השונים: בסיסית, בינונית וגבוהה.
מאגרים ברמת אבטחה בסיסית מוחזקים לרוב בידי עסקים קטנים כגון מאגר לקוחות לדיוור ישיר של בעל עסק ואשר מספר המורשים לגישה אליו אינו עולה על עשרה אנשים. מאגרים שנדרשים לאבטחה ברמה בינונית הם אלה שמספר המורשים אליהם עולה על עשרה ו/או מחזיקים מידע רגיש כגון מידע רפואי, גנטי, אמוני/דתי או הרשעות. מאגרים שנדרשים לרמת אבטחה גבוהה כוללים כאלה שבהם רשומות על יותר מ-100 אלף איש ושמספר המורשים אליהם עולה על 100.
החובות החלות על בעל מאגר יחיד מצומצמות ביותר וכוללות הכנת מסמך הגדרות המאגר, אבטחה פיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.
נפלת קורבן למתקפה? עליך לעדכן את המשתמשים צילום: Fortune
כל שאר בעלי המאגרים נדרשים להכין מסמך הגדרות מאגר, במסגרתו יגדירו את איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש. הם נדרשים גם לעריכת נוהל אבטחת מידע; מיפוי המערכות וברמת האבטחה הגבוהה גם נדרש מהם לבצע סקר סיכונים; אבטחה פיזית; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספות שמפורטות בתקנות.
עוד חידוש מהותי הוא החובה על דיווח על אירוע סייבר חמור במאגרי מידע ברמת אבטחה בינונית או גבוהה לרשות להגנת הפרטיות. הדיווח גם יכלול את הצעדים שננקטו בעקבותיו. במקרים מסוימים, רשם המאגרים, גם יכול להורות לבעל המאגר הנפרץ לדווח על האירוע לאלה שהמידע שלהם נפגע. למשל מועדון לקוחות שפרצו אליו יאלץ להודיע ללקוחותיו על האירוע - משהו שעד כה לא נדרש.
העונש: עד 5 שנות מאסר
שלא כמו בתקנות האירופיות, במסגרתן חריגה מהחוק תגרור קנסות של עד 20 מיליון יורו או 4% מהמחזור השנתי, העונשים שקבועים בחוק הישראלי יכולים להגיע לעד 5 שנות מאסר אם הוכחה אחריות פלילית. "מדובר גם בעוולה אזרחית עליה ניתן לתבוע נזק בבית משפט", הסביר ל"כלכליסט" עו''ד רמי מור-זהבי ממשרד GKH. "אין צורך להוכיח את הכוונה הזדונית של המבצע או אפילו את אדישותו לתוצאה ואף לא רשלנות. מספיק להוכיח את היסוד העובדתי מעל לכל ספק סביר והעבירה הוכחה ברמה הפלילית".
זאת ועוד, הרשות מוסמכת גם להחריג מאגרים או גופים מסוימים ובתנאי שהם עומדים ברגולציות מקבילות כגון אלה שפורסמו על ידי המפקח על הבנקים, רשות ההון או המפקח על הביטוח. למרות שהתקנות האלה סוגרות פערים ומיישרות קו עם המקובל בעולם, עמידה בתנאי הסף שלהן אינה מקבילה לתקנות האירופיות כך שאם אתם מחזיקים מאגר מידע שבו פרטים או מידע אישי על אזרחים אירופים תידרשו ליישר קו עם תקנות GDPR. ברשות ממליצים במקרה הזה לקבל ייעוץ משפטי מגורם מוסמך.
