בתאריך 1.5.2018 פרסמה הרשות להגנת הפרטיות (להלן: "הרשות"), מזכר המפרט את עיקרי מדיניותה בנוגע לדיווח לרשות על אירוע אבטחה חמור.

 מזכר זה פורסם לקראת כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 (להלן: "התקנות"), החל מיום ה-8.5.2018. מטרת הרשות הינה ליצור מדיניות סדורה הנוגעת לאופן הטיפול בדיווחים ולשיקול הדעת באכיפה. בכל הנוגע לאכיפה, המדיניות מתווה תקופת מעבר ליישום התקנות, הכוללת הקלות כלפי המדווחים לצד הפעלת סנקציות כלפי מפרי חובת הדיווח.

תקנה 11 לתקנות קובעת כי על בעל מאגר המידע, מנהל מאגר או מחזיק מאגר, שעליו חובת אבטחה בינונית או גבוהה (כהגדרתן בתקנות), להודיע באופן מיידי לרשות על אירוע אבטחה חמור. זאת ועוד, עליו להודיע בדבר הצעדים שננקטו בעקבות האירוע, תוך 24 שעות ולא יאוחר מ-72 שעות ממועד גילוי האירוע.

עם קבלת הפרטים, תסווג הרשות את חומרת האירוע בהתחשב בנתונים כגון: רגישות המידע שדלף, מקור הנזק והיקפו, האם המידע דלף בפועל או שרק קיים סיכוי שידלוף, הנזק שנגרם או שעלול להיגרם לפרטים, למגזר או למשק. בהתאם לסיווג זה, תקבע הרשות את המשך הטיפול באירוע שיכול שיהיה במתן הנחיות לתיקון ליקויים, פיקוח או חקירה בחצרי הגורם המפוקח, קביעה פורמאלית אודות הפרת הוראות החוק ועוד. כמו כן, מקרים מסוימים עלולים להצדיק גם הטלת סנקציות, לרבות התליה או ביטול הרישום במאגר, בכפוף למתן זכות שימוע לגורם המפר. בנוסף, הרשות תקבע כיצד והאם ראוי להודיע לפרטים שנפגעו או עלולים להיפגע מהאירוע.

במידה והרשות קבעה כי התבצעה הפרה, הדבר יפורסם באתר הרשות ו/או באופן פומבי אחר. באשר לנסיבות בהן תינתן הנחיה לביצוע תיקון ליקויים בעקבות האירוע, יהיה על הגורם המפוקח לעדכן את הרשות בנוגע לתיקון הליקויים, והרשות תהיה זכאית לערוך בקרה בנושא.

מבחינת חומרת האכיפה, הרשות תנקוט במנגנון אכיפה הדרגתי שיקבע על פי המועד שבו בוצעה ההפרה. המנגנון מבחין בין תקופת ההטמעה הראשונית שתחול עד ה-31 לדצמבר 2018, תקופת הביניים שתחול עד ה- 30 ליוני 2019, ותקופת היישום המלא, שתחול מה-1 ביולי 2019. פירוט על פעולות האכיפה השונות מופיע במזכר המלא של הרשות.

מדיניות הרשות להגנת הפרטיות – קבלת דיווח ארוע אבטחה חמור

לאור ההשלכות של חשיפת אירועי אבטחה ברבים, אנו ממליצים להיערך מבעוד מועד, בהכנת נהלי תגובה ודיווח על אירועי אבטחה.

חדשות