תקנות אבטחת מידע חדשות אשר אושרו היום ורלוונטיות לכל ארגון אשר ברשותו מאגר מידע החייב ברישום, גופים ציבוריים ופרטיים כאחד.

היום (21.3.17) ועדת חוק, חוקה ומשפט אישרה את נוסח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות החדשות"). התקנות קובעות לראשונה הסדר מעודכן, מקיף ומפורט לעניין ההגנה הפיסית והלוגית על מאגרי מידע ולעניין סדרי הניהול וכללי העבודה במאגרי מידע ובקשר אליהם.

בשל מגוון הגופים המעבדים מידע אישי, התקנות החדשות מטילות חובות מוגברות ככל שפעילות עיבוד המידע בארגון היא משמעותית יותר; כאשר הנטל הרגולאטורי הרב ביותר יחול על גופים שמחזיקים ברשותם מידע אישי רגיש, ארגונים שמחזיקים מאגרי מידע על אודות היקף רב של אנשים וחברות המתירות למספר רב של בעלי הרשאה גישה למאגרי המידע שלהן.

התקנות החדשות מוסיפות חובות חדשות בכל הנוגע לניהול מאגרי מידע, וביניהן דרישה מבעל המאגר לקבוע מהו המידע המוגן ומהם הסיכונים הקשורים אליו; קביעת נהלים בתחום אבטחת המידע וגיבויים במסמך כתוב (בדומה לחקיקה שנהוגה ברוב המדינות בארה"ב ליצירת WISP – Written Information Security Policy) וכן הגברת חובות הפיקוח על ספקים חיצוניים רלבנטיים עמם עובד הארגון.

אחד העדכונים המהותיים ביותר בתקנות החדשות נוגע לחובת דיווח בעת קרות אירוע אבטחתי חמור. התקנות החדשות מחייבות, במקרים מסוימים, לדווח לרשם מאגרי המידע על התרחשות האירוע האבטחתי והצעדים שננקטו כדי לטפל בו וכן עשויות לחייב את בעל מאגר המידע לעדכן את כל מי שמידע בעניינו דלף על האירוע.

התקנות החדשות עתידות להיכנס לתוקף בחלוף שנה מיום פרסומן.

האקלים הבינלאומי, בפרט בארצות הברית והאיחוד האירופי, מלמד שהכנסת חובות דיווח מנדטוריות על אירועי הפרת אבטחת מידע (Security Breach), הובילה על פי רוב לריבוי מקרי התביעות האזרחיות כנגד החברות שמידע דלף מהן, ובמרכזן תובענות ענק ייצוגיות. תובענות ייצוגיות כאלו היו מנת חלקן של חברות כגון Target, Yahoo, Home Depot, Sony, LinkedIn ועוד.

נדגיש, כי התקנות החדשות יחולו גם על מאגרים שטרם נרשמו, ובלבד שמדובר במאגרים שיש לגביהם חובת רישום. לקריאה נוספת בעניין חובות רישום מאגרי מידע, לחצו כאן.

נשמח לסייע לכם בהיערכות לקראת התקנות החדשות, הכנת הנהלים הנדרשים לפי דין והטמעת ויישום הסטנדרטים הקבועים בהן.

***

משרדנו צירף לאחרונה למחלקת הסייבר והגנת הפרטיות את עו"ד ניר פיינברג, מומחה בתחום רגולציית הסייבר. עד להצטרפותו למשרדנו, שימש ניר כיועץ המשפטי של אגף התקשוב וחטיבת ההגנה בסייבר בצה"ל והיה שותף להליכי הרגולציה בתחום הסייבר ברמה הלאומית.מחלקה זו עומדת לרשותכם בכל הנוגע לתחום הסייבר, אבטחת המידע והגנת הפרטיות, ונשמח לעזור בהיערכות ארגונכם לתקנות החדשות.

מזכר זה כולל מידע כללי בלבד והוא אינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי. מזכר זה מוגש כשירות ללקוחותינו, תוך הבהרה שבכל מקרה ספציפי יש לקיים דיון נפרד לגופו של עניין.