אבטחת מידע

אבטחת מידע | רישום מאגרי מידע

עו"ד רפאל אוחנה הינו משרד בוטיק, מודרני ונעים המציע שירותים משפטיים ברמה הגבוהה ביותר והוא מתמחה בהגנת הפרטיות, אבטחת מידע, סייבר, דיני חברות וליטיגציה אזרחית מסחרית.

לייעוץ ופרטים נוספים חייגו

או השאירו פרטים

תוכן עניינים

מאגר מידע – איך עומדים בהוראות החוק

בכל מה שנוגע למאגרי מידע, רבות הן החברות שלא מודעות בכלל לכך שהן עוברות על החוק. החל משנת 2018 נכנסו לתוקף תקנות שמקשיחות את הדרישות לאבטחת מידע מכל מי שהוא בעל מאגר מידע. המשמעות של זה היא שחברות, ארגונים, ונושאי משרה שמחזיקים בכמויות מידע עצומות על אנשים, חשופים לקנסות מנהליים, לתביעות אזרחיות ואפילו לסנקציות פליליות אם לא יעמדו בהוראות. חשוב לדעת ולהכיר את הוראות החוק והתקנות, להבין מה נחשב למאגר מידע, ובאילו דרישות צריך לעמוד. 

מאגר מידע – מהו? 

סעיף 7 לחוק הגנת הפרטיות תשמ"א – 1981 מגדיר מאגר מידע:

"מאגר מידע" – אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב.

להגדרה זו קבע המחוקק 2 חריגים: 

1. אם מדובר באוסף לשימוש אישי אשר איננו למטרות עסק

2. אם מדובר באוסף אשר כולל רק שם, מען, ודרך התקשרות, שלבדו לא יוצר אפיון שיש בו פגיעה בפרטיות של בני אדם ששמותיהם כלולים בו, אך ורק אם לבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף.

לפי החוק המונח "מידע" מתייחס לנתונים על אישיותו של האדם, על מעמדו האישי, צנעת אישיותו, מצבו הבריאותי, מצבו הכלכלי, ההכשרה המקצועית שלו, דעותיו ואמונותיו.

על מי חלה החובה לשמוע על החוקים הנוגעים למאגרי מידע?

לפי חוק הגנת פרטיות, מנהל מאגר מידע הוא מנהל פעיל של גוף, אשר בבעלות שלו או בהחזקתו יש מאגר מידע, או אדם שמנהל כזה הסמיך אותו לעשות זאת. החוק מציין שכל אדם שעונה להגדרה הזו של מנהל מידע ו/או מחזיק מידע באופן מגנטי או אופטי (כלומר – באופן אלקטרוני), מחוייב לעמוד בהוראות החוק בדבר מאגרי מידע. אם לא יעשה זאת – יהיה חשוף לקנסות מנהליות, תביעות בנזיקין או סנקציות פליליות.

ניתן להבין מכך שלמשל רשויות שלטוניות, כמו עיריות או מועצות, מחויבות לעמוד בהוראות חוק הגנת הפרטיות בנוגע למאגר מידע מכיוון שהן מחזיקות במידע רב על אודות התושבים שלהן. יש עוד המון דוגמאות לכך – כל חברה או עמותה או כל גוף אחר אשר מחזיק אצלו פרטים אישיים של הלקוחות שלו, כמו תעודת זהות, כתובת, פרטי כרטיס אשראי וכן הלאה, גם היא מחויבת לעמוד בהוראות. גם כל ארגון שמשתמש במידע על אנשים למטרות העיסוק שלו, נחשב למנהל מאגר מידע. 

חובת רישום מאגר מידע 

אחרי שהבנו שגופים מסוימים מבינים שיש להם מידע על אנשים ואשר נחשב למאגר לפי הוראות חוק הגנת הפרטיות, הוא צריך לדעת שבעקבות זאת חלות עליו לא מעט חובות. החובה הראשונה היא חובת רישום המאגר בפנקס מאגרי המידע כאשר בקשה זו דורשת הגשת מסמכים שונים. רישום הפנקס מתנהל על ידי הרשות להגנת הפרטיות.

על מי חלה החובה לרשום את המאגר

לא כל מאגר מידע צריך להיות רשום. לפי הוראות החוק בעל מאגר המידע חייב לרשום אותו רק אם לפחות אחת מהחלופות הבאות מתקיימת:

1. יש במאגר המידע המדובר מידע על מעל 10,000 אנשים.

או:

2. יש במאגר המידע המדובר מידע רגיש על אנשים – מידע רגיש כולל נתונים על האישיות של האנשים, מעמדם האישי, צנעת אישיותם, מצבם הבריאותי, מצבם הכלכלי, הכשרה מקצועית, דעות, אמונות וכן הלאה.

או:

3. זהו מאגר מידע של גוף ציבורי

או:

4. זהו מאגר מידע המשמש לשירותי דיוור ישיר

בשנת 2018 נכנסו לתוקפם הוראות וכללים המפרטים הוראות ואמצעי אבטחה שבעלים או מחזיקים של מאגרי מידע צריכים לפעול לפיהם. מטרת הכללים הללו היא לנסות להקטין ככל הניתן את החשיפה שיש למידע אישי ורגיש של אנשים, ולמנוע ממנו לזלוג לגורמים חיצוניים שלא מורשים לראות אותו.

הוראות אלו מפורטות ב-תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 בין הדרישות בתקנות ניתן למצוא את הדרישות הבאות:

א. הכנה של "מסמך הגדרות המאגר" שמגדיר את מאגר המידע

ב. מינוי של ממונה על אבטחת המידע של מאגר המידע

ג. בנייה של נוהלי אבטחה למאגר המידע

ד. מיפוי של המערכות השונות במאגר המידע ועריכת סקר סיכונים

ה. התקנה של מערכות אבטחה פיזיות וכן סביבתיות, וחובת תיעוד של השימוש במאגר המידע

ו. יש לדאוג לניהול כוח האדם לו יש גישה למאגר המידע על פי רמות האבטחה הנדרשות

ז. יש לנהל את הרשאות הגישה למאגר המידע כך שתהיה הרשאה רק למי שנדרש לעשות שימוש במאגר לצורך מילוי תפקידו

ח. יש לתעד ולדווח על אירועי אבטחה

ט. הגבלה של השימוש בהתקנים ניידים בארגון

י. עריכת ביקורות תקופתיות בנוגע לרמת אבטחתם של מאגר המידע

בתקנות אלו גם נקבעו סוגי המאגר ורמות האבטחה 

מאגרי מידע המנוהלים על ידי יחיד: אלו מאגרים שמי שמנהל אותם הוא אדם יחיד, פרטי, או תאגיד שנמצא בבעלות של אדם יחיד. הרעיון הוא שפרט לאדם הזה, השימוש במאגר המידע יכול להיות חשוף רק לעוד 2 אנשים נוספים מקסימום. בנוסף, צריך שיתקיימו גם התנאים הללו: המאגר לא מכיל מידע על מעל – 10,000 אנשים; המאגר לא מכיל מידע אשר מוגן בסודיות לפי דין או לפי כללי אתיקה מקצועית; מטרתו של המאגר היא לא דיוור ישיר. מאגר שעומד בכל התנאים הללו נחשב למאגר מידע שמנוהל בידי יחיד.

רמת האבטחה הבסיסית: בקטגוריה זו נמצאים מאגרי מידע אשר לא מנוהלים על ידי יחיד, אבל יחד עם זאת הם לא עונים עדיין להגדרה של מאגר מידע שדורש רמת אבטחה גבוהה או בינונית.

רמת אבטחה בינונית: קבוצה זו מכילה מאגרי מידע שהמטרה שלהם היא איסוף מידע לצורך של דיוור ישיר, וכן מאגרי מידע אשר כוללים מידע הנוגע לצנעת חייו האישיים של האדם (כפי שהסברנו קודם – מידע רפואי, כלכלי, אמונות וכן הלאה).

רמת אבטחה גבוהה: קבוצה זו כוללת את מאגרי המידע אשר מכילים מידע על יותר מ – 100,000 אנשים או לחלופין שמספרם של המורשים בגישה אליהם גבוה מ – 100 איש.

ניתן לראות שבתקנות נקבע כי ככל שרמת האבטחה הנדרשת היא גובה יותר, המשמעות של זה היש על בעלי המאגר יותר חובות שהוא צריך לפעול לפיהן כדי לעמוד בכל הוראות החוק והתקנות שמנסות להגן ככל וניתן על האנשים מהפצת מידע עליהם. 

סנקציות בגין אי מילוי הוראות החוק והתקנות

החוק קובע כי בעל מאגר אשר לא עומד  בהוראות החוק עובר עבירה פלילית כאשר העונש המקסימאלי יכול להיות עד שנת מאסר. בנוסף מדובר על עוולה לפי פקודת הנזיקין, שחושפת את בעל המאגר לסיכון של תביעה בגין נזקים שנגרמו לאנשים שהמידע שנאגר התייחס אליהם. יתר על כן, הפרה כזו עלולה גם לגרור קנסות מנהליים מטעמה של הרשות להגנת פרטיות.

דוג' למכתב שנשלj לאחד מלקוחות המשרד:

צריך לדעת שהרשות להגנת הפרטיות פועלת יחד עם גופי חקירה מיוחדים ומבצעת פעולות אכיפה מורכבות אשר מובילות במרבית המקרים להגשת כתבי אישום פליליים באמצעות מחלקת הסייבר בפרקליטות המדינה כך שכדאי מאוד שלא להקל ראש בעניינים אלו.

לסיכום

עם עלייתם של מקרי התקיפה ואירוע הסייבר במרחב הקיברנטי עלתה לאין ערוך רמת האכיפה כיום כנגד חברות או ארגונים לעשות בדיקה מקיפה ומיפוי של כל מידע שהוא מחזיק בו, ולראות אם זהו מידע אישי שמחייב ברישום וכן חייב לעמוד בדרישות החוק והתקנות.

כמו כן, צריך לזכור שהחובות האלו יוצרות אחריות רחבה מאד על הדמויות הראשיות שקשורות למאגר המידע – בעל מאגר המידע, מנהל המאגר, או מחזיק המאגר – לפי הנסיבות.

שירותי המשרד

נושאים קשורים