בע"ה כ"ב כסלו תשפ"ה
הרשמה לניוזלטר שלנו

Close

כל בעל עסק חייב להכיר: תקנות חדשות לאבטחת מידע

מחזיקים במאגר פרטים אישיים? רשימת דיוור? אתם חייבים להכיר את התקנות שכבר נכנסו לתוקף. ומה זה GDPR?

  • יהודה פרל, הקול היהודי
  • כ"ט אייר תשע"ח - 08:57 14/05/2018
גודל: א א א

בטח כבר יצא לכם להיתקל במושג "תקנות הפרטיות החדשות" או GDPR. הודעה על קיומם של התקנות החדשות וכניסתן לתוקף בשבוע הבא (י"א סיוון, 25 במאי), קופצות מידי פעם למשתמשים הנכנסים לאפליקציות כמו פייסבוק, Gmail ועוד. רוצים לדעת במה מדובר? בשביל זה אנחנו כאן!

בעקבות איסוף המידע האגרסיבי על ידי חברות הטכנולוגיה, שלא פעם הוכח כי הוא פוגע במשתמשים, הגדיר האיחוד את תקנות הפרטיות GDPR (General Data Protection Regulation), שמטרתן היא להסדיר את השמירה על המידע האישי של אזרחי האיחוד האירופי המוחזק בידי חברות מסחריות.

רגע, אני לא אזרח האיחוד האירופי, למה זה צריך לעניין אותי?

כל חברה המחזיקה בפרטי מידע על אזרחים באיחוד האירופי, תפעל על פי התקנות החדשות, ובטח אתה משתמש במוצר, לפחות אחד, של חברה כזו. דבר נוסף, והוא לא פחות חשוב: בישראל הגדירו תקנות פרטיות חדשות שאמורות לחכות את אלו האירופאיות, אך הן יותר מקלות. התקנות הללו, נכנסו לתוקף בשבוע שעבר. כדאי לכם להכיר.

נתחיל מהגרסה הישראלית של הרגולציה לשמירת הפרטיות. התקנות החדשות קובעות רף של אחריות כלפי כל גורם, במגזר הציבורי והפרטי, המנהל מאגר של מידע אישי, והוא משתנה בהתאם לגודלו של המאגר, סוג המידע הנשמר בו וכן מספר המורשים לניהולו ולתפעולו.

תקנות אבטחת המידע הישראליות: כל בעל עסק חייב להכיר

בעלי העסקים הקטנים, לרוב, מחזיקים מאגרים ברמת האבטחה הבסיסית, כפי שנקבעה בתקנות החדשות. בהגדרה זו נכנסים בעלי עסקים המחזיקים מאגרים כמו רשימת דיוור ישיר וכדומה ואשר המורשים בגישה למאגר אינה עולה על עשרה אנשים. ברמה אבטחה הבינונית נכנסים מאגרים אליהם יש גישה למעלה מעשרה אנשים ו/או המחזקים במידע רגיש כגון מידע רפואי, גנטי, דתי או פלילי (הרשעות). מאגרים המוגדרים ברמת אבטחה גבוהה, כוללים בעלי רשומות של יותר מ-100,000 איש ומספר המורשים בגישה אליהם עולה על 100.

אם אתם בעלי מאגרי מידע יחיד, ברמת אבטחה בסיסית, חלות עליכם חובות מצומצמות ביותר, הכוללות הכנת מסמך הגדרות המאגר (להורדה – מסמך הגדרות מאגר לדוג'), אבטחה פיזית, ניהול הרשות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.

בעלי המאגרים בשאר רמות האבטחה, נדרשים להכין מסמך הגדרות מאגר מורחב יותר, במסגרתו יגדירו את איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש. למסמך יש להוסיף נוהל אבטחת מידע ומיפוי מערכות. ברמת האבטחה הגבוהה קיימת דרישה גם לבצע סקר סיכונים, אבטחה פיזית, ניהול הרשאות גישה, זיהוי ואימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים ועוד ועוד. הכל מפורט בתקנות. אם יש לכם מאגרי מידע שכאלו, רוצו לקרוא על כל התקנות הללו כדי לדעת הכל.

התקנות האירופאיות, שזכו לשם GDPR, כאמור, מחמירות הרבה יותר והן יותר מפורטות. הן כוללות, בין היתר:

  • זכות לשקיפות מול נשוא המידע (איזה מידע נאסף עליו, מדוע ומה הבסיס החוקי לכך).
  • הזכות להישכח, לפיה יוכל נשוא המידע לבקש מחיקה של הנתונים האישיים הקשורים אליו, ללא דיחוי. אלא אם כן, המידע הוא חלק מחופש הביטוי או שמדובר באינטרס ציבורי וכדומה.
  • הזכות לניידות, מזכה את נשוא המידע לבקש להעביר את הנתונים האישיים שלו מגורם מעבד אחד לגורם מעבד אחר, רק עם הדבר אפשרי מבחינה טכנית.
  • זכות ההתנגדות, מאפשרת לנשוא המידע לסרב לקבלת החלטות לגביו בידי מערכת ניתוח אוטומטית של הנתונים הנאספים עליו.
  • וכן זכויות נוספות

במקרים מסוימים, מחייבות תקנות  GDPR של האיחוד האירופאי גם מתן הסכמה לאיסוף המידע ובמקרה של קטינים מתחת גיל 16, נדרשת הסכמה של הוריהם.

מה העונש לאי עמידה בתקנות אבטחת המידע?

אם אתם אוגרים מידע על אזרחי האיחוד האירופי, תקנות GDPR יחייבו אתכם בקנס של 4% ממחזור הכספים שלכם או לחילופין קנס בגובה 20 מיליון יורו, הגבוה מבניהם. זאת במידה והפרתם התקנות הללו לאחר כניסתן לתוקף.  בישראל העונש הוא עד חמש שנות מאסר בפועל, אם הוכחה אחריות פלילית וכן ניתן לתבוע על הפרה זו בבית משפט אזרחי.

אם אתם מחזיקים בפרטי מידע אישי גם על אזרחים אירופאים, תידרשו ליישר קו עם תקנות GDPR. ההמלצה של הרשות להגנת הפרטיות בישראל, היא לקבל ייעוץ משפטי במקרה שכזה.

רוצים לדעת עוד על התקנות החדשות בישראל? קראו את המדריך המלא לתקנות הגנת הפרטיות.

עצמאיים או בעלי עסקים קטנים? כדאי לכם לקרוא את המדריך המקוצר, אך המפורט, שהכינו עבורכם ברשות להגנת הפרטיות בישראל.

להורדה – מסמך הגדרות מאגר לדוג'.

תגובות (0) פתיחת כל התגובות כתוב תגובה
מיון לפי:

האינתיפאדה המושתקת


1 אירועי טרור ביממה האחרונה
האירועים מה- 24 שעות האחרונות ליומן המתעדכן > 20 מהשבוע האחרון