ברצוננו לעדכנכם, כי לאחרונה חלה התפתחות משמעותית בתחום האכיפה של חוק הגנת הפרטיות. בנוגע למאגרי מידע יודגש, כי אי עמידה בתקנות מתוקף החוק מהווה עבירה פלילית.
נזכיר, כי במרץ 2017, אישרה הכנסת את תקנות הגנת הפרטיות (אבטחת מידע), המפרטות את אופן
יישומה של חובת אבטחת המידע, המוטלת בחוק הגנת הפרטיות, על כל גורם המנהל או מעבד מאגר של
מידע אישי (התקנות נכנסו לתוקף במאי 2018)
הנדרש בהתאם לתקנות
התקנות מפרטות צעדים לניהול ויישום אבטחת מידע, בהתאמה לרגישות מאגרי המידע והמידע
המצוי בהם, וזאת לפי 4 רמות אבטחה אשר התקנות מגדירות:
לפי רמת אבטחת המידע, התקנות דורשות יישום במספר נושאים, לדוגמה:
כתיבת נוהל אבטחת מידע
בקרות פיסיות להגנה על המידע (לדוגמא מצלמות / בקרת כניסה)
חיזוק אבטחת מידע בתהליך גיוס כוח אדם
נוהל תגובה לאירועי אבטחת מידע
לאירועי אבטחת מידע מיפוי מערכות מחשוב הקשורות למאגרי מידע
ניהול אבטחת מידע
כיצד מתארגנים?
ההתארגנות מתחילה מגילוי כל המאגרים בהם יש מידע המוגדר על פי חוק כדורש אבטחה, חלקם ברורים מאליהם, חלקם פחות, למשל קובץ אקסל המכיל פרטים אישיים מסוימים על אודות בעלי עניין – עשוי להיחשב כמאגר מידע.
לאחר מיפוי המאגרים, נבחנת בפועל רמת אבטחת המידע במאגרים ועל פי התוצאות, נבנה התוואי הדרוש להגן עליהם במידה הנכונה במסגרת החוק.
שלב א' – מיפוי וסקירת פערים
מיפוי מאגרי המידע הקיימים בקיבוץ (כגון, קהילה, עובדים, ספקים, לקוחות).
קביעת רמת אבטחת מידע (ברשות יחיד, בסיסית, בינונית, גבוהה).
סקר פערים (הפערים הקיימים מול הנדרש לבצע בתקנות).
שלב ב' – יישום דרישת התקנות וצמצום פערים
יישום השלמת הפערים לטובת עמידה בתקנות הגנת הפרטיות.
הכנת תיקייה לטובת ניהול והצגה במקרה של ביקורת של הרשות להגנת הפרטיות.
לפרטים נוספים:
