ביום 21.3.17 אישרה ועדת חוקה, חוק ומשפט של הכנסת את תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017. האישור מסיים הליך חקיקה ארוך, לאחר שטיוטת התקנות פורסמה לראשונה על-ידי הרשות למשפט, טכנולוגיה ומידע לפני למעלה משש שנים. 

התקנות קובעות הסדר כולל ורחב ביחס לאבטחה הפיזית והלוגית של מאגרי מידע בישראל, וביחס להסדרי הניהול והגישה אל מאגרי מידע של חברות וארגונים במגזר הציבורי והפרטי המעבדים מידע אישי.

 

החובות על פי התקנות נקבעות באופן מדורג בהתאם לגודלו של המאגר, לכמות המורשים אליו ולסוגי המידע הנאגרים בו, כך שככל שהמאגר גדול יותר ובעל מידע רגיש יותר, כך יוחמרו החובות המוטלות לגביו.  
התקנות מבחינות בין ארבעה סוגי מאגרי מידע:  (1) מאגרים המנוהלים בידי יחיד; (2) מאגרים שחלה עליהם רמת אבטחה בסיסית; (3) מאגרים שחלה עליהם רמת אבטחה בינונית; ו- (4) מאגרים שחלה עליהם רמת אבטחה גבוהה.  

התקנות מחייבות היערכות ארגונית מקיפה, בין היתר בהיבטים הבאים:

• בעל המאגר יקבע מהו המידע המוגן, ימפה את המערכות הקשורות אליו ואת הפעולות המבוצעות בו, יזהה את נקודות התורפה והסיכונים הקשורים אליו, וינקוט באמצעי אבטחה מתאימים;

• ייקבע נוהל אבטחה מפורט בדבר מדיניות הארגון להגנה על המידע, לרבות הנחיות בנוגע להרשאות גישה, דרישות אבטחה והתמודדות עם אירועי אבטחת מידע;

• במאגרים מסוימים יבוצעו סקר סיכונים ומבדקי חדירות תקופתיים וכן ביקורות פנימיות לעניין עמידה בנוהל האבטחה ובהוראות התקנות;

• תיעוד של אירועים שיש בהם חשש לפגיעה במידע או חריגה מהרשאות הגישה במאגר;

• דיווח לרשם במקרה של אירועי אבטחת מידע חמורים, ובמקרים מסוימים הרשם רשאי לדרוש דיווח על אירוע אבטחה לאנשים שפרטיהם כלולים במאגר ועלולים להיפגע כתוצאה מהאירוע;

• מינוי ממונה על אבטחת מידע.

נוסח רשמי של התקנות יפורסם בקרוב, והן ייכנסו לתוקף בתוך שנה מיום פרסומן (נכון למועד עדכון זה טרם פורסמו). 

​

אין באמור בעדכון לקוחות זה כדי להוות ייעוץ או חוות דעת משפטית בנושא, והוא מוגש כסקירה כללית ולא לכל מטרה אחרת. למידע נוסף יש לפנות למשרדנו לקבלת ייעוץ.

​

​