yed300250
הכי מטוקבקות
    איור: גיא מורד
    ממון • 27.01.2020
    שיישאר בינינו
    יותר ויותר חברות ומוסדות צוברים עלינו מידע רגיש • איך נמנע ממנו לדלוף וליפול לידי גורמים לא רצויים? איך נגן על הפרטיות שלנו? • מדריך לרגל יום הפרטיות הבינלאומי
    ליטל דוברוביצקי

    יום חל יום הגנת הפרטיות הבינלאומי. בשנים האחרונות נראה שאין כמעט יום שחולף בלי שניחשף לפרסום על דליפת מידע או אירוע אבטחת מידע כלשהו. במקרים לא מעטים מידע אישי ורגיש נחשף ומייצר סכנה לפגיעה גדולה בפרטיות.

    אנו מקבלים שירותים דיגיטליים ברוב תחומי חיינו, והקניות ברשת נעשו מזמן קלות ופשוטות יותר באמצעות אתרים ואפליקציות. לרוב אנו נדרשים למסור מידע אישי כמו פרטים על מקום מגורינו, כרטיס האשראי, תאריך הלידה, ולעיתים על מצבנו המשפחתי ועל בני המשפחה שלנו.

    במשך השנים צברו גופים, חברות ועסקים מידע רגיש עלינו ועל הרגלי הצריכה שלנו, מידע שיש בו כדי ללמד על העדפותינו, על מצבנו הכלכלי, הנפשי ועוד. איך נגן על הפרטיות שלנו? "ממון" גיבש מדריך ללקוחות ולבעלי עסקים באמצעות עו"ד צחי פנחס, מנהל מחלקת קשרי ציבור וממשל ברשות להגנת הפרטיות.

     

    מהן תקנות הגנת הפרטיות (אבטחת מידע)?

    התקנות מחייבות כל גורם במשק, ציבורי ופרטי, המנהל או מחזיק במידע על בני אדם, להבטיח רמת אבטחה נאותה בהתאם לסוג המידע שיש אצלו, רגישותו והיקפו. מטרתן לקבוע עקרונות אבטחת מידע מפורטים על ניהול מאגרי מידע והשימוש בהם, בהתבסס על תקני אבטחת מידע מקובלים בעולם. כמו כן, הן נועדו להגן על זכויות הפרטים, שמידע עליהם נמצא במאגר, משימוש לרעה על ידי גורמים מהארגון ומחוצה לו.

     

    מתי התקנות חלות עליי?

    לדעת עו"ד פנחס, התקנות חלות על כל מי שמנהל או מחזיק מידע על אנשים, כמו לקוחות, חברי מועדון, מטופלים ועוד.

     

    מהן החובות החלות עליי כמנהל או מחזיק מאגר מידע?

    התקנות מבחינות בין ארבעה סוגי מאגרים על פי רמת האבטחה הנדרשת: מאגר שמנהל יחיד, מאגר שחלה עליו רמת אבטחה בסיסית, מאגר שחלה עליו רמת אבטחה בינונית ומאגר שחלה עליו רמת אבטחה גבוהה.

     

    איך בעל עסק יודע איזו רמת אבטחה נדרשת?

    לדברי עו"ד פנחס, תוכלו לבדוק אילו חובות חלות עליכם במדריך שפירסמה הרשות באתר שלה, על פי הרמות הבאות:

    • מאגרים שחלה עליהם רמת אבטחה בסיסית - אינם מנוהלים בידי יחיד ולא חלה עליהם רמת האבטחה הבינונית או הגבוהה.

    • מאגרים שחלה עליהם רמת אבטחה בינונית - כמו משרדי ממשלה ורשויות מקומיות, מאגרי קופות חולים ומאגרים עם מידע ביומטרי.

    • מאגרים שחלה עליהם רמת אבטחה גבוהה - שיש בהם מידע על 100 אלף בני אדם ומעלה, או שמספר מורשי הגישה למידע עולה על 100.

     

    עו"ד פנחס. צילום: נועם סלח
    עו"ד פנחס. צילום: נועם סלח

     

    לשרה, דיאטנית עצמאית, יש מידע על 100 לקוחות. מה נדרש ממנה על פי התקנות?

    שרה מחזיקה במאגר מידע המנוהל על ידי יחיד. הגישה למידע שבו מותרת רק לה ולכל היותר לעוד שני בעלי הרשאה.

     

    אילו פעולות נדרשות מעצמאים או מעסקים קטנים?

    יש להכין "מסמך הגדרות המאגר" המתייחס לנושאים כמו "מה אני עושה במידע" ולתאר את פעולות השימוש במידע. עצמאים ועסקים קטנים נדרשים לדאוג לאבטחה פיזית של המאגר, לוודא שמי שניגש למידע הוא עובד מורשה, לאמת את זהותו עם סיסמה, וחלילה, במקרה של אירוע אבטחה, לתעד את האירוע.

    עצמאים ועסקים קטנים שמשתמשים במחשב נייד, בדיסק און קי ובטלפון חכם נדרשים להגביל את האפשרות לחבר אותם למערכות המאגר ולשים לב לרגישות המידע שבו. אם אפשר לחבר התקנים ניידים למערכת, חשוב להגן על המידע. למשל, להצפינו עם סיסמה. אם מערכות המאגר שלכם מחוברות לאינטרנט או לרשת ציבורית אחרת עליכם להתקין אמצעי הגנה מחדירה לא מורשית או מתוכנות מזיקות, כגון תוכנת אנטי־וירוס ותוכנת הגנה מתוכנות זדוניות. אם אתם מעבירים מידע עליכם להצפינו, ובמאגרי מידע שיש אליהם גישה מרחוק כמו "חיבור מהבית" יש להשתמש באמצעים שמזהים את המתקשר.

     

    אילו חובות חלים על מכון רפואי המחזיק במידע רגיש על יותר מ־100 אלף מטופלים?

    על המכון תחול רמת אבטחה גבוהה. על גופים כאלה למפות את מערכות המאגר ולקבוע הרשאות גישה של בעלי ההרשאות למאגר על פי הגדרות התפקיד שלהם. לבצע סקר סיכוני אבטחת מידע, לכתוב נוהלי אבטחת מידע ולתעד כל מקרה שבו התגלה אירוע המעלה חשש לאירועי אבטחת מידע.

    במקרים של אירועי אבטחה חמורים, כמו זיהוי פריצה לרשת הארגון, זליגת מידע רגיש ממאגר מידע של הארגון, או מצבים שבהם עובד העביר מידע רגיש ללא אישור או הרשאה, חובה לדווח מיד ולפרט אילו צעדים נקט הארגון בעקבות האירוע. הסבר על אופן הדיווח לרשות אפשר למצוא באתר הרשות להגנת הפרטיות.

     

    מהן הסנקציות שיוטלו עליי אם אני כבעל עסק לא מקיים את התקנות?

    הפרת התקנות עלולה להביא להטלת סנקציה מצד הרשות להגנת הפרטיות, לרבות ביטול אישור ניהול המאגר (רישומו בפנקס המאגרים) ופרסום ההפרה לציבור.

     


    פרסום ראשון: 27.01.20 , 20:16
    yed660100