בטיחות באתרים #1 תקנות הגנת הפרטיות על פי חוק

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע). התקנות מפרטות את אופן מימוש אבטחת המידע המחייב כל גורם המנהל או מעבד מאגר של מידע אישי. מערכות מעוף מכילות לרוב מידע אישי ולכן החוק מתייחס גם אליהן.

בשנת 2017 חוקקה המדינה תקנות מעודכנות להגנת הפרטיות, תקנות אלו נכנסו לתוקף ממאי 2018. את החוק בלשונו המלא תוכלו לקרוא בקישור זה
הכתבה הנוכחית מטרתה לתת פרשנות בסיסית ליחס של התקנות למערכות מעוף המכילות לפעמים מידע אישי. 
הכתבה לא מהווה תחליף לייעוץ משפטי על ידי גורם מקצועי.

מהי רמת אבטחה של מאגר?

החוק מחלק את המאגרים לפי רמת אבטחה. רמת האבטחה קשורה לזכויות הגישה למאגר, מטרתו וכמובן אופי המידע שהמאגר מכיל. ניתן לציין 4 רמות:
  • מאגר המנוהל בידי יחיד - משמש בד"כ למידע פנים ארגוני
  • מאגר בעל רמת אבטחה בסיסית - משמש גם להפצה
  • מאגר בעל רמת אבטחה בינונית - מכיל מידע רגיש אישי, מעל 10 מורשים, מידע מעל 10,000 איש
  • מאגר בעל רמת אבטחה גבוהה - מכיל מידע רגיש אישי, מעל 100 מורשים, מידע מעל 100,000 איש
מספר התקנות שעל המאגר לעמוד בהן קשור לרמת האבטחה של המאגר. מאגר בעל רמת אבטחה גבוהה חייב לעמוד בכל תקנות החוק, מאגר המנוהל בידי יחיד חייב לעמוד רק בחלק קטן יחסית של תקנות.

אילו מאגרים רגישים יש במערכות מעוף?

במערכות מעוף יכולים להיות מספר מאגרים רגישים:
  • מאגר המשתמשים
  • מאגרים הקשורים לתקציב האישי: תנועות, יתרות ופירוטים.
מאגר המשתמשים אינו מכיל מידע רגיש לרוב וניתן להניח שמכיוון שהינו רק לשימוש פנים ארגוני ניתן להגדירו כמאגר המנוהל בידי יחיד אך מכיוון שהוא משמש גם לתפוצה וייתכן ויש יותר משני בעלי הרשאת ניהול מאגר המשתמשים נחשב בעל רמת אבטחה בסיסית.
מאגרי התקציב האישי נחשבים אף הם בעלי רמת אבטחה בסיסית.
התוצאה היא שמאגרי המשתמשים והתקציבים של מערכות מעוף חייבים לעמוד בתקנות המתאימות למאגרים בעלי רמת אבטחה בסיסית.

באילו תקנות חייבים לעמוד?

כאמור המאגרים שחייבים לעמוד בתקנות במעוף+ הם מאגר המשתמשים ומאגרי התקציב האישי.
להלן קיצור התקנות שהמאגרים הללו חייבים לעמוד בהן:
  • ניהול מסמך מאגר הכולל בין היתר: שם מאגר, תיאור מילולי של המידע, סיכונים, שם מנהל המאגר, תיעוד שינויים משמעותיים.
  • מינוי ממונה על אבטחת מידע בארגון, הכנת תכנית בקרה ומימושה השוטף.
  • חיבור נוהל אבטחת מידע, שמירה על נוהל האבטחה, בדיקה ועדכון נוהל אבטחה מדי שנה.
  • מיפוי מערכת המידע וביצוע סקר סיכונים.
  • אבטחה פיזית וסביבתית: שימו לב, המאגר נמצא פיזית באינטרנט ועומד בתקנות אבטחה פיזית מחמירות. אין להחזיק עותקים מקומיים שלא מאובטחים פיזית.
  • הקפדה יתרה על צוות המורשים.
  • הקפדה יתרה על הרשאות המורשים.
  • כניסה באמצעות סיסמאות בעלות רמת אבטחה נאותה, ביטול הרשאות למסיימי תפקיד.
  • תיעוד אירועי אבטחה. מקרים ותגובות לאירועי אבטחה.
  • המאגרים נמצאים באינטרנט ומוגנים באופן סביר התואם את דרישות האבטחה למאגרים שבאינטרנט.

האם לרשום את המאגר?

כן, לפי התקנות, יש לרשום את המאגר בפנקס המאגרים של משרד המשפטים. ניתן לקבל מידע נוסף אודות רישום המאגר בקישור זה. שימו לב: במקרה של שימוש במאגר ביישובים, לצרכי פנים השימוש במאגר כמאגר הפצה אינו לצורך שיווק אלא לצורך התנהלות פנימית. מצב זה אינו מוגדר באופן מדויק בחוק ויתכן ניתן לפנות למשרד המשפטים ולקבל הקלות בנוגע לניהול ורישום המאגרים.

לסיכום…
  • אם נחמיר, אפשר להגדיר חלק ממאגרי מעוף כבעלי רמת אבטחה בסיסית
  • יש לעבור על התקנות המתאימות באופן עצמאי
  • יש להתייחס למידע בכבוד הראוי: לא לחלק סתם הרשאה, לנהל סיסמא אישית מכובדת, לא להפיץ את המידע שלא לצורך.
  • יש בהחלט מקום לבקש הקלות.

בהצלחה!
--------------
בטו בסודו, מנכ"ל שותף אפקט מערכות

חידושים ועדכונים