טיוטת תקנות אבטחת מידע לפי חוק הגנת הפרטיות בעקבות הערות הציבור לנייר עמדה בעניין זה

 

הרשות למשפט טכנולוגיה ומידע (רמו"ט) ומחלקת ייעוץ וחקיקה מפרסמות טיוטה של תקנות אבטחת מידע לפי חוק הגנת הפרטיות בעקבות הערות הציבור לנייר עמדה בעניין זה

​רמו"ט ומחלקת ייעוץ וחקיקה במשרד המשפטים מפרסמות היום טיוטה של תקנות אבטחת מידע לפי חוק הגנת הפרטיות לעיון הציבור. טיוטת התקנות הוכנה לאחר קבלת הערות מהציבור לנייר עמדה שהפיצה רמו"ט בעניין זה, ומפנימה גם

​לקחים מפרשת "ההאקר הסעודי". 

חוק הגנת הפרטיות, התשמ"א-1981 (להלן – החוק), קובע הוראות שונות וחובות בתחום אבטחת המידע על מי שמנהל מידע אישי באופן ממוחשב, שמטרתן צמצום החשש מפני שימוש לרעה או פגיעה במידע. 

מטרת התקנות המוצעות היא לפרט ולקבוע את עקרונות אבטחת המידע הקשורים בניהול ובשימוש במידע אישי, בהתבסס על תקני אבטחת מידע מקובלים בעולם.
המטרה של ההסדר המוצע הוא מימוש תכלית ההגנה על הפרטיות במידע - כלומר הגנה על זכויות אנשים שפרטים עליהם מצויים במידע במאגר המידע, מפני שימוש לרעה במידע אודותיהם הן על ידי גורמים מחוץ לארגון, והן על ידי עובדים בו. 

רמו"ט הפיצה נייר עמדה בעניין זה להערות הציבור בפברואר 2010 והציגה אותו בימי עיון שארגנה ובכנסים מקצועיים אחרים. לנייר העמדה התקבלו הערות מגורמים שונים במגזר הציבורי והעסקי. הליך שמיעת הערות הציבור הביא לשינויים בדרישות המוצעות. 

התקנות המוצעות כוללות הסדרה במישור התהליכים וקבלת ההחלטות בתוך הארגון, וכן הוראות מהותיות בתחום ניהול אבטחת המידע: 

במישור האחריות הארגונית, ובהתאם להוראות סעיף 17 לחוק, נקבע כי האחריות הכוללת לעמידה בתקנות היא של בעל מאגר המידע (כלומר הגוף הציבורי או הפרטי שאוסף ומעבד את המידע) ומנהל המאגר (כלומר מנכ"ל הגוף או בכיר אחר שהוא הסמיך לכך). כמו כן, החובות יחולו באופן דומה גם על המחזיק במאגר מידע. חידוש שנובע מהערות שהתקבלו מקהילת אבטחת המידע, קשור ביחסי הגומלין שבין מנהל המאגר לממונה אבטחת המידע. נדרש כי ממונה אבטחת המידע יהיה כפוף לנושא משרה בכיר. עוד נדרש בעל מאגר המידע להקצות לממונה אבטחת המידע את המשאבים הנדרשים לביצוע תפקידיו. 

כלקח מאירועי אבטחת המידע הקשורים בפרשה שידועה כ-"האקר הסעודי" נדרשים ארגונים להכין נהלי התמודדות עם אירועי אבטחת מידע. בנוסף, באירועי אבטחת מידע חמורים בלבד, מוצעת חובת דיווח על כך לרשם מאגרי המידע, ובכלל זה הצעדים המתקנים שננקטו (Breach Notification Notice). הרשם יוכל גם להורות על מסירת הודעה על כך לציבור שעלול להיפגע מן האירוע. 

נושאים נוספים ששונו וחלו בהן הקלות למול נייר העמדה עוסקים בתדירות ניהול סקרי סיכונים, חובות בתחום המידור וחובות ניטור ומעקב כוללות על השימוש במערכות. 

בשל מגוון הארגונים המעבדים מידע אישי, התקנות המוצעות הן מודולריות, בכך שהן מחילות חובות ברמה הולכת וגדלה ככל שהארגון הוא ארגון שפעילות עיבוד המידע שבו, בהקשר של חוק הגנת הפרטיות, היא משמעותיות יותר. תפיסה זו, של חובות מודולריות נגזרת ישירות מעקרון היסוד של אבטחת מידע שלפיה התמודדות עם סיכוני האבטחה נבחנת בהתאם לפעילות של המאגר, והיא מוצאת ביטויה גם במסמכים דומים בעולם. סיווג הגדרות המאגרים בהתאם למידת רגישות המידע שבמאגר הותאם לנוסח הצעת חוק הגנת הפרטיות (תיקון מספר 12) (סמכויות אכיפה), התשע"ב-2011, וכן לשינויים בחובות המוצעות לפי התקנות. 

התקנות מופצות להערות הציבור תוך 21 יום, ולאחר מכן יובאו לאישור שר המשפטים.