הרגולציה החדשה לאבטחת מאגרי מידע בפתח - כבר נערכתם?

ב-8 במאי 2017, פורסמו תקנות הגנת הפרטיות (אבטחת מידע), אשר תחולנה על כל גוף בישראל אשר מחזיק או מנהל "מאגר מידע" כמוגדר בחוק הגנת הפרטיות. התקנות, שמעודכנות ומותאמות לתמורות הגלובליות והטכנולוגיות, נועדו להסדיר באופן מקיף את דרישות ההגנה הפיזית והלוגית על מאגרי מידע, את היקפיהן ואת הנהלים וסדרי העבודה בקשר להחזקתם או ניהולם על ידי גופים ציבוריים ופרטיים, כאשר המטרה המרכזית היא מניעת שימוש לרעה במידע זה על ידי גורמים חיצוניים ו/או פנים ארגוניים. התקנות ייכנסו לתוקף מחייב באוגוסט 2018, ובכדי להצליח ולעמוד בדרישות המקיפות, על הגופים הרלוונטיים להתחיל בהיערכות מבעוד מועד.

גופים רבים בישראל, פרטיים וציבוריים כאחד, מחזיקים או מנהלים בעצמם מאגרי מידע המכילים מידע רגיש בדבר הארגון, לקוחותיו, עובדיו, ספקיו וכיוצ"ב. מאגרים אלו, שבפועל נאספים ומנוהלים כחלק ממגוון פלטפורמות, כגון תוכנות ניהול המידע הארגוני, מערכות סליקה, מאגרים רפואיים, אפליקציות, תוכנות ומוצרי ענן שונים, משחקי מחשב וכיוצ"ב, עומדים בפני סיכונים יומיומיים וממשיים של שימוש לרעה, כגון חשיפה, ציתות, שיבוש, העתקה, השמדה וכיוצ"ב, על ידי גורמים פנים ארגוניים או חיצוניים, ממניעים עסקיים, זדוניים ואף לעיתים פליליים לכל דבר.

המעבר לתרבות ארגונית ממוחשבת, תוך אחסון המידע הארגוני על גבי רשתות מחשבים פנימיות או חיצוניות, ויצירת ממשקי מנהלים, לקוחות, ספקים ועובדים באמצעות רשתות מחשבים, הפכו את מאגרי המידע השונים המכילים מידע עסקי ונתונים אישיים יקרי ערך, למוקד משיכה אטרקטיבי ביותר לעסקים מתחרים, חוקרים פרטיים ועברייני רשת. תמורות אלו חייבו את המחוקק לעדכן את דרישות ונהלי האבטחה ולהתאימן לסוג המידע הנשמר ורגישותו.

עו"ד אילן טננבאום | צילום: רוני פרל

אז מה מוגדר בכלל "מידע" ומהו "מאגר מידע"?

ראשית, חשוב להדגיש שרק "מאגר מידע" כמוגדר בחוק, כפוף לדרישות התקנות החדשות, בעוד שאוסף מידע שאינו עונה על ההגדרה יהא פטור מהן. בהתאם, יש להבין מה מוגדר כ"מאגר מידע".

חוק הגנת הפרטיות מגדיר "מאגר מידע" בתור: "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב", כאשר "מידע" מוגדר בתור: "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". יחד עם זאת, החוק קובע חריגים לכך, וקובע כי אוסף נתונים שנועד לשימוש שאינו למטרות עסק, או אוסף אשר המידע הכלול בו הוא שם, מען ודרכי התקשרות בלבד, לא ייחשב "מאגרי מידע".

ככל ומדובר ב"מאגר מידע", יש לבחון לאיזו קטגוריה משתייך מאגר המידע, כאשר התקנות מחלקות את מאגרי המידע לארבע קטגוריות שונות, הנבדלות זו מזו ברמת ההגנות הנדרשות ממאגר המידע: (1) מאגרים המנוהלים בידי יחיד; (2) מאגרים שחלה עליהם רמת אבטחה בסיסית; (3) מאגרים שחלה עליהם רמת אבטחה בינונית; ו-(4) מאגרים שחלה עליהם רמת אבטחה גבוהה. השתייכות של מאגר מידע לקטגוריה מסוימת ייגזר בעיקר מסוג המידע הנשמר במאגר, כמות פרטי המידע במאגר, כמות האנשים שחשופים למאגר ורגישותו. התקנות מנוסחות בצורה מודולרית, כך שהחובות החלות על מאגר מידע משתנות בהתאם לקטגוריה אליה משתייך מאגר המידע. כך יוצא כי חלק מהוראות התקנות יחולו על כל הקטגוריות, בעוד שחלקן האחר, יחול רק על קטגוריות מסוימות בהן נדרשת רמה מחמירה יותר של אבטחת מידע.

התקנות כוללות חובה להקים וליישם מנגנונים פנים ארגוניים שיאכפו את עקרונות אבטחת המידע, והדגשת חובותיהם ואחריותם של מנהלי ובעלי מאגרי המידע בהגנה על הפרטים/חברות אשר המידע שלהם שמור במאגרים, מפני שימוש לרעה על-ידי גורמים פנים וחוץ ארגוניים. המנגנונים נחלקים למספר רבדים, כאשר ראשית על בעל המאגר לקבוע מהו המידע המוגן ומהם הסיכונים שעלולים להוות איום על המאגר. לאחר מכן, על בעל המאגר לקבוע נהלים מפורטים וברורים ביחס לאבטחת מאגר המידע וסדר הפעולות בהן יש לנקוט במקרה של חדירה למאגר, זאת במטרה למזער נזקים ולהעמיד את הארגון בנקודת פתיחה נוחה יותר במקרה של אירוע פגיעה במאגר. הרובד האחרון מפרט את ההוראות המהותיות בנוגע לאופן ניהול אבטחת מאגר המידע.

לצורך ההמחשה, החובות הבסיסיות החלות על כל מאגר מידע, כוללות בין היתר: חובה לרשום בפנקס מאגרי המידע כל מאגר מידע אשר כולל מידע אודות מעל 10,000 אנשים, או מאגר מידע שלא התקבלה הסכמת כל האנשים המופיעים במאגר להיכלל בו; חובה למנות עובד בכיר שאינו הממונה על אבטחת המידע, לתפקיד "מנהל מאגר המידע"; בארגון המחזיק יותר ממאגר אחד - חובת דיווח שנתית לרשם וחובת מינוי ממונה על אבטחת מידע שתפקידו, בין היתר, הכנת נוהל אבטחת מידע ותוכנית בקרה שוטפת לעמידה בדרישות התקנות.

עו"ד אבי ווקנין | צילום: תומר יעקובסון

חובות נוספות שניתן למצוא בתקנות, כוללות, בין היתר: מגבלות על העברת מידע בין מדינות; חובות בנוגע לאבטחה פיזית ולוגית של המאגרים, לרבות הפרדה בין מחשבים עם גישה למאגר למחשבים חסרי גישה, התקנת אמצעי הגנה מתאימים תוך שימוש בשיטות הצפנה מקובלות וכיוצ"ב; חובת מיפוי המידע במאגר ומיפוי מבנה המערכות הנוגעות ומאחסנות את המידע (חומרה, תוכנה, ממשק ותקשורת); חובת עיבוד ותיעוד הפעולות המבוצעות במאגר; קביעת נהלי אבטחה ביחס להרשאות גישה למאגר; עריכת ניהול סיכונים וקביעת דרכי התמודדות בזמן אירוע אבטחה; חובת מיון והדרכת עובדים; תיעוד אירועים עם חשש להדלפת מידע; קביעת נוהל התקשרות עם גורמים חיצוניים לקבלת שירותים הכרוכים בגישה למאגר; נקיטת אמצעי בקרה ופיקוח ועוד.

התקנות מתייחסות בהרחבה גם לפעולות שיש לנקוט במקרים של אירוע אבטחה הנוגע למאגרי המידע, כאשר קיימת חובת תיעוד אודות פגיעות וחריגות שנעשו, וכן חובת דיווח על האירוע לרשם מאגרי המידע ולמושאי המידע שאירוע האבטחה נוגע אליהם.

חשוב לומר, כי מעבר לאחריות הנזיקית אליה עלולים להיות חשופים בעלי ומנהלי מאגרי מידע שלא הקפידו על קיומן של התקנות, הרי שאי עמידה בהוראות התקנות מהווה למעשה עבירה על חוק הגנת הפרטיות, ולכן גוררת סכנה להטלת אחריות פלילית על הבעלים, העובדים ונושאי המשרה בארגון. עבירות על חוק הגנת הפרטיות נחשבות למן העבירות החמורות בספר החוקים, כאשר פגיעה בפרטיות באמצעים טכנולוגיים הפכה למכת מדינה, והמחוקק ובתי המשפט עושים כל שביכולתם להילחם בתופעה ולהחמיר עם העבריינים. עצם אי מילויין של חלק מהוראות התקנות מהווה עבירה פלילית מסוג אחריות קפידה, אשר מספיקה ההוכחה בדבר קיומה העובדתי של העבירה בלבד בכדי להרשיע בגינה, ללא כל צורך בהוכחה של יסוד נפשי של מודעות או רשלנות. העונש על עבירה כאמור, יכול להגיע עד שנת מאסר בפועל. כאשר מדובר בעבירות שנעברו במזיד, כמו שימוש במידע על ענייניו הפרטיים של אדם שלא למטרה לשמה נמסר המידע או כאשר לא נשמרה סודיות המידע המצוי במאגר, מדובר בעבירה פלילית שהעונש עליה יכול להגיע עד 5 שנות מאסר.

אנו סבורים, כי לאור ההתפתחות הטכנולוגית ולצד זאת, החשיבות היתרה בשמירה על פרטיותם של האנשים, המגמה בפסיקה תהיה החמרה עם אלו שייכשלו בעמידה בדרישות החוק והתקנות. על כן, המלצתנו היא לא ליטול סיכונים מיותרים וליישם את הוראות התקנות בהקדם.