top of page

דיני פרטיות, טכנולוגיות, והגנת מידע

עו"ד יוסי ברוך הינו בעל ניסיון עשיר בתחומי הגנת מידע, סייבר, פרטיות ודין מנהלי.

בין השנים 2019-2021 פעל כעורך דין עצמאי, מעניק ייעוץ וייצוג ללקוחות מהמגזר הפרטי והציבורי. קודם לכן, בין 2009-2019, שימש כמנהל אגף ביקורת פנים IS ברשות המיסים.

השכלתו המקיפה כוללת תואר ראשון במשפטים (LLB) מהקריה האקדמית אונו, תואר שני במדיניות ציבורית למנהלים מאוניברסיטת תל אביב, ותואר ראשון במדעי ההתנהגות מהאוניברסיטה הפתוחה.

בנוסף, הוא מחזיק בהסמכות מקצועיות יוקרתיות כגון CDPSE, CRISC ו-CISA מטעם ISACA, וכן הסמכת EXIN ב-GDPR.

עו"ד ברוך פעיל בפורומים מקצועיים להגנת פרטיות, כולל ISACA ו-DPC, שם הוא משמש כראש פורום הגנת הפרטיות. ניסיונו המגוון והידע המעמיק שלו מאפשרים לו להעניק ללקוחותיו ייעוץ משפטי מקיף ומקצועי בתחומי התמחותו.

 

הגנת הפרטיות

אבחון, יישום ובקרה של כל הדרוש לשם עמידה בהוראות חוק הגנת הפרטיות תשמ"א-1981 והתקנות מכוחו, שנכנסו לתוקף ב-18/5/18.
• סיווג ורגישות תוכן מאגר המידע הרשום - היקף וגיוון המידע השמור, מספר נושאי המידע, מספר בעלי הרשאת הגישה למערכות המאגר, אופי מערכות המחשוב והטכנולוגיה, הממשקים לקבלת/מסירת מידע בארץ/בחו"ל, תחולת רגולציה ייחודית, כשירות בעל/מנהל/מחזיק למילוי תפקידם ועמידה בפועל בחובתם המקצועית והחוקית.
• תיאום יישום תקנות הגנת הפרטיות בישראל מול ה-General Data Protection Regulation) GDPR) באיחוד האירופי, או ה-CCPA של מדינת קליפורניה - המחמיר בארה״ב.

מדוע צריך ליישם את תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017?

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017, מכוח חוק הגנת הפרטיות תשמ"א-1981, אשר אכיפתם בפועל מבוצעת ע"י רשות הגנת הפרטיות במשרד המשפטים.
הנחיה מקצועית ביישום הוראות הדין ובדיקה תקופתית בידי רו"ח ועו"ד מיומנים תפחית חשיפה לסיכון של אכיפה מנהלית או חקירה פלילית של הרשות ותשקף תום לב בניהול מאגר המידע - מפני תלונה/תביעה מצד נושא מידע או חשד להפרת חוק/תקנות. כך גם תתאפשר בקרת נזקים אפקטיבית בעקבות אירוע אבטחת מידע חמור.
פוטנציאל הנזק הגלום באירועי האבטחה החמורים רב. בשליש מהם קיים חשש שנחשף מידע אישי/רגיש אודות ציבור הגדול מ-100,000 איש (פרטי לקוח/ספק/עובד, מצב כלכלי או מצב רפואי/נפשי). הסיכון העיקרי - בעל המאגר פגע בפרטיות אדם/תאגיד ללא הסכמה ביודעין מראש או תוך הפרת חובת סודיות שנקבעה בחוק/הסכם, בשימוש בידיעה על עניין פרטי או העברתה לאחר שלא למטרה לשמה נמסרה (חשיפה פלילית).
בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה אחראי לערוך אחת ל-24 חודשים לפחות ביקורת פנימית או חיצונית – ע"י גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.

 

שירותים משפטיים ומנהליים בתחום רגולציית הגנת הפרטיות בהתאם לדין החל בישראל, אירופה (GDPR) וארה"ב (CPRA וכדומה)

  • DPO במיקור חוץ.

  • מיפוי המצב הקיים לזיהוי וסיווג מערכות/מאגרי מידע בשימוש הארגון ובחינת אופן ניהולם - תיחום החובה החלה ע"פ חוק/תקנות/רגולציה וניתוח הפער בפועל.

  • הכנה וביצוע של סקר סיכונים וניתוח השפעתם בתחום הגנת מידע, סייבר ופרטיות.

  • בחינת אבטחת המידע בשרשרת האספקה – בפרט מול ספקים חיצוניים של מערכות ומאגרי המידע.

  • בקרת נזקים משפטיים בעקבות אירוע אבטחת מידע חמור בארגון בעל מאגרי מידע.

  • ייעוץ וייצוג בהליכי אכיפה מנהלית או פלילית מול רשות הגנת הפרטיות במשרד המשפטים או פרקליטות המדינה.

  • הגשת תביעה או מתן הגנה משפטית במקרה של פגיעה בפרטיות אדם ללא הסכמה, לרבות - עבירה על איסור לשון הרע, הטרדה או שיגור דבר פרסומת באמצעות מיתקן בזק ("חוק הספאם").

  • הגשת בקשות לפי חוק חופש המידע.

מפרט הפעילויות המבוצעות על ידינו:

  • תרשים מערכות המאגרים, רשימת מצאי ציוד וטכנולוגיה (חומרה ותוכנה), סוג ה-DB בכל מערכת מידע, הסכם ומפרט התקשרות עם כל ספק/מחזיק של מערכת מאגר מהותית, אפיון/תכנון אבטחה ופרטיות בהקמת/פיתוח מערכות ויישומים, בהתאם לעיקרון העיצוב לפרטיות.

  • זיהוי  ומיפוי נכסי ומאגרי המידע, מקרב מערכות מידע שונות.

תיקוף קיום ותכולת טבלת הגדרות מאגרי מידע

  • עמידה בתחולת המודל הנורמטיבי הרלוונטי בנסיבות העניין - חוק הגנת הפרטיות, תשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, תקנות האיחוד האירופי להגנה על נתונים (GDPR), חוקי פרטיות מקומיים במדינות ארה"ב (CPRA וכיו"ב), וכן תקן מקצועי מקובל בתחום (ISO 27001, SOC 2, NIST וכיו"ב).

  • הגדרת בעלי תפקיד במאגרים, לרבות תחום סמכותם ואחריותם – לרבות עריכת כתבי מינוי למנהלי המאגרים, מדיניות ופרסום מינוי של ממונה אבטחה או DPO.

  • אכיפה בפועל של מדיניות/נוהל אבטחת המידע – בחינה שנתית של אירועי אבטחה ו/או שינוי במבנה/תהליך ארגוני, ועדכון נוהל האבטחה ו/או טבלת הגדרות המאגרים בהתאם.

סיווג רגישות המידע, רמת האבטחה והתנאים הנגזרים מכך לניהול המאגרים

  • שמירה וגיבוי, לרבות בדיקת תקינות השחזור, של נתוני האבטחה למשך 24 חודשים לפחות.

  • קיום נוהל טיפול באירוע אבטחה/דלף מידע ו/או BCP/DRP, ותרגול בפועל (במתכונת שולחנית/מלאה).

בקרת ואכיפת הציות להוראות החוק/רגולציה וביצוע הפעולות המתחייבות מכך

  • קבלת תימוכין בסינון/מיון של עובד חדש.

  • עריכת מבחני התאמה/אמינות לעובד בעל גישה למידע עסקי/אישי רגיש בחברה (כספים, סוד מסחרי וכיו"ב).

  • החתמה בהסכם ההעסקה על התחייבות לסודיות ולעמידה בהוראות וכללי אבטחה ופרטיות החלים.

  • קיום מנגנון תקופתי מתועד להדרכה בסיסית וריענון תקופתי של הוראות אבטחה ופרטיות, ניתן גם באמצעות לומדה - לרבות מבדקי פישינג או הנדסה חברתית.

  • קבלת הסכמה מפורשת ומודעת מראש ובכתב מעובד לניטור ובקרת פעילותו הפיזית - מצלמות אבטחה, אפליקציות דיווח נוכחות/מיקום וכיו"ב, הרעיונית - זכות המעסיק לקניין חומרי ורוחני על כל תוצרי עבודתו, וכן במערכות המאגרים – הכנסה/הוצאה של מידע אל ומגורם חיצוני/אינטרנט או אופי השימוש בקבצים ודוא"ל שלו (אישי/מקצועי/מעורב).

  • קיום תהליך שיטתי ומתועד של פתיחת/שינוי/סגירת הרשאה לאורך מחזור חייו של עובד.

ניהול אבטחת מידע באמצעות כ"א

  • הבחנה בזיהוי וניטור מלכתחילה בין ניהול חשבון מנהל/ADMIN של מערכת או של אמצעי הפעלה/אבטחה, לבין חשבון משתמש רגיל/USER (חשבון אישי בלבד - ללא שמות משתמש גנריים).

  • קיום יומן פעילות/LOG כל פעילות המשתמשים בכל מערכות המאגרים המהותיים – מבוצע ניטור תקופתי שלו וטיפול בחריגים במידת הצורך.

  • מבנה חזק של סיסמת משתמש בגישה אל רשת/יישומים - לפחות 8 שדות אלפא נומריים עם סימנים מיוחדים, והחלפתה לפחות אחת ל-90 יום.

  • גישה מרחוק לרשת באמצעות הקלדת שם משתמש וסיסמא קבועה, ובנוסף שימוש ב-MFA או OTP.

קיום מנגנון ניטור ובקרה, רצוי טכנולוגי, לאכיפת ביצוע פעולות אבטחה יסודיות על המשתמש

  • איסוף או מסירת מידע מכוח סמכות חוקית/מנהלית, או מכוח הסכמה מפורשת ומודעת מראש ובכתב של נושא המידע (ממנו ישירות או אודותיו במוסד אחר).

  • ניטור מספר נושאי המידע בכל מאגר (כולל היסטורית) והסדרת מימוש זכותם לעיון, תיקון או מחיקה של המידע אודותיו – לרבות בעל תפקיד ואמצעי קשר לשם פניה או תלונה בהקשר זה, או לדיווח על דלף מידע אפשרי מהמאגר.

  • בחינה שנתית שהמידע הנשמר במאגר אינו רב מן הדרוש לקיום מטרתו, בהתאם לעיקרון צמידות המטרה.

  • עריכת/ליווי ביקורת תקופתית, סקר סיכוני פרטיות/אבטחת מידע ו/או מבדק חדירה – מדי 24 או 18 חודשים, בהתאם לרמת האבטחה (בינונית/גבוהה).

  • רישום מקוון של מאגרי המידע אצל הרשם ברשות להגנת הפרטיות בישראל, במידת הצורך.

bottom of page