אבחון, יישום ובקרה של כל הדרוש לשם עמידה בהוראות חוק הגנת הפרטיות תשמ"א-1981 והתקנות מכוחו, שנכנסו לתוקף ב-18/5/18. סיווג ורגישות תוכן מאגר המידע הרשום - היקף וגיוון המידע השמור, מספר נושאי המידע, מספר בעלי הרשאת הגישה למערכות המאגר, אופי מערכות המחשוב והטכנולוגיה, הממשקים לקבלת/מסירת מידע בארץ/בחו"ל, תחולת רגולציה ייחודית, כשירות בעל/מנהל/מחזיק למילוי תפקידם ועמידה בפועל בחובתם המקצועית והחוקית. תיאום יישום תקנות הגנת הפרטיות בישראל מול ה-General Data Protection Regulation (GDPR) באיחוד האירופי, או ה-CCPA של מדינת קליפורניה - המחמיר בארה״ב.
מדוע צריך ליישם את תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017?
במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017, מכוח חוק הגנת הפרטיות תשמ"א-1981, אשר אכיפתם בפועל מבוצעת ע"י רשות הגנת הפרטיות במשרד המשפטים.
הנחיה מקצועית ביישום הוראות הדין ובדיקה תקופתית בידי רו"ח ועו"ד מיומנים תפחית חשיפה לסיכון של אכיפה מנהלית או חקירה פלילית של הרשות ותשקף תום לב בניהול מאגר המידע - מפני תלונה/תביעה מצד נושא מידע או חשד להפרת חוק/תקנות. כך גם תתאפשר בקרת נזקים אפקטיבית בעקבות אירוע אבטחת מידע חמור.
פוטנציאל הנזק הגלום באירועי האבטחה החמורים רב. בשליש מהם קיים חשש שנחשף מידע אישי/רגיש אודות ציבור הגדול מ-100,000 איש (פרטי לקוח/ספק/עובד, מצב כלכלי או מצב רפואי/נפשי). הסיכון העיקרי - בעל המאגר פגע בפרטיות אדם/תאגיד ללא הסכמה ביודעין מראש או תוך הפרת חובת סודיות שנקבעה בחוק/הסכם, בשימוש בידיעה על עניין פרטי או העברתה לאחר שלא למטרה לשמה נמסרה (חשיפה פלילית).
בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה אחראי לערוך אחת ל-24 חודשים לפחות ביקורת פנימית או חיצונית – ע"י גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.
Comentários