החוק להגנת הפרטיות, לרבות תקנות אבטחת מידע (2017) ותיקון 13 שנכנס לתוקף בשנת 2023, קובע סט חוקים ותקנות מחייבים שנועדו לשמור על המידע האישי של אזרחים במדינת ישראל. תקנות אלו חלות על כל גוף – בין אם עסק פרטי, חברה ציבורית, עמותה, מלכ"ר, ארגון ממשלתי או אף עצמאי – כל עוד הוא מנהל או מחזיק במאגר מידע ממוחשב.
בעידן שבו מידע הוא משאב חיוני, כל עסק או ארגון נדרש לוודא שהגישה שלו למידע מתבצעת בצורה מבוקרת, מאובטחת וחוקית. החוק מגדיר סיווגים שונים של מאגרי מידע, כאשר לכל סיווג חלה רמת אבטחה שונה. להלן הסיווגים והמשמעויות שלהם:
מאגר מידע בניהול יחיד – רמת אבטחה מינימלית
מאגר זה מוגדר כמאגר אשר:
-
מספר מורשי הגישה אליו אינו עולה על שלושה;
-
הוא כולל מידע על עד 10,000 אנשים;
-
הוא אינו מכיל מידע רגיש;
-
והוא אינו נאסף במטרה להעבירו לגורם אחר.
זהו הסיווג הנמוך ביותר מבחינת דרישות האבטחה. דוגמה לכך יכולה להיות עסק קטן, כמו קוסמטיקאית עצמאית או יועץ פרטי, אשר מנהלים רשימת לקוחות באקסל במחשב האישי.
אך חשוב לזכור: גם אם מדובר במאגר מצומצם, ברגע שהוא כולל מידע רגיש כמו פרטים רפואיים – הוא עלול להיכנס לסיווג גבוה יותר, גם אם הוא מנוהל בידי יחיד.
מאגר מידע ברמת אבטחה בסיסית
מדובר במאגרים שלא עומדים בהגדרה של מאגר יחיד, אך גם אינם עונים לקריטריונים של מאגר בינוני או גבוה. כלומר – אין בהם מידע רגיש או כמות גישה גבוהה, אך הם מנוהלים על ידי יותר מאדם אחד.
דוגמה אופיינית לכך היא קליניקה פרטית שבה שני שותפים, או משרד עו"ד קטן המטפל בלקוחות פרטיים. במקרה כזה נדרשת הקפדה על נהלים בסיסיים, ניהול הרשאות, שמירה פיזית על המידע, והצפנת מידע רלוונטית.
מאגר מידע ברמת אבטחה בינונית
מאגר שנחשב לבינוני כולל בדרך כלל לפחות אחת מהתכונות הבאות:
-
המידע בו מועבר לגורמים חיצוניים לצורך טיפול או שירות;
-
הוא נגיש ליותר מ־10 בעלי תפקידים;
-
הוא מכיל מידע רגיש (כגון מידע רפואי, מידע כלכלי, השקפות פוליטיות, אמונות דתיות, הרשעות, העדפות אישיות וכו');
-
הוא שייך לגוף ציבורי כגון רשות מקומית, משרד ממשלתי, מוסד חינוכי ועוד.
דוגמה נפוצה למאגר כזה היא סוכנות ביטוח בגודל בינוני, או משרד עורכי דין המטפל בלקוחות עם מידע רגיש. דרישות התקנות למאגרים מסוג זה כוללות כבר כתיבת נהלי אבטחת מידע מפורטים, מיפוי מערכות מידע, ניהול הרשאות ברמה מתקדמת, הדרכות לעובדים, גיבויים מתועדים ועוד.
מאגר מידע ברמת אבטחה גבוהה
זהו הסיווג המחמיר ביותר, והוא חל על מאגרים בעלי אחד או יותר מהמאפיינים הבאים:
-
כוללים מידע רגיש ביותר על למעלה מ־100,000 אנשים;
-
נגישים ליותר מ־100 מורשים בארגון;
-
מיועדים להעברת מידע שיטתי לגורם שלישי (למשל שירותי דיוור, חיתום ביטוחי, מחקר רפואי או מסחרי).
דוגמות מובהקות לכך הן בתי חולים, חברות ביטוח גדולות, רשתות קמעונאיות המחזיקות מועדוני לקוחות עצומים, או חברות בתחום האשראי והפיננסים.
דרישות החוק במקרה זה כוללות את כל האמצעים המתקדמים ביותר – אבטחה פיזית מוקפדת, מערכת הרשאות מתקדמת, ביקורות אבטחת מידע פנימיות וחיצוניות אחת לשנתיים, מעקב ותיעוד פעילות משתמשים, וכן מנגנונים לגילוי פריצות ודליפות מידע בזמן אמת.
מה הביא איתו תיקון 13?
תיקון 13, אשר נכנס לתוקפו בשנת 2023, הביא עמו שינוי מהותי בגישה ובאכיפה:
-
הוא חיזק את סמכויות הרשות להגנת הפרטיות;
-
אפשר הטלת עיצומים כספיים מינהליים גם ללא פתיחה בהליך פלילי;
-
חייב גופים לדווח לרשות ולאנשים שנפגעו על כל אירוע אבטחת מידע חמור;
-
הדגיש את האחריות האישית של בעלי תפקידים – מנהלים, ממונים על אבטחת מידע ומורשי גישה;
-
וחייב כל ארגון לבצע מיפוי סיכונים מתמשך, תוך עמידה בסטנדרטים גבוהים יותר מבעבר.
המשמעות היא שלא מספיק "לעמוד בתנאים" טכנית – יש צורך להוכיח בקרה שוטפת, ניהול מתועד, ודיווח מסודר במקרה של חריגה.
איך נערכים נכון?
יישום התקנות, על כל פרטיהן, מחייב ליווי של אנשי מקצוע. הצעד הראשון הוא להבין באיזה סיווג המאגר שלכם נופל – ולבנות תכנית התאמה הכוללת:
-
ניתוח מצב קיים (Gap Analysis)
-
עדכון נהלים וכתיבת מדיניות
-
התקנת כלים טכנולוגיים נדרשים
-
הדרכה והטמעה בקרב העובדים
-
תיעוד, ניטור ובקרה לאורך זמן
לסיכום
ההגנה על פרטיות המידע אינה רק דרישה רגולטורית – היא אחריות ארגונית, ערך עסקי, ובמקרים רבים גם עניין של מוניטין ואמון. תקנות הגנת הפרטיות ותיקון 13 הם כלים חשובים להגנה על זכויות הציבור – ומי שמיישם אותן נכון, מרוויח הרבה יותר משקט משפטי.
אם ברשותכם מאגר מידע מכל סוג – זה הזמן לבדוק היכן אתם עומדים, ולוודא שאתם פועלים על פי החוק והסטנדרטים החדשים.