The Privacy Protection Authority’s policy on receiving a report regarding  a serious security violation was published.

פורסמה מדיניות הרשות להגנת הפרטיות בנוגע לקבלת דיווח אירוע אבטחה חמור

מבזק זה נשלח בהמשך למבזקים קודמים שהופצו על ידינו בעניין תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017 (להלן: “התקנות”), אשר ייכנסו לתוקף בימים הקרובים (ב-8 במאי 2018). לקראת כניסתן לתוקף של התקנות בימים אלה פרסמה הרשות להגנת הפרטיות את מדיניותה בנוגע לקבלת דיווח על אירוע אבטחה חמור. במטרה להפיג את חששות המשק מפני דיווח לרשות בדבר אירועי אבטחה חמורים, הרשות מציגה מדיניות אכיפה סובלנית כלפי המדווחים אשר תיושם בהדרגה מיום כניסת התקנות לתוקפן בתקופת ההטמעה הראשונית (קרי, עד 31 בדצמבר 2018) ובתקופת הביניים (עד 30 ביוני 2019), כאשר אכיפה מלאה של התקנות, בהקשר זה, תחל רק ב-1 ביולי 2019.

התקנות קובעות סטנדרטים חדשים, מעודכנים, מקיפים ומפורטים יותר מאלה הקבועים כיום בחוק בעניין אבטחת מידע אישי, אשר יחולו על גופים פרטיים וציבוריים האוספים מידע אישי במאגרי מידע. בין היתר נקבעה בתקנות חובת דיווח מיידית לרשם מאגרי המידע שברשות להגנת הפרטיות, בקרות אירוע אבטחה חמור, לרבות בקשר לצעדים שבעל המאגר נקט בעקבות האירוע.

“אירוע אבטחה חמור” מוגדר בתקנות כדלקמן – במאגר מידע שחלה עליו רמת אבטחה גבוהה מדובר על “אירוע שנעשה בו שימוש במידע מן המאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע” ובמאגר מידע שחלה עליו רמת אבטחה בינונית, מדובר על “אירוע שנעשה בו שימוש בחלק מהותי מן המאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר”. כמו כן, קובעות התקנות כי במקרים מסוימים רשאי הרשם להורות לבעל מאגר המידע לעדכן את נושא המידע שעלול להיפגע מאירוע זה, על קרות האירוע.

שיחות שערכה הרשות עם מומחי אבטחת מידע וגורמים שונים במשק העלו כי הדיווח על אירוע אבטחה חמור עשוי להיתפס כמאיים בקרב בעלי המאגרים הכפופים לחובה זו, החוששים כי דיווח לרשות עשוי לחשוף אותם לתביעות ופעולות אכיפה מצד הרשות. על כן, הרשות פרסמה בימים האחרונים מדיניות המתייחסת לאופן הטיפול בדיווחים, במטרה לסייע בהטעמת חובת הדיווח במשק והגברת הוודאות באשר למקרים המחייבים דיווח, לצד מקרים שאינם מחייבים דיווח.

ככלל על הדיווח להתבצע באמצעות טופס מקוון ותוך 24 שעות ממועד גילויו של האירוע ובכל מקרה לא יאוחר מ-72 שעות מאותו מועד. לאחר קבלת הדיווח הרשות תקבע את המשך הטיפול באירוע בהתאם לסיווג חומרת האירוע, למשל קביעת הנחיות לתיקון ליקויים, קביעה פורמאלית כי הגורם המפוקח הפר את הוראות חוק הגנת הפרטיות ו/או התקנות (קביעה אשר עשויה להתפרסם באופן פומבי), ואף במקרים מסוימים הטלת סנקציות.

בין היתר, נקבעה במדיניות תקופת מעבר ליישום התקנות, הכוללת הקלות כלפי המדווחים, לצד סנקציות כלפי מפרי חובת דיווח. כך למשל, נקבע במדיניות כי עד ליום 31 בדצמבר 2018 (בתקופת ההטמעה הראשונית) אכיפה בעקבות דיווח תגרור הנחייה לתיקון ליקויים ללא קביעת הפרה בלבד, כאשר במקרים בהם יימצאו ממצאים חריגים הרשות תיקבע הפרה אך תימנע במידת האפשר מפרסום ההפרה. יצוין כי אכיפה במקרה של אי דיווח תגרור, החל ממועד הכניסה של התקנות לתוקפן, קביעת הפרה ופרסומה (כולל פרסום אי הדיווח), התלייה או ביטול רישום המאגר. יודגש כי החל מה-1 ביולי 2019 ואילך (לאחר סיום תקופת הביניים להטמעה) תעבור הרשות למדיניות אכיפה מלאה ותקבע תוצרי אכיפה רגילים על פי מדיניות הרשות בין אם האכיפה הינה בעקבות דיווח ובין אם לאו.

בנוסף, נקבע במדיניות כי בשלב זה חובת הדיווח לא תיאכף ביחס לאירועים מסוימים (אף כי תקנות אבטחת המידע כוללות חובות אחרות לפעולה גם בעת זיהויים, כגון תיעוד), כדוגמת צפייה/מחיקה/שינוי מידע אישי במאגרי הארגון על ידי עובד או ספק חיצוני בניגוד להרשאה (בשוגג ובאופן חד פעמי), זיהוי ניסיון גישה של עובד פנימי או ספק חיצוני למאגר מידע ללא הצלחה (בשוגג ובאופן חד פעמי), התפרצות של וירוס כופר אשר שיבש/הצפין מידע מתוך מאגרי הארגון אך המאגר שוחזר מחדש בהצלחה ולא הייתה כל אינדיקציה כי במסגרת ההתפרצות גם זלג מידע מהארגון, ניסיונות סריקה/פריצה לתוך רשת הארגון אשר נחסמו על ידי מערכות הארגון וניסיונות הדבקה בווירוס או Malware ברשת הארגון, אשר נחסמו על ידי מערכות הארגון.

את המדיניות החדשה ניתן למצוא באתר הרשות להגנת הפרטיות [לינק]. יודגש כי מדובר במדיניות כללית בלבד והרשות רשאית להקל או להחמיר במדיניות זו, בהתאם לנסיבות כל אירוע, מידת חומרתו, היקף הנזק והיקף נושאי המידע.

אנו עומדים לרשותכם ושמחים לסייע ולייעץ בכל עת בנושאי הגנה על פרטיות וניהול מאגרי מידע, לרבות בקשר להיערכות לקראת כניסתן לתוקף של התקנות החדשות, להטמעה וליישום הסטנדרטים הקבועים בהן.

***

לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו”ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074580 או בדוא”ל ellat@gkh-law.com

משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג ושות’ (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-150 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, ליטיגציה, הגבלים עסקיים ודיני תחרות, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.

המידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג ושות’ וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.