כניסה מהוססת של התקנות להגנת הפרטיות

יום ג', 8 במאי 2018

ב-8 במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) 2017, אשר קובעות סטנדרטים חדשים, מעודכנים ומקיפים בעניין אבטחת מידע אישי המצוי במאגרי מידע, ומציגות מנגנונים וכלים פנים-ארגוניים הממחישים את חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע אישי.

בין היתר, נקבעה בתקנות חובת דיווח מיידית לרשם מאגרי המידע שברשות להגנת הפרטיות בקרות אירוע אבטחה חמור. במקרים מסוימים הרשם רשאי אף להורות לבעל מאגר המידע לעדכן את נושא המידע שעלול להיפגע מאירוע זה. באופן כללי, אירוע אבטחה חמור מוגדר בתקנות כאירוע שנעשה בו שימוש במידע מהמאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע.
 
 
במטרה להפיג את החששות שעלו בקרב גורמים שונים במשק מפני דיווח לרשות להגנת הפרטיות בדבר אירועי אבטחה חמורים (אשר עשויים לחשוף אותם לתביעות ופעולות אכיפה מצד הרשות), פירסמה בימים האחרונים הרשות מדיניות המתייחסת לאופן הטיפול בדיווחים. מדיניות זו תסייע בהטעמת חובת הדיווח במשק, והגברת הוודאות באשר למקרים המחייבים דיווח תוך 72 שעות ממועד גילויו של האירוע.
 
מדובר במדיניות אכיפה סובלנית כלפי המדווחים, אשר תיושם בהדרגה מיום כניסת התקנות לתוקפן בתקופת ההטמעה הראשונית (עד 31 בדצמבר 2018) ובתקופת הביניים (עד 30 ביוני 2019). אכיפה מלאה של התקנות, בהקשר זה, תחל רק ב-1 ביולי 2019. כך למשל, נקבע במדיניות כי בתקופת ההטמעה הראשונית, אכיפה בעקבות דיווח תגרור הנחייה לתיקון ליקויים ללא קביעה פורמאלית מצד הרשות כי הגורם המפוקח הפר את הוראות החוק ו/או התקנות, כאשר במקרים בהם יימצאו ממצאים חריגים הרשות תקבע הפרה אך תימנע, במידת האפשר, מפרסום ההפרה.
 
 
 
 
בנוסף, נקבע במדיניות כי בשלב זה חובת הדיווח לא תיאכף ביחס לאירועים מסוימים, כדוגמת: (1) התפרצות של וירוס כופר אשר שיבש/הצפין מידע מתוך מאגרי הארגון אך המאגר שוחזר מחדש בהצלחה ולא היתה כל אינדיקציה כי במסגרת ההתפרצות גם זלג מידע מהארגון; (2) ניסיונות הדבקה בווירוס ברשת הארגון, אשר נחסמו על ידי מערכות הארגון.
 
 
 
 
המדיניות החדשה שפורסמה בימים אלה בעניין חובות הדיווח על מקרי אבטחה מהווה עדות נוספת לכך שהרשות להגנת הפרטיות בוחרת ביישום והטמעת תקנות אבטחת המידע החדשות שלא באמצעות אכיפה נוקשה ומחמירה, אלא דווקא באמצעות קביעת מדיניות אכיפה שקולה, הדרגתית ומקילה, אשר מעודדת חברות לציית לתקנות החדשות ולדווח על אירועי אבטחה - אשרי המקווה לטוב.