אבטחת המידע – כבר לא המלצה בלבד

אבטחת המידע – כבר לא המלצה בלבד

מהפכת המידע ויכולות המחשוב הופכים רבים מאתנו לבעלי מאגרי מידע רגישים לעיתים קרובות מבלי שנהיה מודעים לכך ולפיכך רבים מאתנו לא נוקטים את הפעולות הנדרשות להגנה על מידע זה. 

מאת: עו"ד מיכל טהון*

מבלי שאפילו נשים לב  לכך, אנחנו משתפים במידע אישי על אודותינו כל הזמן. אנחנו מעבירים טפסים ומסמכים אישיים במייל, רוכשים מוצרים באתרים בארץ ובחו"ל, מזינים את מספר כרטיס האשראי שלנו, מאשרים תקנוני איסוף מידע מבלי לקרוא, מבררים את תוצאות בדיקות הדם באתר של קופת החולים, מעלים תמונות ופרטי מיקום לרשתות החברתיות, ועוד. המידע הזה, בין אם ניתן בהסכמתנו בין אם לאו, נשמר בעשרות אלפי מאגרי מידע, כאשר אין לנו שליטה על רמת האבטחה באותם מאגרים, וגרוע מכך, אין לנו שליטה על מה שנעשה עם המידע – למי הוא מועבר, באילו נסיבות ומי מורשה לעשות בו שימוש.

הנושא של אבטחת מידע אישי זכה לתשומת לב עולמית נוספת כאשר סטודנט אוסטרי למשפטים בשם מקס שרמס (Scherms) החליט לתבוע את פייסבוק בגין העברת מידע אישי על תושבי האיחוד האירופי לארה"ב, לטענתו בניגוד לחוקי הגנת הפרטיות של האיחוד ותוך הפרה בוטה של הזכות הטבעית לפרטיות. התיק התגלגל עד לבית הדין האירופי לצדק, אשר בשנת 2015 הדהים את העולם וביטל את הסכם העברת המידע בין האיחוד לארה"ב, הסכם שמוכר בשמו: "Safe Harbor", ואפשר עד לאותה עת העברה "חופשית" של מידע בין השניים – Free flow of information.

ההשלכות של החלטת בית הדין מרחיקות לכת. הרבה מעבר לתיק עצמו, הרבה מעבר לפייסבוק לבדה, כך שכל נושא העברת המידע האישי נבחן לפתע בשנית, והפעם בזכוכית מגדלת. מדינות שקיבלו בעבר מהאיחוד את חותמת ה-Adequacy – על היות חוקי הגנת הפרטיות שלהן הולמים – נבחנו מחדש. גם ישראל הגישה דוח ארוך ומפורט על מנת לקבל בשנית את תקן ה-adequacy.

בתוך המציאות הזאת, וכמובן לא במנותק, פורסם בחודש מאי 2018 ה-GDPR (General Data Protection (Regulation: תקנות הגנת הפרטיות האירופאיות, שנוסחו על ידי מוסדות האיחוד האירופי. ה-GDPR הוביל למהפכה של ממש בתחום הגנת הפרטיות – ולא רק באיחוד האירופי, אלא בעולם כולו. מדינות הבינו שעליהן להתיישר עם התקינה החדשה, ולעצב ולשפר את החוקים המקומיים שלהן – ולא – יישארו מאחור. המדינות גם למדו כי על מנת שהחברות והארגונים שלהן יוכלו להמשיך ולקיים קשרי מסחר עם האיחוד, על המדינה להבטיח בחוקיה רמת אבטחת מידע הולמת.

כך לדוגמה, בברזיל נוסח החוק הכולל להגנת המידע האישי, ה-LGPD, שדומה מאוד במהותו ל-GDPR. וגם כאן, בישראל, נכנסו לתוקפן בשנת 2018 תקנות הגנת הפרטיות (אבטחת מידע) שהחמירו את כללי אבטחת המידע במשק הישראלי, ברוחו של ה-GDPR.

ההשלכות על המשק הישראלי

ההשלכות על המשק הישראלי הן כפולות. פעם אחת – תקנות הגנת הפרטיות (אבטחת מידע) חלות על כלל המשק הישראלי, ללא תלות במגזר. התקנות מפרטות את אופן יישום חוק הגנת הפרטיות ומציבות רף חדש של אבטחת מידע. למשל, על פי התקנות, על בעל מאגר מידע לקבוע מסמך הגדרות מפורט כמו גם נוהל אבטחה. עליו למנות, במקרים מסוימים, ממונה על אבטחת מידע, ובהתאם לרמת האבטחה הנדרשת בארגון (התקנות קובעות שלוש רמות אבטחה – בסיסית, בינונית וגבוהה), עליו לשלב נהלים להבטחת שלמות המידע, כמו ניהול הרשאות, נוהלי זיהוי ואימות ומערכות שיתעדו את הגישה למאגרים.

פעם שנייה – בנוגע ל-GDPR. אחד הדברים החשובים ביותר לדעת הוא שתחולת התקנות היא רחבה מאוד. אם הגוף שלכם מחזיק מידע על תושבי האיחוד (מספיק אפילו אחד), או מנהל עסקים עם חברה שבסיסה באיחוד – אתם מחויבים לעמוד בתקנות ה-GDPR. התקנות כוללות אף הן דרישה למינוי קצין אבטחת מידע במקרים מסוימים (Data Protection Officer – DPO),  רשימה ארוכה של זכויות סובייקט המידע אשר יש לממש, נהלי הצפנה ועוד.

הקנסות על אי עמידה בתקנות ה-GDPR עומדים על סכום של עד 20,000,000 אירו או 4% משנת הכספים החולפת – הגבוה מביניהם!

אז מה עליי לעשות?

שם המשחק הוא היערכות מקדימה. למדו היטב את החקיקה, בדקו איזו חקיקה חלה על הארגון שלכם (כפי שצוין לעיל, ל-GDPR תחולה אקסטריטוריאלית רחבה) והכינו סקר מקיף שיבחן באילו אמצעים ארגוניים וטכנולוגיים עליכם לנקוט. לבסוף אציין כי הגם שהרשות להגנת הפרטיות (הגוף שאחראי על האכיפה המינהלית והפלילית של התקנות, ושייך למשרד המשפטים) טרם חשפה את שיני האכיפה, היא צפויה לעשות זאת בקרוב. מעבר לכך, בל נשכח שגופי הגנת הפרטיות במדינות האיחוד, אשר אחראים על אכיפת ה-GDPR, מטילים קנסות בסכומים אסטרונומיים על בסיס כמעט יומיומי.

מוזמנים/ות ליצור איתנו קשר בכתובת: Info@cybrtx.com