מהפיכה גלובלית באבטחת המידע ובשמירה על הפרטיות

חודש מאי 2018 הוא חודש בו אבטחת המידע והשמירה על הפרטיות עשתה צעד גדול ומשמעותי, בעולם בכלל ובישראל בפרט.

בישראל, ביום 8 למאי נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת המידע), תשע"ז-2017 (להלן: "התקנות"), החלות על כל גורם במשק שמנהל מידע אישי. תקנות אלו קובעות סטנדרטים לאבטחת מידע ומגדירות מי חייב לעמוד בסטנדרטים אלו.
התקנות מחלקות את רמות האבטחה לבסיסית, בינונית וגבוהה, כשרמת האבטחה משתנה מבינונית לגבוהה בהתאם לכמות האנשים עליהם נאסף מידע במאגר או בהתאם למספר בעלי ההרשאה למאגר המידע.
מאגרי מידע עליהם חלות רמות אבטחה גבוהה ובינונית צריכים להיערך לאבטחת המידע בהם באופן מיטבי. כך למשל, בעל המאגר מחוייב בהכנת מסמך הגדרות של המאגר ובו, בין השאר, תיאור כללי של פעולות האיסוף והשימוש במידע ותיאור מטרת השימוש במידע. כמו כן, במאגרי מידע אלו יש למנות ממונה על אבטחת מידע, להכין מסמך נוהל אבטחת מידע, לקבוע הרשאות גישה למאגר המידע ולמערכות המאגר, ועוד.

גם באירופה יבוצע החודש (מאי 2018) שינוי משמעותי המשפיע גם על מדינות שמחוץ לגבולות אירופה.
ביום 25 במאי ייכנס לתוקפו ה-GDPR (General Data Protection Regulation), אשר יחול על כל מי שמחזיק מידע על "נושא מידע" (האדם עליו נאסף המידע) שנמצא באחת ממדינות האיחוד האירופי. "מידע אישי" מוגדר ב-GDPR כמידע המתייחס לאדם מזוהה או לא מזוהה. אדם מזוהה זהו אדם שיכול להיות מזוהה באופן ישיר או עקיף, כגון באמצעות שם, מספר זהות, מידע על המיקום, מזהה ישיר או מאפיינים פיסיים, פסיכולוגיים, גנטיים, מנטליים, כלכליים, תרבותיים או חברתיים.
יודגש, ה-GDPR חל על כל בעל שליטה במידע ועל כל מעבד מידע הממוקמים במדינות האיחוד האירופי, אך לא רק. ה-GDPR חל גם במקרה שבעל השליטה במאגר המידע או מעבד המידע ממוקמים מחוץ למדינות האיחוד האירופי, ובלבד שפעולת עיבוד המידע מתייחסת להצעה של מצרכים או שירותים לנושאי המידע הנמצאים במדינות האיחוד, או אם מדובר בניטור של התנהגות נושא המידע הנמצא באחת ממדינות האיחוד האירופי.
אחד המאפיינים הבולטים של ה-GDPR הוא המקום הנרחב שמוענק לזכות של "נושא המידע" על המידע שלו. על פי ה-GDPR, איסוף המידע חייב להיות מדויק ותכליתי. ב-GDPR הוגדרו המקרים בהם ניתן לעבד מידע, כגון, במקרה בו התקבלה הסכמת נושא המידע לכך או לשם ציות לחובה חוקית. כמו כן, לנושא המידע יש זכויות וחופש פעולה כיצד לנהוג עם המידע הנאסף עליו. כך למשל, עומדת לנושא המידע הזכות לבקש "להישכח" ולמחוק את המידע הנאסף עליו, להתנגד לעיבוד המידע שנאסף עליו ולהתנגד ליצירת פרופיל התנהגותי. כמו כן, לנושא המידע אף יש זכות לגשת למידע שנאסף עליו.

מאפיין בולט נוסף של ה-GDPR הוא האחריות הרבה המוטלת על בעל השליטה במידע ועל מעבד המידע. הם צריכים לוודא שאיסוף המידע נעשה לשם מטרה מוגדרת מראש, ולעיבוד המידע צריך אנטרס לגיטימי.
על מנת שהמידע הנאסף יהיה מאובטח כראוי ללא חשש לפגיעה בפרטיות, מחוייב בעל השליטה במידע ליישם אמצעים טכניים וארגוניים הולמים להגנת המידע, כגון הצפנה, סודיות, היכולת להחזיר לפעולה את המערכות לאחר אירוע אבטחה, בדיקות והערכות שוטפות של רמת ההגנה של המידע, ועוד. כן יצוין, כי בעל השליטה במידע רשאי להשתמש במעבד מידע רק אם רמת אבטחת המידע תהלום את הוראות ה-GDPR. נוסף על אלו, במקרים מסויימים יחוייב בעל השליטה במידע בביצוע סקר סיכונים ובמינוי קצין הגנת מידע.
מאפיין בולט נוסף ב-GDPR הוא התנהלות בעת אירוע אבטחת מידע, שבגינו נגרמה, בין השאר, פגיעה בלתי-חוקית במידע, הפסד למידע, שינוי במידע או חשיפת המידע ללא רשות. במקרה שכזה, מטיל ה-GDPR על בעל השליטה במידע חובה לדווח לרשויות האיחוד האירופי על האירוע לא יאוחר מ-72 שעות מרגע שנודע על האירוע. הדיווח יכלול, בין השאר, את מהות וכמות המידע שנחשף, פרטי הקשר של קצין הגנת המידע או אמצעי תקשורת אחר לבירור מדויק על פרטי האירוע, התוצאות הצפויות מהאירוע והאמצעים המוצעים על ידי בעל השליטה במידע לטיפול באירוע.
יתרה מזאת, אם בגין האירוע קיים סיכון גבוה לפגיעה בזכויות ובחירויות נושא המידע, בעל השליטה במידע צריך ליצור קשר מיידי עם נושא המידע ולעדכנו בכך. ואולם, לחובה זו יש חריגים הפוטרים מקיומה, כגון מקרה בו בעל השליטה נקט באמצעים המתאימים לוודא שהסיכון הגבוה לא צפוי להתממש.

נוסף על אלו, ב-GDPR יש דגש רב על תיעוד פעולות עיבוד המידע, וכן הוראות לגבי העברת מידע למדינות או ארגוניים בינלאומיים, מחוץ לגבולות מדינות האיחוד האירופי.
חברה שלא תציית להוראות ה-GDPR מסתכנת בקנס של עד 4% מהתוצר השנתי הגלובאלי שלה או ב-20 מיליון אירו, לפי הגבוה מבין השניים(!).

לסיום נציין כי בסוף החודש (מאי 2018) ישתתף השותף המנהל של משרדנו, עו"ד אלון פומרנץ, בכנס בלונדון של רשת משרדי העוה"ד הבינלאומית Ally Law, אשר יכלול התייחסות נרחבת ופאנלים בנושא סייבר, אבטחת מידע והגנת פרטיות. בכנס יציג עו"ד פומרנץ את הדרך האופטימאלית בה יש לנהוג בעת אירוע סייבר בחברה ומה נדרש כדי לצמצם את הסיכויים שאירוע שכזה יתרחש בחברה ואת הסיכונים העצומים הכרוכים בכך. נציג נוסף ממשרדנו בכנס זה הוא השותף עו"ד גרי קופלוביץ אשר ישתתף בפאנל בנושא מנגנוני יישוב סכסוכים ובוררויות בינלאומיות.

משרדנו עומד לשירותכם בכל הקשור לשיפור רמת אבטחת המידע בחברה, הטמעת תקנות הגנת הפרטיות (אבטחת המידע) והמלצות הרשות הלאומית להגנת סייבר, וכן למתן ייעוץ משפטי מקיף בנושא סייבר.

* המידע המוגש לעיל הוא מידע כללי בלבד, אין בו כדי להוות ייעוץ או חוות-דעת בנושא, והוא אינו תחליף לקבלת יעוץ משפטי ו/או חוות דעת.