הוראות חדשות הרלוונטיות למאגרי מידע בבית משותף

באתר זה פורסם מאמר בנוגע להתקנת מצלמות אבטחה בבית משותף. לאחרונה נכנסו לתוקף תקנות המתייחסות למאגרי מידע באופן כללי ורלוונטיות גם לבתים משותפים.

להלן התיקון. ניתן לגשת גם למאמר עצמו, שעודכן בהתאם.

  1. תקנות הגנת הפרטיות-2017 שנכנסו לתוקף במאי 2018

מתוך אתר משרד המשפטים, הרשות להגנת הפרטיות: "ביום 21.3.2017 אישרה וועדת חוקה, חוק ומשפט בכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017 , שקבעה שרת המשפטים, המפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות שהן יוזמה של הרשות להגנת הפרטיות שהיא גם הגוף המפקח על יישומן, קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות טכנולוגית), שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה גם לאנשים עליהם המידע שנחשף. התקנות פורסמו ברשומות ביום 8.5.2017, וייכנסו לתוקף שנה מיום פרסומן, ביום 8.5.2018."

התקנות מגדירות סוגי מאגרים ורמת הבטחה מודולרית לפי סדר חשיבות עולה, בהתאם לדרגת המאגר והחשיבות של המידע. לעניינו בדרך כלל יהיה רלוונטי "מאגר המנוהל על ידי יחיד" שהגדרתו כדלקמן:

  "מאגר המנוהל בידי יחיד" – מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן:

(1)   מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;

(2)   מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה;

(3)   מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית;

כל החריגים המופיעים לעיל אינם רלוונטיים לבית משותף ועל כן, אם ניתנת גישה למידע רק ל-3 אנשים, למשל חברי הנציגות, אפשר להיכנס להגדרה של מאגר זה. בסעיף 21 לתקנות מצויין מפורשות אלו תקנות ואלו הוראות חלות על מאגר יחיד:

(4)  על מאגר המנוהל בידי יחיד – יחולו תקנות 1, 2, 6(א), 9(א), 11(א), 12 עד 14 ו-20.

לנוחיותכם, אלה הוראות התקנות החלות על מאגר יחיד:

2.       (א)  בעל מאגר מידע יגדיר במסמך הגדרות מאגר (להלן – מסמך הגדרות המאגר), את כל העניינים האלה לפחות:

(1)   תיאור כללי של פעולות האיסוף והשימוש במידע;

(2)   תיאור מטרות השימוש במידע;

(3)   סוגי המידע השונים הכלולים במאגר המידע, בשים לב לרשימת סוגי המידע שבפרט 1(3) בתוספת הראשונה;

(4)   פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת ההעברה, ארץ היעד, אופן ההעברה וזהות הנעבר;

(5)   פעולות עיבוד מידע באמצעות מחזיק;

(6)   הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם;

(7)   שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת מידע בו, אם מונה כזה.

           (ב)  בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי משמעותי בנושאים המפורטים בתקנת משנה (א), ויבחן את הצורך בעדכון כאמור, בשל שינויים טכנולוגיים ארגוניים או אירועי אבטחה כאמור בתקנה 11, בכל שנה עד 31 בדצמבר.

           (ג)   בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר.

5.       (א)  בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר, ובכלל זה:

(1)   תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע;

6.       (א)  בעל מאגר מידע יבטיח כי המערכות המפורטות בתקנה 5(א)(1) יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו.

9.       (א)  בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העינין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות.

11.     (א)  בעל מאגר מידע אחראי לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירועי אבטחה); ככל האפשר יבוסס התיעוד האמור על רישום אוטומטי.

התקנים ניידים

12.     בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן הנייד.

ניהול מאובטח ומעודכן של מערכות המאגר

13.     (א)  בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה.

           (ב)  בעל מאגר מידע יפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר.

           (ג)   בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן; לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים.

אבטחת תקשורת

14.     (א)  בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.

           (ב)  העברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות.

           (ג)   במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש נוסף על אמצעי אבטחה כאמור בתקנות משנה (א) ו-(ב), באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה; לעניין גישה של בעל הרשאה למאגר מידע ברמת האבטחה הבינונית והגבוהה ייעשה שימוש באמצעי פיזי הנתון לשיטתו הבלעדית של בעל ההרשאה.

סמכויות הרשם

20.     (א)  (1)   הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו;

(2)   פטור מחובות או החלת חובות לפי פסקה (1) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות.

           (ב)  הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעניין אבטחת מידע או בהנחיות של רשות מוסמכת בעניין אבטחת מידע החלות עליו, יראו אותו כמקיים הוראות תקנות אלה, כולן או חלקן, אם השתכנע כי עמידה בהוראות המסמך המנחה בעניין אבטחת מידע או בהנחיות הרשות המוסמכת, לפי העניין, באופן שהורה לפי תקנות אלה, מבטיחה את רמת האבטחה הקבועה בתקנות אלה לגבי אותו מאגר מידע; לעניין זה –

           "רשות מוסמכת" – גוף ציבורי המוסמך על פי דין לתת הנחיות בעניין אבטחת מידע;

           "מסמך מנחה בעניין אבטחת מידע" – תקן רשמי, תקן ישראלי או תקן בין-לאומי כמשמעותם בחוק התקנים, התשי"ג-1953, או מסמך ייחוס, שהרשם אישר לעניין זה.

 

חשוב להבהיר כי אם (ובמידה שמותר הדבר) תהיה גישה למאגר המידע, ליותר מ-3 אנשים, אזי אוטומטית דרגת האבטחה הנדרשת, והאחריות על כל אחד ואחד, עולה, בהתאם לתקנות. ולכן התקנות למעשה נותנות תמריץ למדר את המידע, על מנת להפחית את הסיכון ובהתאם לכך גם להפחית את רמת האבטחה והאחריות הנדרשים. 

 

כתיבת תגובה

סגירת תפריט
דילוג לתוכן