חדשות

לרגל היום הבינלאומי להגנת הפרטיות שחל היום מדגישה הרשות להגנת הפרטיות במשרד המשפטים בפני כלל הגורמים במשק המנהלים מידע אישי כי החל מהחודש תוחמר מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים. בנוסף פרסמה הרשות ממצאי סקר בנושא פרטיות ברשת ממנו עלו פערים משמעותיים במודעות בין בני הנוער למבוגרים

היום (ב') מציינים ברחבי העולם את היום הבינלאומי להגנת הפרטיות. לרגל המאורע, מדגישה הרשות להגנת הפרטיות במשרד המשפטים בפני כלל הגורמים במשק המנהלים מידע אישי כי החל מהחודש (ינואר 2019) תוחמר מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים. זאת, לאחר שבחודש דצמבר הסתיימה תקופת ההטמעה הראשונית של תקנות הגנת הפרטיות (אבטחת מידע) ועם סיומה של תקופת הביניים.

התקנות, שנכנסו לתוקף לפני כחצי שנה, מחייבות כל גורם בכלל מגזרי המשק בישראל, ציבורי ופרטי כאחד, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. זאת, בין היתר, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו. התקנות קובעות כי בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות תוך 24 שעות ממועד גילויו של אירוע אבטחת מידע חמור ובכל מקרה לא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע, ועל פי דרישת הרשות גם לאנשים עליהם המידע נחשף.

עם כניסתן של התקנות לתוקף, פרסמה הרשות את מדיניותה בעניין אכיפתן וקבעה תקופת הטמעה ראשונית במטרה לאפשר לגופים ולחברות במשק להיערך בצורה מיטבית לכניסתן. עם סיום תקופת ההטמעה הראשונית ובהתאם למדיניות האכיפה שפורסמה, נכנסה לתוקפה תקופת הביניים, המגדירה עליית מדרגה בפעילות האכיפה במקרים של הפרת הוראות התקנות. 

לקבלת עדכוני חדשות, פסיקה וחקיקה ישירות למייל, לחץ כאן

עד כה, במקרים בהם גוף דיווח כנדרש לרשות להגנת הפרטיות, על קיומו של אירוע אבטחת מידע חמור והבדיקה הראשונית שקיימה הרשות לא העלתה ממצאים חריגים של רשלנות או של היקף נזק משמעותי, נמנעה הרשות מפרסום ההפרה והסתפקה בדרישה לתיקון הליקויים שנמצאו.

כעת ועם כניסתה לתוקף של תקופת הביניים, ככלל הרשות תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה בו יימצא כי החובות המוגדרות בתקנות הופרו, למעט במקרים קלים. במקרים בהם תמצא הרשות להגנת הפרטיות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת המידע, לרבות בכל מקרה בו הגוף נמנע מדיווח לרשות על קיומו של האירוע או שניסה להסתיר את פרטיו, תפעל הרשות במלוא החומרה כנגד הגורם המפר, ובכלל זה תישקל התלייתו או ביטול רישומו של מאגר המידע של הגוף מפר החוק, באופן האוסר על השימוש במידע.

החל ממועד כניסתן לתוקף של התקנות במאי 2018, קיימה הרשות להגנת הפרטיות 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. מתוכם 45 אירועים אשר דווחו לרשות להגנת הפרטיות. מאז כניסת התקנות לתוקף, הסיבות השכיחות ביותר לקיומו של אירוע האבטחה החמור היו תקיפות סייבר (כ- 35%), טעויות אנוש (15%), שימוש לרעה (7%) ותקלות טכניות. הסקטורים בהם התרחשו מרבית אירועי האבטחה החמורים היו סקטור מערכות מידע (31%) דוגמת חברות היי טק, ניו מדיה ואינטרנט, שירותי אחסון ועוד, סקטור הביטוח ופיננסים (15%) דוגמת חברות וסוכנויות ביטוח, בנקים וחברות כרטיסי אשראי, סקטור הגופים הציבוריים (11%) דוגמת עיריות ותאגידי מים וסקטור הבריאות (9%) דוגמת קופות חולים, בתי חולים ועוד. בכ- 35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ- 100,000 איש.

אשר לסוג המידע שדלף, דובר בעיקר במידע אישי (79%) דוגמת פרטי לקוחות, ספקים או עובדים, מידע פיננסי (10%) דוגמת יתרה בחשבון או מצב כלכלי, מידע רפואי (6%) דוגמת מצב רפואי, תוצאות בדיקות וכד'.

עו"ד עלי קלדרון, הממונה על האכיפה המנהלית ברשות להגנת הפרטיות שבמשרד המשפטים:  "בשנים האחרונות אנו עדים להתגברות משמעותית בתדירותם של אירועי אבטחת מידע חמורים, בעיקר מאחר ומחד כל אספקט בחיינו הופך דיגיטלי ומקוון, ומאידך עולה הנכונות של ספקי שירות לוותר על פרטיותנו במחיר מהירות ההגעה לשוק, העלויות הכרוכות באבטחה וההתעלמות ממחירו האמיתי של האירוע להם וללקוחותיהם.  ארגונים, חברות ועסקים המנהלים מידע אישי, אשר לעיתים קרובות הינו רגיש ביותר, כגון מצבנו הפיננסי, הרפואי, המשפחתי ועוד, מחזיקים באחריות כלפי הציבור וחייבים להגן על פרטיותו. בדיוק בשל כך, אכיפת תקנות הגנת הפרטיות (אבטחת מידע) עולה כעת שלב, ואנו נפעל במלוא החומרה כנגד גופים אשר לא יעמדו בהוראות החוק".

במקביל, פרסמה הרשות ממצאי סקר שערכה לראשונה, אשר נועד לבחון את מודעות הציבור לאיומים ולסיכונים לפרטיות ברשת ומה עושה הציבור למען שמירה על פרטיותו. מהסקר עלו פערים משמעותיים באשר למודעות חשיבות השמירה על הפרטיות בהשוואה בין בני הנוער למבוגרים, ובשימוש באפליקציות הפערים בשמירה על הפרטיות התגלו כמשמעותיים ביותר.

עו"ד גילי בסמן ריינגולד, היועצת המשפטית של הרשות להגנת הפרטיות במשרד המשפטים: "הצלצול הזה הוא בשביל כולנו. אנחנו חייבים לחדד את הגבולות בין העולם האמיתי לעולם הדיגיטלי, ולבחון את עצמנו בכל פעולה דיגיטלית שאנו עושים. רשתות החברתיות, אפליקציות ובכלל הרשת היא סביבה שטמונה בה הזדמנויות רבות ללמידה ולהתפתחות וליצירת קשרים, אך יחד עם זאת חשוב שנהיה מודעים גם לסיכונים. בני הנוער הם הילדים שלנו, הם אזרחי העתיד שיאלצו להתמודד בעתיד עם ההשלכות של מעשיהם היום ברשת. מהתפקיד שלנו הוא לסייע להם להבין את המשמעויות הסיכונים וההשלכות. כל תוכן שהם מפרסמים, כל תמונה יישארו שם לתמיד, מה שבהמשך חייהם הבוגרים עשוי לפעול שלא לטובתם. עלינו לזכור כי מה שלא היינו עושים בעולם האמיתי לא נעשה גם בעולם הדיגיטלי וכי מה שנעשה בעולם הדיגיטלי נשאר שם לנצח. חשוב שהמידע האישי שלהם, יישאר שלהם ולא יגיע לידיים הלא נכונות. המפתח בראש ובראשונה הוא המודעות וההבנה שלכל אחת ואחד אפשרות לקחת שליטה על הפעולות הנעשות ברשת".