החובות שבחוק ובתקנות

האם החוק חל עליכם?

חוק הגנת הפרטיות, התשמ”א-1981 (להלן: “החוק”) והתקנות שהותקנו מכוחו חלות על כל מי שמנהל מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד.
המטרה היא לשמור על פרטיותו של אדם. בעולם בו אנחנו חיים אנו חשופים מדי יום לפריצות למאגרי מידע המוחזקים בידי גופים שונים.

קיימת הבחנה בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:
1. מאגר מידע המנוהל על ידי יחיד (עד שלושה מורשים בכפוף לחריגים)
2. מאגרי מידע שחלה עליהם רמת האבטחה הבסיסית.
3. מאגרי מידע שחלה עליהם רמת האבטחה הבינונית.
4. מאגרי מידע שחלה עלים רמת האבטחה הגבוהה.

התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על הפרט שמידע אודותיו קיים במאגר המידע.

התקנות חלות על מידע המכיל את בין היתר את אחד מהנתונים שלהלן: מידע על צנעת חייו של אדם, מידע רפואי או מידע על מצבו הנפשי של אדם, מידע גנטי כהגדרתו בחוק, דעות פוליטיות, עבר פלילי, נתוני תקשורת – איכון לפי החוק, מידע ביומטרי, מידע על נכסים, חובות והתחייבויות כלכליות, הרגלי צריכה שיש בהם כדי ללמוד על אישיותו של אדם, אמונותיו או דעותיו.

עיקרי החובות החלות עליכם:

לכל בעל שליטה / מחזיק במאגר מידע (לפי העניין) ישנן חובות שעליו לעמוד בהן, כגון:

  1. מינוי ממונה הגנת פרטיות – DPO
  2. חובת דיווח בעת קרות אירוע אבטחה חמור.
  3. רישום מאגר המידע במשרד המשפטים.
  4. כתיבת מסמך הגדרות המאגר.
  5. מינוי ממונה אבטחת מידע.
  6. כתיבת נוהל אבטחה.
  7. מיפוי מערכות המאגר וביצוע סקר סיכונים.
  8. אבטחה פיזית וסביבתית.
  9. אבטחת מידע בניהול כח אדם.
  10. ניהול הרשאות גישה.
  11.  זיהוי ואימות- דרישות מיוחדות.
  12. בקרה ותיעוד גישה.
  13. תיעוד אירועי אבטחה.
  14. התקנים ניידים.
  15. ניהול מאובטח ומעודכן של מערכות המאגר.
  16. אבטחת תקשורת.
  17. מיקור חוץ.
  18. ביקורות תקופתיות.
  19. שמירת נתוני האבטחה.
  20. גיבוי ושחזור נתוני אבטחה.

חשוב לדעת: אי קיום החובות שבחוק ובתקנות עלול להוביל לסנקציות כלכליות והליכים משפטיים כנגד הארגון והנהלתו.

אכיפה מנהלית / פלילית:

חוק הגנת הפרטיות אינו נטול שיניים ויכול למעשה להגיע לידי אכיפה מנהלית ופלילית. אכיפה זו מתבצעת על ידי חוקרים ומפקחים המוסמכים ברשות להגנת הפרטיות, ולהם סמכות להמליץ על הגשת כתבי אישום פליליים, הטלת קנסות מנהליים, עיצומים כספיים משמעותיים (העלולים להגיע עד כדי סכום של מיליוני שקלים) ושלילת האפשרות לעשות שימוש במאגרי מידע במקרים מסויימים של הפרת הוראות החוק.

לחוקרים ולמפקחים ברשות סמכות לדרוש ידיעות ומסמכים. הם רשאים להיכנס לכל מקום שיש יסוד להניח שמופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ בהתאם להוראות פקודת סדר הדין הפלילי (מעצר וחיפוש) [נוסח חדש], התשכ“ט-1969, אם שוכנעו כי הדבר דרוש לשם קיום הוראות החוק. עוד הם רשאים לבצע חקירות מחשב, ואפילו להיכנס לבית הפרטי שלך באמצעות צו בית משפט, לשם חקירות מסוג זה.

אין בהליכי האכיפה המתנהלים ברשות להגנת הפרטיות בכדי לבוא במקום הסעדים העומדים בפני מי שנפגעה פרטיותו, ושבאפשרותו לנקוט בכל הליך על-פי חוק. קיימים מקרים בהם עוולות אלו ייחשבו כעוולות על פי פקודת הנזיקין.

קנסות

בתיקון (14) חוק הגנת הפרטיות בין יתר מעניק לרשות להגנת הפרטיות סמכויות נרחבות וביניהן המכות להטיל קנסות העשויים להסתכם במיליוני שקלים ועיצומים כספיים (קנס חובה) משמעותיים.

דרישות טכנולוגיות:

על כל מאגר חלות חובות ודרישות טכנולוגיות שנועדו להגן על המידע הכלול בו. להלן יובאו חלק מן הדרישות הללו:

  1. מיפוי מערכות המאגר וביצוע סקר סיכונים.
  2. אבטחה פיזית וסביבתית.
  3. ניהול הרשאות גישה.
  4. זיהוי ואימות- דרישות מיוחדות.
  5. בקרה ותיעוד גישה.
  6. התקנים ניידים.
  7. ניהול מאובטח ומעודכן של מערכות המאגר.
  8. אבטחת תקשורת.
  9. שמירת נתוני האבטחה.
  10. גיבוי ושחזור נתוני אבטחה.

יודגש כי לכל מאגר מידע קיימות דרישות טכנולוגיות ספציפיות.

דילוג לתוכן