מאגרי מידע - סיווג, רישום וחובות לפי החוק

מהו מאגר מידע?

לפי חוק הגנת הפרטיות, מאגר מידע הוא אוסף נתונים המוחזק באמצעי מגנטי או אופטי, המיועד לעיבוד ממוחשב, ומכיל מידע על אנשים.

מה נחשב "מידע" לפי החוק?

• שם ופרטי זיהוי
• כתובת ופרטי התקשרות
• מידע פיננסי
• מידע רפואי
• מידע על העדפות וצריכה
• מידע על התנהגות מקוונת
• תמונות וקלטות

סיווג מאגרי מידע לפי רמת אבטחה

חשוב להפריד בין חובת רישום של מאגר (סף 10,000 נושאי מידע ועוד קריטריונים, ראו בהמשך) לבין סיווג רמת האבטחה. סיווג רמת האבטחה נקבע על-פי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ולא על-פי כמות הרשומות בלבד.

רמה בסיסית

קריטריונים:

• ברירת המחדל לכל מאגר שאינו עונה על הקריטריונים לרמה בינונית או גבוהה
• בדרך כלל: מאגרים קטנים שאינם מחזיקים את סוגי המידע המסווגים כרגישים

דרישות אבטחה:

• הגדרת הרשאות גישה בסיסיות
• סיסמאות למשתמשים
• גיבוי בסיסי
• תיעוד מינימלי

רמה בינונית

קריטריונים (מספיק שיתקיים אחד מהם):

• מידע על מצב בריאותי, נפשי, גנטי או ביומטרי
• מידע פיננסי (כולל הרגלי צריכה והערכת אשראי)
• מידע על עבר פלילי או נתוני תקשורת
• מידע על דעות, אמונות, חיי מין או נטייה מינית
• מידע שמטרת השימוש בו היא חוות דעת על אדם
• מאגר משותף בין תאגידים
• מאגר המנוהל בידי גוף ציבורי

דרישות אבטחה:

• מינוי DPO (חובה)
• נהלי אבטחה מתועדים
• הדרכות עובדים שנתיות
• בקרת גישה מתקדמת
• תיעוד פעולות במאגר
• תוכנית התאוששות מאסון

רמה גבוהה

קריטריונים: מאגר מסווג ברמה בינונית שמתקיים בו אחד מהבאים:

• מספר נושאי המידע במאגר עולה על 100,000
• מספר בעלי ההרשאות (משתמשים מורשים) עולה על 100

דרישות אבטחה:

• כל דרישות הרמה הבינונית
• הצפנת מידע בשמירה ובהעברה
• ביקורות אבטחה שנתיות
• בדיקות חדירה תקופתיות
• מערכת SIEM
• צוות אבטחה ייעודי

חובת רישום מאגר מידע

מאגרים החייבים ברישום

חשוב: סף הרישום הוא שונה מסיווג רמת האבטחה. לפי חוק הגנת הפרטיות וההוראות הרלוונטיות, חובת רישום אצל רשם מאגרי המידע חלה על מאגרים כאשר מתקיים אחד מהבאים:

1. מאגרים המכילים מידע על מעל 10,000 נושאי מידע
2. מאגרים המכילים מידע מהסוגים הרגישים שהוגדרו בחוק
3. מאגרים של גופים ציבוריים
4. מאגרים שמטרתם או חלק ממטרותיהם היא שירותי מידע (לרבות לשכות אשראי וכד')
5. מאגרים שמטרתם דיוור ישיר ושירותי דיוור ישיר
6. מאגרים שהמידע בהם הגיע בלא הסכמת נושא המידע, ידיעתו או בניגוד לרצונו

פרטים הנדרשים לרישום

| פרט | תיאור | |-----|-------| | שם המאגר | שם ייחודי ומזהה | | מטרות | לאילו מטרות משמש המאגר | | סוגי מידע | אילו סוגי נתונים נשמרים | | מקורות | מהיכן מגיע המידע | | נמענים | למי מועבר המידע | | אבטחה | אמצעי האבטחה המופעלים | | בעל המאגר | פרטי הבעלים והמחזיק |

תהליך הרישום

1. הגשת בקשה - דרך אתר רשות להגנת הפרטיות
2. תשלום אגרה - לפי סוג המאגר וגודלו
3. בדיקת הבקשה - ע"י צוות הרשות
4. אישור או דרישת השלמות
5. קבלת מספר רישום

מיפוי מאגרי מידע בארגון

למה חשוב למפות?

• עמידה בדרישות החוק
• זיהוי סיכונים
• ייעול תהליכים
• הכנה לביקורות
• טיפול יעיל בפניות

שלבי המיפוי

שלב 1: זיהוי מקורות

• מערכות CRM
• מערכות HR
• אתרי אינטרנט
• אפליקציות
• קבצי אקסל
• מערכות ERP

שלב 2: תיעוד לכל מאגר

• שם ותיאור
• סוגי נתונים
• כמות רשומות
• מטרות שימוש
• בסיס חוקי
• תקופת שמירה
• גורמים בעלי גישה

שלב 3: הערכת סיכונים

• רגישות המידע
• היקף החשיפה
• השפעה על נושאי מידע
• סבירות לפגיעה

שלב 4: סיווג ותעדוף

• קביעת רמת אבטחה
• תעדוף פעולות נדרשות
• הקצאת משאבים

צ'קליסט: האם המאגר שלכם עומד בדרישות?

דרישות בסיסיות (כל המאגרים):

• [ ] הגדרת בעל מאגר
• [ ] מיפוי סוגי המידע
• [ ] הגבלת גישה לפי צורך
• [ ] גיבוי תקופתי
• [ ] מדיניות סיסמאות

דרישות לרמה בינונית:

• [ ] מינוי DPO
• [ ] נהלי אבטחה מתועדים
• [ ] הדרכות עובדים
• [ ] תיעוד פעולות (לוגים)
• [ ] תוכנית המשכיות עסקית

דרישות לרמה גבוהה:

• [ ] הצפנת מידע
• [ ] ביקורת אבטחה שנתית
• [ ] בדיקות חדירה
• [ ] ניטור אבטחה רציף
• [ ] צוות IR מוגדר

סנקציות על אי-עמידה

• עיצום כספי לתאגיד של עד 5% מהמחזור השנתי (התקרה הנפוצה בציטוטים: כ-3.2 מיליון ש"ח להפרה החמורה ביותר)
• צו הפסקת שימוש במאגר
• חובת מחיקת מידע
• פרסום ההפרה

סיכום

ניהול נכון של מאגרי מידע הוא אבן יסוד בעמידה בחוק הגנת הפרטיות. מיפוי, סיווג ורישום תקינים מגנים על הארגון מפני סנקציות ובונים אמון מול לקוחות ושותפים.

צריכים עזרה במיפוי וסיווג מאגרי המידע? המומחים של LLUMINATE מבצעים מיפוי מקיף וסיווג מדויק לכל ארגון.