מאגרי מידע - סיווג, רישום וחובות לפי החוק

מהו מאגר מידע?

לפי חוק הגנת הפרטיות, מאגר מידע הוא אוסף נתונים המוחזק באמצעי מגנטי או אופטי, המיועד לעיבוד ממוחשב, ומכיל מידע על אנשים.

מה נחשב "מידע" לפי החוק?

• שם ופרטי זיהוי
• כתובת ופרטי התקשרות
• מידע פיננסי
• מידע רפואי
• מידע על העדפות וצריכה
• מידע על התנהגות מקוונת
• תמונות וקלטות

סיווג מאגרי מידע לפי רמת אבטחה

רמה בסיסית

קריטריונים:

• עד 10,000 רשומות
• אין מידע רגיש
• אין שימוש למטרות שיווק ישיר נרחב

דרישות אבטחה:

• הגדרת הרשאות גישה בסיסיות
• סיסמאות למשתמשים
• גיבוי בסיסי
• תיעוד מינימלי

רמה בינונית

קריטריונים (אחד או יותר):

• מעל 10,000 רשומות
• מידע על מצב בריאותי או נפשי
• מידע גנטי או ביומטרי
• מידע על דעות פוליטיות או אמונות דתיות
• מידע על חיי מין
• מידע על עבר פלילי

דרישות אבטחה:

• מינוי DPO (חובה)
• נהלי אבטחה מתועדים
• הדרכות עובדים שנתיות
• בקרת גישה מתקדמת
• תיעוד פעולות במאגר
• תוכנית התאוששות מאסון

רמה גבוהה

קריטריונים:

• מאגרים של גופים ציבוריים גדולים
• מאגרי מידע רפואי נרחבים
• מאגרי מודיעין עסקי
• מאגרים המשרתים מעל 100,000 איש

דרישות אבטחה:

• כל דרישות הרמה הבינונית
• הצפנת מידע בשמירה ובהעברה
• ביקורות אבטחה שנתיות
• בדיקות חדירה תקופתיות
• מערכת SIEM
• צוות אבטחה ייעודי

חובת רישום מאגר מידע

מאגרים החייבים ברישום

לפי תקנות הגנת הפרטיות, חובת רישום חלה על:

1. מאגרים המכילים מידע רגיש
2. מאגרים המשמשים לדיוור ישיר
3. מאגרים של גופים ציבוריים
4. מאגרים המכילים מעל 10,000 רשומות
5. מאגרים לשירותי מידע (כמו חברות דירוג אשראי)

פרטים הנדרשים לרישום

| פרט | תיאור | |-----|-------| | שם המאגר | שם ייחודי ומזהה | | מטרות | לאילו מטרות משמש המאגר | | סוגי מידע | אילו סוגי נתונים נשמרים | | מקורות | מהיכן מגיע המידע | | נמענים | למי מועבר המידע | | אבטחה | אמצעי האבטחה המופעלים | | בעל המאגר | פרטי הבעלים והמחזיק |

תהליך הרישום

1. הגשת בקשה - דרך אתר רשות להגנת הפרטיות
2. תשלום אגרה - לפי סוג המאגר וגודלו
3. בדיקת הבקשה - ע"י צוות הרשות
4. אישור או דרישת השלמות
5. קבלת מספר רישום

מיפוי מאגרי מידע בארגון

למה חשוב למפות?

• עמידה בדרישות החוק
• זיהוי סיכונים
• ייעול תהליכים
• הכנה לביקורות
• טיפול יעיל בפניות

שלבי המיפוי

שלב 1: זיהוי מקורות

• מערכות CRM
• מערכות HR
• אתרי אינטרנט
• אפליקציות
• קבצי אקסל
• מערכות ERP

שלב 2: תיעוד לכל מאגר

• שם ותיאור
• סוגי נתונים
• כמות רשומות
• מטרות שימוש
• בסיס חוקי
• תקופת שמירה
• גורמים בעלי גישה

שלב 3: הערכת סיכונים

• רגישות המידע
• היקף החשיפה
• השפעה על נושאי מידע
• סבירות לפגיעה

שלב 4: סיווג ותעדוף

• קביעת רמת אבטחה
• תעדוף פעולות נדרשות
• הקצאת משאבים

צ'קליסט: האם המאגר שלכם עומד בדרישות?

דרישות בסיסיות (כל המאגרים):

• [ ] הגדרת בעל מאגר
• [ ] מיפוי סוגי המידע
• [ ] הגבלת גישה לפי צורך
• [ ] גיבוי תקופתי
• [ ] מדיניות סיסמאות

דרישות לרמה בינונית:

• [ ] מינוי DPO
• [ ] נהלי אבטחה מתועדים
• [ ] הדרכות עובדים
• [ ] תיעוד פעולות (לוגים)
• [ ] תוכנית המשכיות עסקית

דרישות לרמה גבוהה:

• [ ] הצפנת מידע
• [ ] ביקורת אבטחה שנתית
• [ ] בדיקות חדירה
• [ ] ניטור אבטחה רציף
• [ ] צוות IR מוגדר

סנקציות על אי-עמידה

• עיצום כספי עד 3.2 מיליון ש"ח
• צו הפסקת שימוש במאגר
• חובת מחיקת מידע
• פרסום ההפרה

סיכום

ניהול נכון של מאגרי מידע הוא אבן יסוד בעמידה בחוק הגנת הפרטיות. מיפוי, סיווג ורישום תקינים מגנים על הארגון מפני סנקציות ובונים אמון מול לקוחות ושותפים.

צריכים עזרה במיפוי וסיווג מאגרי המידע? המומחים של LLUMINATE מבצעים מיפוי מקיף וסיווג מדויק לכל ארגון.