ליווי משפטי בתחום הסייבר, אבטחת מידע והגנה על פרטיות

החשיבות של התאמה לרגולציה בתחום הסייבר

בשנת 2018 נכנסו לתוקף תקנות הגנת הפרטיות הישראליות, החלות על כל עסק המחזיק במידע כזה או אחר על אנשים פרטיים. לדוגמה: מאגר מידע הכולל את פרטי העובדים, הלקוחות, ספקים ועוד. שמירת המידע באמצעים דיגיטליים (רשימת תפוצה, מסד נתונים של תוכנות הנהלת חשבונות ואפילו קובץ אקסל או וורד) הופך את אותם העסקים לבעלים של מאגר מידע. בנוסף, התקנות חלות גם על עסקים שיש להם גישה למידע של אנשים פרטיים, למשל בעת מתן שירות ללקוחות.

מטרת התקנות הנה להגן מפני דליפת המידע לגורמים חיצוניים, וכן לשמור על פרטיותם של מושאי המידע הפרטי הנאגר.

התקנות קובעות 3 רמות של מאגרי מידע, עליהם חלות רמות אבטחה שונות: בסיסית, בינונית וגבוהה, אשר נקבעת בהתאם לסוג המידע אשר נאסף על ידי אותו גורם, בהתאם למאפייני המידע עצמו וזהות הגוף שאוסף ו/או מחזיק ו/או מנהל את אותו מאגר המידע.
הפרת הוראות התקנות חושפת את העסק לסנקציות משמעותיות, שכוללות הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.

בנוסף לקנסות, זליגת מידע או חשיפתו לתוכנות נוזקה עלולים לסכן את העסק מבחינה תפקודית, מבחינת יתרון תעשייתי (חשיפת מידע למתחרים), ברמה הכלכלית (תשלום כופר), מבחינת מוניטין וחשיפה לתביעות ייצוגיות.

בהתאם לרמת האבטחה של מאגר המידע שבבעלות העסק, נקבעות התקנות החלות על העסק. מטבע הדברים, ככל שרמת האבטחה גבוהה, על העסק לנקוט בפעולות רבות יותר כדי לעמוד בדרישות התקנות.

כך למשל, רמת אבטחה בינונית או גבוהה, מחייבת את בעל העסק לבצע פעולות כגון: כתיבת נוהל אבטחת מידע, מיפוי סיכונים של פגיעה באבטחת מידע, מינוי ממונה אבטחת מידע, קביעת נוהל אבטחה ארגוני, ביצוע הדרכה תקופתית לבעלי ההרשאות בנושא החובות לפי חוק הגנת הפרטיות.

האם יש אכיפה?

הציות להנחיות ההגנה על מאגרי מידע, נאכף על ידי הרשות להגנת הפרטיות. הרשות אוכפת את הוראות החוק בקרב עסקים וגופים המחזיקים ו/או מנהלים ו/או שיש להם גישה למאגרי מידע. הרשות עורכת לא אחת ביקורות פתע, וכן שולחת שאלוני ביקורת, דורשת להציג נתונים אודות המידע הנאגר, על אופן השימוש במידע, רמת אבטחת המידע הקיימת במאגר המידע וכדומה.

האכיפה מתבצעת על ידי חוקרים ומפקחים המוסמכים ברשות להגנת הפרטיות, ולהם סמכות להגיש כתבי אישום פליליים, הטלת קנסות מנהליים על פי חוק ושלילת האפשרות לעשות שימוש במידע במקרים של הפרת הוראות החוק.

הכרת האיומים השונים, ביצוע פעולות מנע והתאמת העסק לדרישות הרגולציה, יקטינו באופן דרמטי הן את הסיכון להתקפה ולזליגת מידע והן את האפשרות שתדרשו לשלם פיצויים או קנסות במקרה של אירוע סייבר.

GDPR

מלבד ההוראות אשר חלות מכוח הדין הישראלי עסקים אשר מחזיקים במידע על אזרחי האיחוד האירופי, חשופים לתחולת תקנות ה-GDPR של האיחוד האירופי. לאור הפרשנות המרחיבה של מושג המידע בתקנות ה-GDPR של האיחוד, ולאור הפרשנות המרחיבה לתחולת התקנות, הן חלות בטווח רחב מאד של מצבים, ובעלי עסק וגופים רבים חשופים לסנקציות וקנסות עקב אי ציות לתקנות אלו.

קראו עוד

הניסיון שלנו בייעוץ בתחום אבטחת מידע והגנת הפרטיות

אנו במשרד עורכי דין פרידמן סלע, מתמחים בליווי משפטי בתחום הסייבר ואבטחת מידע לעסקים וארגונים. עורכי הדין אריאל פרידמן ולימור אילני, עברו הסמכות עומק בתחום של ליווי עסקים בנושא סייבר, אבטחת מידע והגנת הפרטיות, ומספקים ליווי משפטי לעסקים לצורך התאמתם לדרישות הרגולטוריות השונות אשר חלות עליהם.

השירותים שאנו מציעים לחברות ובעלי עסקים בתחום הסייבר:

סיווג העסק מבחינת רמת האבטחה הנדרשת: קלה, בינונית או גבוהה.
כתיבת נהלי אבטחת מידע בהיבט הטכנולוגי, הפיזי והסביבתי, בהתאם לדרישות הרגולטוריות.
יצירת נהלי עבודה והתנהגות ברשת, ויצירת נהלי אבטחת תקשורת.
נהלי תיעוד והתמודדות עם אירועי אבטחה מבחינה טכנולוגית, פיזית, משפטית, המשכיות עסקית, יח"צ, התנהלות מול רשויות המדינה, מול הלקוחות/העובדים ועוד.
נוהל הרשאות גישה, הזדהות וניהול בקרה להרשאות גישה.
ביצוע ביקורות תקופתיות עצמאיות.
בחינת הסכמים עם ספקים וניהול מו"מ מולם כך שיעמדו בדרישות הרגולציה (נהלים אלה מתייחסים לחברות תוכנה, שירותי ענן, שירותים טכניים במיקור חוץ וכדומה).
נהלי עובדים והדרכות עובדים תקופתיות.
שירות כממונה אבטחת מידע חיצוני (DPO as a service)
התאמה לרגולציית סייבר האירופאית (GDPR).
התאמה לרגולציית סייבר האמריקאית (CCPA).

אם גם אתם מחזיקים מידע אודות אנשים, אם יש לכם אתר אינטרנט מסחרי, או שאתם לא בטוחים אילו הגבלות והנחיות תקפות לגביכם, צרו איתנו קשר לצורך קבלת ייעוץ ראשוני בתחום ההתאמה לרגולציה בתחום הסייבר ואבטחת מידע, בטלפון 076-5384349.

English

03-916-1661