9/12/2020
בצל "פרשת שירביט": בעל עסק, מחזיק מאגר מידע של לקוחות / עובדים / ספקים? חשוב שתכיר את חובותיך לאבטחת המידע!
בתאריך 1.12.2020 פורסם באמצעי התקשורת על אירוע חמור של אבטחת מידע בחברת הביטוח "שירביט", כאשר מידע אישי של לקוחות רבים של החברה, לרבות פרטים מזהים, הודלפו על ידי האקרים שפרצו לשרתי החברה. בשל אירוע אבטחת המידע הוגשה תובענה ייצוגית כנגד חברת שירביט לפיצוי בגין נזקים שהוערכו בגובה של מיליוני שקלים, בטענה כי החברה הפרה את חובותיה להגן על המידע של לקוחותיה ולנקוט באמצעי הזהירות הנדרשים. אירוע זה צריך לשמש כתמרור אזהרה בקרב כל מי שמחזיק מאגר מידע על לקוחות / עובדים / ספקים ולהעלות את המודעות לדרישות הדין החלות עליו.
בחודש מאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "תקנות אבטחת מידע") שמטרתן להגביר ולחזק את ההגנה על המידע האישי השייך לציבור. התקנות מגדירות לגופים וארגונים מכלל מגזרי המשק, ציבורי ופרטי כאחד, דרישות אבטחת מידע ברורות, בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם. התקנות חלות על כל מי שמנהל או מחזיק מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד מכלל מגזרי המשק הישראלי, ציבורי ופרטי כאחד. אלא, שלמרות שחלפה כשנה וחצי מאז נכנסו התקנות לתוקפן, ניכר כי מרבית בעלי העסקים והארגונים השונים, המחזיקים במאגרי מידע, כלל אינם מודעים לקיומן של התקנות ולחובות שהטילו על מי שמחזיק מאגר מידע. החובות המוטלות בתקנות אבטחת המידע, הן בשים לב לרמת הסיווג של מאגר המידע, לפיכך יש תחילה לבחון ולקבוע את רמת הסיווג של המאגר בהתאם לקריטריונים הקבועים בתקנות, אשר מבחינות בין ארבעה סוגי מאגרים: מאגר מידע המנוהל ע"י יחיד, מאגר שחלה עליו רמת אבטחה בסיסית, מאגר שחלה עליו רמת אבטחה בינונית ומאגר שחלה עליו רמת אבטחה גבוהה.
בהתאם לרמת הסיווג של מאגר המידע, נגזרות החובות והפעולות שיש לבצע לצורך הגנה על המידע, למשל: ניסוח מסמך הגדרות מאגר (שבו יש לפרט את סוג המידע, מטרתו, השימוש הנעשה בו, פעולות עיבוד, סיכונים, ועוד); ניסוח נוהל אבטחת מידע; מיפוי מערכות המאגר וביצוע סקרי סיכונים; אבטחה פיזית וסביבתית של חומרה; אבטחת מידע בניהול כוח אדם; הרשאות גישה; זיהוי ואימות; תיעוד אירועי אבטחה; מיקור חוץ ועוד. יש להדגיש כי החובות הקבועות בתקנות אבטחת המידע חלות על כל מי שמחזיק מאגר מידע, ובימינו, לא יהיה מופרז לומר, שמדובר כמעט בכל בעל עסק או ארגון, שכן כמעט עסק או ארגון מחזיק באמתחתו מאגר מידע, אם של לקוחות, של עובדים או של ספקים. אי מילוי החובות הקבועות בתקנות אבטחת המידע עלולות להביא להטלת סנקציות מנהליות ולהוות עוולה אזרחית ואף עבירה פלילית, ואם לא די בכך, כפי שנוכחנו לראות היום, לחשוף את המחזיק במאגר להגשת תובענה ייצוגית כנגדו בסכומי עתק.
אם כן, בעל עסק (!), ככל שלא היית מודע לאמור עד עתה, זה הזמן לעצור ולתת דגש לסוגית אבטחת המידע במאגר שאתה מחזיק.