whatsapp-call whatsapp-call facebook-call linkedin
phone-call
X

ליצירת קשר עם צוות משרדנו

השאירו את הפרטים ונחזור אליכם בהקדם:

    מדיניות הפרטיות

    ניהול מאגרי מידע

    תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, הן המסגרת החוקית המרכזית בישראל לניהול מאגרי מידע באופן מאובטח. תקנות אלו, המבוססות על חוק הגנת הפרטיות שנכנס לתוקף באוגוסט 2025, נועדו להבטיח שמירה על מידע אישי, צמצום סיכוני דליפה ומניעת שימוש לא מורשה. במאמר זה נסקור עיקרי הדברים מתוך התקנות, תוך התמקדות בהיבטים החשובים ביותר לבעלי מאגרים.

    סוגי מאגרי המידע ורמות האבטחה

    • מאגר המנוהל בידי יחיד – מנוהל על ידי אדם יחיד או תאגיד בבעלות יחיד, עם לכל היותר שני בעלי הרשאה נוספים.
    • מאגר ברמת אבטחה בסיסית – אינו נכלל בקטגוריות הביניים או הגבוהה ואינו מאגר יחיד.
    • מאגר ברמת אבטחה בינונית – כולל מידע רגיש כפי שמוגדר בתקנות, כגון: מידע על צנעת חייו האישיים של אדם; מידע רפואי או על מצבו הנפשי; מידע גנטי; מידע על דעותיו הפוליטיות או אמונותיו הדתיות; מידע על עברו הפלילי; נתוני תקשורת; מידע ביומטרי; מידע על נכסים, חובות והתחייבויות כלכליות ומצבו הכלכלי; וכן הרגלי צריכה המלמדים על אישיותו או דעותיו. בנוסף, כל מאגר בבעלות גוף ציבורי או מאגר שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, נכלל ברמת אבטחה זו.
    • מאגר ברמת אבטחה גבוהה – מאגר רגיש מאוד, עם מעל 100,000 רשומות או מעל 100 בעלי הרשאה.

    ממונה אבטחת מידע – חובה ותפקידים

    במאגרים ברמות בסיסית, בינונית וגבוהה יש למנות ממונה על אבטחת מידע. תפקידו כולל:

    • הכנת נוהל אבטחה.
    • פיקוח על יישום הדרישות החוקיות.
    • דיווח על ממצאים להנהלה.
    • טיפול בסיכונים וביצוע בקרות שוטפות.
      הממונה כפוף ישירות למנהל המאגר ופועל ללא ניגוד עניינים.

    מסמך הגדרות מאגר – מה הוא כולל?

    חובה להחזיק מסמך הגדרות מאגר (למעט במאגר יחיד במקרים מסוימים) עם פירוט: מטרות השימוש במידע, סוגי המידע, העברות לחו"ל, סיכונים ואמצעי מענה. המסמך מתעדכן לפחות אחת לשנה או בעת שינוי מהותי.

    נוהל אבטחת מידע – עמוד השדרה של האבטחה

    נדרש במאגרים ברמות בסיסית, בינונית וגבוהה. הנוהל כולל:

    • אמצעי הגנה פיזיים.
    • ניהול הרשאות גישה.
    • אמצעי הצפנה וניהול התקנים ניידים.
    • התמודדות עם אירועי אבטחה.
      במאגרים בינוניים וגבוהים – הנוהל כולל גם תיעוד גישה, הוראות לזיהוי ואימות, ביצוע ביקורות וגיבוי נתונים.

    מיפוי מערכות וסקרי סיכונים

    בכל הרמות (למעט מאגר יחיד) חובה למפות את מבנה המאגר, הציוד והמערכות. במאגרים ברמת אבטחה גבוהה – חובה לבצע סקרי סיכונים ומבדקי חדירות כל 18 חודשים.

    אבטחת מידע בניהול כוח אדם

    חובה (למעט במאגר יחיד) לבדוק התאמת עובדים לפני קבלת הרשאה, להדריך אותם בנושא אבטחת מידע, ובמאגרים בינוניים וגבוהים – לבצע ריענון הדרכות אחת לשנתיים.

    ניהול הרשאות, זיהוי ואימות

    בכל הרמות – הרשאות נקבעות לפי תפקיד, נשמר רישום עדכני ומבוטלות עם סיום התפקיד. במאגרים בינוניים וגבוהים – דרושים אמצעי זיהוי פיזיים, סיסמאות חזקות, ניתוק אוטומטי וניהול תקלות אימות, וכן הפעלת מנגנוני בקרה ותיעוד גישה אוטומטיים המאפשרים ביקורת על כל ניסיון גישה למערכות המאגר, לרבות שמירת לוגים, זיהוי משתמש, זמן הגישה, רכיב המערכת וסוג הפעולה שבוצעה.

    טיפול באירועי אבטחה

    בכל הרמות – יש לתעד כל אירוע המעלה חשש לפגיעה במידע. במאגרים בינוניים – דיון שנתי באירועים; במאגרים גבוהים – דיון רבעוני ודיווח מיידי לרשם במקרה של אירוע חמור.

    מיקור חוץ וניהול ספקים

    כאשר ספק חיצוני מקבל גישה למאגר (למעט מאגר יחיד), חובה לקבוע בהסכם את היקף הגישה, סוג המידע, משך השימוש, אמצעי האבטחה והתחייבות לשמירת סודיות. נדרש פיקוח שוטף על עמידת הספק בהתחייבויותיו.

    דרישות נוספות בתקנות

    התקנות כוללות גם חובות נוספות בהתאם לרמת האבטחה, כגון שמירת נתוני אבטחה למשך 24 חודשים, ביצוע גיבויים ושחזור מאובטח, קיום ביקורות פנימיות או חיצוניות, יישום אמצעי אבטחת תקשורת ברשתות ציבוריות, הגבלת חיבור התקנים ניידים למערכות המאגר, והפעלת מנגנוני בקרה ותיעוד גישה מתקדמים למעקב שוטף אחר פעולות משתמשים.

    שאלות ותשובות (FAQ)

    שאלה: מהו חוק הגנת הפרטיות וכיצד הוא קשור לתקנות אבטחת מידע?
    תשובה: חוק הגנת הפרטיות הוא הבסיס החוקי בישראל להגנה על מידע אישי. תקנות אבטחת המידע הן חלק מהחוק ומפרטות את הדרישות המעשיות להבטחת מידע במאגרים.

    שאלה: אילו סוגי מידע נחשבים לרגישים לפי התקנות?
    תשובה: מידע רפואי, גנטי, ביומטרי, מידע על עבר פלילי, נתוני תקשורת, מידע על דעות פוליטיות או אמונות דתיות, מידע על נכסים והתחייבויות כלכליות, והרגלי צריכה.

    שאלה: מי מחויב למנות ממונה על אבטחת מידע?
    תשובה: בעלי מאגרים ברמות בסיסית, בינונית וגבוהה.

    שאלה: מה ההבדל בין נוהל אבטחת מידע למסמך הגדרות מאגר?
    תשובה: מסמך הגדרות מאגר מתאר את סוגי המידע, המטרות והשימושים בו, בעוד שנוהל אבטחת מידע מפרט את האמצעים והנהלים להגנה על המידע בפועל.

    שאלה: האם התקנות חלות גם על ספקי שירות חיצוניים?
    תשובה: כן, כאשר הם מקבלים גישה למידע, יש לחייבם בהסכם על שמירת סודיות ועמידה בדרישות האבטחה.

     

    ניתן לפנות לעו"ד אלדר סיון לשם קבלת ייעוץ משפטי ראשוני בטלפון 052-544-0147

     

    מאמר זה מוגן בהתאם לדיני הקניין הרוחני וזכויות יוצרים. המאמר מובא כשירות לציבור ואין לראות בו תחליף לייעוץ משפטי פרטני

     

     

    ניהול מאגרי מידע

    post-thumbnail

    ליצירת קשר עם צוות משרדנו

    השאירו את הפרטים ונחזור אליכם בהקדם:

      מדיניות הפרטיות

      שירותים נוספים

      עבירת מחשבים
      חתימה אלקטרונית
      דואר זבל וספאם
      סרטון מיני באינטרנט
      היכן מוגשת תביעת אינטרנט?
      דילוג לתוכן