רקע

החל מחודש מאי 2018, נכנסו לתוקפן "תקנות הגנת פרטיות (אבטחת מידע), תשע"ז-2017" אשר אושרו בכנסת ישראל בחודש מרץ 2017 ומחליפות את התקנות המיושנות משנת 1986. תקנות אלו, ביוזמה ופיקוח של הרשות להגנת הפרטיות, מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי, על כל גורם המנהל או מעבד מאגר של מידע אישי.

עם כניסת התקנות לתוקף במאי 2018, חלה קפיצת מדרגה כללית ברמה הנדרשת של יישום אבטחת המידע האישי בישראל, אשר תחול על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל, לרבות ארגונים, חברות וגופים ציבוריים.

משרדנו מוביל בתחומו בסיוע לארגונים שונים בבחינת העמידה בהוראות התקנות בנושא הגנת הפרטיות הישראליות, האירופאיות והאמריקאיות, בין הארגונים השונים ניתן למנות ארגונים בתחומי החינוך, הרפואה משאבי אנוש וחברות ציבוריות מגוונות. אנו פיתחנו את המיומנויות הנדרשות וברשותנו הידע הנדרש בכדי לסייע לארגונים בהתמודדות המאתגרת עם יישום התקנות בארץ ובחו"ל.

תקנות הגנת הפרטיות - התקנות הישראליות

תקנות אלו מתייחסות לעניין ההגנה הפיזית והלוגית של מאגרי מידע ומצריכות התייחסות כמעט מרוב הארגונים במשק. התקנות הישראליות יוחלו על כלל בעלי העסקים בישראל, אשר הינם בעלי מאגר המידע כלשונו בחוק הגנת הפרטיות. התקנות מחלקות את מאגרי המידע ל-4 רמות נדרשות של אבטחת מידע לפי: רגישות החומר, מספר בעלי ההרשאות למאגר וגודל האוכלוסייה אשר פרטיה ונתוניה נשמרים במאגר המידע.

התקנות כוללות הוראות למימוש חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע של הפרטים האישיים של לקוחות, ספקים ועובדים. מטרתן להנחיל עקרונות אבטחת מידע, שיגנו  מפני שימוש לרעה במידע על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. התקנות הן מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר, ככל שמדובר במידע רגיש יותר וככל שיותר אנשים בארגון חשופים אליו.

GDPR התקן האירופאי

במקביל, נכנס לתוקפו בחודש מאי 2018 גם החוק החדש להגנת המידע של האיחוד האירופי: (General Data Protection Regulation (GDPR

התקנות האירופאיות (GDPR) מתייחסות לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים, וקובעת כללים אחידים לשמירה על פרטיותם. הרגולציה חלה על כל ארגון אשר בא במגע עם מידע אישי של אזרחי האיחוד האירופאי, כאשר היא מגדירה את זכויות היסוד של תושבים אירופים ביחס למידע האישי שלהם ובהמשך לכך את השמירה עליה. על פי הרגולציה, המידע שאוסף הארגון שייך באופן בלעדי לנושאי המידע ועל החברה להתייחס לכך בעת השימוש במידע. אי עמידה בתקנות יכולה להיות כרוכה בקנסות משמעותיים.

לקריאה נוספת בנושא GDPR [ 1015 kb ].

CCPA תקן אמריקאי

תקנות הגנת משק בית האמריקאיות החלות על חברות שמבצעות עסקים עם מדינת קליפורניה CCPA - California Consumer Privacy Act, מחמירות יותר מתקנות הGDPR, שכן ה GDPR מגן על מידע פרטי לאדם וה- CCPA מרחיב את ההגנה לכלל משק הבית.

להלן הקריטריונים להחלת תקנות ה- CCPA:

  • לחברה יש מחזור הכנסות שנתי מעל 25 מיליון$
  • החברה מחזיקה במידע מעל 50,000 לקוחות/משקי בית או מעל חצי ממחזור ההכנסות של החברה מגיעה ממכירת מידע על לקוחותיה/משקי הבית.

חברה אשר תפר את התקנות יכולות לצפות לקנסות במיליוני דולרים (בין 100-750 $ על כל לקוח/משק בית בנפרד).

הערך המוסף שלנו 

  • שירות המבוסס על מקצועיות וליווי אישי של הצוות הבכיר במחלקה. 
  • ביצוע פרויקטים ועבודות ברחבי העולם תוך הסתייעות במומחים מקומיים ממשרדים החברים ברשת הבינלאומית Grant Thornton בה אנו חברים.
שותף, מנהל מחלקת ביקורת מערכות מידע וייעוץ, פאהן קנה ניהול בקרה בע"מ
חנן טויזר
חנן טויזר
שותף, מנהל מחלקת ביקורת מערכות מידע וייעוץ, פאהן קנה ניהול בקרה בע"מ
חנן טויזר