ההגנה על הפרטיות עולה מדרגה

החודש ייכנסו לתוקף רגולציות חדשות. חוסר התייחסות אליהן עלול לגרום לנזקים

רפורמת הגנת הפרטיות האירופאית / צילום: Shutterstock
רפורמת הגנת הפרטיות האירופאית / צילום: Shutterstock

בחודש הקרוב, ב-25 במאי, תיכנס לתוקפה הרגולציה האירופית המקיפה ביותר שנראתה עד כה בתחום הגנת הפרטיות - GDPR. באופן מקרי אך די סימבולי, ב-8 במאי יכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע), שייאכפו על-ידי הרשות להגנת הפרטיות במשרד המשפטים.

התקנות גובשו מתוך כורח, לתוך מציאות שבה אירועי דליפת מידע הפכו לתופעה של ממש. רק בשנה האחרונה דלפו לרשת מאות מיליוני רשומות של מידע פרטי תוך שימוש בפרצות טכנולוגיות ותהליכיות. היערכות השוק הישראלי לתקנות היא קריטית. חוסר התייחסות עלולה לגרום נזקים חמורים לפרטיות הציבור ולארגונים עצמם.

תקנות הגנת הפרטיות (אבטחת מידע) הן חלק ממארג הגנת הפרטיות במשפט הישראלי, הכולל את חוק הגנת הפרטיות, תקנות והנחיות הרשות להגנת הפרטיות ופסיקת בתי המשפט. מארג זה הוכר על-ידי האיחוד האירופי כתואם למשטר האירופי להגנת הפרטיות בשנת 2011. התקנות יחזקו את השמירה על הפרטיות של כל אזרח ומקדמות את ישראל לעמידה בסטנדרטים הבינלאומיים.

הרגולציה האירופית, ה-GDPR, כוללת עקרונות רבים אשר קיימים כבר היום בישראל, לצד נושאים חדשים. חלקם נכנסים למשפט הישראלי בתקנות הישראליות החדשות, אשר מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל מידע אישי, וקובעות מנגנונים ארגוניים ודרישות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון.

למשל, בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם לאנשים עליהם המידע שנחשף. גם ה-GDPR מחיל חובה כזו. בשניהם ישנן דרישות תיעוד של הציות לדרישות. בשניהם נדרש ביצוע סקרי סיכונים למאגרי מידע רגיש ועוד.

התקנות החדשות יוצאות דופן בכך שהן חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי הכפופה לחוק הישראלי בכל מגזרי המשק: ציבורי ופרטי כאחד, ושהן מעגנות בחקיקה סטנדרטים מפורטים של אבטחת מידע.

זכותנו לפרטיות היא זכות יסוד בעלת מעמד חוקתי, היא חיונית לשמירה על ערכי חברה דמוקרטית, להגנה על זכויות אדם ורכושו, ולשמירה על חופש הביטוי והחופש להיות "אני". הגנת המידע היא גם אבן יסוד בביסוס אמון צרכנים.

התקנות עוצבו במתכונת מודולרית, המחילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון (רגישות נמוכה, בינונית או גבוהה), בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו. כמו כן נוצרה הגדרה מיוחדת לעוסק יחיד, על-מנת להתחשב בעסקים הקטנים ולאזן בין העלות שתוטל עליהם, לבין חובתם להגן על המידע האישי של האנשים שניתן להם, ועשוי להיות רגיש. חידוש נוסף בתקנות מאפשר לרשות להחריג מתחולת התקנות, באופן מלא או חלקי, מאגרים מסוימים או מגזרים מסוימים, על מנת למנוע נטל פרוצדורלי או ביורוקרטי.

הצלחתן המשמעותית של התקנות היא בהיותן גמישות ובו-זמנית גם קונקרטיות וספציפיות, במידה המקנה לארגונים ודאות רגולטורית וכלים פרקטיים ופשוטים למימוש. הרשות פועלת להטמעת התקנות במשק והבאתן למודעות ויישום רחב ככל הניתן. הטמעתן חשובה לציבור הישראלי מאחר שבעלי מאגרי מידע ידרשו להגן עליהם בצורה הולמת מפני מתקפות סייבר למיניהן. עם כניסת התקנות לתוקף ב-8 במאי 2018, ויישומן על-ידי המשק, צפויה קפיצת מדרגה כללית ברמת אבטחת המידע האישי בישראל.

■ הכותבת היא מנהלת מחלקה ברשות להגנת הפרטיות במשרד המשפטים.