תקנות הגנת הפרטיות

תקנות הגנת הפרטיות

תקנות הגנת פרטיות (אבטחת מידע) התשע"ז-2017 , הן תקנות חדשות שנכנסו לתוקף ביום 8.5.2018, מטילות חובות על כל אדם או ארגון, במגזר הפרטי או הציבורי,  אשר בבעלותו או בהחזקתו מאגר מידע המכיל מידע אישי. חובות אלה נוגעות הן לאופן ניהול המאגר והן לאופן הטיפול במצבים של חשש לפגיעה במידע האמור.

סוגי מאגרים:

התקנות יוצרות מידרג של סוגי מאגרים, תוך התאמת רמת דרישות ההבטחה לרמת רגישות המידע במאגר והסיכונים הנובעים מחשש לפגיעה בו:

  1. מאגר מידע המנוהל על ידי יחיד – מאגר המנוהל על ידי יחיד, אשר הגישה אליו ניתנת לכל היותר לבעלים ועוד שני מורשי גישה נוספים (ובלבד שאין במאגר מידע על יותר מ10,000 אנשים, או שמטרתו איסוף מידע לצורך מסירתו, או שבעל המאגר כפוף לחובת סודיות מקצועית).
  2. מאגרים שחלה עליהם רמת האבטחה הבסיסית – הגדרת מאגרים אלה הינה על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
  3. מאגרים שחלה עליהם רמת האבטחה הבינונית – מאגרי מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו לאחר, או שהינם בבעלות גוף ציבורי, או שהם מכילים מידע כגון – מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף.
  4. מאגרים שחלה עליהם רמת האבטחה הגבוהה – מאגרי מידע שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או מספר מורשי הגישה למידע זה עולה על 100.


על כל בעל מאגר, בהתאם לסיווג דלעיל, מוטלות הדרישות הבאות, כולם או חלקם, בהתאם לסיווגו:

  • הכנת מסמך הגדרות המאגר -איסוף המידע, מטרות השימוש בו, סוגי המידע, והיקפו וכו';
  • עריכת נוהל אבטחת מידע;
    מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים;
  • קיום דרישות אבטחה פיזית;
  • קיום חובות באשר לגיוס עובדים;
    ניהול הרשאות גישה, זיהוי ואימות ובקרה;
  • תיעוד אירועי אבטחה;
  • הגבלת שימוש בהתקנים ניידים;
    הפרדת מערכות;
  • אבטחת תקשורת וחובות נוספות כמפורט בתקנות.
  • מינוי ממונה אבטחת מידע


בנוסף, בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, נדרשים לדווח לרשות להגנת הפרטיות באופן מיידי בקרות אירוע אבטחה חמור ועל הצעדים שנקטו בעקבות האירוע.

יודגש עוד כי האיחוד האירופי פרסם לאחרונה תקנות מחמירות החלות על מאגרי מידע המכילים מידע על אזרחי אירופה, או שמטרתם מתן שירותים לאזרחי אירופה. מי שתקנות אלו חלות עליו לא יוכל להסתפק בצעדים הנדרשים על ידי התקנות המתוארות לעיל, ועליו לבדוק את החובות המוטלות על מאגרים אלו.

הסיכום הנ"ל משקף את עיקרי הדרישות המופיעות בתקנות הגנת הפרטיות החדשות. יש לשים לב כי גם חוק הגנת הפרטיות, התשמ"א-1981, מכיל דרישות וחובות בכל הנוגע להגנת מידע אישי.  סיכום זה  אינו מהווה סיכום מחייב או מקיף של התקנות או החקיקה בנושא ואין להסתמך עליו כתחליף לייעוץ משפטי ספציפי.

לחזרה למאמרים