ממשלות ותאגידים פרטיים כמו גוגל או פייסבוק אוגרים בקצב מסחרר כמויות בלתי נתפסות של מידע אודות כל אחת ואחד מאיתנו, או לפחות כל מי שמשתמש במחשב, טאבלט או סמארטפון, כמו גם כל מי שנמצא באינטראקציה עם תאגידים או מוסדות גדולים. על מנת להסדיר תחום זה נוצרות בשנים האחרונות תקנות שונות אשר מטרתן להגן עלינו בסוגיות הנוגעות במידע.
תקנות הגנת הפרטיות בישראל ובאירופה
בעוד רבים אינם בהכרח מודעים לכך, נושא המידע וההגנה של האינטרסים של האדם הממוצע בכל הנוגע לסוגיות של מידע כבר זכה בשנים האחרונות להתייחסות רשמית מטעם מוסדות המדינה כאן בארץ, כמו גם מטעמו של האיחוד האירופי. מה שמכונה GDPR"" – תקנות האיחוד האירופאי להגנה על פרטיות וניהול מידע, גרר התייחסות דומה גם מצד הרשויות בישראל, אשר נדרשו לספק מענה עבור אזרחי האיחוד האירופי אשר מידע אודותם מגיע לגורמים בארץ, דוגמת חברות מסחריות. על מנת ליישר קו עם האיחוד ולהבטיח שמירה על פרטיותם של האזרחים נכנסו לתוקף בתחילת שנת 2018 תקנות הגנת הפרטיות, אשר באות להסדיר את התחום ולהבטיח שמירה על פרטיותם של אזרחים אשר מידע אודותם מצטבר במאגרי מידע שונים של חברות מסחריות. תקנות אלו נוגעות כאמור לאבטחת מידע – כיצד על ארגון כלשהו המחזיק במאגרי מידע להתנהל על מנת למנוע מגורמים חיצוניים לחשוף ולהשתמש במידע שנצבר אודות הלקוחות השונים.
תקנות אלו חלות בפועל על כל מי שמחזיק במאגר מידע מכל סוג שהוא, ובאו להגן על כל אזרח אשר המידע שלו, מכל סוג שהוא, מוחזק במאגרים אלו. מדובר בתקנות מפורטות עבור סוגים שונים של מאגרי מידע, החל ממאגר מידע המוחזק ומנוהל על ידי יחיד ועד למאגרים "רגישים" במיוחד עליהם חלות הדרישות לרמת האבטחה הגבוהה ביותר (מדובר במאגרי מידע אשר מכילים מעל למאה בעלי הרשאה שונים או כזה המחזיק במידע רגיש אודות מעל למאה אלף אנשים שונים).
כיצד עומדים בתקנות הגנת הפרטיות בישראל?
עבור כל ארגון המחזיק במאגר מידע כלשהו, בין אם מדובר בחברה מסחרית קטנה או גדולה, עמותה ללא מטרות רווח או כל ארגון אחר המחזיק במאגר מידע מסוג כלשהו – כיצד יש לפעול על מנת לעמוד בתקנות הגנת הפרטיות בארץ?
ובכן, כתלות בסוג המאגר ואופיו כך הפעולות שיש לבצע עשויות להשתנות מעט, אך במרבית המקרים דרכי הפעולה הכלליות הן זהות. נקדים ונאמר כי תמיד ניתן ומומלץ להתייעץ עם חברה המתמחה בדיוק בתהליכים אלו ולהבטיח כי אכן עושים את התהליך כהלכה וכמו שצריך.
חלק מהפעולות שיש לנקוט נוגע לכתיבת נהלי אבטחת מידע מסודרים באותו ארגון – כתיבת מסמך המפרט את מבנה המערכות ומאגרי המידע בארגון, הקשרים ביניהם ודרכי ההתנהלות בהן יש לעמוד על מנת להבטיח אבטחת מידע מספקת. בנוסף, יש להכין מיפוי של מערכות המאגר ולבצע סקר סיכונים אשר יחשוף נקודות תורפה וחולשה במערך אבטחת המידע באותו ארגון. גם אבטחת מידע סביבתית ופיסית של ממש היא חלק מהעמידה בתקנות, ובהקשר זה מפורטות דרכים לאבטח פיסית את התשתיות ומערכות החומרה של המאגר.
התקנות ממשיכות ומפרטות באופן נרחב את סדרת הפעולות השונות שיש לבצע על מנת להבטיח רמה מספקת של אבטחת מידע ושמירה על פרטיותם של האנשים אודותיהם קיים מידע במאגר. לכל הדעות מדובר כאן בצעד חשוב ומשמעותי בנושא ההגנה על פרטיות ואבטחת המידע בעולם אשר מייצר מידע בקצב מסחרר, הולך וגובר.
נכתב בשיתוף חברת נקסטפ תקינה ישירה - https://www.nextep.co.il
למידע נוסף בנושא תקנות הגנת הפרטיות - https://www.nextep.co.il/tkanim/israelilaw/
