דילוג לתוכן

חדשות רגולציה​

מערך הסייבר הלאומי והרשות להגנת הפרטיות מפרסמים מידע חשוב למנהלי ארגונים ואזרחים רבים
שאלות ותשובות – תקנות הגנת הפרטיות (אבטחת מידע)
חובות בעל המאגר, מנהל המאגר והמחזיק במאגר

חלוקת האחריות על אבטחת המידע ודיווח על אירועי אבטחה

  • בעל המאגר והמחזיק נושאים ביחד ולחוד באחריות לאבטחת המאגר
  • סעיף 17 לחוק קובע שכל אחד מהם (בעל המאגר, המחזיק או מנהל המאגר) אחראי לאבטחת המידע במאגר
  • תקנה 19(ב) מחילה את רוב חובות בעל המאגר גם על המחזיק
  • חלוקת התפקידים לביצוע בפועל צריכה להיקבע במפורש בהסכם ביניהם (בהתאם לתקנה 15(2))

 

חובת מינוי מנהל מאגר

  • החוק והתקנות אינם מחייבים מינוי מנהל מאגר
  • מנכ"ל החברה הוא האחראי למילוי חובות מנהל המאגר אם לא מונה אחד
  • האחריות לאבטחת המידע חלה על כל אחד: בעל המאגר, מחזיק במאגר או מנהל המאגר

 

גורם בעל הכשרה מתאימה לביקורת

  • רמת המומחיות הנדרשת צריכה להתאים לרגישות, מורכבות והיקף הנתונים בארגון
  • הכשרה מתאימה צריכה לכלול:
    • שליטה בדרישות החוק והתקנות בישראל
    • היכרות עם האופי העסקי של המגזר הרלוונטי
    • ניסיון והכשרה במערכות מידע ואבטחת מידע
  • ההכשרה והניסיון צריכים לאפשר ביצוע תפקידים כגון בחינת נהלים, הערכת סיכונים, זיהוי ליקויים והצעת אמצעי תיקון

 

בודקים חיצוניים מוסמכים

  • הרשות להגנת הפרטיות אינה מסמיכה גורמים מקצועיים בתחום אבטחת מידע
  • אם אין בארגון אדם בעל הכשרה מתאימה, ניתן לשכור שירותים של גורמים מקצועיים חיצוניים

 

מנגנוני הצפנה מקובלים

  • הצפנה מקובלת היא כזו שנמצאת תחת קונצנזוס מקצועי של מומחי אבטחה
  • יש לתעד את בחירת מנגנון ההצפנה ולעדכן בהתאם לקונצנזוס המקצועי המתעדכן
  • בבחירת מנגנון הצפנה יש לבחון:
    • איכות המנגנון והיישום הנכון
    • התאמת רמת ההגנה לסיכונים הרלוונטיים
  • הצפנת מידע אישי היא אמצעי הגנה חשוב המעיד על קיום חובות אבטחת מידע

24.04.2025

למקור המלא
סקר חדש: למתבגרים בישראל יש מודעות גבוהה לסכנות ברשת
למרות הדימוי הציבורי מרבית בני הנוער בישראל נזהרים בשיתוף מידע אישי ברשת

הרשות להגנת הפרטיות פרסמה  ממצאים מפתיעים מסקר מקיף שערכה בקרב בני נוער בגילאי 12-17, המציג תמונה שונה מהדימוי הרווח של "דור שמשתף הכל".

לפי הסקר, 80% מהמתבגרים בישראל מודעים לסיכונים בחשיפת מידע אישי ברשת, 72% נמנעים משיתוף מידע רגיש, ו-61% דיווחו כי נמנעו מהורדת אפליקציות שנתפסו כבעייתיות מבחינת פרטיות.

הנתונים מפריכים את התפיסה הרווחת לפיה בני נוער אינם מודעים לפרטיותם. למעשה, הם מפגינים מידה רבה של שיקול דעת וביקורתיות בכל הנוגע לשיתוף מידע במרחב הדיגיטלי.

ממצא בולט נוסף הוא שכ-80% מהנשאלים דיווחו על שינוי בהתנהלותם ברשת בעקבות אירועי 7 באוקטובר, וכ-66% דיווחו על עלייה משמעותית בתכנים קשים ברשת מאז תחילת הלחימה.

הסקר גם חושף שרוב המתבגרים סבורים כי הוריהם צריכים לקבל את הסכמתם לפני שיתוף מידע אישי עליהם ברשת, וכי 62% רואים בזכות למחוק מידע חלק בלתי נפרד מהיכולת לשמור על פרטיות.

הרשות להגנת הפרטיות מציינת כי הממצאים מדגישים את הצורך בשיתוף בני נוער בתהליכי קבלת החלטות הנוגעות לפרטיותם במרחב הדיגיטלי, ובחיזוק כלים שיאפשרו להם שליטה טובה יותר במידע האישי שלהם.

הדו"ח המלא של הסקר זמין באתר הרשות להגנת הפרטיות.

09.04.2025

למקור המלא
ניסיון עוקץ דרך AirDrop: כך תישמרו
הודעה ממערך הסייבר הלאומי: התראה על ניסיונות התחזות דרך AirDrop

מערך הסייבר הלאומי מזהיר כי דווח על הונאות פישינג מתוחכמות המנצלות את טכנולוגיית AirDrop של Apple. במקרה אחד, נשלחה הודעה מזויפת הנחזית כהודעה רשמית מ-Apple שדרשה הזנת פרטי Apple ID לצורך "אימות".

המלצות מערך הסייבר הלאומי:

  1. כבו את AirDrop כשאינו בשימוש
  2. הגדירו קבלת קבצים רק מאנשי קשר מוכרים
  3. אל תאשרו קבלת תוכן ממקורות לא מזוהים
  4. שמרו על מערכת הפעלה מעודכנת
  5. שקלו שימוש באפליקציות אבטחה אמינות
  6. נהגו בזהירות עם פונקציות שיתוף והיזהרו מהודעות חשודות
  7. במקרה של חשד להונאה - פנו למוקד 119

06.04.2025

למקור המלא
שאלות ותשובות – תקנות הגנת הפרטיות (אבטחת מידע)
שאלות בנושא חובת דיווח על אירוע אבטחה

האם חובת הדיווח לרשם במקרה שאירע "אירוע אבטחה חמור" חלה על המחזיק במאגר, או שהחובה חלה רק על בעל המאגר?

תשובה: חובת הדיווח חלה גם על המחזיק במאגר, לא רק על הבעלים של המאגר.

"אירוע אבטחה חמור" הוא מקרה שבו הייתה פגיעה בשלמות המידע, שימוש במידע ללא הרשאה או חריגה מהרשאה. לדוגמה, מקרים כמו פריצה למאגר, גניבת מידע, שיבוש המידע, או שמישהו ללא הרשאה קיבל גישה למידע רגיש.

כמעט כל החובות שחלות על מי שבבעלותו מאגר מידע חלות גם על מי שמחזיק באותו מאגר. בנוסף, בעל המאגר והמחזיק יכולים לקבוע ביניהם בהסכם שהמחזיק אחראי לדווח על אירועי אבטחה חמורים.

לדוגמה: אם חברה א' היא בעלת מאגר מידע, וחברה ב' מספקת לה שירותי אחסון נתונים - גם חברה ב' צריכה לדווח אם קרה אירוע אבטחה חמור.

כאשר מתרחש אירוע אבטחה חמור, בעל המאגר צריך להודיע על כך לרשם "באופן מיידי". האם יש זמן מוגדר שבו צריך להודיע?

תשובה: אין הגדרה של זמן מדויק כמו "תוך 24 שעות" או "תוך שבוע". המונח "באופן מיידי" פשוט אומר שצריך לדווח מהר ככל האפשר אחרי שמגלים את האירוע, בלי לדחות את הדיווח ללא סיבה מוצדקת.

בדיווח על אירוע אבטחה חמור, המהירות חשובה מאוד כי ככל שמדווחים מהר יותר, אפשר לפעול מהר יותר למניעת נזקים נוספים.

למעשה, ברגע שאתה מגלה שהיה אירוע אבטחה חמור, עליך לדווח על כך בהקדם האפשרי.

הרשם רשאי להורות לבעל מאגר המידע להודיע על אירוע האבטחה לאנשים שעלולים להיפגע ממנו. איך הרשם מחליט האם לדרוש זאת?

תשובה: הרשם בוחן כל מקרה לפי הנסיבות שלו, ומתחשב בכמה גורמים חשובים:

  1. האם יש סיכוי גבוה שהאירוע יפגע במידע האישי או בפרטיות של האנשים שהמידע שייך להם
  2. האם יש סיכון שמישהו ישתמש במידע שדלף כדי להתחזות לאנשים אחרים, לבצע הונאות, לגרום נזק פיזי או נפשי, או לפגוע בשמם הטוב של אנשים
  3. האם הודעה לאנשים שנפגעו תעזור להם להתגונן ולהקטין את הנזק שעלול להיגרם להם

לדוגמה: אם הייתה פריצה לאתר שהמשתמשים נכנסים אליו עם שם משתמש וסיסמה, הרשם עשוי לדרוש להודיע ללקוחות כדי שישנו את הסיסמאות שלהם ובכך ימנעו שימוש לרעה בחשבונות שלהם.

06.04.2025

למקור המלא
להציג עוד
שירותים
יצירת קשר
כל הזכויות שמורות DPO-ISRAEL
© 2025-2024