האם חובת הדיווח לרשם במקרה שאירע "אירוע אבטחה חמור" חלה על המחזיק במאגר, או שהחובה חלה רק על בעל המאגר?

תשובה: חובת הדיווח חלה גם על המחזיק במאגר, לא רק על הבעלים של המאגר.

"אירוע אבטחה חמור" הוא מקרה שבו הייתה פגיעה בשלמות המידע, שימוש במידע ללא הרשאה או חריגה מהרשאה. לדוגמה, מקרים כמו פריצה למאגר, גניבת מידע, שיבוש המידע, או שמישהו ללא הרשאה קיבל גישה למידע רגיש.

כמעט כל החובות שחלות על מי שבבעלותו מאגר מידע חלות גם על מי שמחזיק באותו מאגר. בנוסף, בעל המאגר והמחזיק יכולים לקבוע ביניהם בהסכם שהמחזיק אחראי לדווח על אירועי אבטחה חמורים.

לדוגמה: אם חברה א' היא בעלת מאגר מידע, וחברה ב' מספקת לה שירותי אחסון נתונים - גם חברה ב' צריכה לדווח אם קרה אירוע אבטחה חמור.

כאשר מתרחש אירוע אבטחה חמור, בעל המאגר צריך להודיע על כך לרשם "באופן מיידי". האם יש זמן מוגדר שבו צריך להודיע?

תשובה: אין הגדרה של זמן מדויק כמו "תוך 24 שעות" או "תוך שבוע". המונח "באופן מיידי" פשוט אומר שצריך לדווח מהר ככל האפשר אחרי שמגלים את האירוע, בלי לדחות את הדיווח ללא סיבה מוצדקת.

בדיווח על אירוע אבטחה חמור, המהירות חשובה מאוד כי ככל שמדווחים מהר יותר, אפשר לפעול מהר יותר למניעת נזקים נוספים.

למעשה, ברגע שאתה מגלה שהיה אירוע אבטחה חמור, עליך לדווח על כך בהקדם האפשרי.

הרשם רשאי להורות לבעל מאגר המידע להודיע על אירוע האבטחה לאנשים שעלולים להיפגע ממנו. איך הרשם מחליט האם לדרוש זאת?

תשובה: הרשם בוחן כל מקרה לפי הנסיבות שלו, ומתחשב בכמה גורמים חשובים:

1. האם יש סיכוי גבוה שהאירוע יפגע במידע האישי או בפרטיות של האנשים שהמידע שייך להם
2. האם יש סיכון שמישהו ישתמש במידע שדלף כדי להתחזות לאנשים אחרים, לבצע הונאות, לגרום נזק פיזי או נפשי, או לפגוע בשמם הטוב של אנשים
3. האם הודעה לאנשים שנפגעו תעזור להם להתגונן ולהקטין את הנזק שעלול להיגרם להם

לדוגמה: אם הייתה פריצה לאתר שהמשתמשים נכנסים אליו עם שם משתמש וסיסמה, הרשם עשוי לדרוש להודיע ללקוחות כדי שישנו את הסיסמאות שלהם ובכך ימנעו שימוש לרעה בחשבונות שלהם.

06.04.2025