מזכר בנושא תקנות הגנת הפרטיות (אבטחת מידע)
- Amos Wagon
- 24 במאי 2019
- זמן קריאה 4 דקות
יולי 2017
בטרם היציאה לחופשות הקיץ, אנא תשומת לבכם למספר עדכונים וכן, מזכר בנוגע לתקנות הגנת הפרטיות (אבטחת מידע) שעתידות להיכנס לתוקף במאי 2018 ויש מקום להיערך אליהן מראש.
1. הפקת תלוש שכר בדואר אלקטרוני - בהתאם לחוק, עד היום אין אפשרות להעביר תלוש שכר בדואר אלקטרוני, וגם אם תלושים הועברו כך לא היה בכך כדי להחליף את החובה למסור תלוש שכר לעובד ביד. בחודש יוני חוקקו תקנות המאפשרות, תחת עמידה בתנאים מסויימים ובין היתר קבלת הסכמתו של העובד בכתב לכך ואפשרות הדפסת התלוש, אפשר יהיה להעביר את התלוש בדואר אלקטרוני. התקנות טרם פורסמו - מייד עם פרסומן נעדכן ונפרט את דרישות המחוקק.
2. שינוי בחישוב התיישנות על פידיון חופשה לעובד שעבודתו הסתיימה- בפסק דין שניתן על ידי בית הדין הארצי לעבודה לאחרונה פסק בית הדין כי ההתיישנות על זכאות לחופשה שנתית צריכה להתבצע בגין שנת העבודה השוטפת ושלוש השנים שקדמו לה (ולא כפי שחושב עד היום - מקסימום זכאות לחופשה שנתית לתקופה של 3 שנים בלבד).
3. תיקון לחוק עבודת נשים - ביום 03.07.2017 פורסם תיקון נוסף לחוק עבודת נשים המקנה לעובדת רשות להיעדר ממקום עבודתה שעה ביום בתקופה שבה בן זוגה שוהה בשירות מילואים (או לעובד שבת זוגו שוהה במילואים), החל ביום הראשון לשירות ובלבד שכל התנאים הבאים יתקיימו: תקופת המילואים של בן הזוג לא תפחת מ-5 ימים רצופים; לעובדת ילד שטרם מלאו לו 13; העובדת מועסקת במשרה מלאה לפי הנהוג במקום עבודתה; העובדת הודיעה למעסיקה על מימוש הזכות והציגה אישור המעיד על שירות המילואים של בן זוגה. יובהר, כי בהתאם לחוק לא ניתן לקבל במקביל גם את זכות ההיעדרות הזו וגם זכויות נוספות המקצרות את יום העבודה של העובדת כמו שעת הורות (=הנקה).
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017
ביום 8.5.2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 אשר יכנסו לתוקף שנה ממועד פרסומן. התקנות מכתיבות את הכללים לשמירה על מאגרי מידע וניהולם. לתקנות השלכה על גופים רבים במשק, ובכלל זה מעסיקים אשר שומרים באופן ממוחשב מידע אישי אודות עובדיהם, כגון שם, מספר תעודת זהות, תאריך לידה, השכלה, הכשרה והשתכרות.
במזכר זה נביא לידיעתכם את עיקרי ההוראות של התקנות;
כידוע, הזכות לפרטיות היא אחת מזכויות היסוד אשר הוכרו בחקיקת היסוד של מדינת ישראל (חוק יסוד: כבוד האדם וחירותו). הזכות לפרטיות כוללת בחובה שמירה על האוטונומיה של האדם, על צנעת חייו וענייניו האישיים וכן הגנה על האדם מפני שימוש לרעה במידע אודותיו בידי צד שלישי.
כיום איסוף המידע פשוט מבעבר, וניתן אף לאסוף מידע אודות אדם ללא סיועו הפעיל, למשל אגב שימוש שהפרט עושה בשירותים אחרים, כגון גלישה באינטרנט, שימוש בכרטיס אשראי, חברות במועדוני צרכנות וכיו"ב.
עם התפתחות הטכנולוגיה בעשורים האחרונים והגדלת היכולת לאגור מידע רב ומגוון, מתעוררת גם הסכנה לשימוש במידע זה, אשר עשוי להיות בעל ערך רב, שלא למטרה לשמה הוא נאסף, בין אם בידי בעל המאגר עצמו ובין אם בידי צד שלישי, מורשה או לא.
בשנת 1981 נחקק חוק הגנת הפרטיות, התשמ"א-1981, אשר מטרתו היא לשריין את ההגנה על זכותו של האדם לפרטיות. בחוק זה יוחד פרק נפרד לנושא ההגנה על הפרטיות במאגרי המידע. פרק זה עוסק, בעיקר, ברישום מאגר מידע, שימוש ועיון בו.
בשלושת העשורים שחלפו ממועד חקיקת החוק המציאות הטכנולוגית השתנתה לחלוטין, ויש המעריכים שיש כיום בישראל מיליוני מאגרי מידע, ובכלל זה בידי מעסיקים ואנשים פרטיים. לאור האמור, התעורר הצורך בחקיקת תקנות מפורטות אשר מסדירות את סוגית מאגרי המידע, ואת אופן הטיפול במידע השמור בהם והאבטחה שלו.
תקנות אבטחת המידע מבחינות בין ארבעה סוגים של מאגרי מידע:
1. מאגר המנוהל בידי יחיד – מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ורק היחיד ושני בעלי הרשאה נוספים, לכל היותר, רשאים לעשות בו שימוש. מאגר זה אינו כולל מאגר שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק כגון דיוור ישיר, מאגר שיש בו, לכל הפחות, מידע אודות 10,000 איש או מאגר הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית או אתיקה מקצועית;
2. מאגר שחלה עליו רמת אבטחה בסיסית – מאגר מידע שאינו נכלל באחד מהמאגרים האחרים;
3. מאגר שחלה עליו רמת אבטחה בינונית – למשל, מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, מאגר מידע שבעליו הוא גוף ציבורי, מאגר מידע הכולל מידע רגיש כגון אודות צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע אודות דעות פוליטיות, עבר פלילי, מידע ביומטרי, מידע כלכלי וכיו"ב;
4. מאגר שחלה עליו רמת אבטחה גבוהה – למשל, מאגר שחלה עליו רמת אבטחה בינונית אולם הוא כולל מידע על 100,000 איש או יותר או שמספר בעלי ההרשאה בו עולה על 100.
על פי התקנות בעל מאגר מידע חייב להגדיר את המאגר, לקבוע נוהל אבטחת מידע ולהחזיק מסמך מעודכן אודות מבנה מאגר המידע והמערכות הכלולות בו.
נוהל אבטחת מידע
נוהל אבטחת המידע, צריך לכלול, בין היתר, הוראות בדבר האבטחה הפיזית והסביבתית של אתרי המאגר, הרשאות גישה למאגר המידע ולמערכות המאגר, תיאור של האמצעים שמטרתם להגן על מערכות המאגר ואופן הפעלתם, הוראות למורשי הגישה למאגר לצורך הגנה על המידע שבמאגר, הסיכונים שהמידע שבמאגר חשוף להם ואופן ההתמודדות עם ארועי אבטחת מידע.בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה חייב, בנוסף על האמור לעיל, לכלול בנוהל אבטחת המידע גם התייחסות לאמצעי הזיהוי והאימות לגישה למאגר, אופן הבקרה על השימוש במאגר המידע, הוראות לעניין עריכת ביקורות תקופתיות, הוראות לעניין גיבוי הנתונים והוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן.
ביקורות תקופתיות
התקנות מטילות חובה על בעלי מאגרי מידע בעלי רמת אבטחה בינונית או גבוהה לערוך ביקורות, פנימיות או חיצוניות, אחת לשנתיים על ידי גורם בעל הכשרה מתאימה בנושא הבטחת מידע שאינו ממונה האבטחה של המאגר, וזאת על מנת לוודא עמידת המאגר בהוראות התקנות.
הפרה של הוראות התקנות עלולה לגרור בעקבותיה אחריות פלילית או אזרחית, לפי העניין.
לאור האמור לעיל, יש להניח שחברה המנהלת מאגר מידע על עובדיה לשם ניהול העובדים, צרכי שכר ומשאבי אנוש (ולא כחלק מעיסוקה) עשויה להיחשב כבעלת מאגר מידע אשר חלה עליו רמת אבטחה בסיסית. בהתאם לכך - יתכן שיש להתחיל לנקוט אמצעים לתפעול מאגר המידע ולהגנה על המידע האגור בו בהתאם לתקנות.
[אזהרה: אין באמור לעיל כדי להוות ייעוץ משפטי או חוות דעת, או תחליף ליעוץ משפטי אצל עורך דין, האמור לעיל אינו אלא תיאור כללי בלבד ולא מחייב של הנושא. בכל מקרה ספציפי יש לפנות לקבלת ייעוץ משפטי מעורך דין]
Comments