Skip to content

איך לדווח על פרצות מידע בהתאם לתיקון 13

עם כניסתו הקרובה של תיקון 13 לחוק הגנת הפרטיות לתוקף, עסקים בישראל מחויבים לעמוד בדרישות דיווח מחמירות יותר כאשר מתרחשות פרצות מידע. תקנות אלו נועדו להגן על פרטיות המשתמשים ולהבטיח שבמקרה של פרצה, גורמים רלוונטיים יידעו על כך במהירות וינקטו בפעולות מתאימות. חובות הדיווח אינן נוגעות רק לארגונים גדולים; גם עסקים קטנים ובינוניים נדרשים לעמוד בתקנות ולדווח כנדרש.

1מרכיבי הדיווח על פרצות מידע לפי תיקון 13

מתי יש לדווח על פרצות מידע: הקריטריונים המדויקים לדיווח על פרצות מידע בתיקון 13 תלויים בעיקר בסוג המידע שנפגע ובסיכון למשתמשים. לדוגמה, פרצה הכוללת חשיפה של מידע אישי כגון פרטי לקוח, כתובת או נתוני כרטיס אשראי מחייבת דיווח מיידי.

  • דוגמה לעסק קטן: אתר מכירות קטן המפעיל מערכות תשלום מאובטחות יצטרך לדווח במקרה של פרצה שדלפה פרטי כרטיסי אשראי של לקוחותיו.

למי יש לדווח:

  • הרשות להגנת הפרטיות: חובה לדווח לרשות במקרה של פרצה חמורה ולספק לה את כל המידע הנדרש להערכת האירוע.
  • לקוחות שנפגעו: יש להודיע ללקוחות כאשר יש חשש לפגיעה, תוך הסבר על אופי הפרצה והצעדים שננקטו לשמירה על המידע שלהם.

לוח זמנים ומועדי הדיווח בפרצות מידע

דיווח ראשוני: חובת הדיווח הראשונית בתיקון 13 מחייבת תגובה מיידית במקרה של פרצות חמורות. הדיווח הראשוני אמור להתבצע בתוך 72 שעות מרגע גילוי הפרצה.

  • פרטים נדרשים בדיווח: יש לכלול בדיווח הראשוני את כל המידע הידוע, כגון פרטי האירוע, סוג המידע שנפגע, הצעדים שננקטו, ותוכניות ההגנה והשיקום.

דיווחי המשך: במקרים מסוימים, הדיווח הראשוני לא יספיק, ועל העסק להגיש עדכונים נוספים ככל שמתגלים פרטים חדשים או אם הפרצה חמורה יותר מההערכה הראשונית.

דרישות לתיעוד ולרישום אירועי פרצות מידע

יומן אירועים: ניהול יומן אירועים המפרט כל פרצת מידע הוא חובה לפי תיקון 13, ונועד לשמש ככלי לניהול ובקרה. יש לתעד כל פרצה שהתגלתה, כולל מועד האירוע, הפעולות שננקטו, והאם היה צורך לדווח ללקוחות או לרשויות.

  • פרטים שיש לכלול ביומן:
    • תאריך וזמן הפרצה.
    • תיאור הפרצה ומהות הפגיעה.
    • צעדי תיקון והגנה שננקטו.

תיעוד פנימי לצורכי תאימות: מעבר ליומן הפרצות, על כל עסק לתעד מסמכים פנימיים נוספים המפרטים את הנהלים בהם נקט הארגון כדי להבטיח עמידה בתיקון 13. מסמכים אלו מספקים תיעוד במקרה של ביקורת, ומעידים על צעדי הציות של הארגון.

צעדים מומלצים לניהול פרצות מידע

צעדים פרואקטיביים:

  • הקמת צוות תגובה: מומלץ להקים צוות ייעודי לתגובה מהירה על אירועים.
  • סימולציות פרצות מידע: ביצוע סימולציות יכול לשפר את המוכנות של הארגון ויכולת ההתמודדות עם פרצות אפשריות.

דוגמאות לפי ענפים שונים:

  • עסק אי-קומרס קטן: חנות מקוונת המחזיקה פרטי כרטיסי אשראי יכולה להגדיר נהלי תגובה ויומן פרצות, ולדווח ללקוחות ולספקים במקרה של פרצה.
  • עסק מבוסס תוכן: אתר תוכן הכולל נתונים על תחומי העניין של משתמשיו צריך להיערך ולדווח ללקוחות במידה ויש חשש לדליפת מידע אישי.

לסיכום

דיווח מהיר ומדויק על פרצות מידע הוא חובה חוקית קריטית בעמידה בתיקון 13 לחוק הגנת הפרטיות החדש, ומסייע לארגונים להפחית סיכוני פרטיות ולמנוע נזקים עתידיים. תיעוד פרצות, הודעות ללקוחות ושמירה על רשומות מפורטות יבטיחו עמידה בדרישות החוק ויחזקו את אמון הלקוחות.

זכרו כי אי עמידה בדרישות יכולה להוביל לעונשים כספיים כבדים – קראו על כך יותר בפוסט על קנסות ועונשים בתיקון 13.

כיצד ליצור קשר עם הרשות להגנת הפרטיות:
במקרה של צורך בדיווח על פרצת מידע או קבלת הנחיות נוספות, ניתן לפנות אל הרשות להגנת הפרטיות דרך העמוד הרשמי באתר gov.il או במייל: ppa@justice.gov.il.

Tags:

כתיבת תגובה