דיני פרטיות - אירוע אבטחה חמור

לקוחות יקרים,

תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות") קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות, ראו דוגמאות לאירועים בלינק זה), וכן לדווח לרשות על הצעדים שנקט בעקבות האירוע.

על אירוע אבטחה חמור ניתן לדווח הן באמצעות הטופס הדיגיטלי החדש שהושק לאחרונה והן באמצעות דואר אלקטרוני או פקס. יודגש, כי דיווח על אירוע אבטחה חמור אינו גורע מחובת בעל המאגר לנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בהתאם להוראות החוק והתקנות.

לנוכח עמדתה המצמצמת של הרשות, יש לוודא כי הסכמי עיבוד המידע, אבטחת המידע ומיקור החוץ – ככל והנכם קשורים בהסכמים כגון אלו – מנוסחים באופן המבטיח כי בעל המאגר ו/או המחזיק במאגר יעמדו בחובת הדיווח המיידי. הכוונה במונח "באופן מיידי" היא שנדרש למסור את ההודעה בסמוך ככל האפשר למועד הגילוי וללא דיחוי בנסיבות העניין. טופס הדיווח מיועד לשם דיווח ראשוני ומיידי ויש לכלול בו רק מידע הזמין בעת מילויו (ולכן איסוף מידע לשם הדיווח לא יהווה עילה לעיכוב).

דיוור לקוחות זה הינו בבחינת תמצית אינפורמטיבית, אינו מחליף את הצורך בחוות דעת משפטית פרטנית ואינו מהווה ייעוץ משפטי אשר ניתן להסתמך עליו.

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

בברכת חג שמח,

מישר ושות'