תקנות הגנת הפרטיות | (אבטחת מידע)
תקנות הגנת הפרטיות בישראל:
בשנים האחרונות הולכת וגוברת המגמה לשיפור אבטחת המידע בעולם בכלל ובישראל בפרט, זאת בעקבות ליקויים בשמירת מידע של חברות, התפתחות הטכנולוגיה והעליה באיומים.
כתוצאה מכך, לקוחות חוו חוסר אמון ועתה דורשים רמה גבוה ביותר של אבטחת המידע שלהם שאגור במערכות של ארגונים שונים.
בחודש אוגוסט 2025 ייכנס לתוקף תיקון 13 לחוק, ובו שינויים דרמטיים במהות התקנות:
- הוגדרה אחריות נושאי משרה לעמידה בחוק.
- הוגדרו קנסות על הפרה.
- הוגדרו תהליכי אכיפה.
- הוגדר הצורך במינוי ממונה הגנת פרטיות (DPO).
איך נוכל לעזור לכם לעמוד ברגולציה?
צוות המומחים שלנו ב-Hermeticon יעזור לכם להתמודד עם האתגרים הרגולטוריים שמציבות תקנות הגנות הפרטיות, תוך התאמה מדויקת לפעילות הארגונית והמשאבים שלכם. אנו נבצע תהליך מקיף של מיפוי, ניתוח, והטמעת פתרונות שיבטיחו עמידה מלאה בדרישות החוק.
השירותים שלנו כוללים:
- ייעוץ וליווי רגולטורי.
- סיוע משפטי ועריכת מסמכים הנדרשים על פי חוק.
- הטמעת נהלים ותהליכים.
- תכנון אסטרטגי לארגון בהתאמה לרגולציה.
………..
…….
תקנות הגנת הפרטיות – מי מחויב ובאיזו רמה?
כל אדם/ארגון המחזיק מאגר מידע מכל סוג וגודל מחויב בעמידה לפי תקנות הגנת הפרטיות על פי הרמה המתאימה לאופי מאגר המידע שברשותו:
- ניהול יחיד –מאגר עם עד שני בעלי הרשאה, המנוהל ע"י יחיד או חברה בבעלות יחיד.
מיועד לרוב לעסקים קטנים, ודורש את רמת האבטחה הנמוכה ביותר.
…….. - רמת אבטחה בסיסית – מאגרים שאינם בניהול יחיד, אך לא חלה עליהם החובה לרמת אבטחה בינונית/ גבוהה.
…….. - רמת האבטחה הבינונית – מאגר בעל מעל ל-10 בעלי הרשאה שבמידע שלו נעשה שימוש שנמסר לאחר או כזה המכיל מידע רפואי, מידע פלילי או כל מידע רגיש אחר.
…….. - רמת האבטחה הגבוהה – מאגר בעל מעל ל-100 בעלי הרשאה עם מידע לשימוש מסירה או מאגר הכולל מידע רגיש על מעל מאה אלף איש ומעלה.
אילו חובות רגולטוריות חלות על הארגון שלי בתחום הגנת הפרטיות בישראל?
החוק העיקרי הוא חוק הגנת הפרטיות, התשמ"א–1981, וממנו נגזרות תקנות אבטחת מידע אשר מגדירות מה נדרש לבצע בפועל. החוק חל על עסקים אשר מחזיקים מאגר מידע.
עיקר התקנות מתייחסות ליישום הגנות אבטחת מידע, כך שארגון שמיישם אותם גם מסייע לעצמו להיות מוגן יותר.
איך אני יודע אם מאגר המידע שלי חייב ברישום ברשות להגנת הפרטיות?
לא כל מאגר חייב ברישום. אבל…כל מאגר מחויב לעמוד בדרישות התקנות. כלומר, גם אם אין חובת רישום במשרד המשפטים, עדיין יש לוודא כי כל דרישות החוק מיושמות בארגון. אנחנו עוזרים לך לבדוק את הקריטריונים ולהגיש את הרישום במקרה הצורך.
האם חובה לבצע סקר סיכוני פרטיות או סקר אבטחת מידע?
תקנות הגנת הפרטיות מחייבות לבצע "הערכת סיכונים למאגרי מידע". עבור מאגרים בסיכון גבוה יש לבצע גם סקר סיכונים מלא ומבדק חדירות.
מה הסיכונים והקנסות שיכולים להיות לארגון שלא עומד בדרישות החוק?
בחודש אוגוסט 2025 נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות אשר מכיל שינוי דרמטי במנגנוני האכיפה והקנסות שהחוק מאפשר ליישם. אי-עמידה בתקנות עלולה להוביל לקנסות משמעותיים, פגיעה תדמיתית, ולפעמים גם אחריות אישית של נושאי משרה. הרשות עורכת ביקורות יזומות – ולכן מומלץ לפעול מבעוד מועד.
האם השירות כולל מסמכים משפטיים, נהלים ודוגמאות למדיניות פרטיות?
כן. אנו מספקים את כלל המסמכים הנדרשים בתקנות, באופן שמותאם בצורה מלאה למאפייני הארגון.
מה המשמעות של "מידע רגיש" לפי החוק ואיך עלי להגן עליו?
מידע רגיש כולל לדוגמה: מצב בריאותי, הכנסות, הרגלים אישיים, אמונות ועוד. החוק דורש אמצעי הגנה מוגברים כמו הגבלת גישה, הצפנה, בקרה טכנולוגית ונהלים מסודרים.
האם כל עסק חייב למנות ממונה על הגנת הפרטיות (DPO)?
המושג DPO "הושאל" מרגולציית ה GDPR האירופאית, והותאם לחוק הישראלי. לא כל ארגון מחויב במינוי DPO ויש לבחון זאת בהתאמה לקריטריונים שונים. עם זאת, תמיד מומלץ שיהיה אחראי פרטיות פנימי או חיצוני, אשר ידאג ליישום התקנות באופן שוטף, וגם ייתן מענה לפניות של בעלי עניין בנושא.
מה ההבדל בין תקנות הגנת הפרטיות בישראל, ה- GDPR והתקן ISO 27001?
GDPR ותקנות הגנת הפרטיות הישראליות הן רגולציות, כלומר חוק אשר מחויבים לעמוד בו. כאשר ה GDPR חל על ארגונים שמחזיקים מידע פרטי של תושבי האיחוד האירופי (אפילו בתי מלון בישראל מחויבים בו. תקן ISO27001 הוא תקן אבטחת מידע שאינו מחייב, וארגונים בוחרים ליישם אותו על מנת לעמוד בסטנדרטים גבוהים של אבטחת מידע. יש חפיפה גדולה בין הדרישות, אך יש גם הבדלים. כיוון שהתהליכים דומים, ארגונים רבים בוחרים להטמיע את תקן ISO27001 כדי לקבל הסמכה בינלאומית ובכך להגביר את אמון הלקוחות במותג.
מה משך הזמן הנדרש להיערכות או הסמכה לעמידה בתקנות הגנת הפרטיות?
לרוב, תהליך מלא אורך בין 4 ל-8 שבועות, תלוי בגודל הארגון ובמצב הקיים. ניתן לבצע גם תהליך מואץ במקרים דחופים – למשל לקראת ביקורת או השקעה.
מה בעצם התקנות דורשות?
יש שורה של דרישות המתייחסות גם לצד הטכני-סייבר של המערכות הממוחשבות אבל גם לצדדים ניהוליים ותפעוליים כגון משאבי אנוש ורכש. כמו כן ישנן דרישות רגולטוריות- משפטיות, כגון הסדרת האופן בו מועבר מידע בין גופים. עיקרי הדרישות בנושאים- אפיון המאגרים ורישומם, מינוי ממונה אבטחת מידע, ניהול מאובטח של המאגר, כתיבת נוהל אבטחת מידע, תיעוד של אירועי אבטחה, אבטחת מידע פיזית וסביבתי, התקנים ניידים, אבטחת תקשורת, מיקור חוץ, ביצוע ביקורות תקופתיות.
מה תקבלו מאיתנו?
- ליווי מלא לעמידה בחוק
- מיפוי וניהול סיכונים
- תסקיר מלא לעמידה בתקנות
יתרונות לביצוע התהליך עם Hermeticon:
ניסיון מעל 10 שנים בליווי מאות לקוחות
צוות מומחים בתחום המשפט והטכנולוגיה
שילוב עם GDPR, ISO27001
תהליך ממוקד ויעיל להטמעת הדרישות
מעוניינים להתייעץ עם מומחה בתחום אבטחת מידע?
תהליך ההטמעה לתקנות הגנת הפרטיות
-
1
פגישת היכרות ומיפוי מאגרי המידע
היכרות עם הארגון, אנשיו ומבנהו הארגוני, כולל תחומי אחריות ואינטגרציה בין בין הגורמים השונים. מיפוי זרימת המידע, יצירת מפת דרכים והגדרת נכסי המידע שעליהם יש להגן. -
2
ניתוח סיכוני סייבר וסיכונים משפטיים
זיהוי רמת אבטחת המידע ונכסי המידע, ובחינת הבסיס החוקי לעיבודו. התמקדות בשימוש במידע אישי בשיווק דיגיטלי, העברת מידע לחו"ל וזיהוי סיכונים משמעותיים. -
3
אפיון מדיניות ונהלים
עריכה, ארגון וכתיבת הנהלים הרלוונטיים: הכנת מדיניות אבטחת מידע, כתיבת נהלי אבטחת מידע בהתאם לדרישות התקן והשלמת הוראות עבודה רלוונטיות. -
4
הטמעה ויישום
הדרכות אבטחת מידע פרטניות לעובדים, אפיון קריטריונים לספקים וקבלני משנה, אפיון מנגנוני בקרה, תהליך מענה לאירועי אבטחת מידע וסייבר. -
5
רישום מאגר מידע
בחינת הצורך ברישום מאגרי המידע בהתאמה לתיקון 13 לחוק. ייבחנו התאמות נדרשות במאגרים על מנת לצמצם את הסיכון, לדוגמא מחיקת רשומות ישנות. -
6
תסקיר סיכום
מסמך מסכם חתום ע"י הרמטיקון אשר מסכם את סטטוס עמידת הארגון בדרישות החוק.
כמה מילים על התהליך עם קארין: היה תענוג לעבוד איתה, מקצועית, רגועה ונעימה + לעבודה. הובילה אותנו להסמכה בצורה חלקה! המון תודה והערכה.
תודעת שירות גבוהה שהפתיעה לטובה רמת זמינות גבוה ותמיד חזרה ללקוח,לא נשאר עם שאלות פתוחות תמיד יש סגירת מעגל. קידום תהליכי עבודה,מבחינת נועם הזזת את העבודה בדחיפה קדימה בעיקר חשוב שהוא בלופ ורואה את התקשרות שיצרת ואת העקביות אחר הדברים.
"עבודתה היסודית, הממוקדת והמקיפה הינה בעלת משמעות נכבדת והשפעה על תפקוד העמותה"
"לכל אורך התקופה, זכינו לזמינות מיידית (בכל שעות היום והלילה...), לאוזן קשבת, ללווי ולהתייעצות ולשיח ממוקד וענייני."
בחודשים האחרונים אנו בחברת Weme זוכים לליווי יוצא דופן מצד לינוי שילו, אשר מלווה אותנו בתהליך קבלת תקן ISO 27001. היום סיימנו הדרכת אבטחת מידע לכלל עובדי החברה בהובלתה של לינוי. המשובים מהעובדים היו מצוינים, וההדרכה הייתה מעשית, ממוקדת ויישומית. לא בכל יום פוגשים אשת מקצוע כה מסורה ואכפתית, הרואה חשיבות אמיתית בהצלחת לקוחותיה. לכן, חשוב לי להביע את הערכתי אליה באופן רשמי במסגרת מייל זה. תודה רבה!
לפני יומיים היה לנו איזה עניין בארגון של מייל שהופץ כמתחזה להרבה אנשים. אני חייבת לשתף אותך בהירתמות של אבי. תוך דקות הוא ניהל איתנו את האירוע בתשומת לב וירידה לפרטים. ליווה אותנו עד השעות המאוחרות של הערב/לילה בשיחות עם המנהלים וה-IT וגם שיחות עם עובדים שהיו זקוקים לסיוע. תענוג לעבוד עם האיש הזה. סופר מקצועי ואכפתי. זכינו בענק.