עדכון הרשות להגנת הפרטיות- דיווח מידי על אירוע אבטחה חמור

רשות הגנת הפרטיות אימצה לאחרונה פרשנות מצמצמת לתקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, הקובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה מחויב להודיע לרשות באופן מידי על אירוע אבטחה חמור, וכן לדווח על הצעדים שנקט בעקבות האירוע.

בכך נסוגה הרשות מהפרשנות הרחבה שאימצה לתקנה 11(ד)(1) הנ"ל בעבר, לפיה על הדיווח להיעשות בתוך 24 שעות ממועד גילויו של אירוע האבטחה החמור, ובכל מקרה לא יאוחר מ-72 שעות מאותו מועד.

לנוכח עמדתה המצמצמת של הרשות, הנצמדת ללשון החוק, יש לוודא כי הסכמי עיבוד המידע, אבטחת המידע ומיקור החוץ מנוסחים באופן המבטיח כי בעל המאגר ו/או המחזיק במאגר יעמדו בחובת הדיווח המידי.

תכליתו של עדכון זה להציג חידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.

צוות APM לפרטיות ואבטחת מידע.