הקשר שבין GDPR - ותקנות הגנת הפרטיות הישראליות

לאחרונה נשאלתי לעניין הקשר שבין תקנות אבטחת המידע הישראליות, לבין תקנות ה GDPR האירופאיות, ומשכך להלן מקצת מהשאלות אשר נשאלות ע"י הרשות למשפט ולטכנולוגיה, במסגרת סמכותם מתוקף  בסעיף 10 (ה 1) לחוק הגנת הפרטיות, התשמ"א 1981, וכנגזרת לנשאל בתקנות האירופאיות:

1.האם קיים טופס מסוים, מנגנון מסוים או הליך מסוים, שבהתאם לו יכולים עובדי הנבדק לדווח לגורם הרלבנטי בנבדק על אירועי אבטחה שאירעו, או על חשד לאירוע אבטחה?

2.מהם הצעדים הננקטים בנבדק עם התרחשות אירוע אבטחה ?

3.האם קיים בנבדק נוהל לדיווח על אירוע אבטחת מידע לאנשים שנפגעו או היו עלולים להיפגע מהאירוע? האם קיים נוהל לדיווח על אירוע אבטחת מידע לרשות להגנת הפרטיות או לגורמי אכיפה אחרים?

4.אם הנבדק מעביר דיווחים על אירועי אבטחה, אנא פרטו איזה סוגי מידע מועברים, ולאיזה גורמים?

5.תוך כמה זמן מהתרחשות האירוע, או מהמועד שבו נודע לנבדק על האירוע, מועבר הדיווח לגורמים השונים?

6.האם קיים בנבדק נוהל לביצוע מעקב מול הגורמים השונים שאמורים לקבל דיווח על אירועי אבטחה?

7.האם הנבדק מדווח רק על אירועי אבטחה מסוג מסוים, או שעברו רף מסוים? אנא פרטו כיצד נקבע רף זה.

8.האם הנבדק מתעד אירועי אבטחה, או מקרים שמהם עולה חשש לאירוע אבטחה , אם כן, אנא פרטו מה המידע המתועד (כגון: מועדים, לוגים, סוג המידע שנחשף / נפגע כמות הרשומות שנחשפו / נפגעו) ב 12 החודשים האחרונים?

9.כמה אירועי אבטחה תועדו במשך וכן כמה אירועים דווחו לרשויות?

10.כמה אירועים דווחו לאנשים שעלולים היו להיפגע מהאירוע?

11.האם הנבדק מקיים בדיקה תקופתית של אירועי אבטחה? אם כן, כיצד מתבצעת הבדיקה, והאם נבחן במסגרתה הצורך בעדכונו של נוהל האבטחה של מאגרי המידע של הנבדק?

12.איזה כלים מיישם הנבדק כדי להימנע מהישנות אירועי אבטחה (למשל, ביצוע סקרי סיכונים תקופתיים, מבדקי חדירות, וכדומה)?

ועוד ועוד.
שלא תגידו שלא אמרתי....

ד"ר שני רופא, עו"ד
משפט וטכנולוגיה, מחשבים ואינטרנט, דיני משפחה ומשפט מסחרי.
Mobile: 052-3078833
Direct: 03-908-0934
Fax: 03-908-0939
E-Mail: Shani@roffeh.com
web: www.roffeh.com
web: www.roffeh.net
web: www.roffeh.biz