פרצו לכם למאגר נתונים? לא דיווחתם? רשות הפרטיות יכולה לתת קנס של עד 25,000 ש"ח לתאגיד

רשות הפרטיות מעלה הילוך באכיפת תקנות הפרטיות בישראל והחל מינואר 2019, תוחמר מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים. התקנות קובעות כי בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות תוך 24 שעות ממועד גילויו של אירוע אבטחת מידע חמור ובכל מקרה לא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע, ועל פי דרישת הרשות גם לאנשים עליהם המידע נחשף.

"עם כניסתן של התקנות לתוקף, פרסמה הרשות את מדיניותה בעניין אכיפתן וקבעה תקופת הטמעה ראשונית במטרה לאפשר לגופים ולחברות במשק להיערך בצורה מיטבית לכניסתן. עם סיום תקופת ההטמעה הראשונית ובהתאם למדיניות האכיפה שפורסמה, נכנסה לתוקפה תקופת הביניים, המגדירה עליית מדרגה בפעילות האכיפה במקרים של הפרת הוראות התקנות", כותבים באתר הרשות.

עד כה, במקרים בהם גוף דיווח כנדרש לרשות להגנת הפרטיות, על קיומו של אירוע אבטחת מידע חמור והבדיקה הראשונית שקיימה הרשות לא העלתה ממצאים חריגים של רשלנות או של היקף נזק משמעותי, נמנעה הרשות מפרסום ההפרה והסתפקה בדרישה לתיקון הליקויים שנמצאו.

כעת ועם כניסתה לתוקף של תקופת הביניים, ככלל הרשות תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה בו יימצא כי החובות המוגדרות בתקנות הופרו, למעט במקרים קלים. במקרים בהם תמצא הרשות להגנת הפרטיות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת המידע, לרבות בכל מקרה בו הגוף נמנע מדיווח לרשות על קיומו של האירוע או שניסה להסתיר את פרטיו, תפעל הרשות במלוא החומרה כנגד הגורם המפר, ובכלל זה תישקל התלייתו או ביטול רישומו של מאגר המידע של הגוף מפר החוק, באופן האוסר על השימוש במידע.

החל ממועד כניסתן לתוקף של התקנות במאי 2018, קיימה הרשות להגנת הפרטיות 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. מתוכם 45 אירועים אשר דווחו לרשות להגנת הפרטיות.

תגובת הרשות להגנת הפרטיות במשרד המשפטים:

"הקנסות מוטלים במסגרת הליכי אכיפה מנהליים בהתאם לתקנות העבירות המנהליות (קנס מינהלי – הגנת הפרטיות), תשס"ד-2004. גובה הקנסות ליחיד עד 5,000 ש״ח ולתאגיד עד 25,000 ש״ח."

אולי יעניין אותך גם