כידוע, תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 מחייבת לדווח לרשם מאגרי מידע על התרחשות של "אירוע אבטחה חמור", כהגדרתו בתקנות.
הרשות להגנת הפרטיות פרסמה השבוע טופס דיווח מעודכן.
מדובר בטופס אינטרנטי נוח יותר למילוי מקובץ ה PDF הקודם, שדרש התקנה של קבצי גופנים בעברית שהקשתה על משתמשים בארגונים שלא מאפשרים להתקין קבצים מהאינטרנט.
השינוי החשוב יותר הוא במהות. הרשות מציינת כי "יש לפרט ולמסור את כל הפרטים האפשריים הידועים… יש לצרף כל אסמכתא אפשרית או פרט מידע שעשויים לסייע בחקירת האירוע ומצויים בידי הגורם המדווח בעת מילוי טופס זה. לדוגמה, קישורים רלוונטיים, צילומי מסך, לוגים של אפליקציות ומערכות רלוונטיות (מערכות לניטור, לניהול רשת, לשליטה ובקרה), וכדומה".
למרות הפירוט הרב, הטופס "מיועד לארגון לשם דיווח ראשוני ומיידי", ודורש לצרף רק את המידע שזמין "בעת מילוי טופס זה". במילים אחרות, איסוף חומר רק לשם הדיווח אינו עילה לעיכוב. מצד שני, חשש גרידא לאירוע אבטחה לא מקים חובת דיווח (אף שהוא מקים חובת תיעוד, לפי תקנה 11(א)).
התקנות אמנם נוקטות בלשון נחרצת ודורשות דיווח אם "אירע אירוע אבטחה חמור", אך כפי שהרשות הסבירה ומסבירה שוב עכשיו, גם חשד שאירוע אבטחה חמור התרחש (ולא רק ידיעה וודאית על התרחשותו) מקים חובת דיווח. הפרטים שמבקשת הרשות בטופס החדש, כמו "לוגים של אפליקציות ומערכות רלוונטיות (מערכות לניטור, לניהול רשת, לשליטה ובקרה)" מרמזים על הבדיקות שיכולות להפוך חשש לחשד – או להפריך את החשש (כמובן שנדרש דיווח מיידי במקרים המובהקים).
שאלות נוספות בטופס מתעניינות בנושאים כמו מיקום המאגר (מקומי או מרוחק), האם מעורב ספק שירות, והאם קיים כיסוי ביטוחי לאירוע (ייתכן ששאלות אלה משמשות אינדיקציה למעורבות של גורמי אבטחה מקצועיים מטעם הספק החיצוני או מטעם חברת הביטוח), והאם זו הפעם הראשונה שהארגון מדווח על אירוע אבטחה מאז כניסת התקנות לתוקף.
אנו עומדים לרשותכם בכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.