gdpr Data breach

מה העסק שלי צריך לעשות לפי ה-GDPR כשמתרחשת פרצת אבטחה?

אציע לכם מדריך ראשוני קצר (שאינו ממצה ואינו מחליף ייעוץ משפטי במקרה ספציפי) ביחס לשאלות שונות המתייחסות לפעילות הנדרשת מעסק עקב פרצות אבטחת מידע (Data Breach) בהתאם ל-GDPR. קראו ולימדו.

 

מה זו פרצת אבטחת מידע?

נתחיל בהתחלה. העוסקים בתחום אבטחת המידע יודעים כבר תקופה די ממושכת שפרצת אבטחת מידע אינה חייבת לכלול פריצה אקטיבית. למעשה פרצת אבטחה היא כל אלמנט שיש בו כדי לגרום לחשש ביחס להגנה על המידע. המדובר בתקלה כזו או אחרת המאפשרת לגורם חיצוני נגישות בצורה כלשהי למידע שהוא לא אמור או אינו רשאי לגשת אליו.

חשוב להיות מודעים למגוון הגדול של פרצות אבטחת מידע שעלולות לקרות, ולהתייחס לכולן. פרצות יכולות להיות מסוגים שונים, דוגמת – משלוח מייל בשגגה לנמען לא מתוכנן, נקיטת פעולה לא מאושרת או מתוכננת על ידי מעבד המידע, מתן גישה למי שאינו מוסמך לקבלה, איבוד מכשיר (סלולארי או מחשב נייד) המאפשר גישה למידע, שינוי המידע בידי עובד שאינו מוסמך לכך, מחיקת שדות לא מתוכננת וכדומה.

 

על אילו פרצות אבטחה חובה עלי לדווח

נקודת המוצא של תקנות הגנת מידע ופרטיות באירופה היא שלא כל פרצה חבה בדיווח.

סעיף 33 ל-GDPR קובע שפרצת אבטחת מידע למאגר המכיל מידע אישי חייבת בדיווח לרשות המפקחת הרלוונטית לאותו תאגיד, אלא אם לא סביר להניח שהפרצה תתבטא בנזק לזכויות וחירויות נשואי המידע.

סעיף 34 קובע שפרצת אבטחת מידע למאגר המכיל מידע אישי חייבת בדיווח גם לנשואי המידע עצמם, לציבור, אם סביר להניח שהפרצה תתבטא בנזק חמור לזכויות וחירויות נשואי המידע.

מכאן אנו למדים שפרצות אבטחה למידע שאינו מידע אישי, או פרצות שהנזק שיגרם מהן בחומרתו או בהיקפו לא יהיו משמעותיים, ככל הנראה אינן חייבות בדיווח כלל ועיקר.

הדיווח לרשויות האירופיות גם לא יהיה רלוונטי אם אין במאגר המידע אנשים הנמצאים באירופה. אולם יתכן מאוד שמדינות אחרות – כמו מדינת ישראל – מטילות חובות מקבילות שיש לבדוק אותן ולעמוד בהן ביחס לכל מדינה רלוונטית.

כל עסק שבדק ומצא כי הוא כפוף ל-GDPR יוודא מראש מה היא הרשות המפקחת המתייחסת לעסקיו, יכין נוהל איתור פרצות אבטחה, נוהל טיפול בפרצות אבטחה וכמובן נוהל דיווח פרצות אבטחה לרשות או לציבור.

הגדרת "נזק לזכויות וחירויות האנשים" הינו מונח המוסבר במסמכים אירופיים קודמים, בעיקר כאלמנט שניתן להבינו תוך הפעלת שיקול דעת סביר, אך ללא הגדרה מדוייקת ברגולציה.

 

כמה מהר עלי לדווח על פרצת אבטחה?

בניגוד לדין הישראלי או לדין האירופי הקודם, ה-GDPR מטילה חובת דיווח על פרצת אאבטחה הנכללת בגדר הסעיפים, "ללא עיכוב לא ראוי, וככל האפשר לא יאוחר מ-72 שעות מהמועד בו הבחנתם בארוע".

זהו גבול זמן קצר מאוד, ולמעשה חובה לבצע בו דיווח גם אם לא פענחתם את מלוא השפעות וסיבות פרצת האבטחה (אלא שבדיווח חלקי זה, חשוב לציין את חלקיותו ולהשלים אותו בהקדם האפשרי).

שימו לב ששעון זמן מתחיל "לתקתק", לא ממועד ארוע האבטחה, אלא מהמועד בו הוא הפך להיות ידוע.

 

מה צריך לפרט בהודעה לרשויות האירופיות?

אז גיליתם שהיתה פריצה למאגר שלכם, ואתם יודעים שקיים בו מידע אישי המתייחס לתושבים אירופיים, ובגם ברור לכם שהנזק יכול להיות לא מבוטל כך שנדרש לדווח לרשויות האירופיות (או לפרטים שהמידע מתייחס אליהם). אבל מה מדווחים?

הודעת הדיווח צריך שתסביר ותפרט –

  • את אופי הפרצה שנתגלתה, מי היה מעורב בה (ככל והדבר ידוע), איזה סוגי מידע נפרצו, מה כמויות השדות והמידע שנחשפו ומידע רלוונטי דומה.
  • מה הם פרטי הקשר של קצין הגנת הפרטיות או המנהל האחראי על כך והנציג האירופי של הארגון.
  • מה הן התוצאות הצפויות לאור הפרצה המתוארת.
  • מה הם הצעדים שננקטו ואשר יוסיפו להנקט במטרה לצמצם ולמזער את הנזק שעשוי להגרם לפרטים בעקבות פרצת האבטחה וכן מניע של התרחשות חוזרת של אותה פרצה.

עוד שימו לב, שאם הצלחתם להפעיל אמצעי הגנה ראויים (טכנולוגיים וארגוניים) שגרמו לחכך שהמידע הנחשף לא יהיה ניתן להבנה על ידי מי שאינו מורשה לו (למשל באמצעות הצפנה חזקה או הפרדה חדה בין מאגרי מידע שונים באופן שלא מאפשר שילוב שלהם להחרפת הנזק) – חובת הדיווח לציבור, מתבטלת ביחס לאותה פרצה רלוונטית.

חריגים אחרים הם למשל כאלו שההודעה בעקבותיהם תצריך מאמצים והשקעות לא פרופורציונאליות, ואז מוטלת חובה למצוא אמצעי דיווח חלופי.

 

ואם אני מעבד מידע (Processor) ולא האחראי לו?

חובת הדיווח ב-GDPR לרשויות או לפרטים מוטלת על בעל המאגר, ה-Data Controller.

גם אם אתם "רק" מעבדי מידע (Data Processor) גם אז אתם חבים בחובת דיווח, אלא שזו מופנית רק לבעל מאגר המידע, ללא חובה לדווח לרשויות ולפרטים.

 

אחרי הטיפול בפרצה – תיעוד

אבקש להזכיר, שנוסף על חובת הטיפול בפרצה והדיווח, מוטלת עליכם גם חובת תיעוד שוטף של כל הפרצות, העובדות הרלוונטיות והצעדים שננקטו בעקבותיהן.

 

איך הדיווח מתרחש בפועל

רשויות הגנת המידע והפרטיות השונות מתייחסות למצבים כגון אלו באתרים שלהן, כך שמומלץ שתכירו את העמוד הרלוונטי באתר של הרשות שרלוונטית אליכם.

לדוגמא, אצל הרשות האנגלית, ICO, תוכלו למצוא את העניין באתר שלה כאן – https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach /

אצל הרשות הצרפתית, CNIL, תוכלו למצוא פרטים כאן – https://www.cnil.fr/fr/notifications-dincidents-de-securite-aux-autorites-de-regulation-comment-sorganiser-et-qui-sadresser

מקווה שעזרתי מעט לפזר את הערפל. אם תרצו לקרוא עוד בנושא ה-GDPR אתם מוזמנים לקרוא כאן, או ליצור עמנו קשר במשרד, ב-03-6133333.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.