ייעוץ משפטי

האם אני, כארגון, צריך ייעוץ משפטי?

סביר מאוד שכן.

כמה שאלות נפוצות:

האם קובץ אקסל (Excel) נחשב מאגר מידע?

בהחלט. זה בכלל לא חשוב מהי הפלטפורמה הממוחשבת על גביה שמורים הנתונים, כל עוד הארגון אוסף ומחזיק נתונים על אזרחי ישראל – חלים עליו חובות.

אם הנתונים נמצאים בתוכנה של ספק (SAAS) על מי החוק חל על הספק או הארגון?

החוק והתקנות חלים גם על הארגון שאחראי על איסוף הנתונים, וגם על ספק שירותי התוכנה בה הנתונים נשמרים ומועבדים. יש לקבוע בחוזה בין הארגון לספק התוכנה, גבולות גזרה ברורים, בין החלקים בחוק ובתקנות שהספק אחראי על יישומם, לבין החלקים בחוק ובתקנות שהארגון אחראי על יישומם, ולבצע מעקב ובקרה אחרי הסיכומים בחוזה.

מה מינימום נתונים שמחילים על הארגון חובות?

החוק מחולק בין ארבע רמות של מאגרי מידע, המאגר הבסיסי הוא מאגר בידי יחיד. שאר המאגרים, הם מאגרים שחלה עליהם רמת אבטחה בסיסית, בינונית או גבוהה. רמת האבטחה הנדרשת במאגר, היא נגזרת של חמש שאלות:

• סוג הארגון;
• סוג הנתונים;
• מטרת החזקת הנתונים;
• כמות האנשים עליהם יש נתונים;
• כמות האנשים שיש להם הרשאת גישה לנתונים;

ככל שרמת האבטחה הנדרשת למאגר גבוהה יותר, כך חלות יותר חובות על המאגר וסכום העיצום על הפרת חובות גבוהה יותר.

על מי מוטלת האחראיות על יישום חובות הקשורות להגנת פרטיות וסייבר?

שלושה גורמים אחראים על שמירת חובות הפרטיות:

הראשון, ״בעל השליטה״, מי שקובע, לבד או יחד עם אחרים, את מטרת איסוף ועיבוד המידע.

השני, ״מחזיק״, ספק חיצוני המבצע איסוף ועיבוד נתונים עבור בעל השליטה.

השלישי, ״הדירקטוריון״, בהקשר של חובת הפרטיות, רשות הפרטיות קובעת כי לדירקטוריון אחריות נרחבת, מעבר לפיקוח, ועליו לקבוע נהלי ביקורת ולעקוב אחר יישומם.

לצד שלושת הגורמים הנושאים באחריות, בחלק מהארגונים חלה חובת מינוי ממונה על הגנת הפרטיות שירכז לידו את כל ענייני הפרטיות בארגון.

איך אדע אם הארגון שלי עומד בדרישות החוק ובתקנות?

תחילה יש לוודא מהי רמת האבטחה שמאגרי המידע בארגון נדרשים לעמוד בה.

בהמשך ניתן לבצע סקירה, כדי לדעת איזה מהחובות הארגון מיישם ואיזה לא.

כאשר תתבהר תמונה ברורה של הפערים בין החובות בחוק ובתקנות לבין מצב הארגון – זה הזמן לתקנים את הפערים.