חומר רקע

PDF 30,559 תווים המסמך המקורי ↗
1 "י ד בסיון התשפ"ד ( 20 ביוני2024 ) אל : חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה מסמך הכנה מטעם הייעוץ המשפטי לוועדה 'לדיון מס17 (חלק שלישי ) ב הצעת חוק הגנת הפרטיות תוספת עיצומים על הפרת תקנות אבטחת מידע :תחולת התקנות מאגר מידע המנוהל על ידי יחיד – העיצומים המוצעים על ידי :הממשלה על פי תקנה21 (4 ) החובות החלות על בעל שליטה במאגר מידע המנוהל על ידי יחיד הן החובות המנויות בתקנות2 ][הכנת מסמך הגדרות המאגר , 6 )(א ][אבטחה פיזית וסביבתית , 9 )(א ][זיהוי ואימות , 11 )(א ][תיעוד אירוע אבטחה , 12 [ התקנים ניידים (לרבות מחשב נייד, טלפון נייד או(disc on key ] , 13 [ ניהול מאובטח ומעודכן של מערכות ]המאגר, 14 ][אבטחת תקשורת ו- 20 ][רגולציה ותקנים מקבילים : מאגרים שחלה עליהם רמת האבטחה הבסיסית מאגר ברמת אבטחה בסיסית הוא מאגר שמוגדר באופן שיורי. הוא אינו מאגר המנוהל על ידי יחיד ואינו ברמת אבטחה בינונית או גבוהה. על מאגרים אלו חלות תקנות1 עד3 , 4 (א), (ב), (ג), (ה) ו-(ו ,) 5(א), (ב) ו- ,)(ה6 ,)(א7(א) ו - ( ,)ב8 , 9(א) ו- ,)(ג11(א) ו- ,)(ב12 עד15 , 17 , 19 ו- 20 : מאגרים שחלה עליהם רמת האבטחה הבינונית ,מאגרי מידע שמטרתם איסוף מידע לצורך מס ,ירתו לאחר או מאגרי מידע בבעלות גוף ציבורי או שיש בהם מידע רגיש אודות10,000 אנשים ומעלה או ש מספר מורשי הגישה למידע זה עולה על10 . על מאגרים אלו חלות תקנות1 עד4 , 5 (א), (ב) ו- ,)(ה6 עד15 , 16(א), (ב), (ג) ו- ,)(ה17 , 18 ,)(א19 ו - 20 : מאגרים שחלה עליהם ר מת האבטחה הגבוהה ,מאגרי מידע ,שמטרתם איסוף מידע לצורך מסירתו לאחר או שיש בהם מידע רגיש אודות100,000 אנשים ומעלה ש או מספר מורשי הגישה למידע זה עולה על100 . על מאגרים אלו חלות תקנות1 עד20 . :תקנות נוספות חשובות לעניין התוספת 19 . חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה (א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר , ולמעט החובות הקבועות בתקנות2 ו- 15 )(א– הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין. (ב) מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה שאינה יצירת מסמך, נדרש לתעד באופן סביר את אופן ביצוע ;הפעולה לפי העניין הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור. " 20 . סמכויות הרשם ( )(א1 ) הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו. 2 (2) ( פטור מחובות או החלת חובות לפי פסקה1 ) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות. " ... " 25 . יחס לחיקוקים אחרים תקנות אלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים , זולת אם יש סתירה ביניהם. " " תוספת (סעיף 23כג(ה )) עיצום כספי על הפרת תקנות לפי החוק בתוספת זו – "גורם חיצוני " – כמשמעותו בתקנה 15 (א )לתקנות ; "מאגר המנוהל בידי יחיד" - מאגר מידע ש בעל השליטה בו הוא יחיד או תאגיד בבעלות יחיד או שני יחידים ,וש לכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש ,ולמעט מא גרי מידע כמפורט להלן: (1) מאגר מידע ש מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג ; ][הנוסח עודכן בהתאם לנוסח שאושר על ידי הוועדה באותו נושא (2) מאגר מידע שיש בו מידע על אודות10,000 אנשים ומעלה; (1)(3) מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתי;קה מקצועית [ לדיון– צמצום ההחרגה ממאגר יחיד בשל כפיפות לחובת סודיות או אתיקה מקצועית והמרתה ברשימה מפורשת / בהחלטה פרטנית של ראש הרשות ] בתוספת "זו "יחיד– אדם או בן משפחתו ממדרגה ראשונה/ א דם או קרובו "מאגר ים שחלה עליהם עלי ו רמת האבטחה הבסיסית"- מאגר מידע שאינו מאגר המנוהל בידי יחיד שמתקיימים בו :כל אלה (1) מטרתו העיקרית אינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג ; (2) בעל השליטה במאגר המידע אינו גוף ציבורי כמשמעותו/ כהגדרתו בסעיף23 לחוק ; (3) :המאגר אינו כולל מידע בעל רגישות מיוחדת ואם יש בו מידע בעל רגישות מיוחדת מתקיים אחד מאלה (א) מ ;ספר בעלי ההרשאה למאגר אצל בעל השליטה אינו עולה על עשרה )(ב המאגר כולל מידע בעל רגישות מיוחדת , על אודות המועסקים או הספקים של בעל השליטה ה משמש למטרות ניהול העסק בלבד והוא מהס ו גים להלן בלבד: (1) מידע ][ביומטרי כאמור בפסקה8 להגדרת ""מידע בעל רגישות מיוחדת ש הוא ;תמונת פנים בלבד (2) מידע רפואי, מידע על עבר פלילי, נתוני תקשורת ו מידע כלכלי ; (1)(3) מידע על צנעת חייו של העובד או של בן זוגו, ככזה , הנובע מרישום שמסר העובד . 3 "מאגר ים שחלה עלי ו הם רמת האבטחה הבינונית" – מאגר ש אינו מאגר מידע המנוהל על ידי יחיד ו מתקיים בו אחד :מאלה (1) מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג ; (2) בעל השליטה בו הוא גוף ציבורי כמשמעותו כהגדרתו בסעיף23 ;לחוק (1)(3) במאגר מידע בעל רגישות מיוחדת, כהגדרתו בסעיף3 , ולמעט מידע בעל רגישות מיוחדת המוחרג בפסקה (3 ))(ב"להגדרה "מאגר שחלה עליו רמת האבטחה הבסיסית ; מאגר שחלה ו עלי רמת האבטחה ה גבוהה" – מאגר ש :מתקיים בו אחד מאלה (1) ( מאגר מידע כאמור בפרט1 () 1 ( ) או1 () 3 ) להגדרת מאגר מידע ברמת האבטחה הבינונית ש מספר בעלי ההרשאה אצל בעל השליטה בו עולה על100 או שיש בו מידע על אודות100,000 בני אדם ומעלה . מאגר מידע יש ש בו מזהים ביומטריים של100,000 ;אנשים ומעלה "התקנות " – תקנות הגנת הפרטיות (אבטחת מידע ,)התשע"ז– 2017 1. ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- מאגר המנוהל בידי יחיד או מאגר שחלה עליו רמת האבטחה הבסיסית מאגר שחלה עליו רמת האבטחה הבינונית [ככלל ללא מידע ]רגיש מאגר שחלה עליו רמת האבטחה הגבוהה מאגר המנוהל בידי יחיד מאגר שחלה עליו רמת האבטח ה הגבוהה שיש בו מידע על אודות 1,000,00 0 אנשים ומעלה 1 ק '"ת התשע"ז, עמ1022 . 4 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- (1) ניגוד עניינים של ממונה אבטחת מידע: בעל שליטה במאגר מידע, החב במינוי ממונה על אבטחת מידע לפי סעיף17 ,ב שאינו מנוהל בידי יחיד, - מחזיק במאגר כאמור או מנהל מאגר כאמור , שהממונה על אבטחה במאגר מילא תפקיד נוסף בו שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו כממונה על אבטחה במאגר , בניגוד להוראות תקנה 3(4 )לתקנות ,או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות [ = ]מחזיק ; 1,000 20,000 80,000 - - (2) :מבנה מאגר ומערכותיו בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד,- מחזיק במאגר כאמור או מנהל מאגר כאמור שלא החזיק מסמך מעודכן של מבנה מאגר המידע או רשימת מצאי מעודכנת של מערכות המאגר בהתאם להוראות תקנה 5(א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 1,000 20,000 80,000 - 160,000 (3) שמירת מבנה המאגר מסירת פרטי מאגר ורשימת מצאי לפי צורך :בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי בהתאם ל לפי הרשאות הגישה שנקבעו בהתאם להוראות תקנה 5( ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; 1,000 20,000 80,000 - 160,000 (4) :הגנת מערכות בעל שליטה במאגר מידע , מחזיק במאגר או מנהל מאגר שלא הבטיח כי המערכות המפורטות בתקנה 5(א() 1) לתקנות יישמרו במקום מוגן , המונע חדירה וכניסה אליו בלא הרשאה ,וה באופן ה תואם את אופי פעילות המאגר ורגישות המידע ב,ו בהתאם להוראות תקנה 6(א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 1,000 20,000 80,000 1,000 ]?[ 160,000 5 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- (5) :בקרה ותיעוד כניסה לאתרים בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא נקט אמצעים לבקרה ולתיעוד בהתאם להוראות תקנה 6(ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; – 20,000 80,000 - 160,000 (6) :ניהול כוח אדם בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד ,מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה ,בלי שנקט כל אף אמצעי סביר כאמור בתקנה 7(א )לתקנות , בניגוד להוראות אותה תקנה או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; 1,000 20,000 80,000 - 160,000 (7) הדרכת כוח אדם :בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד ,מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן לבעלי הרשאות גישה למידע ממאגר המידע או ששינה שינוי מהותי את היקף הרשאותיהם בלא שקיים הדרכות או בלא שמסר להם מידע , בניגוד להוראות תקנה 7(ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 1,000 20,000 80,000 - 160,000 (8) :הדרכה תקופתית בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה , מחזיק במאגר כאמור או מנהל מאגר כאמור , שלא קיים פעילות הדרכה תקופתית לבעלי ההרשאות שלו בהתאם להוראות תקנה 7 (ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – 20,000 80,000 160,000 6 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- (9) :תיעוד בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא שמר שנה לפחות את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב ,) 8 עד 11 , 14 , 15 (א() 4 )ו- 16 לתקנות ,החלות עליו , בהתאם להוראות תקנה 17 (א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; 1,000 20,000 80,000 - 160,000 ( 10 ) גיבוי נתוני התיעוד ... : בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא :עשה את אחד מאלה )(א גיבה את הנתונים שנשמרו כאמור בתקנה 17 (א ) לתקנות בהתאם להוראות תקנה 17 (ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; )(ב קבע במסמך את העניינים האמורים בתקנה 18 (א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; )(ג דאג לכך שיישמר עותק הגיבוי של הנתונים האמורים בתקנה 18 (א() 1 )לתקנות או של הנהלים כאמור בתקנה 18 (א() 2 )לתקנות ,בהתאם להוראות תקנה 18 (ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין . – 20,000 80,000 - 160,000 ( 11 ) :נוהל גיבוי ושחזור של נתוני אבטחה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור , שלא קבע במסמך את העניינים האמורים בתקנה 18 (א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; – 20,000 80,000 160,000 7 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 12 ) :גיבוי נתוני אבטחה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שיישמר עותק הגיבוי של הנתונים האמורים בתקנה 18 (א() 1 )לתקנות או של הנהלים כאמור בתקנה 18 (א() 2 )לתקנות ,בהתאם להוראות תקנה 18 (ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; – 20,000 80,000 - ( 13 ) חובת תיעוד כללית הפרת חובות תיעוד : בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא תיעד , בהתאם להוראות שניתנו לפי תקנה19 )(ב באופן סביר את אופן ביצועה של פעולה שאינה יצירת מסמך ,שחלה עליו חובה או אחריות לבצעה לפי תקנות ,בניגוד להוראות תקנה 19 (ב )לתקנות ; 1,000 20,000 80,000 - ,000 160 ( 14 ) :הכנת מסמך הגדרות מאגר בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א )לתקנות ; 2,000 בכפוף לנוהל התראה 40,000 160,000 2,000 ]?[ בכפוף לנוהל התראה ,000 320 ( 15 ) :עדכון מסמך הגדרות מאגר בעל שליטה במאגר מידע או מנהל מאגר שלא עדכן את מסמך הגדרות המאגר בהתאם להוראות תקנה 2(ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 2,000 בכפוף לנוהל התראה 40,000 160,000 2,000 ]?[ בכפוף לנוהל התראה 320,000 ( 16 ) :בדיקת מידע עודף בעל שליטה במאגר מידע או מנהל מאגר שלא [בחן או ] תיעד את הבחינה בחן אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר ,בניגוד להוראות תקנה 2(ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 2,000 40,000 160,000 2,000 ]?[ 320,000 8 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 17 ) :הכנת נוהל אבטחת מידע בעל שליטה במאגר מידע שאינו מאגר המנוהל בידי יחיד , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר והתקנות ( להלן – נוהל אבטחה ,) בניגוד להוראות תקנה 4(א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; הממשלה מבקשת להעלות את הסכומים כמוצע ,000 4 2 ,000 80 40 160 ,000 320 - 640,000 ( 18 ) נוהל אבטחה – הכנה, שמירה ו קביעת :הוראות בעל שליטה במאגר מידע שאינו מאגר המנוהל בידי יחיד ,מחזיק במאגר כאמור או מנהל מאגר כאמור ,ש ביצע אחת או יותר מההפרות שלהלן: לא עשה:אחד מאלה )(א לא שמר את נוהל האבטחה בהתאם להוראות תקנה4( )ב לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; )(ב לא כלל בנוהל האבטחה את הפרטים המנויים בתקנה 4(ג )לתקנות; או לעניין מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה – לא כלל בו התייחסות לפרטים המנויים בתקנה 4(ד ) לתקנות או הוראות כאמור בתקנה 9(ב() 2 ) לתקנות; )(ג לא קבע ב נוהל האבטחה ו הוראות לעניין התמודדות עם אירועי אבטחת מידע או לעניין דיווח לבעל השליטה במאגר בהתאם להוראות תקנה 11 (ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין; )(ד פירט בנוהל האבטחה את העניינים המנויים בפסקה (2 ()א )עד (ה ) של תקנה 15 (א )לתקנות ,בניגוד להוראות פסקה (3 ) לאותה תקנה ; 2000 40,000 160,000 - 320,000 9 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- (א) לא שמר אותו בהתאם להוראות תקנה 4(ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; 2,000 40,000 160,000 - (ב) לא כלל בו את הפרטים המנויים בתקנה 4(ג )לתקנות ; 2,000 40,000 160,000 - (ג) לעניין מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה – לא כלל בו התייחסות לפרטים המנויים בתקנה 4(ד ) לתקנות או הוראות כאמור בתקנה 9(ב() 2 ) לתקנות ; – 40,000 160,000 - (ד) לא קבע בו הוראות לעניין התמודדות עם אירועי אבטחת מידע או לעניין דיווח לבעל השליטה במאגר בהתאם להוראות תקנה 11 (ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; 2,000 40,000 160,000 - (ה) לא פירט בו גם את העניינים המנויים בפסקה (2 ()א )עד (ה ) של תקנה 15 (א )לתקנות ,בניגוד להוראות פסקה (3 ) לאותה תקנה ; 2,000 40,000 160,000 - ( 19 ) :סקר סיכונים בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה , מחזיק במאגר כאמור או מנהל מאגר כאמור ,שלא דאג לכך שייערך סקר לאיתור סיכוני אבטחת מידע אחת לשמונה עשר חודשים לפחות (להלן – סקר סיכונים ,) או שלא דן בתוצאות סקר הסיכונים שהועברו לו ולא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן , או שלא פעל לתיקון הליקויים שהתגלו במסגרת הסקר ,בניגוד להוראות תקנה 5(ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; הממשלה מבקשת להעלות את הסכומים כמוצע – – 160 ,000 320 - 640,000 10 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 20 ) מבדקי חדירות : בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שייערכו מבדקי חדירות למערכות המאגר , אחת לשמונה עשר חודשים לפחות , או לא דן בתוצאות מבדקי החדירות או לא פעל לתיקון הליקויים שהתגלו , בניגוד להוראות תקנה 5(ד )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; הממשלה מבקשת להעלות את הסכומים כמוצע – – 160 ,000 320 - 320,000 ( 21 ) :קביעה וניהול של הרשאות גישה בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר ,בהתאם להוראות תקנה 8(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין , או שלא ניהל רישום מעודכן בהתאם להוראות תקנה 8(ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין (להלן – רשימת הרשאות תקפות ;) 2,000 40,000 160,000 - 320,000 ( 22 ) :יישום נוהל הרשאות הגישה בעל שליטה במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא נקט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו ,כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות , בניגוד להוראות תקנה 9 (א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין. , או שלא דאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו , בניגוד להוראות תקנה 9( ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 2,000 נוהל התראה 40,000 נוהל התראה 160,000 נוהל התראה ]?[ 2,000 נוהל התראה 320,000 נוהל התראה 11 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 22א )יישום נוהל הרשאות הגישה ביחס לבעל הרשאה שסיים את תפקידו :בעל שליטה במאגר מידע ,מחזיק במאגר שלא דאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו , בניגוד להוראות תקנה 9(ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; 2,000 נוהל התראה 40,000 נוהל התראה 160,000 נוהל התראה ]?[ 2,000 נוהל התראה 320,000 נוהל התראה ( 23 ) :זיהוי על בסיס אמצעי פיזי בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שאופן הזיהוי במאגר ייעשה ככל האפשר על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה, בניגוד להוראות תקנה 9(ב() 1 )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – 40,000 160,000 ( 24 ) :מנגנון בקרה ותיעוד גישה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא :ביצע אחד מאלה )(א דאג שינוהל מנגנון בקרה בהתאם להוראות תקנה 10 (א )ו-(ב )לתקנות (להלן – מנגנון בקרה ) או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; )(ב קבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה או שלא ו ערך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן , בניגוד להוראות תקנה 10 (ג )לתקנות להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; )(ג שלא דאג שנתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות ,בניגוד להוראות תקנה 10 (ד )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – 40,000 160,000 - 320,000 12 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- )(ד שלא יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה ,בניגוד להוראות תקנה 10 ( ה ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; ( 25 ) נוהל בדיקה למ :נגנון הבקרה ותיעוד הגישה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה או שלא ערך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן , בניגוד להוראות תקנה 10 (ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; – 40,000 160,000 - ( 26 ) שמירת נתוני התיעוד של מנגנון הבקרה : בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג שנתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות , בניגוד להוראות תקנה 10 (ד )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; – 40,000 160,000 - ( 27 ) יידוע :על מנגנון הבקרה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה ,בניגוד להוראות תקנה 10 ( ה ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; – 40,000 160,000 - ( 28 ) עוד ית :אירוע אבטחת מידע בעל שליטה במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא דאג שיתועד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירוע אבטחת מידע )בהתאם להוראות תקנה 11 (א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; [לבחי נה נוספת ] 2,000 40,000 160,000 2,000 ]?[ 320,000 13 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 29 ) :דיון תקופתי באירועי אבטחת מידע בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה או מחזיק במאגר כאמור שלא קיים [קיים דיון ו]תיעד את קיו מו של דיון באירועי אבטחת המידע או שלא בחן את ו בחינת הצורך בעדכון נוהל האבטחה ,בניגוד להוראות תקנה 11 ( ג ) ולהוראות תקנה19 )(ב לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ; – 40,000 160,000 - 320,000 ( 30 ) :דיווח לרשות אודות אירוע אבטחה חמור בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא הודיע לממונה לראש הרשות באופן מיידי על אירוע אבטחה חמור , או שלא דיווח לממונה לראש הרשות על הצעדים שנקט בעקבות האירוע בהתאם להוראות תקנה 11 (ד() 1 ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; הממשלה מבקשת ל העלות את הסכומים, כמוצע – ,000 80 40 ,0 320 160 00 - 640,000 ( 31 ) חיבור התקנים ניידים: בעל שליטה במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא הגביל או שלא מנע אפשרות לחיבור התקנים ניידים למערכות המאגר ,או שאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד בלא שנקט אמצעי הגנה ,בניגוד להוראות תקנה 12 לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; הממשלה מבקשת לדון מחדש ב מחיקה 2,000 40,000 160,000 2,000 ]?[ 320,000 ( 32 ) :)הפרדת מערכות המאגר (מידור בעל שליטה במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא הפריד בין מערכות המאגר אשר ניתן לגשת מהן למידע ,לבין מערכות מחשוב אחרות המשמשות אותו ,בניגוד להוראות תקנה 13 ( ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 2,000 40,000 20,000 כפו ף לנוהל התראה 160,000 80,000 כפוף לנוהל התראה 2,000 160,00 כפוף לנוהל התראה 14 ההפרה סכום העיצום הכספי (בשקלים חדשים ) טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 33 ) עדכון :מערכות המאגר בעל שליטה במאגר מידע , מחזיק במאגר או מנהל מאגר שלא דאג לכך שייערכו עדכונים שוטפים של מערכות המאגר , לרבות חומר המחשב הנדרש לפעולתן ,או לכך שלא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן בלא שניתן מענה אבטחתי מתאים , בניגוד להוראות תקנה 13 ( ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; הממשלה מבקשת לדון מחדש ב מחיקה 2,000 40,000 160,000 2,000 ]?[ 320,000 טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 34 ) אבטחת חיבור לרשת :בעל שליטה במאגר מידע , מחזיק במאגר או מנהל מאגר שחיבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת , בלא התקנת אמצעי הגנה מתאימים ,בניגוד להוראות תקנה 14 ( א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 2,000 40,000 160,000 2,000 320,000 ( 35 ) :הצפנת מידע המועבר ברשת בעל שליטה במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא דאג לכך שהעברת מידע ממאגר המידע ,ברשת ציבורית או באינטרנט ,תיעשה תוך שימוש בשיטות הצפנה מקובלות, בניגוד להוראות תקנה 14 ( ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; 2,000 40,000 160,000 15 טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 36 ) אמצעי זיהוי ב :גישה מרחוק בעל שליטה במאגר מידע שניתן לגשת אליו מרחוק , באמצעות רשת האינטרנט או רשת ציבורית אחרת ,מחזיק במאגר כאמור או מנהל מאגר כאמור שלא עשה שימוש באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה , ולעניין מאגר מידע כאמור שחלה עליו רמת האבטחה הבינונית או הגבוהה – לא עשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של בעל ההרשאה, בניגוד להוראות תקנה 14 (ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ; 2,000 40,000 160,000 ( 37 ) ביקורת :תקופתית בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה , מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שתיערך ביקורת פנימית או חיצונית בהתאם להוראות תקנה 16 ( א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ,או שלא דן בדוחות הביקורת שהועברו לו ,או שלא ן בח את ה צורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם, בניגוד להוראות תקנה 16 (ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות , לפי העניין ; האם ?תואם את החלטת הוועדה התבקש ה חובת תיעוד פרטנית – ,00 80 40 0 160 ,000 320 - 640,000 16 טור א ' טור ב' ][בסיסי טור ג' [ ]בינוני טור ד' ][גבוהה 'טור ה ][יחיד 'טור ו [ מגה ]מאגר- ( 38 ) )בקרה ופיקוח על גורם חיצוני (מיקור חוץ :בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד או מנהל מאגר כאמור שלא נקט כל אמצעי בקרה ופיקוח בעניינים שלהלן על עמידתו של הגורם החיצוני בהוראות שנקבעו בהסכם איתו, הכוללים קבלת עדכונים עיתיים ,ולעניין פסקה (1 ,)דיווח על השמדת המידע ,אם נכללה בהסכם התחייבות להשמדת המידע, בדיקות תקופתיות וטיפול בתקלות ,והכול בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1 ) של תקנה 15 (א )לתקנות, בניגוד להוראות פסקה (4 )של אותה תקנה : (א) חובתו של הגורם החיצוני להשיב את המידע לידי הבעלים בסיום ההתקשרות ,ואם נקבעה בהסכם התחייבות להשמדת המידע – חובתו של הגורם החיצוני להשמיד את המידע, וחובתו של הגורם החיצוני לדווח לבעל השליטה במאגר או למנהל המאגר , לפי העניין , על השבה או השמדה כאמור ,כפי שנקבעו בהסכם בהתאם לתקנה 15 (א() 2 ()ד ) לתקנות ; (ב) חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות כאמור בתקנה 15 (א() 2 ()ו )לתקנות ,כפי שנקבעה בהסכם בהתאם לאותה תקנה ; (ג) חובתו של ה גורם ה חיצוני שרשאי לפי ההסכם איתו לתת את השירות באמצעות גורם נוסף , לכלול בהסכם עם הגורם הנוסף את הנושאים שיש לפרט בהסכם בינו לבין בעל השליטה במאגר או מנהל המאגר, לפי העניין , בהתאם לתקנה 15 (א() 2 ()ז )לתקנות ; (ד) חובתו של הגורם החיצוני לדווח לבעל השליטה במאגר על אודות אופן ביצוע חובותיו לפי התקנות וההסכם , ולהודיע לו במקרה של אירוע אבטחה, בהתאם לתקנה 15 (א() 2 ()ח ) לתקנות . 4,000 80,000 320,000 - 640,000