חומר רקע
1
(
עודכן-
13
ביולי2024
)
אל
: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
מסמך הכנה מטעם הייעוץ המשפטי לוועדה 'לדיון מס17
(חלק
שלישי
) ב
הצעת חוק הגנת הפרטיות
תוספת עיצומים על הפרת תקנות אבטחת מידע
:תחולת התקנות
מאגר מידע המנוהל על ידי יחיד –
העיצומים המוצעים על ידי :הממשלה
על פי תקנה21
(4
) החובות החלות על בעל שליטה במאגר מידע המנוהל על ידי יחיד הן החובות המנויות בתקנות2
][הכנת מסמך הגדרות המאגר ,
6
)(א
][אבטחה פיזית וסביבתית ,
9
)(א
][זיהוי ואימות ,
11
)(א [תיעוד אי]רוע אבטחה ,
12
[
התקנים ניידים (לרבות מחשב נייד, טלפון נייד אוdisc on key
(] ,
13
[
ניהול מאובטח ומעודכן של מערכות
]המאגר,
14
][אבטחת תקשורת ו-
20
][רגולציה ותקנים מקבילים :
מאגרים שחלה עליהם רמת האב
טחה הבסיסית
מאגר ברמת אבטחה בסיסית הוא מאגר שמוגדר באופן שיורי. הוא אינו מאגר המנוהל על ידי יחיד ואינו ברמת
אבטחה בינונית או גבוהה.
על מאגרים אלו חלות תקנות1
עד3
,
4(א), (ב), (ג), (ה) ו-
,)(ו5(א), (ב) ו-
,)(ה6
,)(א7(א) ו-
,)(ב8
,
9(א) ו-
,)(ג11(א) ו-
,)(ב12
עד15
,
17
,
19
ו-
20
:
מאגרים שחלה עליהם רמת האבטחה הבינונית
,מאגרי מידע שמטרתם איסוף מידע לצורך מס ,ירתו לאחר או מאגרי מידע בבעלות גוף ציבורי או שיש בהם מידע
רגיש
אודות10,000
אנשים ומעלה
או ש מספר מורשי הגישה למידע זה עולה על10
. על מאגרים אלו חלות תקנות 1
עד4
,
5(א), (ב) ו-
,)(ה6
עד15
,
16(א), (ב), (ג) ו-
,)(ה17
,
18
,)(א19
ו-
20
:
מאגרים שחלה עליהם ר מת האבטחה
הגבוהה
,מאגרי מידע
,שמטרתם איסוף מידע לצורך מסירתו לאחר
או שיש בהם מידע רגיש או דות100,000
אנשים ומעלה
ש או מספר מורשי הגישה למידע זה עולה על100
.
על מאגרים אלו חלות תקנות1
עד20
.
:תקנות נוספות חשובות לעניין התוספת
19. חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
(א)
החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר , ולמעט החובות הקבועות בתקנות2 ו-
15
)(א–
הן
יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.
(ב)
מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה שאינה יצירת מסמך, נדרש לתעד באופן סביר את אופן ביצוע
;הפעולה לפי העניין
הרשם רשאי לתת
הוראות לעניין אופן תיעוד כאמור.
"
20. סמכויות הרשם
( )(א1
)
הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה, או להחיל על
מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל
המאגר, סוג המידע שנמצא בו, היקף
הפעילות של המאגר או מספר בעלי ההרשאות בו.
(2)
( פטור מחובות או החלת חובות לפי פסקה1
) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את המועד לתחילת
הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונ
ות."
2
...
"
25. יחס לחיקוקים אחרים
תקנות אלה יחולו
נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים
, זולת אם יש סתירה ביניהם."
"תוספת שלישית
[טרם אושר סופית–
]מצריך חזרה נוספת לוועדה
(סעיף
23כג(ה))
עיצום כספי על הפרת תקנות הגנת
,)הפרטיות (אבטחת מידע
התשע
"ז–
2017
לפי החוק
בתוספת זו –
"גורם חיצוני "
– כמשמעותו בתקנה
15
(א )לתקנות;
"מאגר המנוהל בידי יחיד"
" ,מאגרים שחלה עליהם רמת האבטחה הבסיסית" ,"מאגרים שחלה עליהם
רמת האבטחה הבינונית "ו"מאגרים שחלה עליהם רמת האבטחה הגבוהה "
– כהגדרתם בתקנות
– מאגר ידע מ שבעל השליטה בו הוא יחיד
או תאגיד בבעלות
יחיד או שני יחידים ,ושלכל היותר
שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש ,ולמעט מאגרי
מידע כמפורט להלן :
;
# "יחיד" – אדם וקרובו, אדם ובא כוחו, שותפים בשותפות, חברה וחבר בני אדם.
(1)
מאגר
מידע
ש מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק
או
בתמורה , לרבות שירותי דיוור ישיר כהגדרתם בסעיף17
;ג
(2)
מאגר מידע שיש בו מידע על אודות
10,000
אנשים ומעלה;
(3)
מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיו
ת מקצועית לפי דין או לפי
עקרונות של אתיקה מקצועית;
"מאגר שחלה עליו רמת האבטחה הבסיסית" – מאגר מידע שאינו מאגר המנוהל בידי יחיד שמתקיימים
:בו כל אלה
(1)
מטרתו
העיקרית אינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק
או בתמורה
, לרבות
שירותי דיוור ישיר כה גדרתם בסעיף17
;ג
(2)
בעל
השליטה במאגר המידע אינו גוף ציבורי כהגדרתו בסעיף23
לחוק ;
(3)
אם
יש במאגר מידע
רגיש במיוחד מתקיים
בו גם
אחד מ
אלה:
)(א מספר
;בעלי ההרשאה למאגר אצל בעל השליטה אינו עולה על עשרה
)(ב המאגר
כולל מידע
רגיש במיוחד רק על אודות המועסקים
אצל בעל השליטה
או
הספקים ו של בעל השליטה ,הוא
משמש למטרות ניהול העסק[
#של בעל השליטה
במאגר המידע] בלבד
והוא מהסוגים
ש:להלן בלבד [הנוסח יותאם למידע רגיש
]במיוחד כפי שייקבע בחוק
(1)
מידע
][ביומטרי
כאמור
בפסקה#(4)
להגדר
ה
"מידע
בעל רגי
שות
מיוחדת
רגיש במיוחד "שהוא תמונת פנים בלבד;
3
(2)
מידע רפואי ,מידע על עבר פלילי ,נתוני תקשורת ומידע כלכלי;
(3)
מידע
,על צנעת חייו של העובד או של בן זוגו ,ככזה
והוא נובע מרישום
שמסר העובד המועסק;
.
"מאגר שחלה עליו רמת האבטחה הבינונית "
– מאגר
שאינו מאגר מידע המנוהל על ידי יחיד
ואינו מאגר
שחלה עליו רמת האבטחה הגבוהה
ומתקיים בו אחד מאלה:
(1)
מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק
או בתמורה
, לרבות
שירותי דיוור ישיר כהגדרתם בסעיף17
;ג
(2)
בעל השליטה בו הוא גוף ציבורי כהג דרתו בסעיף23
;לחוק
במאגר מידע רגיש במיוחד ,כהגדרתו בסעיף 3, – למעט מידע רגיש במיוחד המוחרג בפסקה (3
))(ב
להגדרה
"מאגר
שחלה עליו רמת האבטחה הבסיסית;"
"מאגר שחלה ו עלי רמת האבטחה הגבוהה" – מאגר שמתקיים בו אחד מאלה:
(1)
מאגר
( מידע כאמור בפרט1
()
1
)
( או1
()
3) להגדר
הת "
מאגר מידע
שחלה עליו רמת האב
טחה
הבינונית"
שמספר בעלי ההרשאה אצל בעל השליטה בו עולה על100
או שיש בו מידע על אודות
100,000
בני אדם ומעלה;
.
(2)
מאגר
מידע
שיש
בו
מזהים
ביומטריים של100,000
אנשים
בני אדם
;ומעלה
"התקנות "
– תקנות הגנת הפ
רטיות (אבטחת מידע ,)התשע"ז–
2017
1.
1 ק '"ת התשע"ז, עמ1022
.
4
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
מאגר
המנוהל
בידי יחיד
מאגר
המנוהל
בידי יחיד
או מאגר
שחלה
עליו רמת
האבטחה
הבסיסית
מאגר
שחלה
עליו רמת
האבטח
ה
הבינונית
[ככלל
ללא מידע
]רגיש
מאגר
שחלה
עליו רמת
האבטחה
הגבוהה
מאגר
שחלה
עליו
רמת
האבטח
ה
הגבוהה
שיש בו
מידע על
אודות
1,000,00
0
אנשים
ומעלה
(1)
ניגוד עניינים של ממונה אבטחת מידע: בעל
שליטה במאגר מידע,
החב במינוי ממונה על אבטחת
מיד ע לפי סעיף17
,ב
שאינו מנוהל בידי יחיד,-
מחזיק במאגר כאמור או מנהל מאגר כאמור ,
שהממונה על אבטחה במאגר מילא תפקיד נוסף בו
שעלול להעמידו בחשש לניגוד עניינים במילוי
תפקידו כממונה על אבטחה במאגר ,בניגוד
להוראות תקנה 3(4
)לתקנות ,או להוראות התקנה
האמורה כפי שהוח
לה בתקנה
19
(א )לתקנות
[
=
]מחזיק;
-
1,000
20,000
80,000
-
(2)
מבנה
ה :מאגר ומערכותיו
בעל שליטה במאגר
מידע שאינו מנוהל בידי יחיד,-
מחזיק במאגר
מידע
כאמור או מנהל מאגר כאמור שלא החזיק
מסמך מעודכן של מבנה מאגר המידע או רשימת
מצאי מעודכנת של מערכות המאגר בהתאם
להוראות תקנה 5(א )לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
-
1,000
20,000
80,000
160,000
5
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(3)
שמירת מבנה המאגר
מסירת פרטי#
מבנה
מאגר ורשימת מצאי#
לפי צורך :בעל שליטה
במאגר מידע שאינו מנוהל בידי יחיד ,מחזיק
במאגר כאמור או מנהל מאגר כאמור שלא שמר את
המסמך המעודכן של מבנה מאגר המידע או את
רשימת המצאי בהתאם ל לפי הרשאות הגישה
שנקבעו בהתאם להוראות תקנה 5(ב) לתקנות או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
-
1,000
20,000
80,000
160,000
(4)
:הגנת מערכות
בעל שליטה במאגר ידע מ ,
מחזיק במאגר מידע או מנהל מאגר שלא הבטיח כי
המערכות המפורטות בתקנה 5(א()
1)
לתקנות
יישמרו במקום מוגן , המונע חדירה וכניסה אליו
בלא הרשאה ,וה
באופן ה תואם את אופי פעילות
המאגר ורגישות המידע ב,ו בהתאם להוראות תקנה
6(א )לתקנות או להוראות התקנה האמורה כפי
שהוחלה בת
קנה
19
(א )לתקנות ,לפי העניין;
#לדיון –
?האם מצריך התראה
מהו האופן התואם
?את אופי הפעילות
1,000
]?[
1,000
20,000
80,000
160,000
(5)
:בקרה ותיעוד כניסה לאתרים
בעל שליטה
במאגר מידע שחלה עליו רמת האבטחה הבינונית או
הגבוהה
או ,מחזיק במאגר
מידע
כאמור או מנהל
מאגר כאמ
ור שלא נקט אמצעים לבקרה ולתיעוד
בהתאם להוראות תקנה 6(ב )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
-
–
20,000
80,000
160,000
(6)
:ניהול כוח אדם
בעל שליטה במאגר מידע
שאינו מנוהל בידי יחיד ,מחזיק במאגר
מידע
כאמור
או מנהל מאגר כאמו
ר שנתן גישה למידע המצוי
במאגר או ששינה את היקף ההרשאה שניתנה ,בלי
שנקט כל
אף
אמצעי סביר כאמור בתקנה 7(א )
לתקנות ,בניגוד להוראות אותה תקנה או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
-
1,000
20,000
80,000
160,000
6
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(7)
הדרכת כוח אדם :בעל שליטה במאגר מידע
שאינו מנוהל בידי יחיד ,מחזיק במאגר כאמור או
מנהל מאגר כאמור שנתן לבעלי הרשאות גישה
למידע ממאגר המידע או ששינה שינוי מהותי את
היקף הרשאותיהם בלא שקיים הדרכות או בלא
שמסר להם מידע ,בניגוד להוראות תקנה 7(ב )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
-
1,000
20,000
80,000
160,000
(8)
:הדרכה תקופתית
בעל שליטה במאגר מידע
או
מחזיק במאגר
מידע
שחלה עליו רמת האבטחה
הבינונית או הגבוהה, מחזיק במאגר כאמור או
מנהל מאגר כאמור ,שלא קיים פעילות הדרכה
תקופתית לבעלי ההרשאות שלו בהתאם#/ בניגוד
להוראות ת
קנה 7(ג )לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
–
20,000
80,000
160,000
(9)
תיעוד :בעל שליטה במאגר מידע שאינו מנוהל
בידי יחיד ,
או
מחזיק במאגר
מידע
כאמור או מנהל
מאגר כאמור שלא שמר
[#באופן מאובטח?] שנה
לפחות
את הנתונים הנצברים במסגרת יישום
הוראו
ת תקנות 6(ב ,)
8
עד
11
,
14
,
15
(א()
4
)ו-
16
לתקנות ,החלות עליו ,בהתאם בניגוד להוראות
תקנה
17
(א )לתקנות או להוראות התקנה האמורה
כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
-
1,000
20,000
80,000
160,000
(
10
)
גיבוי נתוני התיעוד...
:
בעל שליטה במאגר
מידע
או
מחזיק במאגר מידע שחלה עליו רמת
האבטחה הבינונית או הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר כאמור שלא עשה
את אחד
:מאלה
)(א
גיבה את הנתונים שנשמרו #באופן שי
בט יח
שיהיה ניתן, בכל עת, לשחזר את הנתונים למצבם
,המקורי
כאמור בתקנה
17
(א )לתקנות
בניגוד
בהתאם להוראות תקנה
17
(ב )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
-
–
20,000
למעט
סעיף קטן
(ג) שלא
חל על
מאגרים
ברמת
האבטחה
הבינונית
80,000
160,000
7
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
)(ב
קבע במסמך את ה
עניינים
המנויים
האמורים
בתקנה
18
(א )לתקנות, #
בניגוד להוראות התקנה
האמורה
או להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין ;
#נוסח מוצע נוסף (שמטרתו
למנוע מצב בו המחזיק
חייב לקבל את אישור בעל השליטה לנוהל אבטחת
:)שחזור הנתונים
)"(ב
קבע במסמך את העניינים האמורים בתקנה
18
(א )לרב
ות נהלים לאבטחת שחזור הנתונים
כאמור בתקנת משנה
)(ב
שנקבעו באישור ההנהלה
הבכירה של הגוף בעל השליטה במאגר או המחזיק
במאגר כאמור ,לפי הענ
יין ;לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
)(ג# דאג לכך שיישמר עותק הגיבוי של הנתונים
והנ הלים
האמורים בתקנה
18
(א)(1
)לתקנות או של
הנהלים כאמור בתקנה
18
(א()
2) לתקנות ,
באופן
שיבטיח את שלמות המידע ואת אפשרות שחזור
המידע בניגוד
בהתאם להוראות תקנה
18
(ב )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין.
(
11
)
:נוהל גיבוי ושחזור של נתוני אבטחה
בעל
שליטה במאגר מידע שחלה עליו רמת האבטחה
הבינונית או הגבוהה ,מחזיק במאגר כאמור או
מנהל מאגר כאמור ,שלא קבע במסמך את העניינים
האמורים בתקנה
18
(א )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי הענ
יין;
–
20,000
80,000
160,000
8
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
12
)
:גיבוי נתוני אבטחה
בעל שליטה במאגר
מידע שחלה עליו רמת האבטחה הגבוהה ,מחזיק
במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך
שיישמר עותק הגיבוי של הנתונים האמורים בתקנה
18
(א()
1
)לתקנות או של הנהלים כאמור בתקנה
18
(א()
2
)לתקנות ,בהתאם להוראות תקנה
18
(ב )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
–
20,000
80,000
(
13
)
חובת תיעוד כללית
הפרת חובות תיעוד : בעל
שליטה במאגר מידע שאינו מנוהל בידי יחיד,
או
מחזיק במאגר
מידע
כאמור או מנהל מאגר כאמור
שלא תיעד ,בהת אם להוראות שניתנו לפי תקנה
19
)(ב באופן סביר את אופן ביצועה של פעולה
שאינה יצירת מסמך ,שחלה עליו חובה או אחריות
לבצעה לפי תקנות ,בניגוד להוראות תקנה
19
(ב )
לתקנות;
1,000
20,000
80,000
,000
160
(
14
)
:הכנת מסמך הגדרות מאגר בעל שליטה
במאגר מידע שלא הגדיר במסמ
ך הגדרות המאגר
את כל העניינים האמורים בתקנה 2(א )לתקנות, #
בניגוד להוראות אותה תקנה
#לרבות סוגי המידע
השונים הכלולים במאגר המידע לפי תקנת משנה
(3
,)בשים לב לרשימת סוגי המידע המהווים מידע
רגיש במיוחד לפי סעיף 3 לחוק;
2,000
בכפוף
לנוהל
התראה
40,000
160,000
,000
320
(
15
)
:עדכון מסמך הגדרות מאגר
בעל שליטה
במאגר מידע או מנהל מאגר שלא עדכן את מסמך
הגדרות המאגר,
#
בניגוד
בהתאם להוראות תקנה
2(ב )לתקנות או להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין
[סעיף
19
(א) לא מחיל את ההוראה הנ"
]ל;
2,000
בכפוף
לנוהל
התראה
40,000
160,000
320,000
9
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
16
)
:בדיקת מידע עודף בעל שליטה במאגר מידע
או מנהל מאגר שלא
[בחן
או] תיעד את הבחינה בחן
אם אין המידע שהוא שומר במאגר רב מן הנדרש
למטרות המאגר ,בניגוד להוראות תקנה 2(ג )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין [
19
(א)
]לא מחיל;
בתקנ ה רק"בחן"
ולא"עד תי"
–
יש להפנות גם
.לתיעוד
2,000
40,000
160,000
320,000
(
17
)
:הכנת נוהל אבטחת מידע
בעל שליטה
במאגר מידע
או
שאינו מאגר המנוהל בידי יחיד ,
מחזיק במאגר
מידע
כאמור או מנהל מאגר כאמור
שלא קבע במסמך נוהל אבטחת מידע בהתאם
למסמך הגדרות המאגר והתקנות (להלן –
נוהל
אבטחה ,)בניג
וד להוראות תקנה 4(א )לתקנות או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
הממשלה מבקשת להעלות את הסכומים כמוצע
,000
4
2
,000
80
40
160
,000
320
640,000
(
18
)
נוהל אבטחה–
הכנה, שמירה ו קביעת
:הוראות
בעל שליטה במאגר מידע שאינו מאגר
המנוהל ידי ב יחיד ,מחזיק במאגר כאמור או מנהל
מאגר כאמור ,ש ביצע אחת או יותר מההפרות
שלהלן:
:לא עשה אחד מאלה
)(א לא שמר את נוהל
האבטחה#כך שפרטים ממנו יימסרו
לבעלי
הרשאה רק בהיקף הנדרש לצורך ביצוע
תפקידיהם, בניגוד
בהתאם להוראות תקנה4(
)ב
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות
,לפי
העניין;
2000
40,000
160,000
320,000
10
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
)(ב
לא כלל
בנוהל האבטחה את
הפר
טים
המנויים בתקנה 4(ג )לתקנות;
או
לעניין מאגר מידע
שחלה עליו רמת האבטחה
הבינונית או הגבוהה – לא
כלל בו
התייחסות לפרטים
המנויים בתקנה 4(ד )
לתקנות או הוראות
כאמור בתקנה
9(ב()
2
) לתקנות;
)(ג
לא קבע ב
נוהל האבטחה
ו הוראות
לעניין
התמודדות עם
אירועי אבטח
ת מידע או לעניין
דיווח לבעל
השליטה במאגר בהתאם
להוראות תקנה
11
(ב )
לתקנות או
להוראות
התקנה האמורה כפי
שהוחלה
בתקנה
19
(א ) לתקנות ,לפי העניין;
)(ד
פירט
בנוהל האבטחה
את
העניינים
המנויים בפסקה
(2
()א )עד (ה )של תקנה
15
(א )לתקנות ,בניגוד
להוראות פסקה
(3
)לאותה
תקנה;
(א)
לא שמר אותו
בהתאם
להוראות תקנה 4(ב )לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
(ב)
לא כלל בו את
הפרטים
המנויים בתקנה 4(ג )לתקנות;
2,000
00
40,0
160,000
(ג)
לעניין מאגר מידע
שחלה עליו רמת
האבטחה
הבינונית או הגבוהה – לא כלל בו
התייחסות לפרטים
המנויים בתקנה 4(ד )
לתקנות או הוראות
כאמור בתקנה
9(ב()
2
) לתקנות;
–
40,000
160,000
(ד)
לא קבע בו הוראות
לעניין
התמודדות עם
אירועי אבטחת ע מיד או לעניין
דיווח לבעל
השליטה במאגר בהתאם
להוראות תקנה
11
(ב )
לתקנות או
להוראות
התקנה האמורה כפי
שהוחלה
בתקנה
19
(א ) לתקנות ,לפי העניין;
2,000
40,000
160,000
11
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(ה)
לא פירט בו גם את
העניינים המנויים בפסקה (2
()א )עד (ה )של
תקנה
15
(א )לתקנות ,בניגו
ד
להוראות פסקה
(3
)לאותה
תקנה;
2,000
40,000
160,000
(
19
)
:סקר סיכונים
בעל שליטה במאגר מידע
שחלה עליו רמת האבטחה הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר כאמור ,שלא דאג לכך
שייערך סקר לאיתור סיכוני אבטחת מידע אחת
לשמונה עשר חודשים לפחות (להלן –
סקר
סיכו
נים ,)
או
שלא דן בתוצאות סקר הסיכונים
שהועברו לו ולא בחן את הצורך בעדכון מסמך
הגדרות המאגר או נוהל האבטחה בעקבותיהן ,או
שלא פעל לתיקון הליקויים שהתגלו במסגרת
הסקר ,בניגוד להוראות תקנה 5(ג )
לתקנות
או להוראות התקנה האמורה כפי
שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
הממשלה מבקשת להעלות את הסכומים כמוצע
-
–
–
160
,000
320
640,000
(
20
)
מבדקי חדירות :בעל שליטה במאגר מידע
שחלה עליו רמת האבטחה הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר כאמור שלא דאג לכך
שייערכו מבדקי חדירות למערכות המאגר ,אחת
לשמונה עשר חודשים לפחות ,
או
לא דן בתוצאות
מבדקי החדירות או לא פעל לתיקון הליקויים
שהתגלו ,בניגוד להוראות תקנה 5(ד )לתקנות או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
הממשלה מבקשת להעלות את הסכומים כמוצע
-
–
–
160
,000
320
320,000
(
21
)
קביעה וניהול של הרשאות :גישה
בעל
שליטה במאגר מידע שאינו מנוהל בידי יחיד ,
מחזיק במאגר כאמור או מנהל מאגר כאמור שלא
קבע הרשאות גישה של בעלי הרשאות למאגר
המידע ולמערכות המאגר ,בהתאם להוראות תקנה
8(א) לתקנות או להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין ,או שלא
נ
יהל רישום מעודכן בהתאם להוראות תקנה 8(ב)
לתקנות
-
2,000
40,000
160,000
320,000
12
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
או להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין (להלן – רשימת הרשאות
תקפות;)
(
22
)
:יישום נוהל הרשאות הגישה
בעל שליטה
במאגר מידע ,מחזיק במאגר או מנהל מאגר א של
נקט אמצעים מקובלים בנסיבות העניין ובהתאם
לאופי המאגר וטיבו ,כדי לוודא כי הגישה למאגר
ולמערכות המאגר נעשית בידי בעל הרשאה
המורשה לכך בלבד לפי רשימת ההרשאות התקפות ,
בניגוד להוראות תקנה 9(א) לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין. ,
או שלא דאג לביטול ההרשאות של בעל הרשאה
שסיים את תפקידו ,בניגוד להוראות תקנה 9(ג)
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
]?[
2,000
נוהל
התראה
2,000
נוהל
התראה
40,000
נוהל
התראה
160,000
נוהל
התראה
320,000
נוהל
הת
ראה
(
22א )יישום נוהל הרשאות הגישה
ביחס לבעל
הרשאה שסיים את תפקידו :בעל שליטה במאגר
מידע ,מחזיק במאגר שלא דאג לביטול ההרשאות
של בעל הרשאה שסיים את תפקידו ,בניגוד
להוראות תקנה 9(ג) לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
]?[
2,000
נוהל
התראה
000
2,
נוהל
התראה
40,000
נוהל
התראה
160,000
נוהל
התראה
320,000
נוהל
התראה
(
23
)
:זיהוי על בסיס אמצעי פיזי
בעל שליטה
במאגר מידע שחלה עליו רמת האבטחה הבינונית או
הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר
כאמור שלא דאג לכך שאופן הזיהוי במאגר י
יעשה
ככל האפשר על בסיס אמצעי פיזי הנתון לשליטתו
הבלעדית של המורשה,
בניגוד להוראות תקנה
9(ב()
1
)לתקנות או להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
–
40,000
160,000
(
24
)
:מנגנון בקרה ותיעוד גישה
בעל שליטה
במאגר מידע שחלה עליו רמת ה
אבטחה הבינונית או
הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר
כאמור שלא
:ביצע אחד מאלה
-
–
40,000
160,000
320,000
13
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
)(א דאג שינוהל מנגנון בקרה בהתאם להוראות
תקנה
10
(א )ו-(ב )לתקנות (להלן – מנגנון בקרה )או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
)(ב
קבע נוהל בדיקה שגרתי של נתוני התיעוד של
מנגנון הבקרה או שלא ו
ערך דוח של הבעיות
שהתגלו וצעדים שננקטו בעקבותיהן ,בניגוד
להוראות תקנה
10
(ג )לתקנות להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
)(ג
שלא דאג שנתוני התיעוד של מנגנון הבקרה
יישמרו למשך
24
חודשי
ם לפחות ,בניגוד להוראות
תקנה
10
(ד )לתקנות או להוראות התקנה האמורה
כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
)(ד
שלא יידע את בעלי ההרשאות במאגר בדבר
קיום מנגנון הבקרה ,בניגוד להוראות תקנה
10
(ה)
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות, לפי העניין;
(
25
)
נוהל בדיקה למ :נגנון הבקרה ותיעוד הגישה
בעל שליטה במאגר מידע שחלה עליו רמת האבטחה
הבינונית או הגבוהה ,מחזיק במאגר כאמור או
מנהל מאגר כאמור שלא קבע נוהל בדיקה שגרתי
של נתוני התיעוד של מנגנון הבקרה או שלא ערך דוח
של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן ,
בניגוד להוראות תקנה
10
(ג )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
(
26
)
שמירת נתוני התיעוד
של מנגנון הבקרה :בעל
שליטה במאגר מידע שחלה עליו רמת האבטחה
הבינונית או הגבוהה ,מחזיק במאגר כאמור או
מנהל מאגר כאמור שלא דאג שנתוני התיעוד של
מנגנון הבקרה יישמרו למשך
24
חודשים לפחות ,
בניגוד להוראות תקנה
10
(ד )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
14
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
27
)
יידוע
על מנגנו :ן הבקרה
בעל שליטה במאגר
מידע שחלה עליו רמת האבטחה הבינונית או
הגבוהה ,מחזיק במאגר כאמור או מנהל מאגר
כאמור שלא יידע את בעלי ההרשאות במאגר בדבר
קיום מנגנון הבקרה ,בניגוד להוראות תקנה
10
(ה)
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי ה
עניין;
–
40,000
160,000
(
28
)
עוד ית
:אירוע אבטחת מידע
בעל שליטה
במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא
דאג שיתועד כל מקרה שבו התגלה אירוע המעלה
חשש לפגיעה בשלמות המידע, לשימוש בו בלא
הרשאה או לחריגה מהרשאה (להלן –
אירוע
אבטחת מידע )בהתאם להוראות תקנ
ה
11
(א )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
][לבחינה נוספת
2,000
]?[
2,000
40,000
160,000
320,000
(
29
)
:דיון תקופתי באירועי אבטחת מידע בעל
שליטה במאגר מידע שחלה עליו רמת האבטחה
הבינונית או הגבוהה או מחזיק במאגר כאמור שלא
קיים
[קיים
דיון ו]תיעד את קיו
מו של דיון באירועי
אבטחת המידע או שלא בחן את ו בחינת
הצורך
בעדכון נוהל האבטחה ,בניגוד להוראות תקנה
11
(ג)
ולהוראות תקנה19
)(ב לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
-
–
40,000
160,000
0
320,00
(
30
)
:דיווח לרשות אודות אירוע אבטחה חמור
בעל שליטה במאגר מידע שחלה עליו רמת האבטחה
הבינונית או הגבוהה ,מחזיק במאגר כאמור או
מנהל מאגר כאמור שלא הודיע לממונה לראש
הרשות
באופן מיידי על אירוע אבטחה חמור ,או
שלא דיווח לממונה לראש
הרשות
על הצעדים שנקט
בעקבות האירוע בהתאם להוראות תקנה
11
(ד()
1
)
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
הממשלה מבקשת להעלות את הסכומים, כמוצע
-
–
,000
80
40
,0
320
160
00
640,000
15
ההפרה
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
31
)
חיבור
התקנים
ניידים: בעל שליטה במאגר
מידע ,מחזיק במאגר או מנהל מאגר א של הגביל או
שלא מנע אפשרות לחיבור התקנים ניידים למערכות
המאגר ,או שאפשר שימוש במידע מהמאגר בהתקן
נייד או העתקה שלו להתקן נייד בלא שנקט אמצעי
הגנה ,בניגוד להוראות תקנה
12
לתקנות או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
הממשלה מבקשת לדון מחדש
במחיקה
2,000
]?[
2,000
40,000
160,000
320,000
(
32
)
:)הפרדת מערכות המאגר (מידור
בעל שליטה
במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא
הפריד בין מערכות המאגר אשר ניתן לגשת מהן
למידע ,לבין מערכות מחשוב אחרות המשמשות
אותו ,בניגוד להוראות תקנה
13
(ב) לתקנות או
להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
2,000
2,000
40,000
20,000
כפו ף
לנוהל
התראה
160,000
80,000
כפוף
לנוהל
התראה
160,00
כפוף
לנוהל
התראה
(
33
)
עדכון
:מערכות המאגר
בעל שליטה במאגר
מידע ,מחזיק במאגר או מנהל מאגר שלא דאג כך ל
שייערכו עדכונים שוטפים של מערכות המאגר ,
לרבות חומר המחשב הנדרש לפעולתן ,או לכך שלא
ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי
אבטחה שלהן בלא שניתן מענה אבטחתי מתאים,
בניגוד להוראות תקנה
13
(ג )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
הממשלה מבקשת לדון מחדש
במחיקה
2,000
]?[
2,000
40,000
160,000
320,000
16
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
34
)
אבטחת
חיבור לרשת :בעל שליטה במאגר
מידע ,מחזיק במאגר או מנהל מאגר שחיבר את
מערכ
ות המאגר לרשת האינטרנט או לרשת ציבורית
אחרת ,בלא התקנת אמצעי הגנה מתאימים ,בניגוד
להוראות תקנה
14
(א) לתקנות או להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
2,000
2,000
40,000
160,000
320,000
(
35
)
:הצפנת מידע המועבר ברשת
בעל שליטה
במאגר מידע ,מחזיק במאגר או מנהל מאגר שלא
דאג לכך שהעברת מידע ממאגר המידע ,ברשת
ציבורית או באינטרנט ,תיעשה תוך שימוש בשיטות
הצפנה מקובלות,
בניגוד להוראות תקנה
14
(ב )
לתקנות או להוראות התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
2,000
40,000
160,000
(
36
)
אמצעי זיהוי ב :גישה מרחוק
בעל שליטה
במאגר מידע שניתן לגשת אליו מרחוק ,באמצעות
רשת האינטרנט או רשת ציבורית אחרת ,מחזיק
במאגר כאמור או מנהל מאגר כאמור שלא עשה
שימוש באמצעים שמטרתם לזהות את המתקשר
והמאמתים את הרשאתו לביצוע הפעילות מרחוק
ואת היקפה ,ולעניין מאגר מידע כאמור שחלה עליו
רמת האבטחה הבינונית או הגבוהה –
לא עשה
שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של
בעל ההרשאה, בניגוד להוראות תקנה
14
(ג )לתקנות
או להוראות התקנה האמורה כפי שהוחלה בתקנה
19
(א )לתקנות ,לפי העניין;
2,000
40,000
160,000
17
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(
37
)
ביקורת
:תקופתית
בעל שליטה במאגר מידע
שחלה עליו רמת האבטחה הבינונית או הגבוהה ,
מחזיק במאגר כאמור או מנהל מאגר כאמור שלא
דאג לכך שתיערך ביקורת פנימית או חיצונית
בהתאם להוראות תקנה
16
(א )לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין ,או לא ש דן בדוחות הביקורת
שהועברו לו ,או שלא בחן את הצורך בעדכון מסמך
הגדרות המאגר או נוהל האבטחה בעקבותיהם,
בניגוד להוראות תקנה
16
(ג) לתקנות או להוראות
התקנה האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
?האם תואם את החלטת הוועדה התבקשה חובת
תיעוד פרטנית
-
–
,00
80
40
0
160
,000
320
640,000
(
38
)
)בקרה ופיקוח על גורם חיצוני (מיקור חוץ :
בעל שליטה במאגר מידע שאינו מנוהל בידי יחיד או
מנהל מאגר כאמור שלא נקט כל אמצעי בקרה
ופיקוח בעניינים שלהלן על עמידתו של הגורם
החיצוני בהוראות שנקבעו בהסכם איתו, הכוללים
קבלת עדכ
ונים עיתיים ,ולעניין פסקה (1
,)דיווח על
השמדת המידע ,אם נכללה בהסכם התחייבות
להשמדת המידע,
בדיקות תקופתיות וטיפול
בתקלות ,והכול בהיקף הנדרש בשים לב לסיכונים
האמורים בפסקה (1
)של תקנה
15
(א )לתקנות,
בניגוד להוראות פסקה (4
)של אותה תקנה:
(א)
חובתו של הגורם
ה
חיצוני להשיב את
המידע לידי הבעלים בסיום
ההתקשרות ,
ואם נקבעה
בהסכם התחייבות
להשמדת המידע – חובתו של הגורם
החיצוני
להשמיד את המידע,
וחובתו
של הגורם החיצוני
לדווח לבעל השליטה
במאגר או למנהל המאגר , לפי העניין ,על
השבה או
השמדה כאמור ,כפי
שנקבעו
בהסכ
ם בהתאם לתקנה
15
(א()
2
()ד )
לתקנות;
-
4,000
80,000
320,000
640,000
18
טור א'
טור
ב'
][יחיד
טור ב' ג'
][בסיסי
טור ג' ד'
[
]בינוני
טור ד' ה'
][גבוהה
'טור ו
[
מגה
]מאגר-
(ב)
חובתו של הגורם
החיצוני להחתים את
בעלי
ההרשאות שלו על התחייבות כאמור בתקנה
15
(א()
2
()ו )לתקנות ,כפי
שנקבעה בהסכם
בהתאם
לאותה תקנה;
(ג)
חובתו של ה
גורם ה
חיצוני שרשאי לפי ההסכם
איתו לתת את השירות באמצעות גורם נוסף ,
לכלול בהסכם עם הגורם הנוסף את
הנושאים שיש לפרט בהסכם בינו לבין בעל
השליטה במאגר או
מנהל המאגר, לפי העניין ,
בהתאם לתקנה
15
(א()
2
()ז )לתקנות;
(ד)
חובתו של הגורם
החיצוני לדווח לבעל
השליטה במאגר על אודות
אופן
ביצוע חובותיו לפי
התקנות וההסכם ,
ולהודיע
לו במקרה של אירוע
אבטחה,
בהתאם לתקנה
15
(א()
2
()ח )לתקנות.