מתפרסם מאז שנת 1999
סקר של הרשות להגנת הפרטיות מצא כי “בישראל מרבית הגופים שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם”
הרשות להגנת הפרטיות במשרד המשפטים הודיעה (26.2.2020) כי ערכה סקר במסגרת הליך בדיקה הנערך במקביל על ידי רשויות אכיפה להגנה על מידע אישי החברות בארגון גג בינלאומי (Global Privacy Enforcement Network, GPEN), שהרשות מייצגת את מדינת ישראל ומשמשת כנציגה בוועד המנהל שלו; השנה לקחו חלק בהליך הבדיקה 16 רגולטורים מהעולם. לדברי הרשות, בסקר נמצא כי “בישראל מרבית הגופים שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם”.
הסקר נערך בקרב גופים ציבוריים ופרטיים במשק, “לבחינת אופני הדיווח של גופים אלה במקרים של אירועי אבטחה. (Data Breach). הרשות בחנה, בין היתר, את רמת המודעות של גופים אלה לחובת הדיווח במקרים של אירועי אבטחה חמורים על פי תקנות הגנת הפרטיות (אבטחת מידע) והאמצעים בהם נוקטים הגופים השונים למניעת הישנותם של אירועי אבטחה חמורים. כחלק מהתהליך, גופים שהתגלו אצלם בעבר אירועי אבטחה נדרשו להציג מסמכים שיוכיחו כי הליקויים תוקנו”.
“במסגרת הפעילות נבחנו סך כולל של 1,145 גופים מרחבי העולם. יודגש, כי בעוד שבישראל השיבו על השאלונים כל הגופים אליהם פנתה הרשות, בעולם סיפקו מענה לשאלונים שנשלחו במסגרת הליך הבחינה רק כ- 21% מהגופים בממוצע. הסיבה לכך, היא כי לרשות להגנת הפרטיות בישראל סמכות לפי חוק הגנת הפרטיות לדרוש ידיעות ומסמכים מגופים המנהלים מאגרי מידע, סמכות שלא קיימת לכלל ארגוני האכיפה בעולם”.
לאחר סקירת הממצאים ההשוואתיים בין המצב בארץ למצב ביתר המדינות שנבדקו מציינת הרשות להגנת הפרטיות בהודעתה כי “מאז כניסתן של תקנות הגנת הפרטיות (אבטחת מידע) לתוקף במאי 2018, דווחו לרשות להגנת הפרטיות מעל ל- 150 אירועי אבטחת מידע חמורים. אולם, ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות, ובכוונת הרשות לחקור כל הפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו”.
עורכת הדין לינא כמאל–טרודי הממונה על האכיפה המנהלית ברשות להגנת הפרטיות אמרה כי “חובת הדיווח לרשות על אירועי אבטחת מידע חמורים מהווה נדבך חשוב במדיניות אבטחת המידע ובהליך התיעוד, התחקור והמניעה של ארגונים בהתמודדותם עם עולם חדש של סיכוני אבטחה. אנו ברשות שמחנו לגלות כי מצב הדיווח בישראל אינו שונה מזה שבשאר המדינות שנבדקו, וממשיכים ללוות את הארגונים ולסייע להם בטיפול באירועי אבטחה חמורים. במקביל, אנו דואגים לקיים הליכי אכיפה במקרים בהם לא עמד הארגון בחובותיו, ובמסגרת זו גם בחובת הדיווח לרשות, ובמידת הצורך אף קובעים הפרה ומפרסמים פרטיהם של גופים אשר הפרו את הוראות חוק הגנת הפרטיות. תחקור אירועי אבטחה חמורים על ידי הארגון, מגלה פעמים רבות ליקויים במדיניות ונהלי אבטחת המידע שלו ובמערכות ההגנה שלו, ועשוי למנוע נזקים גדולים לארגון ופגיעה בשמו הטוב”.