התקנות מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע
לחלק משגרת ניהול הארגון.
ביום 21.3.2017 אישרה וועדת חוקה, חוק ומשפט בכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע,) התשע”ז2017– , שקבעה שרת המשפטים, המפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות שהן יוזמה של רמו”ט
שהיא גם הגוף המפקח על יישומן, קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות טכנולוגית,) שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו”ט,) ולפי דרישתה גם לאנשים עליהם המידע
שנחשף.
התקנות פורסמו ברשומות ביום ,8.5.2017 וייכנסו לתוקף שנה מיום פרסומן, ביום .8.5.2018
התקנות משקפות מלאכת מחשבת של רגולציה מאוזנת וישימה, שנקבעה לאחר הליך מעמיק של לימוד חקיקה, תקנים ומסמכים מנחים ישראלים ובינלאומיים מקבילים, ותוך התייעצות נרחבת עם הציבור
הישראלי ובמיוחד עם ה – stakeholders שיהיו כפופים להוראותיהן.
מבין הסוגים השונים של מסמכים מנחים בתחום אבטחת מידע, התקנות החדשות יוצאות דופן בכך שהן חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי הכפופה לחוק הישראלי בכל מגזרי המשק: ציבורי
ופרטי כאחד.
לכן הן עוצבו במתכונת מודולארית, המחילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות
עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.
כדי להימנע מכפילות ומבירוקרטיה מיותרת לנוכח תחולתן הרחבה, מוסיפות התקנות וקובעות מנגנון רגולטורי ייחודי דמוי adequacy המסמיך את הרשות להגנת הפרטיות לפטור מקיום הוראות שונות, ארגונים
העומדים בהוראות רגולציה או תקנים אחרים בתחום אבטחת המידע.
הצלחתן המשמעותית של התקנות היא בהיותן גמישות כמתחייב מרוחב תחולתן – ובו זמנית גם קונקרטיות
וספציפיות, במידה המקנה לארגונים ודאות רגולטורית וכלים פרקטיים ופשוטים למימוש.
עם כניסת התקנות לתוקף במאי ,2018 צפויה קפיצת מדרגה כללית ברמת אבטחת המידע האישי בישראל.
התקנות החדשות מחליפות את התקנות הקיימות בעניין זה, משנת ,1986 שהיו מיושנות ולא התאימו לעידן
הדיגיטלי.
בתהליך התקנת התקנות נתקיימו ארבעה דיונים בוועדת חוקה, חוק ומשפט בהשתתפות פעילה של חברי כנסת ונציגי ציבור וממשל. צוות הועדה הכין מסמך רקע מפורט לדיון עבור חברי הכנסת ובעלי עניין שונים במשק
הגישו עמדות ביחד לתקנות. בהם לשכת עורכי-הדין, איגוד הבנקים וחברת שירותי בנקאות אוטומטיים.
התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג, כאשר יש אבחנה בין ארבעה סוגי מאגרים,
בהתאם לרמת האבטחה הנדרשת בהם.
הרשות להגנת הפרטיות פרסמה לציבור מדריכים המבהירים את החובות החלות על בעלי מאגרים שונים כפי
שיפורטו להלן:
.1 מאגר מידע המנוהל על ידי יחיד אלו הם המאגרים עליהם חלות החובות הפחותות ביותר. מדובר על מאגרים המנוהלים בידי יחיד, לרבות
תאגיד בבעלות יחיד, כאשר הגישה למידע שבמאגר הינה לבעלים ולכל היותר לעד שני מורשי גישה נוספים.
רמה זו נועדה לתת פתרון לכל אותם מאגרים שמנהלים בעלי עסקים קטנים, אשר ברשותם מידע, שמחד נדרש להגן עליו אך עם זאת, קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות. בדיוני הוועדה נהגו להביא כדוגמא לבעלת מאגר כזו את הקוסמטיקאית שמנהלת מאגר לקוחות. חשוב להדגיש, כאשר מדובר במאגר יחיד בבעלות יחיד כאמור לעיל, אשר מכיל מידע על יותר מ – 10,000 אנשים, או שמטרתו איסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר,) או כאשר בעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, אזי המאגר לא ייכלל ברמה זו כדוגמא להמחשה – פסיכיאטרית המנהלת לבדה מאגר מידע אודות מספר מצומצם של מטופלים, לא תחסה תחת הגדרת בעל מאגר יחיד, היות ומטבע הדברים המידע
במאגר זה הוא רגיש ביותר.
.2 מאגרים שחלה עליהם רמת האבטחה הבסיסית הגדרת מאגרים אלה הינה על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר
מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.