אירופה: הנחיה חדשה בדבר דיווח על פריצות סייבר לפי תקנות הגנת המידע החדשות (GDPR)

פאנל הרגולטורים הלאומיים לפרטיות של מדינות האיחוד האירופי (Article 29 Working Party) פרסם לאחרונה הנחיות חדשות בדבר החובה לדווח על פריצות למאגרי מידע לפי תקנות הגנת המידע החדשות (General Data Protection Regulation - GDPR) שצפויות להיכנס לתוקפן במאי 2018. בין יתר הדברים, ההנחיות מבהירות כי:

  1. פריצות למאגרי מידע העשויות לחייב דיווח לרגולטור או לנושאי המידע כוללות לא רק אירועים (שהתרחשו בזדון או בשוגג) בהם דלף מידע אישי, אלא גם אירועים בהם נמחק או אבד מידע אישי (וזמינותו נפגעה) ואירועים בהם מידע אישי עבר שינוי בזדון או בשוגג.
  2. דיווח לרגולטורים נדרש להתבצע בתוך 72 שעות לאחר שנודע לבעל המאגר (data controller) על האירוע. ההנחיה מבהירה כי אירוע נחשב כ"נודע" לבעל המאגר כאשר מתגבשת רמה סבירה של וודאות כי אכן התרחש אירוע הטעון דיווח. ההנחיה מבהירה כי מצופה מבעלי מאגרים להתחיל באופן מיידי חקירה ראשונית של אירוע חשוד במטרה לבחון את מידת הסבירות שהאירוע אכן התרחש. בדיקה מעמיקה יותר של האירוע תיעשה לאחר שהתגבשו מסקנות ראשוניות בדבר מידת הסבירות שהאירוע אכן התרחש. לאור זאת, ממליצה ההנחיה לארגונים להנהיג מראש שיטות ותהליכים לחקירת אירוע סייבר.
  3. אירוע סייבר פטור מדיווח לרשויות ולנושאי המידע במקרים בהם אין סבירות שהאירוע יסכן את זכויותיהם וחירויותיהם של נושאי המידע. ההנחיה מדגימה כי באירוע פריצה למאגר מידע מוצפן סביר כי לא תחול חובת דיווח אם מפתחות ההצפנה נשמרים בנפרד ולא דלפו. עם זה, אם זמינותו של המידע המוצפן נפגעה או אם המידע המוצפן עבר שינוי בזדון או בשוגג - חובת הדיווח עשויה לחול גם אם המידע לא דלף, במצבים בהם האירוע עשוי בסבירות לסכן את זכויותיהם של נושאי המידע.
  4. ההנחיה כוללת מתווה להערכת הסיכונים כלפי נושאי המידע הנובעים מאירוע סייבר, שבאמצעותו יכולים בעלי מאגרים לבחון אם חובת הדיווח חלה על אירוע סייבר מסוים שאירע. ההנחיה גם מפנה למתודולוגיה שפיתחה הסוכנות האירופית לאבטחת מידע ורשתות (The European Union Agency for Network and Information Security - ENISA) לצורך הערכת מידת החומרה של אירוע סייבר.
  5. דיווחים לנושאי המידע, במקרים הנדרשים, צריכים להיעשות בפורמט מתאים ובשפה המותאמת לנושאי המידע.

ההנחיה מזכירה כי חובות דיווח על אירועי סייבר קיימות גם בדברי חקיקה אירופים אחרים וכי חובות אלה חלות במקביל לחובות לפי תקנות הגנת המידע החדשות. דברי חקיקה נוספים מעין אלה כוללים, בין היתר, את התקנות האירופיות על אמצעי זיהוי אלקטרוניים וחתימות אלקטרוניות, הדירקטיבה על אבטחת סייבר במערכות מידע ורשתות והדירקטיבה על פרטיות בתקשורת אלקטרונית.