טופס דיווח על אירוע אבטחה חמור

טופס דיווח על אירוע אבטחה חמור

תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות") קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן ידווח לרשות על הצעדים שנקט בעקבות האירוע.

ככלל, על הדיווח להיעשות תוך 24 שעות ממועד גילויו של אירוע האבטחה החמור, ובכל מקרה לא יאוחר מ - 72 שעות מאותו מועד.

תשומת לבכם, כי חובת הדיווח חלה גם על מנהל המאגר ועל המחזיק במאגר, כל אחד בנפרד, אולם די בדיווח של אחד מהגורמים לעיל על אירוע כדי לקיים את החובה עבור שלושת הגורמים גם יחד.

אם אינכם בטוחים באשר לחובת הדיווח על האירוע, מומלץ לעיין בשאלות ובתשובות בנושא באתר האינטרנט של הרשות להגנת הפרטיות.

לחצו כאן לעיון בשאלות ובתשובות

לנוחותכם, מצורפת רשימת דוגמאות לאירועי אבטחה חמורים וכן רשימת אירועים שאינם מוגדרים כאירועי אבטחה חמורים לפי פרשנותה של הרשות להגנת הפרטיות. יודגש, כי רשימה זו אינה ממצה וכי בכל מקרה של ספק יש להעביר לרשות להגנת הפרטיות דיווח על אירוע אבטחה חמור.

לחצו כאן לעיון בדוגמאות

ההנחיות למילוי הטופס מפורטות בגוף הטופס עצמו.

לאחר מילוי הטופס לפי ההנחיות, עליך לשומרו ע"י לחיצה על כפתור 'שמירה סופית', הנמצא בתחתית הטופס. יש לשלוח את טופס הדיווח לכתובת דוא"ל ייעודית של הרשות להגנת הפרטיות ppa_SecurityEvents@justice.gov.il.

כאשר הטופס יתקבל במערכות הרשות להגנת הפרטיות, תקבל אישור על קבלת הטופס (שאיננו בהכרח אישור שהדיווח הוגש כראוי) ונציגי הרשות יצרו עמך קשר לקבלת פרטים נוספים.

במקרה בו לא קיבלת אישור על קבלת הטופס בתוך 4 שעות, או במקרה בו הדיווח אודות אירוע האבטחה לא נעשה באמצעות הטופס הייעודי (אלא בכל אמצעי אחר – כגון משלוח קובץ וורד, או סריקה של הטופס הייעודי) – יש לשלוח הדיווח בנוסף גם לתיבת פניות הציבור של הרשות בכתובת ppa@justice.gov.il

יודגש, כי דיווח על אירוע אבטחה חמור אינו גורע מחובותיך לנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בהתאם להוראות החוק והתקנות.