שאלות ותשובות בנושא חובת דיווח על אירוע אבטחה

כן, החובה חלה גם על המחזיק במאגר, ולא רק על בעל המאגר. על פי תקנה 19(א), חובות החלות על בעל מאגר מידע חלות גם על מנהל המאגר, ולמעט כמה יוצאים מן הכלל – גם על מחזיק המאגר. תקנה 15(א)(2)(ה) מאפשרת לבעל המאגר לכלול בהסכם מול המחזיק דרישה שהמחזיק יהיה אחראי למילוי חובת הדיווח במקומו.

המונח "באופן מיידי" מתייחס לדיווח בסמוך ככל האפשר לזמן גילוי האירוע, ללא עיכובים מיותרים, בהתאם לנסיבות המקרה. מטרת הדרישה היא להבטיח שהרשויות יקבלו מידע בזמן אמת, כדי שניתן יהיה להיערך לטיפול באירוע.

החלטת הרשם תלויה במספר גורמים, ביניהם: הסבירות שהאירוע ישפיע לרעה על הפרטיות של נושאי המידע, הסיכון לגניבת זהות או למעשי הונאה, ונזק פוטנציאלי לשם הטוב של הנפגעים. לדוגמה, במקרה של חדירה למאגר מידע עם גישה מבוססת שם משתמש וסיסמה, ייתכן שהרשם יורה על הודעה ללקוחות כדי שיוכלו לשנות סיסמאות ולהפחית את הנזק האפשרי.