מסמך הגדרות מאגר — מדריך מלא
מסמך הגדרות מאגר הוא המסמך הבסיסי שתקנות אבטחת מידע 2017 דורשות לכל מאגר ברמת אבטחה בינונית או גבוהה. הוא מגדיר את ה"זהות" של המאגר: בעלים, אחראיים, מטרה, סוגי מידע, רמת אבטחה, ספקים, ותקופת שמירה. בלי מסמך תקין — הארגון לא עומד בתקנות 2017, וגם תיקון 13 דורש את המידע הזה.
תכולה
15 השדות החיוניים
| שדה | פירוט |
|---|---|
| שם המאגר | שם תיאורי + שם רשמי כפי שמופיע ברישום ברשות (אם נרשם) |
| בעל המאגר | הישות המשפטית שמחזיקה ושומרת על המאגר (חברה, עמותה, רשות) |
| מנהל המאגר | אדם פיזי במחויב ישירות לבעל המאגר — לרוב מנכ"ל / מנהל חברה |
| מנהל אבטחת המידע | מי האדם שאחראי על אבטחת המאגר — לרוב CISO או IT Manager |
| ממונה הגנת פרטיות (DPO) | אם נדרש לפי תיקון 13 — שמו, פרטי קשר |
| מטרת המאגר | למה המידע נאסף ומשמש — כתוב באופן ספציפי, לא "ניהול עסקי" |
| בסיס משפטי | הסכמה / חוזה / חובה משפטית / אינטרס לגיטימי |
| סוגי המידע | פירוט שדות: שם, ת"ז, כתובת, פרטי בנק, מידע רפואי וכו׳ |
| סוגי נושאי המידע | עובדים, לקוחות, ספקים, מתנדבים, חברים, וכו׳ |
| מקור המידע | איך המידע מגיע — ישירות מהאדם, מספק, מגוף שלטוני |
| מספר רשומות | הערכה — חשוב לקביעת רמת אבטחה |
| רמת אבטחה | בסיסית / בינונית / גבוהה — לפי תקנות 2017 |
| מעובד באמצעות | מערכות, ספקים, vendors שמטפלים במאגר |
| תקופת שמירה | כמה זמן נשמר המידע, ומתי נמחק |
| מועד עדכון | תאריך עדכון אחרון של המסמך |
רגישות
איך קובעים רמת אבטחה
רמת האבטחה משפיעה על כל הדרישות הטכניות והארגוניות. תקנות 2017 קובעות שלוש רמות, ולכל סוג מידע יש "מינימום" לפי הסיווג שלו.
| סוג מידע | רמת אבטחה מינימלית |
|---|---|
| מידע בסיסי | בסיסית |
| מידע פיננסי | בינונית |
| מידע רפואי | גבוהה |
| מידע על קטינים | גבוהה |
| מידע ביומטרי | גבוהה |
| מידע על דעות וזהות | גבוהה |
שאלות נפוצות על מסמך הגדרות מאגר
מה ההבדל בין מסמך הגדרות מאגר ל-RoPA?
מסמך הגדרות מאגר הוא דרישה של תקנות אבטחת מידע 2017 בישראל. RoPA (Records of Processing Activities) הוא דרישה של GDPR Article 30. תוכן דומה אבל לא זהה. ארגון שעובד גם בארץ וגם באירופה — מנהל את שניהם, לעיתים בטבלה אחת מאוחדת.
אילו מאגרים דורשים מסמך הגדרות מאגר?
כל מאגר ברמת אבטחה בינונית או גבוהה חייב מסמך הגדרות מאגר רשמי. מאגרי רמת אבטחה בסיסית — לא חובה, אבל מומלץ. בארגון בינוני בדרך כלל יש 5-15 מאגרים שדורשים מסמך רשמי.
איך קובעים רמת אבטחה?
תקנות 2017 קובעות שלוש רמות: בסיסית (עד 10,000 רשומות + מידע לא רגיש), בינונית (10,000-100,000 + מידע לא רגיש, או מתחת ל-10,000 + מידע רגיש), גבוהה (מעל 100,000 + מידע לא רגיש, או מעל 10,000 + מידע רגיש, או כל מאגר רפואי).
יש תבנית של הרשות?
כן. הרשות להגנת הפרטיות פרסמה תבנית רשמית של מסמך הגדרות מאגר, שזמינה באתר הרשות. אנחנו עובדים עם התבנית, אבל מרחיבים אותה לפי המבנה הספציפי של הארגון.
מי חותם על המסמך?
הרגיל: בעל המאגר (לרוב מנכ"ל), מנהל אבטחת המידע, ולפעמים DPO. במאגרים גדולים — גם יו"ר ועדת ביקורת או ועדת אבטחת מידע.
תקופת תוקף?
אין תפוגה מוגדרת. נדרש לעדכן בשינוי משמעותי במאגר: שדה חדש, מטרה חדשה, ספק חדש. בפועל — מומלץ לעבור על כל מסמכי הגדרות מאגר פעם בשנה.
מה אם אין לנו מסמכים?
נדרש להכין. אנחנו עוזרים: ב-שירות מיפוי מאגרי מידע אנחנו מכינים את כל מסמכי הגדרות מאגר הנדרשים, ב-3-14 שבועות לפי גודל הארגון.
מה אם המאגר נרשם ברשות לפני שנים — צריך לעדכן?
כן. רישום ברשות לא מבטל את חובת מסמך הגדרות מאגר המלא. גם רישום ישן צריך להתאים לדרישות תקנות 2017 ולתיקון 13.
צריכים מסמכי הגדרות מאגר?
שירות מיפוי מאגרי מידע מכין את כל המסמכים הנדרשים — מקצועי, מסודר, נשאר אצלכם.
פרטים על מיפוי מאגרים