הרשות להגנת הפרטיות פרסמה לאחרונה (04.09.2022) באתר שלה, התייחסות לחובה העולה מתקנות אבטחת המידע, לדווח לרשות על אירוע סייבר באופן "מיידי". הרשות מנסה בפרסום להדגיש את החובה במיידיות הדיווח, בלי לנקוב בפרשנות מהו הזמן המשקף דיווח "מיידי".
כזכור, תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן לדווח לרשות על הצעדים שנקט בעקבות האירוע. חובת הדיווח חלה גם על מנהל המאגר ועל המחזיק במאגר, כל אחד בנפרד, אולם די בדיווח של אחד מהגורמים הללו על האירוע (בעל המאגר/מחזיק/מנהל המאגר) כדי לקיים את החובה עבור שלושת הגורמים גם יחד.
התקנות אינן מפרשות מה ייחשב כדיווח מיידי ולמעשה משאירות את הנושא פתוח לפרשנות. בפרסומים של הרשות בעבר נכתב כי דיווח שייעשה עד 72 שעות, מהמועד בו נודע על אירוע הסייבר, ייחשב בעיני הרשות כדיווח מיידי. עתה הרשות מנסה, למעשה, לסגת בפרסום החדש מההצהרה שלה בעבר בלי להגיד את זה במפורש. דומה שהרשות לא מבקשת להחליף את משך הזמן שנקבע על-ידה בעבר למשך זמן אחר, אלא להותיר שיקול דעת לכל ארגון בעניין, כאשר דעת הרשות היא שאין לעכב את הדיווח אם אין לכך סיבה. באתר של הרשות במסגרת "שאלות ותשובות" כותבת הרשות את פרשנותה למונח "מיידי": " הכוונה במונח "באופן מיידי" היא שנדרש למסור את ההודעה בסמוך ככל האפשר למועד הגילוי וללא דיחוי בנסיבות העניין."
כאשר מתרחש אירוע אבטחת מידע, לעיתים ברגע שהדבר מתגלה, לא ברור אם הייתה נגיעה במידע אישי, מה היקף הנגיעה, מה מקור החדירה ופרטים רלבנטיים אחרים. במקרים כאלה מתעכב הדיווח עד שכל המידע ברור, או לפחות רוב המידע. אם בעבר הרף של 72 שעות היה מאפשר מרווח תמרון, פרסום הרשות עתה יוצר רושם, כי על גורם שהותקף לעשות מאמץ לברר את כל הפרטים באופן המהיר ביותר, ברמה של שעות עד כמה שניתן, ולהעביר את המידע לרשות מיד כשמתבהרת התמונה. יחד עם זאת, דומה שהרף של 72 שעות עדיין רלבנטי למקרה שהתמונה לא מתבהרת במהירות, כמועד לדווח דיווח ראשוני, לכל-הפחות, גם אם התמונה עדיין לא ברורה. בכל מקרה הרשות לא נוקבת בפרסום במשך זמן זה שנראה לה כראוי והדבר עדיין נשאר פתוח לפרשנות.
