ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה, פנה למנכ"לי הבנקים והדגיש בפניהם את חובת הדיווח לרשות להגנת הפרטיות בכל מקרה של אירוע אבטחת מידע חמור.
פניית ראש הרשות נעשתה בהמשך לאירוע אבטחת מידע שאירע בעת שימוש של לקוח באפליקציה של מוסד בנקאי גדול, במסגרתו נחשף תוכן הפנייה האישית שלו ללקוחות רבים אחרים. בעקבות האירוע הגיש הלקוח תלונה לרשות, שם הבינו כי האירוע לא דווח על ידי הבנק, בניגוד לחובה החלה עליו.
הפנייה התבצעה גם בשל מספר אירועים שהתרחשו לאחרונה בבנקים, במסגרתם נחשף מידע אישי רגיש על לקוחות לגורמים בלתי מורשים.
ברשות מציינים כי על רקע חשיבות המוסדות הבנקאיים ומרכזיותם במארג הסקטור הפיננסי בישראל, ולנוכח סוג ומהות המידע האישי הנאסף על ידם במלך פעילותם העסקית, חלה על מאגרי המידע המנוהלים על ידם רמת אבטחת המידע הגבוהה ביותר על פי התקנות.
כמו כן, הרשות המליצה לבנקים לרענן את הנחיות אבטחת המידע, להדגיש את חובת הדיווח המיידית לרשות על כל אירוע אבטחת מידע חמור, וכן ליישם תהליכי הפקת לקחים במטרה למנוע הישנות של אירועי אבטחת מידע, במיוחד כאלה שמקורם בכשל אנושי או טכנולוגי.
הרשות מדגישה כי אי-עמידה בחובת הדיווח על אירוע אבטחת מידע חמור היא הפרה של התקנות והרשות לא תהסס לנקוט בהליכי אכיפה בגין הפרה זו.
