הצעת חוק לדיון מוקדם

DOC 3,373 תווים המסמך המקורי ↗
הכנסת השבע-עשרה הצעת חוק של חבר הכנסת אביגדור יצחקי פ/2337/17 הצעת חוק הגנת הפרטיות (תיקון - אבטחת פרטיות מידע), התשס"ז-2007 תיקון סעיף 7 1. בחוק הגנת הפרטיות, התשמ"א-19811 (להלן - החוק העיקרי), בסעיף 7, אחרי ההגדרה "מנהל מאגר" יבוא: ""נתיב בקרה" - תיעוד ורישום ממוחשב של גישה שבוצעה למידע;" הוספת סעיף 17ב1 2. אחרי סעיף 17ב לחוק העיקרי, יבוא: "חובת ניהול נתיב בקרה 17ב1 (א) כל גוף ציבורי המנהל מאגר מידע ממוחשב שבו מאוחסן מידע רגיש, מחובתו לנהל נתיב בקרה אשר: (1) יכיל את הנתונים הרלוונטיים לגילוי ניסיונות גישה של מי שמורשה ומי שאינו מורשה, וכן פעולות לא מורשות וזיהוי מקורן, כמו גם את מהות הפעולה, מקור הגישה, זמן הגישה וזיהוי האדם שנסה לגשת למידע; (2) יאפשר ניטור ומעקב אחר ביצוע פעולות ושאילתות המתייחסות למידע שמוגדר רגיש בהגדרתו על פי חוק הגנת הפרטיות. (ב) גוף ציבורי כאמור יידע את עובדיו ולקוחותיו בדבר ביצוע רישום פעילויותיהם בנתיב הבקרה כאמור. (ג) מערכות ניהול הרישומים תספקנה לגורמים המוסמכים לכך, התראות על פעילויות בלתי מורשות וכן על פעילויות חריגות של המשתמשים לסוגיהם, לרבות משתמשים פנימיים בארגון. (ד) במקרה שמאגר מידע המכיל מידע רגיש או פרטי נפרץ, וקיים חשש שהמידע דלף לגורמים שאינם מוסמכים לקבלו, נדרש הגוף שבבעלותו מאגר המידע לדווח באופן מיידי לנשואי המידע." דברי הסבר במקביל להעמקת השימוש במאגרי מידע ממוחשבים והתלות הגדלה והולכת של גופים עסקיים וממשלתיים במערכות המחשוב שלהם, נצבר מידע על כל אזרח במדינה בתחומים רבים ומגוונים. חלק גדול ממידע זה רגיש בהגדרתו לפי חוק הגנת הפרטיות. רב הארגונים מודעים לרגישות המידע שבידיהם ומיישמים אמצעי הגנה שונים שמטרתם להגן על המידע מפני גישה בלתי מורשית של גורמים חיצוניים לארגון. לעובדי הארגון לעומת זאת יש גישה למידע הרגיש באופן שוטף על מנת שיוכלו לבצע את תפקידיהם. הבעיה היא שלמרבית הארגונים אין מעקב על הגישה שמבצעים עובדיהם למידע הרגיש על מנת לוודא שמידע רגיש זה אינו מנוצל לרעה. לחלק מהארגונים קיים מעקב על גישות למידע לצורך ביצוע עדכונים אולם ברוב הארגונים אין מעקב על גישה שנעשית לצורך הצגת נתונים בלבד ללא ביצוע כל שינוי בנתונים. ברוב הארגונים לא קיים נתיב בקרה המאפשר לזהות בדיעבד מי מהעובדים ניגש לאיזה נתון. במקרה של דליפת מידע אין לרב הארגונים דרך לזהות מי מהעובדים ניגש למידע שדלף, ולכן לא ניתן לחקור זאת. גם אם רובם המכריע של העובדים הם אמינים ומהימנים, הרי שגם עובד אחד בארגון יכול לגרום נזק בלתי הפיך למאות אלפי אזרחים ע"י הדלפת מידע רגיש אודותיהם בלא להשאיר כל עקבות. בעקבות פרשת המעילה שמוטטה את בנק למסחר, קבע המפקח על הבנקים בבנק ישראל את תקנה 357 שנכנסה לתוקף ביולי 2004, והיא מחייבת את כל הבנקים לקיים בין השאר נתיב בקרה מלא במערכותיהם הממוחשבות, ואמנם רב הבנקים נערכו לעמוד בתקנה. המפקח על הביטוח ושוק ההון במשרד האוצר הלך בעקבות תקנה 357 ונמצא בתהליך קביעת תקנה מקבילה המחייבת אף את חברות הביטוח לקיים בין השאר נתיב בקרה מלא. בעקבות שתי תקנות אלה יקוים נתיב ביקורת למידע הנאגר בבנקים ובחברות הביטוח. אולם לגבי מידע בארגונים אחרים בגופים ממשלתיים, במערכת הבריאות, במגזר התקשורת והטלפוניה (לדוגמא גישה לפירוט שיחות) ובמגזרים אחרים אין חובת רישום נתיב בקרה. הצעת החוק החדשה נועדה לפתור בעיה זו ולחייב כל גוף המנהל מידע פרטי של אזרחים, לנהל גם נתיב ביקורת. הצעת החוק להלן מציעה ללכת צעד אחד נוסף מעבר לתקנות שצוטטו לעיל לגבי הבנקים וחברות הביטוח. סעיף 4 לחוק המוצע יוצר חובת דיווח לנשואי המידע במקרה של דליפת מידע. חוק כזה חוקק במדינת קליפורניה בארה"ב (CA SENATE BILL 1386), ובעקבות קליפורניה הלכו מדינות רבות נוספות בארה"ב. --------------------------------- הוגשה ליו"ר הכנסת והסגנים והונחה על שולחן הכנסת ביום כ"ט באדר התשס"ז – 19.3.07