דיווח על-פי חוק

PDF 61,493 תווים המסמך המקורי ↗
דו"חפעילות לשנת 2023 בהתאם לסעיף10אלחוקהגנתהפרטיות,התשמ"א- 1981 מוגשדיןוחשבוןעל פעולותהאכיפהוהפיקוח שבוצעועל ידיהרשות להגנת 1 הפרטיות לשנת 2023 דבר שר המשפטים ברצוני לברך על פרסום דוח הפעילות של הרשות להגנת הפרטיות לשנת 2023 , המשקף שנה בסימן אתגרים גוברים והתקדמות משמעותית במשימתנו לשמורעלהזכותלפרטיות של הציבורהישראלי. מאז פרוץ המלחמה, אנו עדים לעלייה משמעותית במתקפות סייבר ואבטחת מידע שמטרתן לערער את החוסן הלאומי שלנו. התקפות אלו לא כוונו רק לכלכלה ולשירותים הציבוריים שלנו, אלא גם ביקשו לסכן את המידע האישי של אזרחינו. מצב זה ה ציב בפני משרד המשפטים בכלל, והרשות להגנת הפרטיות בפרט, אתגר משמעותי במיוחד.בתקופהזו עמד והרשותלהגנתהפרטיות ומשרדהמשפטים בחזיתהמענהלאיומים אלו. כפישניתןלהיווכחמעיוןבדוחזה,הרשותהתמודדהעם עלייהשל 32% באירועיאבטחתמידע חמורים. זינוק זה מדגיש את התפקיד הקריטי שהרשות ממלאת בהגנה על המידע האישי והפרטיות של הציבור הישראלי, על רקע איומי ה סייברה מתגברים. עלאףהאתגריםהרבים,גםבשנת2023 משרד המשפטיםבראשותי עמדבמחויבותול המשיךבמאמץלקדם אתהשינויהחיוני בחוקהגנתהפרטיות.שינוימקיףזה נועד לספקמענהעדכני למשימההחיוניתשלשמירה על זכות הציבור לפרטיות והוא חשוב ביתר שאת בזמני חירום ומשבר., לצד זאת, בשנה האחרונה הגבירה הרשות את מאמציה מעבר לגבולות המדינה לצורך חיזוק מעמדה של ישראלבזירההבינלאומית,התאמהלסטנדרטיםבינלאומייםוטיפוחשיתוףפעולהעםמדינותרבותבתחום הגנתהפרטיות. כךלמשל,השנההושלםתהליךעבודהארוךומשמעותי מולהאיחודהאירופי לבחינתמעמד התאימות ( Adequacy ) של ישראל ,בהובלתהרשות ומחלקתייעוץ וחקיקה במשרד המשפטים. אנימודהלרשותלהגנתהפרטיותעלהמסירותוהשותפותבמשימהחשובהזו,ומברךאתראשהרשותלהגנת הפרטיות,עו"דגלעדסממה,ואתכלעובדותועו בדיהרשות,עלתרומתכםוהישגיכם. המשךעשייהמקצועית וברוכה בתפקידכם החשוב. יריבלוין סגן ראשהממשלה ושרהמשפטים 2 דבר מנכ"ל משרדהמשפטים אני מברך עלפרסומו של הדו" חהשנתי של הרשותלהגנתהפרטיותלשנת2023 . הדו"ח מגלם את העשייה הרב-גונית של הרשות להגנת הפרטיות לאורך שנת 2023 , ומדגיש את תרומתה המרכזית לחיזוק הזכות לפרטיות ולהגנה על המידע האישי של הציבור הישראלי. הדו"ח גם משקף את מ חויבות משרדהמשפטים לחתירה תמידיתובלתי מתפשרתלשמירה על זכותחוקתית זו. במהלךשנת2023 פעלההרשות רבות לקידוםהכלכלההישראליתוקשריסחרבינלאומיים,וזאתבאמצעות צמצום נטלים רגולטוריים ופרסום הנחיות ו מסמכי מדיניות. בהקשר זה מתחייב אזכור הכרת האיחוד האירופי במעמד התאימות (Adequacy) של ישראל, בתחילת ינואר 2024 , בתום עבודה מאומצת וממושכת של הרשות מולהאיחודהאירופי. בנוסף,הרשותעמלהעלהרפורמההמשמעותיתביותרלחוקהגנתהפרטיותמאזחקיקתו(תיקון13 ) .תיקון זה אושרלאחרונה במליאת הכנסת. אני סמוך ובטוח כי מגוון המידע והנתונים המוצגים בדוח זה, הפורט את הישגי הרשות בשנת 2023 , יהיה בעלענין וערך רב לכל. אני מברך את ראש הרשות ועובדות ועובדי הרשות על פעילותם המשמעותית ומסירותם להגנה על פרטיות הציבור, ומאחל לרשות הצלחה רבה בביצוע משימתה החשובה. איתמר דוננפלד המנהל הכללי – משרד המשפטים 3 דברראש הרשותלהגנת הפרטיות טכנולוגיות חדשות מהוות מנוע מרכזי להתפתחות החברה המודרנית. על כן, כאשר הקדמה הטכנולוגית מציבהבפנינוהזדמנויותחדשותויתרונותכהרבים– נטייתהלבשלרובנוהיאלאמץאותםבמלואם.תפקיד הרשות להגנת הפרטיות הוא לשמש שומר סף כנגד פוטנציאל הפגיעה בזכות לפרטיות הנלווה להתפתחות הטכנולוגיתהמואצת,ביןהיתרעקבאיסוףועיבודמוגברשלמידעאישי,חשיפהלפריצותאבטחהולתקיפות סייברושימושלרעה במידע לצורךניתוחהתנהגותוהרגלי צריכה. כל זאת תוךפגיעה באוטונומיההאישית, שלעיתים איננו מודעים כלל לקיומה. מובן כי לאניתן לסכםאת שנת2023 מבלילהתייחסתחילה למתקפתהטרורהרצחנית שלה-7 באוקטובר. בדומה לכלל תושבי המדינה ומגזרי המשק הישראלי, מתקפת הפתע של ארגון הטרור חמאס, בעקבותיה החלה מלחמת "חרבות ברזל", נתנה את אותותיה על גם על פעילות הרשות. מאז תחילת המלחמה פעלה הרשות ביתר שאת בהפעלת סמכויות האכיפה הנתונות לה, וזאת עקב עליה משמעותית באירועי אבטחת מידע וסייבר חמורים שנועדו לפרוץ למאגרי מידע הכוללים מידע אישי במטרה להסב נזק לאזרחי מדינת ישראלולפגוע בתפקודו של המשק. בעקבות התגברות אירועי הסייבר ואבטחת המידע, פנתה הרשות, בסמוך לפרוץ המלחמה, לוועדת חוקה, חוק ומשפט של הכנסת, והבהירה את ההכרח בהשלמת תיקון חוק הגנת הפרטיות (תיקון 13 ,) במיוחד בהינתן מצב החירום, כמו גם חשיבות הגברת יכולות האכיפה של החוק והתקנות מכוחו. דיוני הוועדה בהצעת החוק החלו בדצמבר 2023 ואני שמח לעדכן כי בתום 20 דיונים, בחודש אוגוסט 2024 תיקון 13 – הרפורמה המשמעותית ביותר לחוק הגנת הפרטיות מאז חקיקתו בשנת 1981 – אושר במליאת הכנסת בקריאהשניהושלישית. במסגרתהתיקוןהוכנסומנגנוניםרביםלשמירהעלפרטיותואבטחתהמידעבמגזר הפרטי והציבורי, הועצמו סמכויות הרשות להגנת הפרטיות (כולל הסמכות להטיל עיצומים כספיים משמעותיים),וכןהוענקולאזרחיהמדינהכליםנוספיםלפיצויעקבהפרתפרטיות.התיקוןגםקריטילחוסן הלאומי מפני תקיפות במרחב הסייבר ומסייע לכלכלת ישראל נוכח דרישות בינלאומיות הנוגעות להגנת הפרטיותלשם מסחר בין מדינתי. לצדהאמור, החל מפרוץהמלחמההייתההרשותמעורבתבעבודתהמטההממשלתיתלקידום דברי חקיקה שנועדו להתמודד עם מצב החירום, אפשרה הליך מזורז לרישום זמני של מאגרי מידע לשם התמודדות עם מצבהחירוםוהשלכותיועלהמשק, יזמההליכיאכיפהלכלל החברותהמעניקותשירותיםעבורבעלימאגרי מידעשוניםבמטרהלוודאעמידתןבדרישותהחוקוהתקנות ,וכן עדכנה הנחיותומסמכיםשפרסמה לציבור לשםהתאמתםלמצב החירום. בנוסף לאמור לעיל, הרשות המשיכה בעבודתה המאומצת בזירה הבינלאומית, לקידום תהליך העבודה מול האיחוד האירופי לבחינת מעמד התאימות ( Adequacy ) של ישראל. מעמד זה הוא נדבך מרכזי של כלכלת ישראלביצירתקשרימסחרעםמדינותהאיחודהאירופי,וישבוכדילהפחיתנטלרגולטוריעלהמגזרהעסקי בישראל בבואו לקיים שיתופי פעולה בענפים שונים ומגוונים. לצורך כך, קידמה הרשות ביחד עם מחלקת ייעוץוחקיקה במשרדהמשפטים,אתהתקנת תקנות הגנתהפרטיות (הוראות לענייןמידעשהועבר לישראל מהאזורהכלכליהאירופי,)התשפ "ג- 2023 ,במטרהלתתמענהלפעריםביןהדיןהישראלילדיןהאירופיבנוגע למידע אישיהמועברלישראל מאירופה.התקנות אושרו עלידי ועדת חוקה, חוק ומשפט שלהכנסתונחתמו במאי2023 עלידי שרהמשפטים. 4 לשלמות התמונה יצוין, כי בינואר 2024 , קבעה נציבות האיחוד האירופי כי דיני הגנת הפרטיות של מדינת ישראל תואמים לדין האירופי, תוך שהיא מציינת בדוח מטעמה את תפקידה המכריע של הרשות להגנת הפרטיות בשמירהובעמידה על רמתהגנת פרטיות ברףהגבוה: “ThePPAplays a very activerolein theinterpretation and enforcementofdata protection law, both when itcomes toits engagementwith stakeholders and when exercising its oversightrole”. עוד בזירה הבינלאומית, ב- 2023 הרשות בשיתוף עם המכון הישראלי למדיניות טכנולוגיה (FPF ) , אירחה כנס ראשון לרשת הבינלאומית לקידום טכנולוגיות משמרות פרטיות – Global PETs Regulators Network . הרשת הכוללת עשרות ארגונים לרבות רגולטורים וגופים בינלאומיים, הוקמה מתוך הבנה שקיים צורך ביצירת סטנדרטיזציה בינלאומית ליישום טכנולוגיות משמרות ומגבירות פרטיות, שתאפשר ודאות מסחרית וזרימת מידע אישי בצורה בטוחה באופן גלובלי ומטרתה קידום שיח ושיתוף ידע פרקטי וחדשני ביןרגולטורים ברחביהעולםלשם קידום נושאי פרטיות וחדשנות לטובת הציבור. במהלךשנת2023 נשלםתהליךהעבודההמקיף על תיקון14 לחוקהגנתהפרטיות– תזכירחוקשבורפורמה מקיפהשלהוראותהחוקבענייןמאגרימידע,במטרהלהגביראףיותרההגנהעלמידעאישיבישראל.תזכיר החוק הועבר לבחינת שר המשפטים טרםפרסומו להערות הציבור. בשנהזוגם עוגנהלראשונהבחקיקה סמכותהשלהרשותלהגנתהפרטיותכרשות המ פקחת עלמאגרהמידע שיוקם מכוח חוק סמכויותלאיסוףואבחוןשלנתונינוסעיםהנכנסיםלישראלאוהיוצאיםממנה,התשפ"ג- 2023 ("חוק ה- PNR הידוע גם כ"חוק הפטור מויזה לארצות הברית"",) . הרשות הייתה שותפה מרכזית בעיצוב החוק, על היבטי הפרטיות המשמעותיים שבו, ונטלה חלק פעיל – הן בצוות הבינמשרדי אשר גיבש אתהצעתהחוק,ו הןבתהליךהחקיקהבכנסת .הרשותמוסיפהגםכיום,להמשיךוללוות אתהמרכזלאבחון נתונינוסעים (מלא"ן) במסגרתהקמתו. לצד קידום דברי חקיקה הכוללים היבטי פרטיות, במסגרת ה רחבת פעילות האכיפה שלה – הרשות הקימה בשנת 2023 מערך פיקוחי עומק. מערך זה מתמקד בהליכי פיקוח יזומים בארגונים ובמגזרים המחזיקים כמות משמעותית של מידע רגיש, בשל העובדה שהיקף המידע האגור בהם ופוטנציאל הנזק הגלום בפגיעה בוגבוה או בשלהיותהמידע נוגע לאוכלוסיות מיוחדות. במהלך השנה הרשות המשיכהלפעול לטובת צמצוםהפערים שבין משפט לטכנולוגיה,על מנתלייצר ודאות רגולטוריתעבורהמשקהישראליולמצבאתישראלאףיותרבזירההבינלאומית–ופרסמההנחיות,מסמכי מדיניותומדריכים שונים בתחוםאבטחת מידע והגנתהפרטיות. יש לציין, כי תחום הגנת הפרטיות ואבטחת המידע הופך משמעותי ובולט יותר משנה לשנה. משכך, בשנת 2023 הרשותיזמהלראשונה,בשיתוףלשכתעורכיהדין,קורסממונההגנתפרטיות(DPO ).הקורסשהועבר באופן מקוון, כלל תכנים מקצועיים שהועברו על ידי נציגי הרשות ומרצים חיצוניים מדיסציפלינות שונות ונרשמו אליו מאות משתתפים. בהזדמנות זו, ברצוני להודות לעובדות ועובדי הרשות להגנת הפרטיות ולצוות הנהלת הרשות על ה עבוד ה המקצועית לטובתהגנהעלהמידעהאישישלכללהציבור,ועלהתרומההמשמעותיתשלכלאחתואחדמהם לקידום הרשות ויעדיה. תודות לשר המשפטים וסגן ראש הממשלה על הרוח הגבית לפעילות הרשות ועל הסיוע בקידום תיקוני החקיקה ההכרחיים בחוק הגנת הפרטיות, למנכ"ל משרד המשפטים ולצוות מטה משרד המשפטים, על שיתוףהפעולההפורה ועלהתמיכהבהגשמת יוזמות הרשותוקידום פעילותה. 5 מחלקות הרשות להגנת הפרטיות: תחומי עשייה מרכזיים מחלקתאכיפה פועלת להגברת הציות הכלל משקי לחוק ולתקנות באמצעות ניהול הליכי אכיפה פליליים ומינהליים כנגד גורמים המפרים את הוראות החוק והתקנות, או על מנת למנוע התרחשותם של אירועים שעלולים להביא לפגיעהבלתי הדירהבמאגרימידע.מטפלתבאירועיסייברהמחויביםבדיווחלרשותעלפיהתקנותומנהלת פיקוחי רוחב שמטרתם לבחון את מידת הציותלחוק במגזרים שונים. מחלקתייעוץ משפטי ואסדרה פועלת לקידום רפורמות בחוק הגנת הפרטיות לצד פרסום הנחיות לכלל המשק וגילויי דעת, המפרשים את הוראותהחוקהקייםומיישמיםאותן. בנוסף,המחלקהמספקתייעוץמשפטילכללמחלקותהרשותומרכזת אתהפעילות מול האיחוד האירופיוה- OECD . מחלקתקשרי ציבור וממשל אחראית עלהעלאת המודעותלערךההגנהעל הפרטיות ולחשיבותה בעידןהמידע, באמצעותפעולותחינוך, הסברה והדרכה. כמו כן, מבצעת פעולות להטמעה של הזכויות והחובות לפי חוק הגנת הפרטיות בקרב הציבור. מחלקתחדשנות ופיתוחמדיניות פועלת לזיהוי וניתוח מגמות עתידיות - טכנולוגיות, חברתיות ועסקיות, ובחינת השלכותיהן על הפרטיות, אמונה על עריכת מחקרים וכתיבת מסמכי מדיניות פרטיות חדשנית המכווינים את התנהלות המשק והציבור .כמוכן,המחלקהמובילהאתתהליכיהתכנון האסטרטגישלהרשות,אתתחוםניהולהידעוהמידע ברשות ופועלת לקידוםמיצובה שלהרשות בזירה הבינלאומית. 6 משימות מרכזיות בשנת 3 202 ▪ קידוםחקיקת פרטיות עדכנית (תיקון14 ותיקון15 לחוקהגנת הפרטיות) ▪ קידום תהליך העבודה מול האיחוד האירופי ל ב חינת מעמד הת אימות(Adequacy )של ישראל ▪ קידוםשיתופי פעולה עם רשויות שונות ▪ מיסודתחום טכנולוגיות והגברתהמעורבות בפרויקטים טכנולוגיים ממשלתיים ▪ פיתוח כלים טכנולוגייםלטובת המשק ▪ מיסוד קבוצת עבודה בינ"ל בנושא טכנולוגיותמגבירות פרטיות(PETs ) ▪ כתיבתמסמכימדיניות בנושאים רוחביים בעלי השפעה על הפרטיות ▪ מיסוד מתפ"ס(מרכז לתיאום פשיעת סייבר) ▪ פיתוח וחיזוק תהליכי השירותלציבור הישגים מרכזייםבשנת 3 202 • השלמת תהליך העבודה מול האיחודהאירופי לבחינתמעמד התאימות( Adequacy )של ישראל • קידום הצעת חוק הגנת הפרטיות - תיקון 13 (בשמו הקודם תיקון 14 ) לאישור בדין רציפות ולדיונים בוועדת החוקה,חוק ומשפטשלהכנסת • השלמת גיבושהצעה לתיקוןמקיף נוסףשל חוקהגנת הפרטיות- תיקון 15 • חקיקת תקנותהגנת הפרטיות (הוראות לעניין מידע שהועבר לישראלמהאזור הכלכלי האירופי,) התשפ "ג- 2023 • עיגוןמעמדהרשותכרשותהמפקחתלפיחוקסמכויותלאיסוףואבחוןשלנתונינוסעיםהנכנסים לישראל או היוצאים ממנה, תשפ"ג- 2023 (חוק ה- PNR ) • הקמת צוות מקצועילבחינת נושא "שימושיםאסורים" במידע במאגרים ממשלתיים גדולי ם • הקמת מערך פיקוחי עומק שתכליתו מניעה. מערך זה מתמקד בהליכי פיקוח יזומים בארגונים המחזיקים כמות משמעותית של מידע רגיש או במגזרים אותם מזהה ה רשות כבעלי רגישות 7 גבוהה,ביןבשלהיקףהמידעהאגורבהםופוטנציאלהנזקהגלוםבפגיעהבו,וביןבשלהיותומידע הנוגעלאוכלוסי ותמיוחדות • פרסום הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות אבטחת מידע)( ,להתייחסותהציבור • פרסוםמדריךפעולהלהתקשרותעםספקימיקורחוץ- תקנה15 לתקנותהגנתהפרטיות(אבטחת מידע) • פרסום מסמך ראשון מסוגובנושא פרטיות במוצרי IoT ביתיים ובבתיםחכמים • פרסוםמסמך ראשון מסוגובנושא היבטי פרטיותבמעקבאחר עובדים בעבודהמרחוק • פרסום מסמך בנושא היבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בקבלה לעבודה • מתןמענה אד הוק בתחוםה- DataCyber בעקבות מלחמת "חרבות ברזל" • יישום תפיסת ההפעלה וחובתהדיווחהמיידי באירועי אבטחתמידע • ייזום קורס ממונה הגנת הפרטיות , בשיתוףלשכת עורכי הדין 8 היבטי פרטיות במהלך מלחמת "חרבות ברזל" בבוקר יום שבת, שמיני עצרת התשפ"ד, 7.10.23 פתח ארגון הטרור חמאס במתקפת פתע רצחנית על יישוביעוטףעזהוהסביבה,לצדיריכבדשלאלפיטיליםורקטותעלדרוםהארץומרכזה.בתגובהפתחה מדינת ישראל במלחמת"חרבות ברזל." מאז פרוץ המלחמה, ובמהלכה, נרשמה עליה משמעותית בהיקף ובעוצמת מתקפות הסייבר נגד גופים שוניםבמשקהישראלי,שהתבטאהביןהיתרבעליהדרמטיתבאירועיאבטחתהמידעהמדווחים לרשות להגנתהפרטיות,ואשרמלוויםעלידה.מטרתהמתקפותהללו,כחלקמהמתקפההמשולבתהמכוונתנגד מדינת ישראל, היא לפגוע בחוסנה של מדינת ישראל באמצעות פגיעה בכלכלתה ובתפקודו התקין של המשק, כמו גם בציבור הישראלי באמצעות חשיפת מידע אישי ברבים. למשל, על ידי תקיפה של מאגרי מידע של גופים ציבוריים המעניקים שירותים חיוניים (כגון בתי חולים ומרכזים רפואיים), מוסדות אקדמיים, ומשרדי ממשלה. מבט על • מתחילת המלחמה ועד סוף שנת 2023 נרשמה עליה משמעותית במספר אירועי אבטחת המידע החמורים שטופלו על ידי הרשות, וזאת בעקבות הדיווח הסטטוטורי לרשות מכול תקנות הגנת הפרטיות. הרשות מדווחת כי מגמה זונמשכת גם בשנת 2024 . • קידום תיקון חוק הגנת הפרטיות - בעקבות התגברות אירועי הסייבר ואבטחת המידע, בסמוך לפרוץ המלחמה, פנתה הרשות לוועדת חוק ה חוק ומשפט,, ועמדה על הצורך בהשלמת חקיקת תיקון 13 (בשמו הקודם תיקון 14 ) דווקא במצב החירום בו נתונה המדינה, בדגש על הגברת יכולותהאכיפה של החוקוהתקנות מכוחו. • ליווי חקיקת ח ירום - הרשות ליוותה מקרוב והייתה שותפה לעבודת המטה הממשלתית אשר הובילה לחקיקת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותיהאחסון(הוראתשעה-חרבותברזל,התשפ"ד- 2023 ),ולתקנותשעתהחירוםאשרקדמו לו. • הליך מזורז לרישום מאגרי מידע - הרשות אפשרה הליך מזורז לרישום זמני של מאגרי מידע אישי לשם התמודדות עם מצב החירום והשלכותיו על המשק כתוצאה מכך,. כל בקשה דחופה טופלה באופן אישי, יעיל ומהיר באופן המצמצם חסמים בירוקרטיים ורגולטוריים, לשם ייעול הליך הרישום ומתן אפשרות להתמודד עםהמציאות שנכפ תהעל כלל גורמי המשק. • הפצת דרישה לכלל החברות המעניקות שירותים עבור בעלי מאגרי מידע שונים - בחודש דצמבר,לאורהעלייההניכרתבמספראירועיאבטחתמידעבמגזרחברותהאחסוןועיבודמאגרי המידע, זיהתה הרשות מספר הפרות של חוק הגנת הפרטיות ותקנותיו, אשר נוצלו באופן רוחבי על ידי גורמים עוינים. אי לכך, הרשות שלחה דרישה המיועדת לכלל החברות המעניקות שירותים עבור בעלי מאגרי מידע שונים, שמטרתה וידוא עמידת החברות בדרישות החוק והתקנות. במסמך רוכזו פעולות המחויבות מכוח החוק והתקנות שיש בהן כדי לסייע לארגונים להגביר את רמתאבטח תהמידעשלהם. 9 פעילות אכיפה הרשות להגנת הפרטיות, כרשות אסדרה , פיקוח ואכיפה כלל משקית, ממונה על הגנת הפרטיות והמידע האישי של הציבור במאגרי מידע דיגיטליים. לתכלית זו מפעילה הרשות סמכויות אכיפה מנהליות ופליליות על כלל הגופים בישראל המחזיקים, מעבדים ואוגרים מידע אישי דיגיטלי. ביניהם, ארגונים מסחריים, גופיםעסקיים, משרדי ממשלה ורשויות ציבוריות. במסגרתפעולות האכיפה, מפעילההמחלקהאת סמכויותיה מכוחחוקהגנתהפרטיות,הכוללות דרישה לקבלת מידע ומסמכים, ביצוע חקירה באזהרה, חיפוש ותפיסה , חדירה לחומר מחשב, הטלת סנקציות של התלייה או ביטול הרישום של מאגר המידע של הגוף המפר ועוד. חלק משמעותי מתפקידיה של מחלקת אכיפה ביחס למאגרי המידע בא לידי ביטוי בטיפול באירועי סייבר ואירועי אבטחת המידע ה מחויבי םב דיווחעלפיהתקנות,בו מניעתאירועיםמבוססימידעמוקדםבטרםהתרחשותם.באופןזה, פועלת הרשות להגברת החוסן הלאומי ועמידת גופי המשק ברמת ציות גבוהה לחוק ולתקנות. בנוסף, מנהלת המחלקה פיקוחי רוחב ועומק יזומים, במגזר ים ספציפי ים שהרשות מזהה בה ם סיכון גבוה לפגיעה בפרטיות. מטרת הפיקוחים היזומים היא לבחון את עמידתם של גופים ספציפיים או מגזרים ב הוראות חוק הגנת הפרטיות והתקנות שמכוחו, ואיתור כשלים ענפיים הדורשים התערבות והנחיות מיוחדות. בשנת2023 יישמההרשותאתתפיסתההפעלהשגיבשהבשנת2022 ,תוךשימתדגשעלתחקורההליכים המנוהלים במחלקה, זיקוק תובנותויישומן, מהר ככל שניתן, לשם מניעת אירועיםעתידיים. במסגרת יישוםתפיסתההפעלה פעלה הרשות: • גיבוש הליכי פיקוח עומק יזומים בארגונים המחזיקים כמות משמעותית של מידע רגיש או במגזרים אותם מזהה המחלקה כבעלי רגישות גבוהה, בין בשל המידע האגור בהם ופוטנציאל הנזק הגלום בפגיעה בו, ובין בשל היותו מידע הנוגע לאוכלוסי ות מיוחדות. הליכי הפיקוח היזומים מבוצעים במספר ארגונים המשתייכים לאותו מגזר או כאמור בארגון אחד שהינו בעליםאו מחזיק שלמספר מאגרי מידע משמעותיים. • שימוש בכלי האכיפה של הרשות לטובת יישום תפיסה של מניעה וחוסן, והעלאת רף הציות של המשקלחוקולתקנות. • עבודה בש יתוף פעולה הדוק עם משטרת ישראל וגופים ביטחונ יים לטיוב המידע המתקבל ברשות בקשרלאירועי סייבר. • בשנת 2023 הוחלט לדחות את קיומם של פיקוחי הרוחב לאור מצב המשק בעקבות פרוץ המלחמה , ולאחדםעםפיקוחיהרוחבלשנת2024 . • חקירת אירועי אבטחת מידע מורכבים באמצעות כלל כלי האכיפה שבידי הרשות: הליך פיקוח מנהלי הבוחןהאםהגוףשבואירעהאירועעמדבדרישותהחוק,וחקירה פליליתבמטרהלחשוף אתהתוקף אופלטפורמות שנעשהבהן שימושלמטרת התקיפה. 10 כמובכלשנה,נקבעהתכניתהעבודהשלמחלקתהאכיפהבתהליךסדורשלהנהלתהרשותובהתבססעל פרמטרים רבים. ביניהם, פרמטרים חיצוניים שלא תמיד ניתן לצפות אותם מראש, כגון אירועי השבעה באוקטובר ופרוץהמלחמהעלכלהשלכותיהם: עליהדרמטיתבאירועי DataCyber ,הקמת מאגרימידע אישיאדהוקלצורך ההתגייסותהאזרחיתוסיועלכוחותהמגויסים ועוד.כמוגם פרמטריםהצופים פני עתיד,כגוןמענהלהקמתמאגרה- PNR בעקבותחקיקת חוק סמכויותלאיסוףואבחוןשלנתונינוסעים הנכנסיםלישראל או היוצאים ממנה, תשפ"ג- 2023 . במסגרת תכניתהאכיפה השנתית נקבעים מדדיםלבחינת העמידה ביעדים שהוגדרו: • תוצרים פנימיים-כגוןעיצובועדכוןנהליהעבודהבמחלקה,לימודוהכשרהאודותשימוש בכלי חקירה ופורנזיקה מתקדמיםועוד. • מדדים כמותיים - כגון היקף הדיווחים והפניות המטופלים על ידי המחלקה וכמות התוצרים האכיפתיים שקובעתהמחלקה,לרבותהנחיותומסמכים שלמחלקת אכיפה שמונגשים לציבור הרחב או למגזרים מיוחדים (למשלמסמכי ם הנוגעים לבחירות.) • מדדים איכותיים-הקובעיםאתהנושאים, התחומיםוהתופעותבהןתתבצעאכיפהיזומה, ואת היקףהמשאבים שמקדיש כל צוות אכיפה לפעילותיזומה זו. תוצרי אכיפה בשנת 2023 לפי תחומים: מינהלי אכיפה מינהלי תב חשדלהפרתחוקהגנת הפרטיות: ▪ 125 הליכיאכיפהמנהליים ▪ 9 מכתבי הפרה. ▪ 52 הנחיותלתיקוןליקויים אכיפה מינהלי תב חשדלהפרת תקנותהגנת הפרטיות ( אבטחת מידע) : ▪ 446 הליכיאכיפה מנהליים בתחום אבטחת המידע; חתימה אלקטרונית: ▪ 6 תיקים. ▪ 18 החלטות רשם גורמים מאשרים. פלילי ▪ טיפול בשלושיםוארבע פניותהמעלותחשד לעבירהפלילית. ▪ עשרה תיקי חקיר ה פלילית נפתחו בגין חשד לעבירות של סחר או שימוש במידע רגיש בניגוד לחוק, בשניים מתוכםהוקם צוותחקירה משותףעם משטרתישראל. 11 ▪ נמשכה חקירתם של חמישה תיקי חקירה משנה קודמת, בשלושה מתוכם הסתיימה החקירה והם הועברו לעיון הפרקליטות לצורךהכרעה בדבר הגשת כתב אישום. ▪ ב תיק פליליאחד הוגשכתב אישום. ▪ שתי בקשות להסרת תכנים מהאינטרנט הוגשו לחברות שרתים בנוגע למאגרי מידע רגיש אודות ישראלים (באמצעות מחלקת הסייבר בפרקליטות המדינה.) השוואת נתונים- 2022 מול 2023 : אכיפה מנהלית 450 446 400 317 350 300 250 200 125 150 87 100 50 0 אבטחת מידע חשש להפרה של חוק הגנת הפרטיות שנת 2022 שנת 2023 12 חתימה אלקטרונית 80 72 70 57 60 50 40 31 30 18 20 6 10 2 0 החלטות פניות פתוחות תיקים פתוחים שנת 2022 שנת 2023 אכיפה מנהלית בשנת2023 נרשמהעליהחדהבכמותהאירועיםהקשוריםלאבטחתמידע, הןשדווחולרשות והןשטופלו באופן יזום על ידי הרשות. פעילות המחלקה נמשכה באינטנסיביות ברבעון האחרון, עם פרוץ מלחמת חרבות ברזל בשבעה באוקטובר, שבעקבותיה חל גידול ממשי במתקפות הסייבר כלפי ארגונים וחברות במשקהישראלי מצד גורמיםעוינים. כחלק ממשימת הרשות לספק ודאות מקצועית למשק בנוגע לתקנות אבטחת המידע ולאופן יישומן, וכחלק מתפיסה הרואה בבהירות זו חלק ממאמצי המניעה, פרסמה הרשות שני מדריכים מקצועיים חשובים,מדריךפעולהלהתקשרותעםספקימיקורחוץ(תקנה15)ומסמךמדיניותבענייןסיכוניאבטחה בשירותלקיצור קישור. 13 דוגמאותלאכיפה מינהלית: 1. משרד התחבורה1 - בעתשימושבמוקד שירותטלפוני אובאתרהאינטרנט שלמשרדהתחבורהלצורךקבלתמידעהאם אדם מחזיק ברישיון נהיגה, נדרש הפונה להזין מספר זהות ושנת לידה בלבד. המידע נמסר לפונה ללא אימות כיהוא אכן האדם שרשאילקבל אתהמידע. לפיכך נמצא, כי מנגנון ההזדהות שהפעיל משרד התחבורה לצורך קבלת מידע האם אדם מחזיק ברישיון נהיגה, מפר את הוראות תקנה 14 (ג) לתקנות אבטחת מידע ואת חובת האבטחה הקבועה בסעיף17 לחוק.כמוכן,מתןהאפשרותלכלדורשלקבלמידעעלמחזיקירישיוןנהיגהללאהסכמתם וללא ידיעתם, מהווה הפרה של סעיף 23ב(א) לחוק. על רקע חולשת מנגנון ההזדהות עשו גורמים שונים שימוש לרעה באפשרות הגישה למאגר רישיונות הנהיגה של משרד התחבורה, על מנת לדלות מידעעלאנשיםהמחזיקים ברישיון. בעקבותהליך האכיפה שנ יהלה הרשות, משרדהתחבורה ביצע שינויים במנגנוןההזדהות. - 2 2. חברת " פאי פי פיננסים בע"מ" הרשות פתחה בהליך פיקוח מול החברה בעקבות דיווח שהתקבל ע"י החברה, לפיו אתר החברה הותקףומידערגיששללקוחותהחברהנחשףודלף.בנוסף,כ- 12,000 רשומותשלנושאימידעהוצפנו למטרת כופר. הרשות מצאה, כי החברה לא ביצעה עדכונים במסמך הגדרות מאגר המידע, לא סיפקה לרשות את הנתונים המבוקשים לעניין פרטי מאגרי המידע שבבעלותה ואת מסמכי הה גדרות למאגרי המידע, החדירה הבלתי מורשית למערכות המאגר לא זוהתה ע"י מנגנון הבקרה והוגש מסמך סקר סיכונים חלקי. נקבע כי החברה הפרה את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות, ואת סעיפים 2 ב,)( 10(א) ו- 16(א) לתקנות אבטחת מידע. בנוסף, החברה קיבלה הנחיות לתיקוןהליקויים שנמצאו. 3. מועצה מקומיתירוחם ומועצה מקומית דיר אל אסד 3- הרשות ניהלה הליך פיקוח מנהלי בחצרי המועצה המקומית ירוחם ובחצרי המועצה המקומית דיר אל אסד. ב הליך הפיקוח נמצא, כי המועצות לא קיימו את חובת אבטחת המידע הקבועה בסעיף 17 לחוקהגנתהפרטיות.כמוכןנמצא,כיהמועצותמנהלותומחזיקותמאגרמידעהחייבברישום,מבלי שהמאגר נרשם בפנקס או שהוגשה בקשהלרישומו. . 1 מועד שליחת מכתב ההפרה: 14.5.2023 . 2 מועד שליחת מכתב ההפרה: 26.9.2023 . 3 מועד שליחת מכתבהה פרה: 30.4.2023 14 לפיכך,נקבעכיהמועצותהפרואתסעיפים8 א,)(17 א(א)ו- 17 א(ב)לחוקהגנתהפרטיות,והוטלעליהן קנס מנהלי בסך10,000 ₪ בנוסף,המועצות הונחולתקן אתהליקויים.. 4. "ג'וינט ישראל" - 4 הרשותפתחהבהליךפיקוח מנהלילבדיקתנסיבותאירועאבטחתמידע,במסגרתונחשףמידערגיש שלסטודנטיםבתוכניתהלאומיתלהנדסאיםשלג'וינטישראל.הנתוניםשנחשפוכללוצילומיתעודת זהות, תעודות פטירה,פירוט תנועות חשבון בבנקים, תלושי שכר,אישורינכותומידע אישינוסף. הרשות קבעה כי במועד התרחשותו של אירוע האבטחה החמור, ג'וינט ישראל לא קיים את חובת אבטחת המידע הקבועה בסעיף 17 לחוק. כמו כן נמצא, כי ג'וינט ישראל לא קיים את החובות המוטלות עליו בתקנות 10 ד,)( 13 ב,)( 15 א()(1 ,) 16(א) לתקנות אבטחת מידע. ניתנו הנחיות לתיקון הליקויים. 5. עיריית חיפה5 - הליך הפיקוח נפתח בעקבות בקשות חריגות למשתמשים חדשים שזוהו באחת המערכות של עיריית חיפה.מבדיקתהבקשותוהטיפולבהןהתגלה,כיקיימיםליקוייםבמערכתההזדהות. כמוכןנמצא, כי העירייה לא החזיקה בדוח סקר סיכונים, לא ניהלה מערכות הרשאות גישה לעובדיה בהתאם לתפקידיהם, לא השתמשה במנגנוני זיהוי מבוססים סיסמה חזקה, אפשרה לעובדיה להתחבר למערכות המאגר מבלי לאבטח כנדרש את הגישה למאגר ולמערכותיו, החזיקה בנהלי אבטחה שלא עודכנ ו מאז שנת 2018 , וחיברה את מערכות המאגר למרשתת מבלי שאבטחה אותם כנדרש מפני חדירה לאמורשית. בהתאםלכךנקבע,כיהעירייההפרהאתחובתהלאבטחאתהמידעבמאגרהמידעכנדרשבסעיף17 לחוק, ואתתקנות 5 ג,)(7 ג,)( 8 א,)(9 א,)(11(ג) ו- 14(א) לתקנות אבטחת מידע. 6. ארגוןחינוכי- הרשות פתחה בהליך פיקוח מול הארגון החינוכי בשל קובץ אקסל שהיה נגיש ברשת האינטרנט, בו ניתן היה לצפות בפרטי מידע רגישיםעל אלפי בנינוער. הרשות מצאה, כי הארגון לא ניהל מערך הרשאות בהתאם לדרישות התפקיד והעניק הרשאות יתר למשתמשים,לאנקטאמצעיםמקובליםבנסיבותהעניין ובהתאםלאופיהמאגרוטיבוכדילוודאכי הגישה למאגר ולמערכותיו נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות, הסיסמאות היו ברמה נמוכה וקבצים המכילים נתונים רגישים אוחסנו ללא בקרת גישה. בנוסףנמצא,כילאהוסרוהרשאותגישהשלמשתמשיםשעזבואתהארגון,לאנשמרונתוניהתיעוד של מנגנון הבקרה ל- 24 חודשים, לא נערכו עדכונים שוטפים למערכות המאגר, לא הותקנו מוצרי אבטחה מקובלים מפני שיבוש אונזק ולא נערכו ביקורות תקופתיות. . 4 מועד שליחת מכתב ההפרה: 18.4.2023 . 5 מועד שליחת מכתב ההפרה: 28.5.2023 15 בהתאם לכך נקבע, כי הארגון הפר את סעיף 17 לחוק, ואת הוראות תקנות 8 א,)( 9 א,)( 9 ג,)( 10 ד,)( 13 ג,)(14(א) ו- 16 לתקנות אבטחת מידע. 7. בנק דיסקונטליש ראל בע"מ6- נפתח הליך פיקוח מנהלי מול הבנק לבדיקת נסיבות אירוע אבטחה חמור במסגרתו שרת וירטואלי שלהבנק,אשרהכילאתבסיסהנתוניםשלאפליקצייתפייבוקס (אוחלקו),היהחשוףלפרקיםלרשת האינטרנט,וחלקו אף דלף בפועל. הרשות מצאה, כי הבנק הפר את סעיף 17 לחוק, ואת תקנות 9 א,)( 13(א) ו- 14 א)( לתקנות אבטחת מידע, מאחר שבמועדהאירועלאנקטהבנק באמצעים מקובלים כדי לוודא כיהגישה למאגרנעשית בידי בעל הרשאה המורשה לכך בלבד, לא הקפיד על ניהול ותפעול תקין של השרתים לפי המקובל בהפעלת מערכות כאלה וחיבר שרתיםלמרשתת בלאהתקנת אמצעיהגנהמתאימים. 8. תאגיד השידור הישראלי7 - הרשות ניהלה הליך פיקוח מנהלי לבדיקת נסיבות אירוע אבטחת מידע שהתרחש ברשת של תאגיד השידורהישראלי.רשתבקרתהכניסה שלהתאגידהותקפה,וכללהנתוניםבההוצפנו.הרשתכללה מצלמותאבטחהואמצעי זיהוי המאפשרים את כניסתהעובדים. נמצא כי במועד התרחשותו של האירוע תאגיד השידור הישראלי לא קיים את חובת אבטחת המידע הקבועה בסעיף 17 לחוק. כמו כן נמצא, כי ה תאגיד לא קיים את החובות המוטלות עליו בתקנות 9 א,)(10 א,)(14 א)( לתקנות אבטחת מידע ניתנו הנחיותלתיקון ליקויים.. 9. חברתהחשמל לישראל8 - באתר האינטרנט של חברת החשמל התאפשרה גישה לא מורשית למידע אודות לקוחות החברה. הרשותקבעה,כיבמאגרהמידעשלהחברהשמורמידערגישוכיהחברהלאמילאהאחרכלהחובות המוטלותעליהבדיןלאבטחתהמידעשבמאגר,דבראשרהביאלהתרחשותושלאיר ועאבטחהחמור. כחלקמכך קבעה הרשות, כי החברהלאעשתה שימוש בלפחותנתון אחדאשר אמורלהיות ידוע אך ורקלנושאהמידע, וזאת בניגודלהנחיית הרשותלהגנת הפרטיות מס' 1/2010 . נקבע, כי החברה הפרה את הוראות סעיף 17 לחוק ואת תקנות 9 , 11 ד()(1) ו- 14(ג) לתקנות אבטחת מידע. חתימהאלקטרונית – התקדמות בהקמת הגורם המאשר הממשלתי- טקס חילול מפתחות- בהחלטת הממשלה מספר 260 מיום 26.7.2020 בנושא התוכנית להאצת השירותים הדיגיטליים לציבור וקידום הלמידה הדיגיטלית, הוחלט על הקמתו של הפרויקט "מערכת ההזדהות הלאומית". במסגרת הפרויקטתבוצעביןהיתרחתימהאלקטרוניתמאושרתעלגביתעודתהזהותהחכמה.לאורריבויסיכוני . 6 מועד שליחת מכתב ההפרה: 16.4.2023 . 7 מועד שליחת מכתב ההפרה: 27.2.2023 . 8 מועד שליחת מכתב ההפרה: 9.2.2023 16 הסייבר ואבטחת המידע הכרוכים בהטמעת הפרויקט ויישומו, הוטל ה על מערך הדיגיטל הלאומי, האחריות להקים את הגורם המאשר הממשלתי בכפוף לקבלת אישור רשם גורמים מאשרים (ראש הרשות להגנת הפרטיות). הקמת הגורם המאשר כולל ת, בין היתר, יצירת עוגן אמון, וביצוע בחינה של רמת האבטחה המיושמת במערכות המידע ובתשתיות המחשוב התומכות בתהליכים הנ"ל אצל רשות האוכלוסין וההגירה, בהיותה הגורם הרושם (RA כפי שנדרש על פי הוראות חוק חתימה אלקטרונית,), התשס"א- 2001 . בתחילת שנת 2024 נערך טקס חילול מפתחות עבור הגורם המאשר הממשלתי, אשר כאמור נמצא בהקמה. טקס חילול המפתחות הינו יצירת והקמת עוגן האמון, שנעשה על ידי יצירת זוג המפתחות - הפרטי והציבורי- לתעודה האלקטרוניתהממשלתית. באמצעותתעודהאלקטרוניתזו,ולאחרשיושלםתהליךהקמתהגורםהמאשרהממשלתי,ניתןיהיהלא רק להזדהות באמצעות תעודת הזהות החכמה והביומטרית, אלא גם לחתום בחתימה אלקטרונית מאושרת. אכיפה פלילית במסגרת פעילותהאכיפההפלילית בשנת 2023 חקרההרשותפרשיותשונות,וביןהיתר, חשדותלשימוש פלילי באפליקציה בתחום הפיננסי, חשדות בקשר עם העברת מידע רפואי, הוצאת מידע ממאגרים ממשלתייםוכלכלייםתוךהתחזות,סחרבמידעביטוחיועוד.חלקמתיקיהחקירהעדייןנמצאיםבשלבי חקי רה ועל כןעדייןלא ניתן לפרט אודות יהם בדו"ח זה. שנת 2023 התאפיינה בעליה בכמות הפניות המעלות חשד לפעילות פלילית אסורה בנוגע למאגרי מידע. י חידת החקירות הפליליות בחנה 34 פניות שנגעו, בין היתר, לחשדות בסחר במאגרי מידע, העברת מידע רפואי מחוץ לארגון רפואי, פעילות אסורה של אנשים העובדים כחוקרים פרטיים, שימוש ב מרמה באפליקציותכלכליותעלמנתלקבלמידעכלכלי,תיעודשלבדיקהרפואיתעלידיעובדמערכתהבריאות, פרסוםפרטיםהאסוריםבפרסום עלהליךמשפטי,שימוששלעובדיםבמשרדיממשלהבהרשאותהגישה שלהםלמטרות זרותועוד.ניכר כיהמודעותלפעילותפלילית במידע גוברת שכןחלק משמעותי מהפניות הגיע מהציבורהרחב. הפניות נבחנות באופן מעמיק ולגבי חלקן נפתחת חקירה פלילית. חלק מהפניות מנותבות להליך אכיפה מנהלית וחלקן מועברות לרשות חוקרת אחרת (בהסכמת הפונה) . יחידת החקירות של הרשות מנהלת חקירותפליליותבאופןעצמאיולעתיםמקימהצוותחקירהמשותףעםמשטרתישראל,בהתאםלנסיבות ולחשדות,וזאתבהתאםלנוהליחסיגומליןשליחידתהחקירותשל הרשותלהגנתהפרטיותעםמשטרת ישראל,נוהל שרוענןויצא בנוסח חדש בשנת 2023 . 9 מאפייניההייחודייםשלפעילותיחידתהחקירותנעוציםבצורךלמצואראיותמורכבותבזירהדיגיטלית. כך למשל, פיענוח זהותו של מי שהוציא והעביר מידע מתוך מאגר מידע, מצריך יכולות תחקור גבוהות בשלל פלטפורמות דיגיטליות. החקירה במקרה כזה תשאף להתחקות מבדל ראיה ולמצוא את המסלול 9 לעיון בנוהל: https://www.police.gov.il/menifa/05.300.20.262_1_P.pdf 17 הממושךשעשההמידעהרגיששנלקחמתוךמאגר מידע חוקיבוהואהיהשמורועד שהגיעלידהפלילית האחרונה שאחזה בו, על פי ר ו ב, מ טעמים כלכלי ים. מאפיין חשוב בחקירה מסוג זה הוא העמידה בדרישותלראיות פורנזיות קבילות בבית המשפטהפלילי. מקבץ דוגמאות להליכי אכיפה פלילית שניהלה הרשות להגנת הפרטיות בשנת 2023 : 1. עובדיחברתביטוחשעשושימוש במידע על מבוטחיםלצורך עסקים פרטייםשהקימו החקירה חשפה כי עובד של חברת ביטוח נהג לשלוף מידע רב אודות מבוטחים ממאגרי המידע של החברה. העובד, יחד עם אדם נוסף, הקימו עסק משל עצמם, ופנו אל אותם מבוטחים על סמך המידע שהשיגו תוך עבירהלכאורה עלחוקהגנתהפרטיות ,והציעולהםפוליסותבתנאיםמשופרים.עלמנתלהסוותאתפעילותו זונהג העובדלהסתייע בע ובדת אחרת של החברה, וזאת תמורת תשלום. החקירה חשפה את היקף שליפות המידע שביצעה העובדת עבור העובד, האופן בו הציגו עצמם החשודים בפני המבוטחים, ובכלל זה את זהות סוכן הביטוח אשר ברישיונ ו עשו שימוש. החקירה כללה חיפושים וחקירת מעורביםנוספים. תיק החקירה הועבר במהלך שנת 2023 לפרקליטות המדינה (מחלקת הסייבר) לצורך הערכה ובחינת הגשת כתב אישום כנגד החשודים. בשנת 2024 החליטה פרקליטות המדינה על הגשת כתבי אישום נגד החשודים בפרשה. 2. חקירת חשד לפגיעה בפרטיות כתוצאה מפרסום פרטאסורלפרסום מהליך משפטי החקירהנפתחהעקבפנייתאזרחבגיןמידעשניתןלגילויברשת,אודותהליךמשפטישהתקייםבענייןקטין. המידעפורסםעלגבי פלטפורמה ברשתהמנוהלתעל ידי החשוד. החשודנחקרלאחר שסירבלפניית הרשות להסיראתהמידעהאמור. תיקהחקירההועברלפרקליטותהמדינה(מח לקתהסייבר)לצורךהערכהובחינת הגשתכתבאישום. 3. חקירת חשד לשידור מידע רפואיברשת החברתית אירוע שהגיעלידיעתהרשותמפרסום בעי תונות. החקירהנפתחהבחשדלפגיעהבפרטיותמצדעובדבמערכת הרפואית בעת לקיחת דמים ממטופלת. החשוד שידר את מהלך הבדיקה בשידור חי ברשת חברתית, מבלי לחשוף את פניה. תיק החקירה הועבר לפרקליטות המדינה (מחלקת הסייבר) לצורך הערכה ובחינת הגשת כתבאישום. 4. חקירת חשד בקשר עםשימוש באפליקציי ת הלוואות החקירה בחנה את האפשרות שנעשה שימוש במאגר מידע הקשור עם אפליקציה המסייעת במתן הלוואות, באופן שמהווה פגיעה בפרטיות. החשד הוא שהשימוש באפליקציה נעשה על ידי גורמים שאינם למעשה מבקשיההלוואהעצמם. 18 5. חקירתחשד להעברת מידע רפואי בתחום התרופות החקירה עסקה בחשד להעברת מידע רפואי אודות מטופלים לגורם מסחרי, לצרכי פניה שיווקית ישירה למטופלים. מדובר בחשדלפגיעה בפרטיות בדרך של שימוש בידיעהעלענייניוהפרטיים שלאדם ומסירתם לאחרים בניגודלמטרהלשמהנאספו. החקירה עודנה בעיצומה. 6. חקירתתקיפת מחשבים כחלק מאירועי כופרה ransomware יחידתהחקירותשלהרשותפעלהבמהלךשנת2023 ,באופןעצמאיולצדמשטרתישראל,במספראירועי כופרה בהם הותקפו מחשבים של מוסדות לימוד או מוסדות רפואיים המכילים מידע רב מסוגים שונים ובכלל זה מידע אישי. במסגרת הטיפול באירועי הכופרה נאסף מידע המאפשר לקבוע באילו פלטפורמות עושיםשימושהתוקפים,ונבחנתמידתמעורבותם של "גורמיפנים"באירוע.אירועיכופרההםלאפחות מאיום לאומי על חוסנה של מדינת ישראל והרשות רואה ערך רב בתרומתה כרשות אכיפה לטיפול בתופעה ברמה הבינלאומית באמצעותהמידע המופק מאירועים אלה. 7. חקירת ראש העיר קריי ת מוצקין ועובדיו הסתיימה בהגשת כתביאישום על פי ממצאי חקירת הרשות עשה ראש העיר קריי ת מוצקין שימוש במאגר המידע על תושבי העיר, על מנת לקדםאתבחירתולראשותהעיריה,וזאתבדרכיםשונותובאמצעותעובדיובעירי יהובמטההבחירות,באופן שמהווה פגיעה חוזרת ונשנית בפרטיות תושבי העיר ותוך שימוש בידיעה על ענייניהם הפרטיים. על פי החקירה וכתב האישום, העבירות כללו את האירועים הבאים, שבוצעו לאורך שנים: בהנחיית ראש העיר תועד מידע אישי ועמדות פוליטיות של תושבי העיר במאגר המידע שמנוהל בעיריהי ; מאגר המידע אשר מועבר כחוק מרשות האוכלוסין לעירייה, לצורך ניהול ענייני העיר, הועבר למטה הבחירות על מנת להעשיר את המידע אודות הבוחרים ולסייע לראש העיר להיבחר ; מטה הבחירות של ראש העיר התקשר עם בית תוכנה ומסר לה את קובץ תושבי העיר המועשר על מנת שתקים לו תוכנה שתעשה שימוש בכל המידע בבחירותהעירוניות.כךנוצרומאגריםאשרערבבוביןהמידעשנ מסרלעירי יהלצורךניהולענייניהעיר,לבין מידעשנאסףבמטהבחירות,והוזנושובושובלקראתמסעותבחירות.בעקבותהגשת כתבהאישום,הושעה ראשהעיר מתפקידו. תובנות מתיקי חקירהלצורך שיפור הציותשלהמשק: 8. צוותשליפות מידע במגזר הציבורי בהובלת יחידתהחקירות בעקבות תיקי אכיפה שנחקרועלידי הרשות בתחום של שליפות מידעעלידי עובדים, הוקם צוותעבודה שעניינו טיפול בתופעת שליפת המידע במגזר הציבורי. במהלך שנת 2023 השלים הצוות מחקר שערך אודות הליקויים הנפוצים והחוסרים העיקריים המאפשרים את מימדי ביצוע העבירה, ומאפיינים את הטיפולהחלקיבהעלידימנהליהארגון.במהלך2024 תפיץהרשותאתהדוחוהמלצותיובקרבהגורמים הרלבנטיי ם ובכלל זה משרדי הממשלה. 19 אכיפה– תחום הגנה מגזרית פיקוחי רוחב מערך פיקוח ה רוחבהוקם בשנת 2018 ומקיים פיקוחי רוחב מגזריים או נושאיים לבחינת יישום החוק וה תקנות ב מגזרים שונים במשק הישראלי. פעילות המערך מביאה לאיתור הפרות של החוק וכשלים ענפיים הדורשים התערבות והנחיות מיוחדות , להגברת מודעות המשק להוראות החוק ולקבלת תמונת מצבמגזריתלגביעמידהבהוראותהדין. ייחודושלמערךפיקוחיהרוחבהינובהיותוהליךיזוםמראשיתו ועד סופו, והשפעתו תורמתלמניעהוהגברתחוסנו שלהמשקהישראלי. מערך פיקוח הרוחב, מבצע פיקוחי רוחב (ביקורת) מגזריים בהתאם לסקר הסיכונים של הרשות, במטרה לבד וק ציות וקיום הוראות חוק הגנת הפרטיות ותקנותיו על פני מגזרים נבחרים. מערך פיקוח הרוחבפועלבאמצעותהפצתשאלונים,ניתוחם,דרישותלהשלמתמידעבכתבאובאמצעות פיקוחישטח, מתן הנחיות לתיקוני ליקויים פרטניים, הכנת דוחות הכוללים תמונת מצב ומסקנות מגזריות, ופרסום הנחיות כלליות. בנוסף,בכלשנהמבוצעים באופןמדגמי פיקוחימעקבעלחלקמהגופיםבהם נמצאוליקויים בכדילוודא את יישום דרישות הרשות ל תיקון הליקויים פיקוחי המעקב כוללים,. בין היתר, שקלול של מספר הליקויים,סוגהליקויוהמסמכיםאותםנדרשוהגופיםלהציגלרשות. בעתפיקוחהמעקבבוחנתהרשות את אופן התקדמות תיקון הליקויים אצל הגופים, ואת העמידה בלוחות הזמנים שהגדירו ליישום התו כנית ותיקון יתרת הליקויים שטרם תוקנו. במסגרת ביקורת המעקב נבדקים באופן מדיד מספר הגופים ומספר הליקויים אשר תוקנו, ומידת שיפרו ה עמידה בהוראות החוק וה תקנות. נתונים אלו מפורסמים לציבור במסגרת דוחות פיקוח הרוחב המגזריים. פיקוחי המעקב שמבוצעים במהלך השנים מעידים באופן חד משמעי על כך ש עצם קיום הליכי פיקוח הרוחב מהווה תמריץ לגופים השונים לבצע הליך בחינהעצמיתעל אופן עמידתםב חוקובתקנות. ב רבעוןהאחרון של שנת 2023 , עלרקע מלחמתחרבותברזל,החליטההרשותלהשהותאתהליכיפיקוח הרוחב שתוכננולהתחיל ולאחדם עם פיקוחי הרוחבשל שנת2024 . במהלך שנת 2023 פרסמההרשותאת דוח ות ממצאיפיקוח הרוחב בקרב המגזריםהבאים: - חברותכח אדם; - קופות גמל וקרנות השתלמות; - קמעונאות; - מוקדים טלפוניים; - בתי אבות והוסטלים. 20 פיקוחי עומק תפיסת ההפעלה של מחלקת האכיפה ברשות להגנת הפרטיות מבוססת על תפיסה אסטרטגית המעדיפה, במקריםהמתאימים,לרכזמאמציםולעשותשימושבסמכויותהרשותלצורךמניעתפגיעהבפרטיותואירועי אבטחת מידע, על פני הטיפול הטקטי באירוע שכבר התרחש, ושאת הנזק שנגרם בעטיו למידע האישי ולנושאיהמידע, כבר לאניתןלהשיב. תפיסהזוהביאהלהקמתמערךחדשבמחלקתאכיפה.מערךפיקוחיהעומק,המצטרףלמערךפיקוחיהרוחב ואשר יחדיו מרכיבים את תחוםההגנה המגזרית במחלקת אכיפה. מערך פיקוחי העומק כולל קיום הליכי פיקוח מנהלי יזומים באמצעות המפקחים של הרשות,, בארגונים המחזיקים כמות משמעותית של מידע רגיש או במגזרים אותם מזהה המחלקה כבעלי רגישות גבוהה, בין בשל היקף המידע האגור בהם ופוטנציאל הנזק הגלום בפגיעה בו, ובין בשל היותו מידע הנוגע לאוכלוסיות מיוחדות. הליכי הפיקוח היזומים יבוצעו במספר ארגונים המשתייכים לאותו מגזר או בארגון אחד שהינו בעלים או מחזיק של מספר מאגרי מידע משמעותיים. היחידההטכנולוגית במחלקת אכיפה תפקיד היחידה הטכנולוגית, בהיותה חלק אינטגרלי ממחלקת האכיפה, הוא מתן מענה לכל האתגרים והצרכים הטכנולוגיים העולים כחלק מעבודת האכיפה. היחידה משמשת כסמכות מקצועית בסוגיות טכנולוגיות לכלל חוקריה ומפקחיה של הרשות להגנת הפרטיות, מספקת תשתית טכנולוגית לעבודת החקירהוהפורנזיקה, ומהווה מקור ידע טכנולוגי ליחידותהרשות. המוטיבהמרכזי בעבודתהיחידההטכנולוגית הואיכולותיהבכלהקשורלאיסוף,עיבודוהערכהשלמידע דיגיטליעל טיבו,היקפו ושימושיו. בכדי לעמוד בקצב השינויים הטכנולוגיים, ובכדי לשמור על כשירות בטיפול בחומרים וראיות פורנזיות, היחידהנדרשת לשמור על דינמיות ועדכניות טכנולוגית. תחומי פעילות עיקריים א. פורנזיקה וחקירות דיגיטליות - הצוות הטכנולוגי מלווה את כלל האירועים ב מחלק ת האכיפה - פליליים ומנהליים כאחד. מדובר על ליווי פעיל של הצוות הטכנולוגי בחקירות הפליליות והמנהליות בכל שלבי החקירה,החלמשלבהחקירההסמויה,לרבותהשלבהמודיעיניוהחקירותהמוקדמות,וכלהבשלבהחקירה הגלויה הכולל יציאה לשטח, חיפוש, תפיסה, ביצוע forensic live ככל שנדרש, הנגשה וניתוח של חומרי המחשב שנתפסו. ב. פרויקטים טכנולוגיים 21 • פרויקט ענן - פתרונות לחקירות ענן, מוכנות טכנולוגית של ארגוני ם וצוותי החקירה לחקירות בענן. • הקמתמעבדה לימודיתבסביבתSandbox וכן חיבור לפרויקטנימבוסלטובת בנייה עתידית של מערךהחקירות על תשת יות ענן. • פרויקט חיפוש ותפיסה במחשב - בניית כלי עבודה ייעודיים לצוותי חקירות ופיקוח - הוכחת שימושוהפרות. • OSINT הרחבת תחוםהפעילותהטכנולוגית מול מידע גלוי- . • הקמת תשתית מודיעין לביצוע חקירות במידע גלוי, חקירות וחיבור למערכות ניטור ואיסוף המותאמותאישית לצרכי החוקרים וה מודיעין. • פתרון מאובטח להעברתמידע דיגיטלי במהלך טיפול באירועי סייבר ו חקירות פליליות. • קורס חוקר מחשב מיומן - בניה והדרכה של קורס חוקר מחשב מיומן עבור חוקרי ומפקחי הרשות על תשתית מחשוב ייעודית. כמו כן , ביצוע הדרכות משותפות מול רשויות מקבילות בתחוםהאכיפה. • ליווי מחלקות הרשות בפן הטכנולוג י - כגון, מתן מענה טכנולוגי במסגרת מעורבות הרשות בתהליכי הנגש תמידע סינתטי בטוח לשימושמחקרי. • ליווי יחידות מקבילות במשרד המשפטים - סיוע בהקמת סביבת חקירות ייעודית והתאמה לצרכי כל יחידה. 22 חקיקה ופעילות במישור המשפטי השלמתתהליךהעבודהמולנציבותהאיחודהאירופילבחינתמעמדהתאימות(Adequacy )שלישראל בשנת 2011 הוכרה מדינת ישראל על ידי האיחוד האירופי כמדינה בעלת מעמד תאימות, קרי, מדינה המספקת רמת הגנהנאותהעלמידעאישי, אשרתואמתאתרמתההגנהבמדינותהאיחוד האירופי(החלטת ה- Adequacy .) בשנת 2018 , נכנסה לתוקף רגולציית הגנת המידע האירופית החדשה ( GDPR), המגבילה בין היתר העברה שלמידעאישי עלתושביהאיחודהאירופיאלמחוץלגבולותהאיחוד,אלאבתנאיםהקבועיםבה. בין היתר, ניתןלהעבירמידעעל תושביהאיחודלמדינותשהוכרובידיהאיחודהאירופיכמספקותרמהנאותהשלהגנה על מידע אישי (protection of level Adequate .) כאמור, ההכרה שניתנה לישראל בשנת 2011 מ אפשרת העברת מידעאישי מאירופה לישראל ללא מגבלות בירוקרטי ות ומשפטי ות מורכבות. לאחר כניסתו לתוקף של ה- GDPR החלה נציבות האיחוד האירופי בתהליך הבחינה המחודשת של ישראל, ושלמדינותנוספותשהוכרויחדעמהכמספקותרמהנאותהשלהגנהעלמידעאישי. המדוברבתהליךבחינה מעמיק, אשר נמשך מספר שנים ומהצד הישראלי נעשה בהובלת הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרדהמשפטים. התהליך כלל הצגה מפורטת של משטר הגנת הפרטיות החל בדין הישראלי, לרבות עמידה על ייחודיות המאפיינים השונים בשיטת המשפט הישראלית, דיונים רבים עם גורמי נציבות האיחוד האירופי, וקידום שורה של מהלכים משלימים בקשר לזכות לפרטיות. בין היתר קודמה החלטת הממשלה מס' 1890 משנת 2022 בענייןעצמאותהרשות,הותקנו תקנותהגנתהפרטיות(הוראותלענייןמידעשהועברלישראלמהאזור הכלכלי האירופי), התשפ"ג- 2023 , פורסמו שורה של הנחיות ומסמכים על ידי הרשות והייעוץ המשפטי לממשלה,וניתן מענה שוטף לשאלות האיחודהאירופי בנושא דיניהגנתהמידע בי שראל. בשנת2023 בוצעוהמהלכים האחרונים בנושא,ונשלם תהליך העבודה מולנציבותהאיחוד האירופי. בינואר 2024 פורסמה החלטת נציבות האיחוד האירופי10 המאשררת את ההכרה ב מעמד התאימות ( Adequacy ) של ישראל, וקובעת כי ישראל ממשיכה להעניק רמת הגנה נאותה על מידע אישי המתקבל מהאיחוד האירופי. החלטתנציבותהאיחודהאירופיהיאבעלתחשיבותדרמטיתלכלכלההישראליתוליחסיהמסחרביןישראל לאירופה.ההחלטהמאפשר ת המשךהעברתמידעאישילישראלבאופןפשוטונוח, ומקלהמבחינה משפטית ורגולטורית על כלל הגופים בישראל (ובכלל זה חברות ישראליות, עסקים, בתי חולים, מוסדות מחקר ורשויות ציבוריות) שמקבלים מידע אישי מאירופה . הכרה זו מונעת את הצורך במנגנונים פרטניים ועתירי 10 - 9d49 - 4372 - 39e3 - https://commission.europa.eu/document/download/f62d70a4 e59dc0fda3df_en?filename=JUST_template_comingsoon_Report%20on%20the%20first%20review% 0of%20the%20functioning.pdf 2 23 משאבים, כגון הסדרים חוזיים מפורטים, ובכך מפחיתה עלויות לעסקים וארגונים בישראל, מצמצמת סיכונים משפטיים,ומייצרת יתרון תחרותילחברות ישראליות. חקיקת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי,) התשפ"ג- 2023 במאי 2023 נחתמו על ידי שר המשפטים ופורסמו תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראלמהאזורהכלכליהאירופי,)התשפ "ג- 2023 ,לאחר שאושרובאפרילעלידיועדתהחוקהחוקומשפט שלהכנסת. התקנות קודמו על רקע תהליך הבחינה של נציבות האיחוד האירופי ביחס למעמד התאימות (Adequacy ) של ישראל, ובמטרהלתת מענהפערים בין הדין הישראלי לדין האירופי בנוגע למידע אישיהמועבר לישראל מאירופה. התקנותקובעות ארבעחובותאשרחלותעלבעלימאגרי מידעבישראל,ביחסלמידעאישישהועברמהאזור הכלכליהאירופי(האיחודהאירופי,איסלנד,נורבגיהוליכטנשנטיין),בנוסףעלהוראותחוקהגנתהפרטיות: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע וחובת יידוע. בנוסף, החל מיום 1.1.2025 יחולו חובות אלו שבתקנות גם על מידע "ישראלי" המצוי באותו מאגר יחד עם המידע שהתקבל מהאזורהכלכלי האירופי. כמו כן, התקנות קובעות כי מידע בדבר מוצאו של אדם ומידע בדבר חברות בארגון עובדים, ייחשב "מידע רגיש"לעניין סעיף 7 לחוק הגנתהפרטיות.יצוין, כיהתקנות אינןחלות ביחסלמידע שאדםהעביר עלעצמו במישרין או מידע שהועבר בין רשויות ביטחון או רשויות אכיפת חוק, וכוללות חריגיםנוספים. הרשות היית ה שותפה מרכזית בתהליך העבודה על התקנות וקידומן, יחד עם מחלקת ייעוץ וחקיקה שהובילה אתהנושא. קידום תיקון14 ותיקון15 לחוקהגנת הפרטיות בינואר 2022 הניחה הממשלה על שולחן הכנסת את הצעת החוק לתיקון מס' 14 לחוק הגנת הפרטיות , וזו אושרה בקריאה ראשונה. במהלך שנת 2022 קיימה ועדת החוקה, חוק ומשפט של הכנסת מספר דיונים בהכנת הצעת החוק לקריאה שניה ושלישית , אולם בשל התפ זרות הכנסת ה- 24 ביוני 2022 , לא נשלמו דיוני הוועדה בהצעת החוק. במאי 2023 אישרה מליאת הכנסת ה- 25 החלת דין רציפות על הצעת החוק, וזו שבה לשולחנה של ועדת החוקה, אשרהחלהאת דיוניה בהצעת החוק ב דצמבר 2023 . בהמשך לכך קיימה ועדת החוקה, חוק ומשפט של הכנסת 20 דיונים ממושכים בהצעת החוק, ואלו נמשכו לכלאורךהמחציתהראשונהשלשנת2024 .באוגוסט 2024 אישרה מליאתהכנסתאתהצעתהחוק בקריאה שניה ושלישית. לקראת סיום הליך החקיקה והכנתה לקריאה שניה ושלישית, שונה שמה של הצעת החוק והיא אושרה עלידיהכנסת תחת השם – תיקון מס'13 לחוקהגנת הפרטיות. בדבבד, במהלךשנת2023 נשלםתהליךהעבודההמקיף על תזכירחוקובו רפורמהמקיפה נוספת שלהוראות החוק בעניין מאגרי מידע (תיקון מס' 15 ,) המקודמת באופן משותף על ידי הרשות ומחלקת ייעוץ וחקיקה. נכון למועדפרסום דוח זה, תזכיר החוקהועברלבחינת שרהמשפטים, טרם פרסומולהערות הציבור. 24 עיגוןמעמדהרשותכרשותהמפקחתלפיחוקסמכויותלאיסוףואבחוןשלנתונינוסעיםהנכנסיםלישראל אוהיוצאיםממנה,תשפ"ג- 2023 (חוק ה- PNR ) באפריל 2023 נחקק חוק סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה, תשפ"ג- 2023, המוכר גם כחוק ה- PNR . חקיקה זו והיישום שלה הם חלק מהרכיבים ההכרחיים לצורך עמידה בתנאי הסדר הפטור מאשרות בין ישראל לארה"ב. החוק הקים את המרכז הלאומי לאבחון נתוני נוסעים, ומסדיר את העברות המידע בין חברות התעופה לבין המרכז, ביחס לכלל הנוסעים הנכנסים או יוצאים מישראל בדרך האוויר. הרשות הי יתה שותפה מרכזית בצוות הבין-משרדי אשר גיבש את הצעת החוק. החוק מעגן את מעמדה של הרשות כמי שתפקידה לפקח על הגנת פרטיותם של נוסעים ואנשי צוות בעת יישוםהוראותהחוק,וקובעבנוסףכי נוסעאואישצוותהרואהאתעצמונפגעמעיבודמידעעלאודותיולפי חוק זה, רשאילפנות בתלונה לרשות. עוד קובע החוק כי הממונה על הגנת הפרטיות במרכז הלאומי לאבחון נתוני נוסעים ימונה בהתייעצות עם ראש הרשות, בהתאםלתנאי הכשירות שנקבעועל ידו, ויונחה מקצועית בידי הרשות. מעורבות בחקיקה נוספת הרשותליוותהמקרובולאורךמספרשניםאתהעבודההממשלתיתעלהצעתהחוקלתיקוןפקודתהמשטרה מס'(40)(מע רכותצילוםמיוחדות( ,אשרנועדהלהסמיךאתמשטרתישראללהציבסוגיםשוניםשלמערכות צילום, ובכלל זה מערכת "עין הנץ" שעניינה צילום לוחיות רישוי. בעקבות מעורבותה של הרשות בתהליך העבודה,נכללובהצעתהחוקהממשלתיתשהונחהלראשונהעלשולחןהכנסתביוני2022 ,הסדריםהכוללים חובת דיווח שנתית לרשות להגנת הפרטיות, והתייעצות עמה טרם התקנת תקנות בעניין שימוש במערכות צילוםמיוחדות.במהלךשנת 2023 דנההוועדהלביטחוןלאומישלהכנסתבהצעתהחוק,שאושרהבקריאה שניה ושלישית בינואר 2024 . מעבר לכך, עמדתה העקבית של הרשות הייתה שיש לפצל מתוך הצעת החוק את הפרק אשר נועד להסמיך את משטרת ישראל לעשות שימוש בטכנולוגיית זיהוי פנים בזמן אמת, לצורך בחינה נוספת של הסמכה תקדימית זו, על כלל היבטיה. הצעת החוק המקורית שהונחה על שולחן הכנסת אמנם כללה את הפרק האמור, אולם בפברואר 2023 החליטההממשלהלהשמיטו מתוך הצעתהחוקהממשלתית. בספטמבר 2023 החליטה ועדת השרים לשוב ולהניח את הפרק האמור על שולחן הכנסת, אולם לעת הזו הצעת החוק טרם הונחה. כמו כן, הרשות ליוותה מקרוב והי יתה שותפה לעבודת המטה הממשלתית אשר הובילה לחקיקת חוק התמודדותעםתקיפותסייברחמורותבמגזרהשירותיםהדיגיטלייםושירותיהאחסון(הוראתשעה- חרבות ברזל,התשפ"ד- 2023 ) על רקע מלחמת חרבות ברזל,ולתקנות שעתהחירום אשר קדמולו., 25 השתתפות בוועדותוצוותים ה וועדההציבורית לבחינתשאלותהנוגעותלפרסוםפרטיםמזהיםבפסקי- דיןובהחלטותשלבתיהמשפט ולעיון בתיקי בתי המשפט במרץ 2023 הוגש לשר המשפטים דוח "ה וועדה הציבורית לבחינת שאלות הנוגעות לפרסום פרטים מזהים בפסקי- דין ובהחלטות של בתי המשפט ולעיון בתיקי בתי המשפט", בראשות שופט בית המשפט העליון בדימוס יצחק א לגנרד, אשר מונתה על ידי שר המשפטים בעשור הקודם כדי לגבש מסקנות באשר למדיניות המומלצת ב אשרלחשיפתם שלפרטים מזהיםעל אודות אדם בפסקי דיןובהחלטות ביתהמשפט, בהתחשב ביןהיתר בפרסומם במאגרים משפטיים ממוחשבים ובאינטרנט. הרשותה ייתהחברה בוועדהמאזהקמתה ושותפה לכל דיוניה. הצוותהבינמשרדי לבחינה של ההסדרהראוי להעברת מידע בין גופים ציבוריים בהחלטת הממשלה מס' 213 מפברואר 2023 הוקם צוות בינמשרדי, בראשות המשנה ליועצת המשפטית לממשלה, לבחינה של ההסדר הראוי להעברת מידע בין גופים ציבוריים לפי פרק ד' לחוק הגנת הפרטיות. הרשות היא חברה מרכזית בצוות, אשר בוחן בימים אלו את הצורך בעריכת שינויים בהסדרים החוקיים הקיימים ביחסלהעברת מידע בין גופים ציבוריים. גיבושמדיניותשימוש בשירותי מחשוב ענן בממשלה ומשרד הבריאות, וועדת הענןהמגזרית הרשותלהגנתהפרטיות חברהבוועדתהענןהממשלתית, המייעצתלמשרדיהממשלה בנוגעלהעלאתמאגרי מידעלשירותיענן. כמוכן,ה רשות חברהגם בוועדתהענןהמגזריתשלמשרדהבריאות,המאשרתמעברשל גופים מפוקחים לסביבת ענן . ועדות אלה הוקמו מתוך הבנה כי המגמה הגוברת בעולם הטכנולוגי הינה לשימוש באחסון בענן, המאפשר זמינות רבה יותר והרצת יישומים מתקדמים. יחד עם היתרונות לסביבת הענן, מדובר בתחום אשר אינו מוכר דיו למשרדי הממשלה ולגופי בריאות. כחלק מהליך הפיקוח והסיוע בתהליך המעבר לסביבת ענן בוחנת הוועדה סוגיות הקשורות לפרטיות הציבור, השלכות של העברת המידע מחוץ לגבולותהמדינהוסוגיות שלאבטחת מידע. הרשות רואה חשיבות רבה למעבר בטוח לטכנולוגיית ענן, ופועלת בכדי לסייע למשרדי הממשלה במעבר לטכנולוגיה זו, כדילהבטיח אתההגנהעלפרטיותם של תושביואזרחי המדינה, גם בסביבתענן. הוועדה המייעצתלממונה על נתוניאשראי בבנקישראל הרשות חברה בוועדה המייעצת לממונה על נתוני אשראי בבנק ישראל, מכוח חוק נתוני אשראי, התשע"ו- 2016 , ובכובעה זה היא מסייעת לממונה על נתוני אשראי לגבש רגולציה מיטבית בהיבטי הגנת הפרטיות בנוגע להוראות הניתנות על ידו ללשכות האשראי וללשכות שירות מידע על עוסקים הנוגעות לדרכי פעולתן וניהולן, של נושאי משרה בהן וכל מי שמועסק על ידיה ן, כמו גם למקורות המידע המעבירים מידע למאגר, למשתמשים בנתוני אשראי ולמיופי כוח בתמורה. 26 פרסומים מקצועיים, מסמכי מדיניותומדריכים- שנת2023 הנחיות, גילויי דעתוחוות דעת: הנחיות, גילויי דעת וחוות דעת: • מסמך בנושא היבטי פרטיות במעקב אחר עובדים ועובדות בעבודה מרחוק - מסמך זה עוסק במעקב אחר עובדים בעבודה מרחוק, ופורט את הסיכונים המרכזיים לפרטיות במעקב שכזה, כ גון איסוף מידע ללאהסכמה,פגיעהבתחושתהשליטהשלהעובדעלפרטיותו,איסוףוחשיפהשלמידערגישועודף;דלף מידע;ושימושלרעהבמידעאישי.המסמךמציגגםאתהוראותהדיןהרלוונטיות,וקובעאילוסוגימעקב אחרעובדיםיהיו ככלל בלתי- מידתיים, וכן הנחיות והמלצות למעסיקים.11 • מסמך בנושא חשיפת מידע אישי אודות סטודנטים וסטודנטיות באתרי מוסדות להשכלה גבוהה - מסמך המיועד לשימושם של מוסדות השכלה גבוהה. ה מסמך בוחן את האופן בו מוסדות אקדמיים מאחסנים באופן נגיש לכל דורש ברשת מסמכים המכילים מידע אישי אודות סטודנטים וסטודנטיות. מוצגותבוחולשותאבטחהנפוצותומרכזיות,סיכוניהפרטיותכתוצאהמחשיפתמידעאישי,וכןהמלצות כיצד יש לנהוג כדי לשמור על רמת הגנת מידע מיטבית.12 • גילוי דעת בנושאאיסוף נתוני מיקוםשל עובדים ועובדות באמצעות אפליקציות ומערכותאיכון ברכב– גילוי הדעת משרטט את גבולות המותר והאסור בכל הנוגע לאיסוף נתוני מיקום של עובדים על ידי מעסיקים וקובע את התנאים שעל מעסיק המבקש לעשות שימוש באפליקציות מעקב לעמוד בהם, וכן מפורטות בו חובות המעסיק מכוח החוק והתקנות.13 • טיוטתגילוידעתבנושאאיסוףמספריתעודותזהותוצילוםתעודותזהות-גילויהדעתסוקראתעמדת הרשות ביחס ללגיטימיות ולחוקיות של דרישת מספר תעודת זהות או צילום תעודת זהות על ידי בתי עסק,וקובע כייש להתייחס למספר תעודת זהות כאל מידע מוגןלפי חוק הגנת הפרטיות ובאילומקרים רשאיביתעסקלשמורצילוםתעודתזהות.המסמךנכתבעלרקעפניותרבותשהתקבלו ברשות בנושא.14 • טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע) - ההנחיה קובעת כי בחברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן, או חברות שפעילותןיוצרתסיכוןמוגברלפגיעהבפרטיות– דירקטוריוןהחברההואהגורםהמתאיםוהיעילמיהם האחראים בחברה לביצוע דרישות התקנות, ליישם הליכי פיקוח ובקרה על ביצוע הדרישות בידי אותם אחראים, ולקבל החלטות מדיניות בדבר אופן השימוש במידע אישי בחברה, וניהולו בנושאים מהותיים עוד קובעת ההנחיה כי הדירקטוריון הוא ככלל האורגן המתאים לביצוע חובות מסוימות, פיקוחיות באופיין,המוטלותעלהחברה מכוח התקנו ת. 15 • מסמךהנחיותהגנתהפרטיותלקראתהבחירותלרשויותהמקומיות– הנחיותבכלהנוגעלאיסוף,עיבוד ושימושבמידעעלבעליזכותהבחירה.ההנחיותחלותעלהמתמודדים/ותבבחירותלרשויותהמקומיות. במסגרת המסמך, מתייחסת הרשות למגוון חובות כ גון המגבלות החלות על שימוש במידע מפנקס הבוחרים, חובות אבטחת המידע החלות על המתמודדים והרשימות, החובות המוטלות על 11 לעיון במסמך: https://www.gov.il/he/departments/publications/reports/remotework 12 לעיון במסמך: https://www.gov.il/he/departments/publications/reports/information_about_students לעיון במסמך: https://www.gov.il/he/departments/publications/reports/location_data 13 14 בחודש מרץ 2024 פורסם גילוי הדעתבנוסחו הסופי. לעיון במסמך הסופי: https://www.gov.il/he/pages/id_collecting 15 לעיון בטיוטה: https://www.gov.il/he/departments/publications/reports/2023privacy_protection_regulations 27 המתמודדים/ותאורשימותיהםבעתהתקשרותעםספקיםחיצונייםוהוראותחוקהגנתהפרטיותבנושא דיוור ישיר ושירותי דיוור ישיר.16 מסמכימדיניות ודוחות: • טיוטה להערות הציבור בנושא מידע ביומטרי במקום העבודה - מסמך זה מיועד לארגונים פרטיים וציבוריים העושים שימוש בטכנולוגיות לזיהוי ביומטרי של עובדים ועובדות. המסמך כולל סקירה של הרקע המשפטי הרלוונטי, ושורת הנחיות והמלצות לארגונים, למעסיקים ולמעסיקות.17 • דוח ממצאי פיקוח רוחב במגזר חברות כוח האדם - מגזר חברות כוח אדם והשמה בישראל נחשב כבעל סיכוןגבוהלפרטיותנוכחהשירותהניתןלהיקףרחבשלאוכלוסיותמסוגיםשוניםהמחפשיםעבודהאו מועסקים באמצעות שירותי כוח אדם. התמונה העולה מהליך פיקוח הרוחב מצביעה על כך שהמודעות במגזר זה לנושא אבטחת המידע והגנת הפרטיות אינה הולמת את רגישות המידע המוחזק בידי חברות במגזר, בהיקפים גדולים.18 • דוחממצאיהליךפיקוחהרוחבבקרבמגזרקופותגמלוקרנותהשתלמות- במגזרזהניתןשירותלעשרות אלפי לקוחות וכתוצאה מכך נשמר מידע אישי רגיש שדורש הקפדה מיוחדת על אבטחת המידע וכן שקיפותמלאהמולהעמיתיםאובאיכוחם.מהדוחעולהכימידתהטמעתהתקנותבמגזרזההינהבאופן כללי משביעת רצון. ככל הנראה, הדבר נובע מכך שמגזר זה מאופיין בגופים מוסדיים אשר כפופים גם לרגולציה של רשות שוק ההון ביטוח וחסכון.19 • דוח ממצאי פיקוח רוחב במגזר הקמעונאות - חברות הקמעונאות בישראל מחזיקות במידע אישי רגיש בכמות עצומה, שכן ישנם צרכנים רבים שתלויים בשירותיהם. במרבית הגופים במגזר הקמעונאות נמצאהרמתעמידהגבוההבהוראותחוקהגנתהפרטיותוהתקנותמכוחובשקלולכלהתחומיםשנבדקו, כאשר רק כרבע מהגופים נמצאו ברמת עמידה בינונית.20 • דוח ממצאי הליך פיקוח הרוחב בקרב מוקדים טלפוניים (Center Call - ) מגזר המוקדים הטלפונים נקבעכאחדמיעדיהפיקוחהרוחבהמשמעותיים בשלמאפייניוהייחודייםשבאיםלידיביטוי,ביןהיתר, במתן שירותים לאחרים המתאפיינים בקבלת מידע אישי רב ממבקשי השירותים. בכל הקריטריונים שהוצגו נמצאהעמידה בינונית- נמוכה, ובכל הגופים שנבדקו נמצאו ליקויים.21 • דוחממצאיפיקוחרוחבבבתיאבותוהוסטליםפורסםלציבור- הגופיםהמשתייכיםלמגזרזהמעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים. מהפיקוח עלה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.22 • מסמך בנושא זכות העיון הפרטית בנוגע למאגרי המידע של הגופים המנויים בסעיף 13 (ה) לחוק הגנת הפרטיות - מסמך זה סוקר את אמות המידה המשפטיות ליישום זכות העיון הקבועה בסעיף 13 לחוק הגנתהפרטיות,בהתייחסל עיוןבמאגריהמידעשלהגופיםהביטחונייםעליהםחלסעיף13 (ה)לחוק,ועל יסודפסקיהדין המרכזיים שניתנו בנושא זכות העיון. 16 לעיון במסמך: https://www.gov.il/he/departments/publications/reports/guidlines_municipal_elections 17 המסמך המלא פורסם בפברואר 2024 לעיוןבמסמך המלא:. https://www.gov.il/he/Departments/publications/reports/biometric_workplace 18 לעיון בדוח: https://www.gov.il/he/departments/publications/reports/human_resources_report 19 לעיון בדוח: https://www.gov.il/he/departments/publications/reports/doc_2023 לעיון בדוח: https://www.gov.il/he/Departments/publications/reports/retailing 20 21 לעיון בדוח: https://www.gov.il/he/departments/publications/reports/callcenterreport 22 לעיון בדוח: https://www.gov.il/he/departments/news/auditreport_nursinghome 28 מדריכים והמלצות: • המלצות להתנהלות הציבור בשימוש בקונסולות משחקי וידאו - במסמך מוצגות הסוגיות הקריטיות סביבהפרטיותשלגיימריותוגיימרים צעירים.המסמךמבוססעלניתוחמסמכימדיניותהפרטיותותנאי השימוש של קונסולות המשחקהפופולאריות בישראל, וכולל המלצותלשימוש בטוח ומאוזן בקונסולות המשחקים.23 • המלצותבנושאפרטיותבמוצריIoT ביתייםובבתיםחכמים- המסמךמציגאתבעיותהפרטיותשצפות פעילותו של הבית החכם, שמחייבת איסוף ועיבוד של מידע אישי רב ורגיש העלול, בין השאר, לדלוף ולהיחשףברבים.שימושבמוצריIoT ביתייםמהווההכנסהשלמערכותמעקבאלתחומיהמרחבהפרטי והאינטימי ביותר של הפרט, על כל המשמעויות הכרוכות בכך. המסמך כולל דגשים והמלצות לחברות המספקות שירותי ומוצרי "בית חכם" חכמים, כמו גם המלצות למשתמשים בשירותים ומוצרים אלו.24 • מדריך פעולה להתקשרות עם ספקימיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות(אבטחת מידע) - מדריך פרקטי המסייע לארגונים ליישם את הוראותיה של תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע).המדריךמתייחסבפירוטלתוכןההסכםהמתחייבביןגורםלספק,והואכוללשנינספחיםלשימוש הארגונים: שאלון עזר לבדיקת היבטי אבטחת המידע של הספק, ושאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.25 • מסמךמעודכןבנושאהגנתפרטיותתלמידיםותלמידותבלמידהמקוונתמרחוק-המסמךפורסם מחדש בעקבות מלחמת "חרבות ברזל"ומעבר של תלמידים רביםללמידה מרחוק - אם בגלל פינוי מביתםואם בגלל המלחמה . המסמך המעודכן מסביר כיצד יישומים דיגיטליים ללמידה מקוונת מרחוק עשויים לאסוף או לחשוף מידע על תלמידים ותלמידות כגון נתונים הנוגעים לזהותם, מידע על אודות הרגלי גלישתם וכתובות מגוריהם. מידע זה עלול להיות מועבר לגורמים שלישיים, כגון חברות מסחריות, העשויות להשתמש בו למטרות שונות. כמו כן, יישומים דיגיטליים ללמידה מקוונת מרחוק, כמרבית המערכות המקוונות, אינם חסינים מפני חדירה ומפני מצבים של דלף מידע.26 • סיכוניאבטחהבשירותלקיצורקישור(Link ) - שימושבקישורמקוצרמאפשרתיעודומעקבשלפעילות המשתמש ביחס לקישור על- ידי החברה נותנת השירות. מטרת המסמך היא להציג את הסיכונים שבשירות לקיצור קישור, ולהציע מספר המלצות כדי להתגונן מפניהם.27 23 לעיון במסמך https://www.gov.il/he/Departments/publications/reports/recommendations 24 לעיון במסמך https://www.gov.il/he/departments/publications/reports/advertising 25 לעיון במדריך: ps://www.gov.il/he/departments/publications/reports/guide_section_15 htt לעיון במסמך: 26 _war https://www.gov.il/he/Departments/publications/reports/online_hybrid_school 27 לעיון במסמך: https://www.gov.il/he/Departments/publications/reports/security_risk_document 29 פעילות הרשות ועדכוניםמהזירה הבינלאומית • Global PrivacyAssembly - פורוםנציביהגנת הפרטיות הפורום המרכזי שלרגולטורים בתחוםהגנתהמידע. מדובר בפורום גלובלי שהחללפעולעוד בשנת1979 וחברות בו רשויות להגנת המידע מרחבי העולם. בפורום דנים רגולטורים בנושאים העומדים בליבת ההגנה על המידע והפרטיות ומפרסמים ניירות עמדה בנושאים שונים. "האסיפה" מתכנסת אחת לשנה ומתקיימים בה מושבים סגורים המיועדים לרגולטורים בלבד, ומושבים פתוחים בהם משתתפים כלל הגורמים הפועלים בתחום הגנת המידע (תעשייה, חברה אזרחית וכו.)' בשנת 2023 נערך הכינוס השנתי של הפורום בברמודה. בשל פרוץ מלחמת חרבות ברזל, נציגי הרשות השתתפו בכינוס מרחוק. במסגרת הכינוס, ראש הרשות הציג את פעילות הרשות בעקבות אירועי השבעה באוקטובר, ופירט כיצד הרשות סייעה לרשויות המדינה להתמודד עם סוגיות מורכבות של פרטיות ואבטחת מידע בהקשרי המלחמה (ובכלל זה שיתוף מידע בין רשויות המדינה לצרכי חירום, התמודדות עם שימוש לרעה בכרטיסי אשראי של קורבנותהטבחועוד). בנוסף, הרשות הציגה את פעילותה בנושא ערים חכמות. • הוועדה לכלכלה דיגיטלית ) C DP ( וקבוצת העבודה בנושא פרטיות והגנת מידע (WPDGP) של ארגון ה- OECD הרשות משתתפת באופן קבוע בדיוני ה וועדה לכלכלה דיגיטלית (DPC) , ומייצגת את ישראל בקבוצת העבודהבנושאפרטיותוהגנתמידע( WPDGP ) ,העוסקת,ביןהיתר,בנושאיםהנמצאיםבליבתדיניהגנת הפרטיותוהמידע.קבוצתהעבודהמשמשתתת-ועדהשלה- CDEP ופועלתתחתהנחייתהופיקוחה. החל משנת 2023 משמש היועץ המשפטי של הרשות כחבר הוועד המנהל ( bureau ) של קבוצת העבודה, והחל מתחילת 2024 הוא משמש כיו"ר קבוצתהמומחים שלה- OECD בנושא בינה מלאכותיתופרטיות. • קבוצת ברלין - International Working Group on Privacy and Data Protection in Technology - ישראל חברה בקבוצת עבודה בינלאומיתהעוסקת בהיבטיפרטיות של טכנולוגיות מידע שונות. בשנ ת 2022 הרשות ארחה לראשונה את מושב הקיץ של קבוצת העבודה אשר כלל השתתפות של כ- 17 מדינות שהגיעולישראלמרחביהעולם. במהלך השנים2022 ו- 2023 הרשותהובילהניסוח של שני מסמכיעבודה בקבוצה, בנושא זיהויפניםובנושא ערים חכמות. • Global Privacy Symposium - כנס בינלאומי בנושא פרטיות והגנת מידע אליו מגיעים רגולטורים מרשויות מובילות מרחבי העולםונציגי השוק הפרטי. ר אשהרשות הוזמןלהשתתף בכנס ולשאת דברים במושב בנושא אכיפה. ראש הרשות הציג את תפיסת ההפעלה של הרשות, והדגיש את יתרונות החוק הישראלי אשר מעניק לרשות להגנת הפרטיות סמכויות לקיים חקירות פליליות, שאינן נפוצות בקרב רשויות הגנת מידע מקבילות. • חתימת מזכר הבנות עם נציב הפרטיות של ה- Dubai International Financial Centers - בשנת 2023 חתם ראש הרשות על מזכרהבנותלשיתוף פעולה עם ראשהמשרד להגנת הפרטיות באזורהכלכלי החופשיבדובאיCenter)FinancialInternational(Dubai .זאת,בהמשךלחתימהעלהסדרדומהבשנת 2022 עם ראש המשרד להגנת המידע באזור הכלכלי החופשי באבו דאבי המכונה Global Dhabi Abu Markets . • Global Privacy Enforcement Network - הרשות להגנת הפרטיות חברה בוועד המנהל של ארגון זה המתמקדבהיבטיםשלאכיפתדיניהגנתהפרטיות,ומובילהאתמפגשיהוועדהמנהלהרבעונייםואת הדיוניםהדוחודשיים שלהרשת. 30 • אמנה108 שלמועצתאירופה- בשנת2017 הצטרפהישראלכמשקיפהלוועדההמייעצתלמועצתאירופה בנושא אמנה 108 , העוסקת בהגנה על מידע אישי של הפרט. בימים אלה עוסקת הוועדה בחיזוק ההגנה על פרטיות ומידע אישי בנושאים הבאים: העברות מידע אישי הנעשות במסגרת דיווחים הנדרשים לפי חוקי המס וחוקי איסור הלבנת הון, תחימת הפטורים המוקנים לרשויות אכיפה וגופי בטחון מתחולת עקרונות הג נת המידע והפרטיות וזכויות נושאי המידע המע וגנים בהם (כגון זכות העיון במידע אישי) והכפפתם לעקרונות הצורך והמידתיות,זהות דיגיטליתומידע אישיועוד. פניות ציבור הטיפול בפניות ציבור הוא כלי מרכזי לקיום קשר והידברות עם הציבור ועם גורמים מכלל מגזרי המשק הפוניםלרשות. במחלקת קשריציבורוממשל,האמונהעלהטיפולבפניותהציבור,מת קבל ותפניותותלונות עלהפרותהחוק אוהתקנות, ושאלות בשלל סוגיותהקשורותלתחוםהגנתהפרטיות. התלונותו הפניותהמתקבלות ברשותהןמקורחשובלהחלטהבדברביצועפעולותאכיפהמנהליותופליליות, לעריכת פיקוחי רוחב, ולקביעת הפרות של החוק במקרים המתאימים. בנוסף, הרשות מסתייעת בפניות הציבור לצורך זיהוי נושאים בהם נדרשות פעולות אסדרה באמצעות פרסום הנחיות, גילויי דעת, שאלות ותשובות באתרוכיוצא באלה. לשם טיפול בפניות בצורה מיטבית,פותחה מערכת ממוחשבתהכוללת מודול ייעודילטיפול בפניות הציבור, כאשר כלפניה המתקבלת ברשותנקלטת במערכת. הפניות המתקבלות הינן מגוונות, וכוללות תלונות על הפרה לכאורה של חוק הגנת הפרטיות, שאלות משפטיות, בקשות לקבלת עמדת הרשות וכיו"ב. החלטה על אופן המשך הטיפול בפניה נעשית בשים לב לטענותוהראיותהמובאותבה,חומרתהפגיעהבפרטיותהעולהמהפניה,האםמדוברבנילוןשהצטברוכנגדו מספרתלונות,היעדיםשנקבעוברשותלפעולותאכיפהבמסגרתתוכניתהעבודההשנתיתומשאבי0הרשות. כחלקמהעבודההשוטפ ת,נערכ ו תישיבותשוטפותבהשתתפותנציגי כלה מחלק ותבהן מתנהלדיוןמקיףעל פניות הציבור שהתקבלו ברשותובמהלכו מתקבלות החלטותלגביהמשך טיפול בפניות השונות. בשנת 2023 התקבלו ברשות 2,157 פניות ציבור, מתוכן 2,061 פניות בתחום הגנת הפרטיות, כש- 220 מהן סווגוכתלונות (לשםהשוואה,בשנת2022 התקבלוברשות1,935 פניותבתחוםהגנתהפרטיות, כש- 283 מהן סווגו כתלונות.) 31 נושאיםמרכזיים שעלו בפניות שהתקבלו בשנת 2023 : • אבטחת מידע- דיווחי אבטחת מידע; סיווגי מאגרי; תקנות אבטחת מידע; • רישוםמאגרי מידע- סוגיות שונות הקשורותלרישום מאגרי מידע,עדכונםועוד. • סוגיות בנוגע ל"הסכמה" - איסוף מידע ללא הודעה כנדרש על פי סעיף 11 בחוק הגנת הפרטיות; שימושבמידעשלאלמטרהלשמונמסר;העברתמידעלצדג';איסוףוצילוםתעודותזהותע"יבתי עסק; • זכות עיון ומחיקת מידע - זכות העיון במידע שבמאגרי מידע; מחיקת מידע והזכות להישכח; עיון בשיחות מוקלטות; 32 33 מערךשירות טלפוני ייעודי - 3103 * מערך שירות טלפוניייעודיהמספק מענה אנושי ראשונילפניות שלחברות, גופים, ולפניות אזרחים\ ות. בשנת2023 התקבלו במוקד 387 פניות טלפוניות. רישוםמאגרי מידע חוק הגנת הפרטיות מסמיך את רשם מאגרי המידע לנהל את פנקס מאגרי המידע. כל מי שמנהל בישראל מאגר מידע כהגדרתו בחוק, חייב ברישום ה מאגר בפנקס בהתאם לתנאים הקבועים בחוק בנושא רישום מאגרים. בעת הרישום יש למסור פרטים על בעל המאגר (יחיד, תאגיד, עסק, גוף ציבורי), מטרת המאגר, סוגי המידע במאגר, מנהל המאגר, האם מוחזק מידע אצל גורם חיצוני, האם מועבר מידע לחו"ל והאם מבוצעים שירותי דיוור ישיר. על בעל מאגר גם לעדכן את רישום המאגר בפנקס בכל עת שחל שינוי במידע המדווח. לצורך בדיקת בקשת הרישום ובקרה על כך שהמאגר שבמוקד הבקשה עומד בחובות על פי החוק, הרשות להגנת הפרטיות עשויה לבקש מידע נוסף בהיקפים משתנים. לעיתים, בקשות הרישום מאושרות בתנאים, עםדגשיםעל מימוש סעיפיםחיונייםבחוקכגוןאופןקבלתהסכמתנושאיהמידעלשימושבמידע.במקרים מיוחדים,כגוןקבוצתחברות,העברותמידעלגורמיםנוספיםלצרכישיווקאוסוגמידערגישבמיוחד,עשויה הרשות לנקוט בהליך בירור מורחב בטרם אישור בקשת הרישום, ולדרוש התאמות באופן עיבוד המידע על 34 מנת לבסס עמידה בהוראות החוק. במקרים חריגים, אם נמצא שאופן השימוש במידע על ידי בעל המאגר אינו יכוללעמודבהו ראות החוק,עשויה הרשות לעשות שימושבסמכות ה ולדחות את בקשתהרישום. בשנת2023 הוגשו 1,580 בקשותלרישוםמאגריםו- 1,097 בקשותעדכוןמאגרים.לשםהשוואה,בשנת2022 הוגשו לרשםמאגרי המידע1,431 בקשות רישום מאגרים, ו- 860 בקשות עדכון. פעילותהסברה, הכשרה והדרכהלציבור הרשותלהגנתהפרטיותפעלה בשנת 2022 רבותבמטרהלהעלותאתהמודעותהציבוריתלזכותלפרטיות, ולהנגיש את חוק הגנת הפרטיות הן לכלל הציבור בכדי שיוכל לעמוד על זכויותיו והן לעוסקים בתחום, על מנת שיטמיעו את עקרונותהגנת הפרטיות בארגונים. במהלך שנת 2022 קיימההרשות38 הרצאות והדרכות, ביןהיתר ב רשויותהמקומיות, ב אוניברסיטאות, בתי ספר ועוד. כנסים ופורומים כנסים ופורומים • כנס בנושא ניהול אירועי סייבר בראי תפיסת ההפעלה של הרשות – הכנס נועד לפתח שיח שישפיע על גיבושה הסופי של תפיסת ההפעלה של הרשות. ראש הרשות נשא את דברי הפתיחה בהם התייחס לאתגרים הטמונים בשמירה על אבטחת מידע בתקופה הנוכחית. מנהלת מחלקת אכיפה הציגה את תפיסת ההפעלה החדשה של הרשות לרבות הרציונל העומד מאחורי דרישת הדיווח המיידי לרשות בעת קרות אירוע סייבר. מנהל תחום טכנולוגיות במח לקת אכיפה הציג את דרכי החבירה של הרשות לארגון בו התרחש אירוע סייבר. הממונה על הפיקוח המנהלי ברשות הציג ה תובנות מאירועי סייבר ואבטחת מידעחמורים שטופלועל ידי הרשות. • וובינר פתוח בנושא תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג- 2023 – הוובינר נערך בהשתתפות ראש הרשות וסגן היוע ץ המשפטי של הרשות, לקראת כניסתן לתוקף שלהתקנות בראשית אוגוסט 2023 . • כנס ראשון לרשת הבינלאומית לקידום טכנולוגיות משמרות פרטיות - Global PETs Regulators Network – בכנס, שאירחה הרשות בשיתוף עם המכון הישראלי למדיניות טכנולוגיה (FPF ,) השתתפו נציגות ונציגים של רשויות הגנת מידע מקבילות ממדינות שונות, מומחיות ומומחים מהאקדמיה ומהתעשייה, ובכירות ובכירים הממונים על תחום הפרטיות בחברות המובילות בעולם. הרשת כוללת כ- 26 ארגונים, בהם רגולטורים וגופים בינלאומיים, המחויבים לשיח ושיתוף ידע פרקטי וחדשני בין רגולטוריםברחביהעולם,לטובתקידוםערכיםשלפרטיותוחדשנותלטובתהציבור.הרשתהוקמהמתוך הבנה שקיים צורך ביצירת סטנדרטיזציה בינלאומית ליישום טכנולוגיות משמרות ומגבירות פרטיות, שתאפשרודאות מסחריתוזרימת מידע אישי בצורה בטוחה באופן גלובלי. 35 תהליך הערכת מצבלהתמודדות עםאתגרי ההגנה על הפרטיות על התהליך הרשות להגנת הפרטיות מקיימת בכל שנה תהליך סדור של הערכת מצב וחשיבה משותפת לשם קבלת החלטה על מוקדי העשייה בשנההבאה. לשםכךמתקייםתהליך רחב שלשיתוףציבור.כך למשל,במסגרתהערכתהמצבל קראת שנת2024 ,קיימה הרשות סדרה של 'שולחנות עגולים' בהם לקחו חלק קבוצות מקצועיות ממגזרים שונים, על מנת לקבל תובנות מגורמים רלוונטיים שונים בנוגע לנושאים שלדעתם יש מקום למעורבותה של הרשות. ה'שולחנות עגולים' כללו מומחי פרטיות מהאקדמיה, ממשרדי עורכי דין מובילים, נציגי המגזר השלישי העוסקים בפרטיות, מומחיאבטחת מידע ממגזרים שונים וכן שולחנותעגוליםפנימיים בהשתתפותעובדי הרשות. בשלב השני, המידע שמתקבל במסגרת השולחנות העגולים מעובד במקביל לבחינה של הפעילות המתוכננת של רשויות מקבילות בעולם, ניתוח פניות הציבור המתקבלות ב רשות ו ניתוח בקשות לרישום מאגרי מידע. כל אלומהווים בסיסנתונים רח בלמדי בתהליך קבלתההחלט ות באשרלנושאיםבהםעל הרשות להתמקד מדי שנה, במסגרת בניית תכניתהעבודה השנתית. 36