חקיקת משנה - פניית הגורם המומסך
דו"חפעילות
לשנת 2019
בהתאם לסעיף10אלחוקהגנתהפרטיות,התשמ"א-
1981
מוגשדיןוחשבוןרשםמאגריהמידעעל פעולותהאכיפהוהפיקוח שבוצעועל ידי
1
הרשות להגנתהפרטיותבשנת2019
*
דבר מ"מ ראש הרשות
להגנת הפרטיות
הרשות להגנת הפרטיות במשרד המשפטים מפרסמת, כמידי שנה, דו"ח שנתי הסוקר את עיקרי
פעילותה בשנה החולפת, המתייחס למגמות בולטות בתחום הגנת הפרטיות ומביט קדימה אל
האתגרים העומדיםלפתחה בשניםהבאות.
פרסוםהדו"חהשנתילשנת2019
נעשהבעיצומושלמשברהקורונהשפקדאתהמשקכולובתחילת
השנה.במהלךהתקופה,כברעםפרוץהמשבר,ונוכחהאתגריםהרביםלפרטיות,פעלההרשותלשם
מתן מענה משפטיומקצועי מהיר בנושאי פרטיותוהגנה על מידעאישילכללמגזרי המשק.
בתקופה זו, לראשונה בתולדות הרשות, עוגנה בחקיקה ראשית מעמדה של
הרשות כגורם המייעץ
לממשלה בנושאי מדיניות לפרטיות, עת נקבעה חובתו של צוות השרים הדן בהארכת ההסתייעות
בשירותיהביטחוןהכללילקבלהחלטתובהתחשב,ביןהיתר,בחוותדעתמטעםהרשותאשרייבחן
את הפגיעה בזכות לפרטיות וקיומן של חלופות. הרשות פועלת
רבות בתחום זה,
לרבות באמצעות
סדרת חוות
הדעת
שפרסמה והן ב
השתתפות בדיונים המקצועיים בנושא, לרבות בצוות השרים
הייעודי לנושא זה, שהינם בעלי חשיבות רבה ותורמת משמעותית ליצירת הסדרים מידתיים יותר
בהיבטי פרטיות. כזכור, עמדת הרשות בנושא השימוש באיכוני השב"כ הינה כי מדובר בכלי שאינו
אפקטיבי למאבק במגיפה, מהווה פגיעה שאינה מידתית בזכות לפרטיות של אזרחי ישראל, ישנן
חלופות טובות יותר לנושא, בין אם חקירות
אפידמיולוגיות
אנושיות ובין אם כלים טכנולוגיים
יעיליםיותר,ועלכןישלהפסיקהשימושבוולפתחחלופות
וולונטריו
תוסטשלתמריציםלאזרחים.
במהלך משבר הקורונה, פעלה הרשות באופן משמעותי ופרסמה ניירות עמדה בהיקף חסרתקדים,
אשר עסקו בסוגיות מהותיות דוגמת הגנת הפרטיות בכניסה למקומות תעסוקה ומסחר, הגנה על
פרטיות תלמידים בלמידה וירטואלית והגנת הפרטיות בעת הפעלת מדיניות עבודה מרחוק אל מול
הרשתהארגונית.כמוכן,פרסמההרשות סקירותמקצועיותובהןסקירתרקעבעניין דירוגחברתי
בראיהזכותלפרטיות, סקירהבענייןניטורדיגיטליבעידןהקורונהבראיהזכותלפרטיותהכוללת
סקירת טכנולוגיות, מבט משווה לעולם ומדרג מודלים אפשריים של החלופות השונות. נוכח
אירועים יוצאי דופן אלו, שהיו בעלי השלכות משמעותיות על פרטיות האזרחים, ונוכח הדיון
הציבורי הרב בנושא בעקבות כך, יכלול דו"ח זה גם התייחסות ממוקדת לפעילותה של הרשות
במהלך תקופת משבר הקורונה.
כידוע, הרשות להגנת הפרטיות משמשת כשומרת הסף של זכויות האזרח בישראל בתחום הגנת
המידע האישי במרחב הדיגיטלי. במסגרת תפקידה, רואה כמשימתה העיקרית קידום של ציות של
כלגוףבמשק,פרטיוציבוריכאחדאשרמנהליםמידעאישיעלאודותאנשים,
לחוקהגנתהפרטיות
ולתקנות מכוחו. לתכלית זו הרשות מפעילה רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל
הגופים
במשקהמחזיקים או המעבדים מידע אישי דיגיטלי.
2
ההתפתחות הטכנולוגית המואצת, אפשרויות איסוף ועיבוד המידע הרב והרגיש, ויכולות איסוף
נתוני עתק (Data Big
) מביאות לשיפור איכות החיים בתחומים רבים, אך בד בבד מגדילות את
פוטנציאלהפגיעה בפרטיות ומשכך מייצרות אתגרים חדשיםוייחודיים. ]
על מנתלטייבולמקדאתפעילות הרשות,עם כניסתילתפקיד בשנת2019
,הנחתי את צוות הרשות
לבצע סקר סיכוני פרטיות לאומי הבוחן בראייה רחבה את כלל המגמות והאיומים המתפתחים
והמשפיעים על הפרטיות בעידן המידע. סקר סיכונים זה התבסס על מנעד רחב של מקורות מידע
מקומיים וגלובליים והוא נועד לסייע לרשות "לסמן" את התחומים המרכזיים שיש להגדירם
כתחומים במיקוד.
בהתאם, החלה הרשות בחציון השני של שנת 2019
לפעול באופן ממוקד
ביחס
לתחומי הסיכון המשמעותיים לחברה הישראלית שמופו וקידום יעדים בתחומים אלו, על מנת
להפגין אפקטיביותגבוההיותרלטובת אזרחי ישראל.
הגם שבתקופה זו לא פעלה כנסת ישראל באופן סדיר, ו
הכנסת פוזרה פעמיים בשנת 2019
,
ניצלה
הרשות תקופה זו לקידום רפורמה בחוק הגנת הפרטיות. צוות הרשות פעל בהילוך מוגבר, יחד עם
מחלקת ייעוץ וחקיקה במשרד המשפטים,
לניצול תקופה זו לקידום תיקוני חקיקה הכרחיים
ונחוצים שיביאו לשיפור ההגנה על הזכות לפרטיות בישראל ועל מעמדה של מדינת ישראל בעולם,
בתחום ההגנה על הפרטיות והמידע האישי, והנחת התשתית הנדרשת לשם ביצוע רפורמה
היסטורית בתחום. אנו פועלים יחד עם מכלול שותפינו בממשלה על מנת לקדם זאת באופן המהיר
ביותר, ואכן הצלחנו להביא לכך שבשנת 2020
הונחו שורת תיקוני חקיקה על שולחן הממשלה,
בציפיי
הלקידומםהמהירולשםביצועהשלהרפורמההכהנחוצהבחוקהישןשחוקקלפני40
שנה.
בנוסף, במהלך שנת 2019
הגבירה הרשות להגנת הפרטיות את פעולות האכיפה וההרתעה לטובת
ציותלדיניהגנתהפרטיותושדרגהאתיכולותיההטכנולוגיותבזירותהפור
נזיקהוהסייבר.הרשות
חותרת לביצוע פעולות אכיפה אפקטיביות ורחבות שיובילו להשפעה משמעותית על כלל מגזרי
המשק.
בנוסף לניהול הליכי אכיפה פליליים ומנהליים כנגד גורמים המפרים את דיני הגנת הפרטיות,
הרחיבה הרשות את פעילותו של מערך פיקוח הרוחב (ביקורת), וקיימה מאות פיקוחים מגזריים
בתחומי פלטפורמות אינט
רנטיות חינוכיות לקטינים; מועדוני לקוחות גדולים; מכונים רפואיים
ומעבדות רפואיות וחברות המספקות שירותים של אחסון ועיבוד מאגרי מידע. פיקוחי רוחב אלה
נועדולבחוןאתיישוםהוראותחוקהגנתהפרטיותותקנותהגנתהפרטיות(אבטחתמידע)ולאיתור
כשלים ענפיים הדורשים התערבות ומתן הנחיות, במטרה להגביר את ההגנה על המידע האישי
ולקבל תמונת מצב מגזרית. בתום קיום הליכי הפיקוח במגזרים השונים, ולאחר עיבוד הממצאים
הרשות מפרסמת את ממצאי הדוחות לציבור.
במהלךשנת2019
הרשותהפיצהלמפלגותולסיעותשה
תמודדולכנסתה-
21,ולכנסתה-
22
,מסמכי
ריענוןהנחיותהמבהיריםאתמגבלותהשימושבמידעשבפנקסהבוחריםלקראתהבחירותלכנסת.
במקביל, ערכה לפני כל אחת ממערכות הבחירות כנס בנושא אליו זומנו כלל המפלגות והסיעות
ובמהלכם הובהרוגבולות הגזרה בשימוש במידע מפנקס הבוחרים.
הרשות זיהתה כי גם בשנת 2019
ממשיכים להתפתח תהליכיםהמהווים סיכוןלפרטיותהתושבים
ברשויות המקומיות. לשם התמודדות עם תהליכים אלו, פרסמה הרשות מדריך מעודכן להגנת
3
הפרטיות בעיר החכמה, בו ניתן מענה לסיכונים החדשים שזוהו לרבות בנושא יצירת תיקי נתונים
עלהתושביםוהכנסת טכנולוגיות חדשות בתחוםהתחבורה במרחבהעירוני. הרשות הטמיעה
המדריך בקרב רשויות מקומיות באמצעות פעולות הסברה רבות, ותוך "סגירת מעגל" אסטרטגי
באמצעותבחינת מתכונתומידתההטמעה באמצעות הליךפיקוח רוחב בשנת 2020
.
במטרה להביא להעלאת המודעות הציבורית לזכות
לפרטיות ולהגנה על מידע אישי, הרשות יזמה
וקיימהפעילויותרבותשלהסברה,חינוךוהדרכה.זאת,ביןהיתר,באמצעותקיוםימיעיון,כנסים
מקצועייםומפגשיהנחיהוהדרכה.בשנת2019
הרשותיצאהבקמפייןאינטרנטילהעלאתהמודעות
לחובת יישומן של תקנות הגנת הפרטיות (אבטחת מ
ידע)
שנכנסו לתוקף בשנת 2018
. מטרת
הקמפיין הייתה להנגיש למגזרים שונים במשק אתהחובותהחלות עליהם מכוח התקנות ולהדגיש
אתחובת הדיווח לרשות במקרי אירועי אבטחה חמורים.
כמו כן, הרשות גיבשה והקימה בשיתוף עם משרד החינוך תוכנית פיילוט חדשה -
"מנהיגות נוער
לפרטיות"-
באמצעותהתלמידיםיקבלוכליםבנושאהגנתהפרטיותבמרחבהדיגיטליכךשבסיום
התכנית התלמידים ייזמו ויוציאו לפועל מהלכים להנגשת הזכות לפרטיות וחשיבותה לתלמידים
נוספים במוסדות הלימוד. בנוסף, הרשות פיתחה בשיתוף עם מוסד אקדמאי לומדה ייחודית
המיועדתלהעלאתהמודעותלהגנהעלפרטיותבניהנוערברשתומאפשרתלמשתמשיםהיכרותעם
אתגרי הפרטיות המרכזיים, וקבלת מידע על הסיכונים לפרטיות ברשת ובאמצעים הדיגיטליים
שסביבםומעניקהלהם כלים לשמירה טובה יותר עלפרטיותם.
לסיום, ובנימה אישית, אשתף כי נ
קראתי להוביל את הרשות ולמלא את תפקיד ראש הרשות
לתקופה זמנית קצרה, אשר בשלהנסיבות הפוליטיותהלא-
צפויותהתארכה הרבה מעברלמשוער.
על מנת למנוע טלטלות נוספות לרשות בתקופה רגישה זו, נעניתי לבקשה להמשיך ולמלא את
התפקידחרףהתקופההארוכהמהמתוכנן.כולנותקווהכיניתןיהיהלבצעבמועדקרובככלהניתן
מינויו של ראש
או ראשת רשות קבוע
ים. לצד זאת, אני מודה על הזכות שנפלה בחלקי להוביל את
העשייה המשמעותית של הרשות בתקופה זו בהתמודדות אל מול האתגרים העצומים לשמירה על
הזכות לפרטיות ולהגנה על המידע האישי במרחב הדיגיטלי. המדובר בתקופה מהותית וחשובה
לזכות לפרטיות. אני גאה על כך שבמהלך החודשים שקדמו למשבר הקורונה השכלנו לפעול יחד
לחיזוקוקידום משמעותיים שלמתכונתפעילות הרשותו
טיובהאפקטיביותוהרלוונטיותשלה,כך
שבפועל הרשות הגיעה למשבר מחוזקת וערוכה להתמודד עימו באופן מיטבי. הודות למקצה
השיפוריםהניכר שבוצע,הגיעצוותהרשותלמשברהקורונהמחוזק,ולמרותכלהקשיים הצלחנו,
דווקאבתקופהמאתגרתזו,לפעולבאופןיוזם,משפיעופרואקטיבי,ולהגיעלהישגים משמעותיים,
ובהיקף חסרתקדים בהשוואהלכל תקופה אחרת בעברה של הרשות.
ברצוני להודות לעובדי הרשות להגנת הפרטיות המצטיינים על עבודתם המקצועית, המסורה
והמוערכת, אשרהובילהלהישגי הרשות, ולאחללכולנוהמשךעשייהפורייהומוצלחת.
4
בואו נכיר: הרשות להגנת הפרטיות
הרשות להגנת הפרטיות (להלן - "הרשות להגנת הפרטיות"
;
"הרשות"
הינה הגוף המסדיר,)
המפקח והאוכף על פי חוק הגנת
הפרטיות, התשמ"א-
1981
(להלן: "חוק הגנת הפרטיות" או
החוק)"" וחוק חתימה אלקטרונית,התשס"א –
2001
.
במסגרת תפקידה של הרשות כרגולטור של הזכות לפרטיות ולהגנה על מידע אישי בישראל,
הרשות מופקדתעל הגנת המידעהאישי במאגרי מידע דיגיטליים מכוח חוק הגנת הפרטיותועל
ביצורהשלהזכותלפרטיות.הרשותפועלתלהשגתמטרהזו באמצעותאסדרה,אכיפהמנהלית,
אכיפה פלילית ופיקוחי רוחב (Audit
) על כלל הגופים בישראל -
פרטיים, עסקיים וציבוריים,
המחזיקים או המעבדים מידעאישי דיגיטלי.
הרשות היא שמתווה את מדיניות ההגנה על המידע האישי בישראל במאגרי מידע דיגיטליים.
משימותיה המרכזיות של הרשות הן קידום שליטת הפרט במידע אישי על אודותיו, השפעה על
תהליכי עיצוב לפרטיות בארגונים ובמערכות מידע בכל מגזרי המשק וחיזוק תחושת המוגנות
שלהציבור.כלזאת,במטרהלצמצםאתהסיכוניםהגובריםלפגיעה
בפרטיותבעתשמירתמידע
דיגיטלי, בעיבודו ובניהולו, והכל תוך איזון ומתן משקל ראוי לחידושים הטכנולוגיים
וליתרונותיהם עבור השוק והמשתמשים.
הרשות להגנת הפרטיות, כשומרת הסף של זכויות האזרח בתחום הגנת המידע האישי, רואה
כמשימתה העיקרית קידום של ציות לדיני הגנת המידע בכל ארגון, עסק וגוף ציבורי המנהלים
מידע אישי על ישראלים, כך שיפעלו לניהול המידע שברשותם באופן תקין בהתאם לדיני הגנת
הפרטיות.
בנוסף, בעידן שבו כמויות עצומות של מידע מועברות באופן גלובלי, עבודת הרשות כוללת
היבטים בינלאומיים משמעותיים ועל כן היא פועלת להתאמת סטנדרט הגנת המידע האישי
בישראללסטנדרטים הבינלאומיים המובילים בתחום.
מצבת כוח האדם ברשות מונה כ-
60
עובדים ובכללם עורכי דין, אנשי טכנולוגיה, אנשי מדעי
החברה והרוח,עובדי מנהלה ומתמחים.
5
מבנהארגוני
היכרות
עםמחלקות
הרשות –
תחומי עשייהעיקריים
מחלקותהרשות-
היכרות עםתחומי העשייה:
מחלקת אכיפה
מבצעת הליכי אכיפה פלילית ומנהלית כנגד גורמים המפרים את הוראות החוק ומנהלת
פיקוחי
רוחב שמטרתם לבחון את מידת הציות לחוק באופן רוחבי, במגזר ספציפי או בתופעה מסוימת.
מחלקתקשרי ציבור וממשל
תפקידה העיקרי של מחלקת קשרי ציבור וממשל הוא העלאת המודעות לערך ההגנה על
הפרטיות
ולחשיבותה בעידן המידע, באמצעות פעולות חינוך, הסברה והדרכה. כמו כן, פועלת להטמע
ה
של
הזכויותוהחובותלפיחוקהגנתהפרטיות
בקרבהציבור.
מחלקתחדשנות ופיתוחמדיניות
עיקר תפקידיה ה
וא
ניתוח וזיהוי מגמות עתידיות -
טכנולוגיות, חברתיות ועסקיות, ובחינת
השלכותיהן על הפרטיות, עריכת מחקרים והצעת
מדיניות רגולציה חדשנית לתכנון אסטרטגי של
פעולותהרשות בתחוםהפרטיות וכן קידום מיצובה של הרשות בזירההבינלאומית.
6
מחלקתייעוץ משפטי ואסדרה
פועלתלקידוםהליכיחקיקהחדשיםולעדכוןחקיקהקיימתלצדפרסוםהנחיות,
המלצות
ומסמכי
עמדההמפרשיםאת הוראות
החוק הקייםומיישמיםאותן.
הזכות לפרטיותעל
קצה
המזלג
לכל
אדם זכות לפרטיות. הזכות לפרטיות הוכרה בחוק יסוד: כבוד האדם וחירותו, ובחוקים
נוספים
ובראשםחוקהגנת הפרטיות.
חוק יסוד: כבוד האדם וחירותו
נועד להגן על זכויות היסוד העיקריות של האדם במדינת ישראל
הכולל
ו
ת את הזכות להגנה על
החיים, הגוף והכבוד, חופש תנועה, קניין וגם הזכות לפרטיות.
כוחו של חוק יסוד חזק יותר מחוק
רגיל. משמעותהדבר היא שבכלחוק חדש שרוצים לחוקקישלהתחשב בזכויות היסוד.
החוק מכיר ברעיון הבסיסי של קדושת חיי האדם,
בערך של הכבוד שלנו כבני אדם ובזכות האדם
להיותחופשי.
החוקקובעשישלכלאדםזכותלפרטיותוצנעתחייו–
חוקזהמגןעלהעיקרוןהעליון
לש הזכות לפרטיות. לכן, אסור לערוך חיפוש באופן שפוגע בפרטיות שלי,
אסור לחטט בחפציי בלי
רשותיואסורלגלות מידע אישי שלי.
הזכויותהללו נתונות
לכלאדם, לא רקלאזרח או לתושב המדינה.
חוקהגנת הפרטיות
בפסקהדיןשלביתהמשפטהגבוהלצדקנקבעבפרשתפלונית1
כי״סביבכלאדםישמרחבשבתוכו
הוא זכאי להיות עם עצמו. מרחב זה נע עם האדם עצמו היקפו של המרחב נגזר מהצורך
להגן על
האוטונומיה של הפרט".
בשנת 1981
נחקק חוק הגנת הפרטיות בו נקבע העיקרון הבסיסי לפיו ״לא יפגע אדם בפרטיות של
זולתו ללאהסכמתו״.
עקרונותדיניהגנת הפרטיות
הזכות לפרטיות הינה זכות חוקתית נגזרת של כבוד האדם כמו גם זכות אזרחית המבטאת את
החירותהבסיסיתשלהאדם"להיעזבבמנוחה".פרטיותבהקשרזהמתיישבתעםהצורךשלאנשים
להישאר אנונימיים וכן להיות מוגנים מפני התערבות פסולה של רשויות המדינה וגורמים אחרים,
בחייהם. תפיסה זו באה לידי ביטוי בדין הישראלי, בין היתר, בהוראות סעיף 2 (1
) לחוק הגנת
הפרטיות
המגדירפגיעה בפרטיות כ"בילוש או התחקות אחר אדםהעלוליםלהטרידו."
1 בג"ץ 6650/04
פלונית נ'בית
הדיןהרבניהאיזוריבנתניה פ"דסא(,1
)
581
(
2006
.)
7
חוקהגנתהפרטיותכוללמספרעקרונותמרכזיים.עיקרוןאחדהואעיקרוןההסכמה,המבטאאת
שליטתושלהפרטביחסלמידעהנוגעאליו,ולפיוהפרטהואהאחראיביחסלאיזה
מידעהנוגעאליו
נחשף,ולמי.עיקרוןזהבאלידיביטוי,ביןהיתר,בסעיף1
לחוקהגנתהפרטיות,הקובעכי"לאיפגע
אדם בפרטיות של זולתו ללא הסכמתו". על פי חוק הגנת הפרטיות, הסכמה בהקשר זה צריכה
להיות "מדעת", קרי כזו הניתנת רק לאחר שאדם מבין את משמעות הסכמתו, ואת
השלכותיה.
עיקרון מרכזי נוסף הוא עיקרון צמידותהמטרה.עלפי עיקרון זה,המוסדרתחת סעיפים2 (9) ו- 8
(ב)לחוקהגנתהפרטיות, שימוש במידע יכול להיעשות אךורק בהתאםלמטרה שלשמההוא נאסף
מלכתחילה.במובןזה,שימושבמידעלמטרהאחרתמזושלשמההואנאסף,מהווהפגיעה
בפרטיות.
משמעות הפגיעה בפרטיות
פגיעה בפרטיות היא עבירה פלילית שעונשה עד 5
שנות מ
אסר ועוולה אזרחית, שבגינה ניתן
לתבוע
פיצויכספיבגיןכלנזק
שנגרםכתוצאהמהפגיעהוכןלתבועפיצוי
שלעד50,000
שקליםבלאהוכחת
נזקועד 100,000
שקלים אם הפגיעהנעשתה בכוונה.
הזכות
לפרטיות
ואתגריהעידן
הדיגיטלי
במהלךהעשוריםהאחרונים,התרחשושינוייםטכנולוגייםומשקייםמרחיקילכתבאופןשבונאסף
מידע,מעובד,ונעשיםבושימושיםנוספים,וזאתבמסגרתהפעילותהשגרתיתשלארגוניםויחידים.
שינויים אלה אף יוצרים איומים חדשים על הזכות לפרטיות במידע. המציאות מלמדת שדליפת
מידע רגיש, גישה לא מורשית למאגרים ושימוש במידע מתוכם למטרות זרות –
הופכים לשכיחים
יותר ויותר.
עמדעלכךגםביתהמשפטהעליוןבבג"ץ8070/98
האגודהלזכויותהאזרחבישראלנ'משרדהפנים
(פד"ינ"ח (4
,)
842
בעמ', 864
:)
"ההתפתחויות בעולם המדע והטכנולוגיה הופכות מהירות יותר מאשר בעבר ועל כן ניצב המשפט
בפני אתגרים חדשים בתכיפות גדולה מאשר בעידן קודם. כך קורה גם בתחום בו עסקינן. אמצעי
המחשוב המודרניים והטכנולוגיה המתקדמת בתחום התקשורת מביאים עימם ברכה רבה בצד
סכנות גוברות לפגיעה בזכותו שלהאדם לפרטיות" (ההדגשותלא במקור.)
לאור השינויים התכופים בעולמות הטכנולוגיה, המושג 'פרטיות' מקבל משמעות שונה מבעבר.
כמויות עצומות של מידע אישי נאסף ומעובד לשם יצירת פרופילים אישיים, מפורטים ומפולחים.
מדוברבמידעאישיביותרשלנו,כמומקוםמגורים,תחומיעניין,העדפותאישיות,מערכותיחסים,
היסטוריה פיננסית, מצב בריאותי ועוד. פרופילים אלה משמשים, ואף נמכרים לגורמים שונים,
למטרות שונות: שיווקיות, מסחריות,פוליטיות ואחרות.
חשיבותה של הזכות לפרטיות והחשיבות בשמירתו של מרחב אישי ופרטי, שבתחומו יכול
הפרט
לנהוגכאוותנפשוולקבלהחלטותבאופןאוטונומיוחופשימהתערבותחיצונית,לאכלשכןהשפעה
עלהליכים דמוקרטיים שונים, תקפה ביתר שאת במרחב הדיגיטלי.
כיום, המידע על כולנו נאסף גם "ברקע", באופן פסיבי, משימוש בטלפונים חכמים, גאדג'טים
שאנשיםנושאיםעליהםוחיישניםהמוטמעיםכמעטבכלפינהבמרחבהציבורי.לאיהיהזהמופרז
8
לומר, כי כיום איסוף המידע וניתוחו מאפשר למעשה לקרוא את מחשבותיו וכוונותיו של אדם,
ומדאיגמכך-
אפילולחזותאתכוונותיו,גםעודטרםהגהאותןבאופןמודע.עלכלאלהישלהוסיף
איומי אבטחת מידע מצד גורמים שונים המבקשים לנצל את המידע האישי לתועלתם האישית,
המסחרית או הפוליטית.
עיקרי
תכנית
העבודה
לשנת
2019
:
שימור וחיזוקמעמדה המיוחדשל הזכות לפרטיות בישראל
הרשות להגנת הפרטיות, כשומרת הסף של זכויות האזרח בתחום הגנת המידע האישי, רואה
כמשימתה העיקרית קידום של ציות לדיני הגנת המידע בכל ארגון, עסק וגוף ציבורי בישראל
שמנהלים מידע אישי, כך שיפעלו לניהול המידע שברשותם באופן תקין, בהתאם לדיני הגנת
הפרטיות. הרשות תפעל לקידום הנושא באמצעות, בין היתר, איתור מגמות מתפתחות המשפיעות
על הפרטיות באמצעות מחקר שוק, כתיבת הנ
חיות, המלצות ומסמכי עמדה למפוקחים, שמירה
וחיזוקעצמאותהרשותוהמשךקידוםמאמצי
ההסברהברמההארציתלציבור
הרחבולכללמגזרי
המשק.
אסדרה באמצעות תיקוני חקיקה והנחיות
הרשות תפעל
לקידום תיקוני חקיקה שיביאו לשיפור ההגנה על הזכות לפרטיות בישראל ושל
מעמדה של מדינת ישראל בעולם, בתחום ההגנה על הפרטיות והמידע האישי. פעילות זו מתמקדת
ב
קידום הצעת חוק הגנת הפרטיות, התשע"ח-
2018
העוסקת בסמכויות האכיפה של הרשות, לצד
פרסוםהנחיות,המלצות ומס
מכיעמדה רלוונטיים.
פיתוחהיכולתלמימושהזכות לפרטיות על ידיהציבור
הרשות להגנת הפרטיות הינה רגולטור רוחבי, המנחה ואוכף על
כלל גופי המשק בתחום הפרטיות
והמידע האישי. במסגרת זו הרשות מנגישה את דיני הגנת הפרטיות לציבור הרחב, מפתחת כלים
מגוונים המאפשרים עמידה בדרישות החוק ומייצרת שיתופי פעולה בכלל הסקטורים במשק.
במסגרתכךתמשיךהרשותבגיבושהמלצות
ל
מדיניותבנושא,כתיבתמסמכיםמנגישיזכויותעבור
הציבור
, כתיבת וטיוב שו"ת באתר
ה ולעידוד מוסדות להשכלה גבוהה להקים קליניקות להגנה על
הפרטיות.
הרחבת האכיפה והגברת האפקטיביותשלה
במסגרת השינויים וההתפתחויות הטכנולוגיות נדרשת הרשות להגנת הפרטיות, כרגולטור
אפקטיבי, להתאים,
להרחיב ולהגביר את סל
כלי האכיפה שלה וזאת בכדי לצמצם פגיעה והפרות
9
של דיני הפרטיות. במסגרת כך תפעל הרשות להמשך הרחבה ופיתוח מערך פיקוח הרוחב, שיפור
הכלים הטכנולוגים לצרכי ניהול אפקטיבי, פיתוח מערכת לבדיקה עצמית של עמידת הגופים
המפוקחים בהוראות החוק ו/או התקנות, קידום יכולות טכנולוגיות לצרכי התמודדות עם העולם
המשתנה ויצירת תשתית לפונקציית איסוףוהערכה.
הרחבת פעילותמערך פיקוח רוחב
לשם הגברת ההרתעה והאפקטיביות של פעולות האכיפה של הרשות, הרשות מתעתדת השנה
להמשיך ולהפעיל את מערך פיקוח הרוחב בהיקף רחב יותר. במסגרת פעילות מערך פיקוח הרוחב,
צפוי המערך להשלים את פיקוחי הרוחב שהחלו בשנת 2018
, ולהתחיל בהליכי פיקוח במגזרים
נוספים.
מיקוד וקידום הגנת הפרטיות במגזר העסקי והשלישי
בחינה מעמיקה מלמדת כי במגזר העסקי והשלישי קיימים פערי מידע ומודעות לתחום הפרטיות.
בשלכךבחרההרשותלהתמקדבמגזריםהללווזאתבכדילסייעלמימושהזכותלפרטיותבמגזרים
אלה.
לשם כך, בין היתר, תפעל לאיתור ועיצוב תהליכי חדשנות לפרטיות בשיתוף המגזר העסקי-
טכנולוגי בחינת שיתופי פעולה לחיזוק הזכות לפרטיות בארגוני המגזר השלישי למול ארגון הגג
'מנהיגות אזרחית', הקמת קהילה דיגיטלית לקידום הגנת הפרטיות במגזר הטכנולוגי ותקיים כנס
שני בנושאהגנתהפרטיות.
חיזוק מקצועיות סגל הרשות ושימורו
בכדי לעמוד בקצבי העולם ולשמור על רלוונטיות נדרשת הרשות לשכלל את יכולת עובדיה לעמוד
במשימות המתפתחות. בשל כך, יוכשרו עובדי הרשות באופן מקצועי ומתקדם לשם עמידה בחזית
הידעהמשפטיובדרישותהסמכתםהחוקית,לביצועעבודתם. לשם כך,
ביןהיתר,
תערוךמיפוי
של
צורכיהדרכהייחודיים לרשותותפעללמיסוד תרבות של תחקור והפקת לקחים.
המשך פעולותלמיצובמעמדהשלישראל בזירה הבין-לאומית
הרשותפועלתלקידוםושמירהעלמעמדה-
Adequacy
שלישראלכמדינהשרמתההגנהעלהמידע
בההיא נאותה. הליך בחינת מעמדה שלישראל בהקשר זהיימשךגם השנהובמסגרתו צפוי המשך
שיח משותף עם האיחוד האירופי בהובלת מחלקת ייעוץ וחקיקה במשרד המשפטים,
ובהשתתפות
הרשות.
10
פעילות אכיפה בשנת2019
הרשותלהגנתהפרטיות,כרשות
אסדרהואכיפה,פועלתלהגנהעלהמידעהאישיהנאסףבמאגרי
מידע דיגיטליים על פי סמכויותיה המוגדרות בחוק הגנת הפרטיות. מרחב זה כולל את כלל
מערכות המידע הדיגיטליות המנהלות מידע אישי בגופים מסחריים, עסקיים, במשרדי ממשלה
וברשויות ציבוריות.
במסגרת פעולות האכיפה, מבצעת הרשות הליכי אכיפה פלילית ומנהלית כנגד גורמים המפרים
את הוראות החוק ומנהלת פיקוחי רוחב שמטרתם לקיים הליכים רוחביים לבחינת ציות
להוראותחוקהגנתהפרטיותוהתקנותשמכוחובמגזרספציפיאובסוגיהרוחביתהנוגעתלהגנת
מידע אישי שהרשות רואהלנכון לבחון.
בשנת2019
הסתייםהטיפולב-
66
תיקיאכיפהמנהלייםופלילייםונפתחו92
תיקיםחדשים,
זאתבהשוואהלשנת
2018
,בההסתייםהטיפולב-
105
תיקיאכיפהונפתחו
316
תיקים.
בתחום
אבטחת המידע, בשנת 2019
, פתחה הרשות ב-
51
הליכי פיקוח מנהלי בעקבות דיווחים על
אירועי אבטחת מידע חמורים וכן בעקבות פעילות יזומה של הרשות, בין היתר בחברות
תקשורת ופיננסים, בקופות חולים ובתי חולים, במשרדים ממשלתיים ובגופיםציבוריים.
במסגרת פיקוחי הרוחב ניהלה הרשות 244
תיקי פיקוח רוחב (אודיט), בשבעה מגזרים אשר
הוגדרועלידיהרשותכמגזריםבעליסיכון
גבוהלפגיעה בפרטיות,זאתבהשוואהל
שנת
2018
בה
נוהלו 181
תיקי פיקוח רוחב. ב
שנת
2019
נבדקו במסגרת תיקי פיקוח רוחב
70
רשויות
מקומיות, 40
חברות המנהלות בתי אבות, 40
חברות המעניקות שירותי סיעוד, 10
חברות
המספקותשירותימימושזכויותרפואיות,35
סוכנויותביטוח,15
תאגידיםהמשתייכיםלמגזר
תאגידיביוב,מיםוחברותגזו-
14
חברותהמספקותשירותימוקדטלפוני.בנוסף,ביצעההרשות
20
ביקורותחוזרותבקרבגופיםאשרעברוהליךפיקוחרוחבבשנת2018
,לשםבחינתעמידתם
בתיקוןהליקויים אותםנדרשולעשות.
בשנת 2019
נפתחו 5 תיקי חקירה פלילית,
(ב
שנת
2018
נפתחו 4 תיקי חקירה פלילי
ים)
אשר
עסקו בפרשיות שונות, ובין היתר, בחשדות כי עובדי מדינה שלחו מידע רגיש ממערכות המידע
של הארגון לגורמים פרטיים מחוצה לו, אשר לא הורשו לצפות במידע, בחשדות להתחזות מול
חברות ביטוח לשם קבלת מידע כלכלי רגיש אודות אזרחים, בחשדות להעברת מידע אודות
מתפקדיםממפלגהאחתלאחרתבלאהסכמהאוהרשאה,ובחשדותבדברשימושבמאגרימידע
בלתיחוקיים של מרשםהאוכלוסיןובפנקסיהבוחרים.
הרשות מפרסמת באתר האינטרנט שלה2
3
מידע על הליכי אכיפה שנקטה בגין הפרת חוק הגנת
הפרטיות במטרה להנגיש אתהמידע לציבורולהגביר אתההרתעה.
2
https://www.gov.il/he/departments/guides/enforcementact?chapterIndex=2
3
https://www.gov.il/he/departments/general/criminal_enforcement_files
11
תוצריאכיפה
בתיקים מנהלייםשנסגרו עלידי הרשות בשנת 9
201
▪
ב-
30
תיקי אכיפה ניתנו הנחיותלתיקון ליקויים;
▪
בשני תיקי אכיפה נקבעההפרהוניתנוהנחיותלתיקוןליקויים;
▪
בתיק אכיפה אחדנקבעההפרה,ניתנו הנחיות לתיקון ליקויים והוטל קנס;
▪
שלושה תיקי אכיפה הובילו, מעבר
למסקנות הקונקרטיות ביחס למפוקח, גם לפרסום
מסמךהבהרה או מדיניות בנושא מטעם הרשות;
▪
ב-
26
תיקי אכיפה לא נקבעה הפרה כתוצאה מהיעדר ליקוי או בעקבות התייחסויות
שהעבירו הגופים מהן עלה שלא בוצעה הפרה או שלא היה במידע שנבדק אינדיקציות
מספיקותלקביעתהפרה.
סךהכל:62
תיקיאכיפה מנהלית
12
תיקיאכיפה מנהליים שנפתחו עלידי הרשותבשנת2019
לפי תחומים
▪
51
תיקים בנושאאבטחת מידע
▪
24
תיקי אכיפה בנושא שימוש במידע שלא למטרה
▪
9
תיקים בנושא חתימה אלקטרונית
▪
4 תיקים בנושא נתוני אשראי4
סךהכל: 87
תיקי אכיפה מנהלית
244
תיקי פיקוח רוחב (אודיט) לפי מגזרים -
1.
בתי אבות -
40
חברות;
2.
שירותי סיעוד-
40
חברות;
3.
חברותהמספקות שירותי מימוש זכויות רפואיות-
10
חברות;
4.
סוכנויות ביטוח-
35
סוכנויות;
5.
תאגידי ביוב, מיםוחברות גז -
15
תאגידים;
6.
חברותהמספקות שירותי מוקד טלפוני -
14
חברות;
7.
רשויות מקומיות-
70
רשויות;
8.
20
ביקורות חוזרות על גופים אשר עברו הליך פיקוח רוחב בשנת 2018
.
4
ביום12.4.2019
חוקשירותנת
וניאשראי,התשס"ב-
2002
התבטל,ורשםשירותנתוניאשראיברשותלהגנת
הפרטיותסייםאתתפקידו. עםביטולהחוק,בעלירישיוןשירותנתוניאשראי הפסיקואת פעילותם, וחדלו
מלמסור דוחות אשראי. הפעילות של נתוני אשראי עברה לניהולו ופיקוחו של בנק ישראל, בהתאם לחוק
נתוניא
שראי,התשע"ו-
2016
.
13
דוגמאות לתיקיאכיפהשהתנהלובשנת2019
אכיפה מנהלית
בשנת 2019
הרשות להגנת הפרטיות ה
משיכה
הרשות בפעילות
האכיפה במקרים של הפרת תקנות
הגנת הפרטיות (אבטחת מידע), התשע"ז-
2017
(להלן – "
התקנות") שנכנסו לתוקף שנה קודם לכן.
בשנהזוניהלההרשות66
הליכיאכיפה5
בעקבותאירועיאבטחתמידעחמוריםשאירעובסקטורים
שונים ובהם בריאות, מינהל ציבורי, תחבורה, חברות פרטיות ועוד.
להלןמקבץ דוגמאותלתיקי אכיפה מנהליתשניהלה הרשותלהגנת הפרטיות בשנת 2019
:
לינתהחסד-
צדקת ירושלים (ע"ר)
בתלונה שהתקבלה ברשות עלה כי העמותה פנתה באמצעות שיחת טלפון למתלוננת במטרה לגייס
תרומה לארוחות לנזקקים בבתי כנסת. על פי התלונה, הנציגה ציינה כי היא מודעת לעובדה שבנה
של המתלוננת עומד לחגוג בר מצווה, ולכן הוחלט לבדוק את האופן שבו העמותה מקיימת את
דרישות החוק והתקנות מכוחו. ממצאי הפיקוח העלו כי העמותה לא עמדה בדרישות החוק ביחס
להגנה הפיסית על מאגרי המידע שניהלה, לא יישמה נהלי אבטחת מידע, לא יישמה את החובות
המוטלות עליה בהקשר של מתן הרשאות גישה למאגר המידע ובנוגע לעריכת רשימת מורשי גישה.
כמו כן, נמצא כי העמותה לא נקטה באמצעי אבטחה סבירים למניעת זליגת המידע מהשרתים
והתשתיות האפליקטיביות שלה, המכילים מידע אישי, וכי לאורך תקופת פעילות העמותה לא היו
ברשותה מערכותניטור לכשלי אבטחתהמידע.
במסגרת הליך האכיפה נקבע כי עמותת לינת החסד-
צדקת ירושלים (ע"ר) לא קיימה את החובה
המוטלת עליה לאבטחת מאגרי המידע לפי סעיף 17
לחוק הגנת הפרטיות ותקנה 3
לתקנות הגנת
הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-
1986
.
בנוסףנדרשההעמותה לבצע פעולותמתקנותלהתאמת רמתאבטחתהמידעהנדרשת עלפיהחוק.
5
יצויין, כי בשנת 2018
,
החל ממועד כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע) ועד
תוםהשנה,
קיימההרשותלהגנתהפרטיות84
הליכיאכיפהבעקבותאירועיאבטחתמידעחמורים
בנושאים שונים.
14
עירייתנהריה
הרשות ניהלה הליך אכיפה מנהלי לבדיקת רמת אבטחת המידע ויישום נוהלי אבטחת המידע
בעירייתנהריה,בעקבותאירועדלףמידערגישממאגרהמידעשלהעירייה.ממצאיההליךהעלוכי
במועד האירוע חיבור אתר העירייה לרשת האינטרנט לא בוצע באמצעות פרוטוקול תקשורת
מאובטח; כי לא היו בידי העירייה נהלים רלוונטיים ולא ניתנו הנחיות בקשר לאופן ביצוע פעולות
הפיתוח במאגר ותיעודן ובהתייחס לבדיקות האיכות (QA
) עבור פיתוחי תוכנה המתבצעים באתר
העיריה וכי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר נעשית בידי בעל
הרשאההמורשהלכךבלבד.לפיכך,נקבעכיהעירייהלאקיימהאתהחובהלאבטחתמידעהקבועה
בסעיף 17
לחוק הגנת הפרטיות, ובתקנות 4
ד()(5
,)
9(א), ו-
14
(ב) לתקנות הגנת הפרטיות (אבטחת
מידע), ומשכך נקבעה לה
הפרה. בנוסף, נדרשה העירייה לבצע פעולות מתקנות להתאמת רמת
האבטחה הנדרשת.
סמארט סנטר מצוינות בע"מ
הרשות ניהלה פיקוח במשרדי חברת סמארט סנטר מצוינות בע"מ במסגרתו נבדקה עמידתה של
החברה בהוראות החוק והתקנות בכל הנוגע לרמת אבטחת המידע והגנה על המידע האישי המצוי
ברשותה. הליך הפיקוח נפתח בעקבות תלונה שהתקבלה ברשות שעניינה פניה למספר קטינים על
מנת לשכנעם להצטרף לשיעורי עזר אותם מעניקה החברה במסגרת פעילותה. נמצא כי במועד
הפיקוח החברה לא הגדירה מסמך הגדרות מאגר מעודכן ולא היה ברשותה נוהל אבטחת מידע,
אשר כולל את הסיכונים להם חשוף המידע שבמאגר, או את אופן התמודדותה עם אירועי אבטחת
מידע; בנוסף, לא היה בידי החברה נוהל אבטחת מידע, הכולל הוראות בדבר הגישה למאגר
ולמערכותהמאגר,ובכללןאתאופןהזיהויבהתייחסלחוזקהסיסמא,למספרהניסיונותהשגויים,
לתדירות החלפת הסיסמאות ולאופן
הטיפול בתקלות הקשורות באימות זהות; עוד נמצא, כי
מערכת ניהול הלקוחות (CRM
) של החברה חוברה לרשת האינטרנט ללא התקנת אמצעי הגנה
מתאימים מפני חדירה לא מורשית, או מפני תוכנות העשויות לגרום נזק או שיבוש למאגר המידע.
לפיכך, נקבע כי החברה לא קיימה את החובה המוטלת עליה לאבטחת מידע, לפי סעיף 17
לחוק
הגנת הפרטיות ולפי תקנות 2
,
4
,
9
ב,)( 14
(א) לתקנות אבטחת מידע. בנוסף, נדרשה החברה לבצע
פעולותמתקנות להתאמת רמתהאבטחההנדרשת.
מכבידנט בע"מ
הרשות ניהלה הליך פיקוח מנהלי בעקבות דיווח שהתקבל לפיו דלף מידע רגיש מממשק פניות
הציבור באתר האינטרנט של רשת מרפאות השיניים מכבידנט בע"מ. ממצאי הפיקוח העלו כי
מכבידנט לא דיווחה לרשות עם היוודע לה על אירוע האבטחה החמור, כנדרש לפי הוראות תקנות
אבטחתמידע.בנוסף,נמצאכיבמועדהאירוענוהלאבטחתהמידעשלמכבידנטלאכללהתייחסות
מספקתלנושאיההתקשרותעםגורםחיצונילצורךקבלתשירות,הכרוךבמתןגישהלמאגריהמידע
שלה; כי מכבידנט לא נקטה באמצעי בקרה ופיקוח על עמידתו של ספק מיקור החוץ בהוראות
15
ההסכםובהוראותתקנותאבטחתהמידע,וכילאנקטהבאמצעיםהמקובליםכדילוודאכיהגישה
למאגרנעשיתבידיבעלהרשאההמורשהלכךבלבד.לפיכך,נקבעכימכבידנטלאקיימה אתהחובה
המוטלת עליה לאבטחת מידע לפי סעיף 17
לחוק הגנת הפרטיות, ובתוך כך לא קיימה את החובות
המוטלות עליה בתקנות 9
א,)( 11
ד,)( 15
א()(3) ו-
15
א()(4
לתקנות הגנת הפרטיות (אבטחת מידע.))
בנוסף,ניתנולמכבידנט הנחיותלתיקון ליקויים.
מגן דודאדום בישראל(מד"א)
הרשות ניהלה הליך אכיפה לבדיקת רמת אבטחת המידע בארגון מד"א, בעקבות שני אירועי דלף
מידערגישממערכותהמידעשלהארגון.ממצאיהפיקוחהעלו,כיארגוןמד"אלאדיווחעלאירועי
אבטחתהמידע מידעם גילויים כנדרשבהוראות תקנות אבטחת מידע. בנוסף,נמצא כיהארגוןלא
קבע דרישות אבטחת מידע בהן חייב ספק מיקור החוץ לעמוד במסגרת השירות אותו הוא מספק
לארגון, ולא נקט באמצעי בקרה ופיקוח על עמידתו של ספק מיקור החוץ בהוראות ההסכם
ובהוראותהתקנות.בהתאםלכך,נקבעכיארגוןמד"אלאקייםאתהחובההמוטלתעליולאבטחת
מידעלפיסעיף17
לחוקהגנתהפרטיות,ואףלאאתהחובותהמוטלותעליובתקנות11
ד,)(15
א()(2
)
ו-
15
א()(4) לתקנותאבטחת מידע. בנוסף,ניתנולמד"אהנחיותלתיקוןליקויים.
Cloud247
הרשות ניהלה הליך פיקוח מנהלי בעקבות
מידע שהתקבל אצלה לפיו ליקויי אבטחת מידע
במערכת "Boostapp"
אשר
מופעלת על ידי חברת Cloud247
, מאפשרים גישה למידע אודות
משתמשי המערכת. ממצאי הפיקוח העלו, כי החברה עשתה שימוש במאגר מידע מבלי שרשמה
אותו בפנקס מאגרי המידע, על אף שהייתה מחויבת לרושמו לפי הוראות החוק. בנוסף, נמצא כי
במועד הפיקוח החברה לא קבעה נוהל התמודדות עם אירועי אבטחת מידע; שמרה את נתוני
התיעוד של מנגנון הבקרה למשך 72
שעות בלבד ולא למשך 24
חודשים; ניהלה את הסיסמאות
למערכתבאופןלאמאובטחושאינומתועדבנוהל,לאיישמהמנגנוןהאוכףמדיניותסיסמאות
ולא
עשתהשימושבאמצעיפיסינוסףלצורךזיהויואימותלעובדיה,מנהליהמערכתולקוחותיה(מנהלי
מכוני הכושר). בהתאם לכך, נקבע כי החברה לא קיימה את החובה המוטלת עליה לאבטחת מידע
לפי סעיף 17
לחוק הגנת הפרטיות, וכן את החובות המוטלות עליה בתקנות 9
ב()(1
( ,)
9
ב())(2
()
א,)
10
ד,)(11
(ב)לתקנות
הגנתהפרטיות (אבטחת מידע).
הרשותהטילהעלהחברההמפרהקנסמנהליבגיןאירישוםמאגרהמידעבסך2,000
ש"ח,והנחתה
אתהחברה לתקן ליקויים.
16
אוטומציה החדשהOne1
בע"מ
בעקבות מספר דיווחים על אירועי אבטחת מידע, ניהלה הרשות הליך אכיפה מנהלי בחברה
לאוטומציההחדשהOne1
בע"מלבדיקתרמתאבטחתהמידע,יישוםנהליאבטחתמידע,ועמידת
החברה בהנחיית רשם מאגרי המידע מס' 3/2018
בדבר תחולת תקנות אבטחת מידע על ארגונים
המוסמכים לתקן 27001 ISO/IEC
. בעקבות ממצאי הליך האכיפה הנחתה הרשות את החברה
לפעול להסרת הרשאות גישה של עובדים המשמשים בתפקידי פיתוח בסביבת הייצור, כך שגישה
כאמור תתאפשר לצורך טיפול בתקלות ופעולות תחזוקה לזמן מוגבל. כמו כן, נדרשה החברה
לביצוע הפעולות הבאות: לבצע בקרה, ניטור וסקירת הפעולות שבוצעו על ידי המפתחים; לפעול
ליישום הפרדת תפקידים בתהליך שינויי תוכנה בין הגורם המפתח את השינוי לבין הגורם המבצע
בדיקות QA
ומעביר את השינוי לסביבת ייצור; ליישם מתודולוגית פיתוח קוד מאובטח; לוודא
ניהולתקיןשלכללמערכותהמאגרלרבותשימושבמערכותמוקשחות,להתקיןבאופןשוטףעדכוני
אבטחה לכלל מערכות המאגר, לעשות שימוש רק בגרסאות מעודכנות הנתמכות על ידי היצרן;
לפעול ליישום מנגנון הזדהות חזקה על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה
(עובדי החברה או מי מטעמם) בעת התחברות מרחוק למערכות המאגר; ליישם מנגנון של ניטור
וסקירה של פעולות המבוצעות על ידי משתמשים ברמת אפליקציה וברמת בסיס הנתונים, לשמור
את הלוגים שיוצרו למשך 24
חודשים; ולהעביר לרשות רשימה של מאגרי המידע המוחזקים על
ידהתוךציוןשמותבעליהמאגרים,ותצהירעלכךשלגביכלאחדמןהמאגריםנקבעומורשיהגישה
בהסכם בינהלביןהבעלים. החברהעדכנה את הרשות בדבר
השלמת כל התיקונים כנדרש.
שטראוסמים בע"מ
הרשות ניהלה הליך פיקוח לבדיקת רמת אבטחת המידע ויישום נוהלי אבטחת המידע בחברת
שטראוס מים בע"מ, בעקבות אירוע דלף מידע של עשרות אלפי לקוחות של החברה אשר נגרם
כתוצאהמפריצהלשרתיאתרהאינטרנטשלה.עלפיממצאיהפיקוח,ניתנולחברההנחיותלתיקון
הליקויים, לפיהם היא נדרשה לפעול להתאמת רמת אבטחת המידע בהתאם לדרישות הקבועות
בתקנות
הגנת הפרטיות (אבטחת מידע), ובפרט להפעיל רכיבי חומת אש (WAF
) ולוודא הטמעת
מערכת SIEM
לאיסוף לוגים מכלל מערכותהחברה.
17
פעולותאכיפה בענייןאירועי אבטחתמידע חמורים
בשנת 2019
פתחה
הרשות להגנת הפרטיות ב-
51
הליכי אכיפה בעקבות אירועי אבטחת מידע
חמורים שאירעו כתוצאה ממגוון גורמים שונים,כגון תקיפותישירות שלמאגרהמידע, טעויות
אנוש, שימושלרעה במידעותקלות טכניות.
אירועי האבטחה החמורים אירעו בסקטורים שונים, ובהם סקטור הביטוח והפיננסים אשר
כולל חברות וסוכנויות ביטוח (25%
), סקטור מערכות המידע, סקטור חברות האינטרנט
והתקשורת (22%
), סקטור התחבורה (10%
), גופים ציבוריים דוגמת עיריות ותאגידי מים (7%
)
וסקטור הבריאות הכולל לדוגמה קופות חולים, בתי חולים ועוד (7%). בכ-
30%
מאירועי
האבטחה מאגרי המידעהכילו מידעאישי אודותלמעלה מ-
100,000
איש.
18
אכיפה פלילית
מגנום""
חקירה פלילית אשר התמקדה בחוקרים פרטיים שמצאו דרך להוציא מידע ממאגרי חברות
ביטוח וכן ממאגר מידע שברשות המדינה בדרכים שונות, אודות עשרות אנשים. המעשים
התרחשו במשך תקופה ממושכת ונקטעו לאחר שאזרח ערני שם לב לשינוי שנעשה בפרטיו
ברישומיחברתהביטוח.
החוקריםהפרטייםחשודיםגםבעבירתהתחזותשכןנהגולהציגעצמם
כלקוחות שלחברותהביטוח.התיק נחקר בשיתוף משטרתישראל.
בואינג""
חקירה פלילית בנושא הרשאות גישה למאגר מידע בתחום התעופה, אשר נתן עובד בחברת
תעופה לגורם מחוץ
לחברה. הרשות ניהלה את החקירה בגין חשד לפגיעה בפרטיותם של אלפי
ישראלים שטסו בשנים האחרונות לחו"ל. החשודים הינם דייל בכיר בחברת תעופה, שפוטר
מאז,ובעלעסק הקשורלשירותי תעופה.החקירההתמקדה במתן גישהלמאגר מידע שבבעלות
חברתתעופהאשרנועדלשמשאתדייליהחברהלצורךעבודתםואותםבלבד.לפיהחשד,הדייל
מסר את פרטי ההזדהות שלו לחשוד השני, בעל העסק, ובכך אפשר לו לגשת למאגר המידע
האמור ולצפות בפרטים אישיים רגישים אודות לקוחות החברה. הפרטים כללו מידע רפואי של
לקוחות,מידעאודותטיסותשללקוחות
VIP,מידעאודותלקוחות
אשרהינםבעליקילומטרז'
טיסה גבוה (mileage
) ועוד. מהחקירה שניהלה הרשות עלה כי הדייל נהג במשך שנים למסור
לבעלהעסקאתפרטיההזדהותשלו,כדישיוכללגשתלמאגרהמידעולעשותבוכבשלו.כשפרטי
ההזדהותהשתנובשלמדיניותאבטחתהמידעשלחברתהתעופה,נהגהדייללשלוח
אתהפרטים
המעודכנים לבעל העסק. חברת התעופה היא שדיווחה לרשות להגנת הפרטיות על החשד וזאת
בהתאם להוראות תקנות אבטחת מידע. התיק הועבר למחלקת הסייבר בפרקליטות המדינה
לצורךעיון וקבלת החלטה בנוגע הגשת כתב אישום.
פורסז'""
חקירה פלילית המתנהלת כנגד עובדי מדינה החשודים בהוצאת מידע ממערכות המידע של
הרשות בה הם מועסקים. החקירה היא תולדה של ערנות אזרח אשר קיבל לידיו פלטים
ממערכות המידע של הארגון, ובהם פרטים כלכליים רגישים על אנשים שונים. האזרח הביע
תהיה כיצד ניתן לקבל פלטים אלו לידיו של אדם שלא מחזיק בייפויי כח מטעם
נושאי המידע,
והגיש תלונה בעניין. החקירה הסתיימה והתיק הועבר למחלקת הסייבר בפרקליטות המדינה
לצורךעיון והחלטה בנוגעלהגשת כתבאישום.
19
עדכונים בנוגעלהליכי אכיפה פליליים שהחלולפני שנת2019
המקפצה""
חקירה פלילית שניהלה הרשות חשפה כי בין השנים 2014-2011
העתיקו החשודים רשימות של
אזרחיםשפרטיהםהופיעובלשכתהגיוסשלצה"ל.החשודיםהציגואתעצמםבשמותהקשורים
לתחום"חיילים משוחררים",והקימועסקהמתבססעל שיווק טלפונילאותם מועמדיםלגיוס.
החקירה העלתה כי החשודים אכן השתמשו ברשימות אלה, שכללו מידע אישי ומפולח אודות
מאות אלפי מועמדים לגיוס, לצורך פניות שיווקיות. בנוסף, מכרו החשודים עשרות אלפי
רשומות מתוך מאגר המידע לצדדים שלישיים,חברותהעוסקות בשיווק טלפוני ואחרים.
כתבהאישום כנגד מנהל החברההוגש לאחרונה על ידי מחלקתהסייבר בפרקליטות המדינה.
גןחיות""
חקירה פלילית שניהלה הרשות כנגד שני חשודים בעבירות מסוג פשע לפי חוק הגנת הפרטיות,
בשל שימוש במידע על ענייניהם הפרטיים של אזרחי מדינת ישראל, באמצעות תוכנה שפיתחו
וכונתה על ידם "השועל". התוכנה בנויה על בסיס מאגרי מידע האסורים בשימוש: מרשם
האוכלוסין, מרשם כלי הרכב ופנקסי בוחרים משנתונים שונים. על פי ממצאי החקירה,
שהתנהלהבשיתוףעםרשותהמסים,התוכנהנמכרהבצורהשיטתיתלבתיעסק"מנויים",אשר
שילמו מדיחודש תמורת השירות במשך שנים.
התיק הועבר לעיון והחלטת מחלקת הסייבר בפרקליטות המדינה בנוגע להגשת כתב
אישום.
מכר מרחוק"(מוכר גם כתיק עוקץ הקשישים)"
במסגרת חקירה זו השתתפה הרשות בצוות חקירה מיוחד עם משטרת ישראל, הרשות להגנת
הצרכן ורשות המסים. החקירה התמקדה בביצוע עבירות עוקץ כנגד קשישים רבים תוך ביצוע
הונאה מרמהושימוששלאכדיןבמידעממאגריםאודותלקוחותשלחברותאחרות.ביןהיתר,,
החליפו החברות רשימות של לקוחות עם חברות אחרות שעוסקות אף הן בשיווק טלפוני, ובכך
עשו שימוש במידע בניגוד למטרה לשמה נאסף המידע ונרשם המאגר. בתיק הוגש כתב אישום
עלידיפרקליטות מחוז תל אביב (פלילי.)
תיק "רמי לוי תקשורת"
חקירהנרחבתשניהלההרשותביחדעםמשטרתישראלהתמקדהבחשדותלשימושאסורשעשו
מנהלים במאגר המידע של נתוני התקשורת של מנויי הסלולר בחברת "רמי לוי". ספקיות
הסלולר מחזיקות במאגרי מידע בהם מצוי מידע רב ורגיש הכולל את נתוני התקשורת של
לקוחותיהם. אלו מאפשרים להתחקות אחר קשריו של אדם -
שיחות והודעות, מיקומו
הגיאוגרפיונתוניםאישייםנוספים.עיוןבמידערגישזהיכוללהיעשותרקבאמצעות צושיפוטי
אשר ניתן ככל שהנסיבות מצדיקות זאת, בהתאם לחוק סדר הדין הפלילי (סמכויות אכיפה –
נתוני תקשורת), תשס"ח-
2007
שימוש במידע זה למטרות עסקיות או פרטיות ללא קבלת צו,.
20
מהווההפרהשלחוקהגנתהפרטיות,למעטמקריםבהםספקיותהסלולרעושותשימושבמידע
לצורך מניעתהונאותבהתאםלחוק.
בשנת2011
קיבלהחברת"רמילוי"רישיוןממשרדהתקשורתלמתןשירותיטלפוןנייד.בהתאם
לכך,התקשרה חברת"רמילוי" עםחברת פלאפון וקיבלה ממנה גישה למערכותהפעלה שונות,
ביןהיתרלמערכתהמתעדת נתוני תקשורתומאפשרתלהפיקפלטי שיחות ואיכונים.
על פי ממצאי החקירה, בין השנים 2011-2016
בוצעו מאות בדיקות במערכת המתעדת נתוני
תקשורת, וזאת בניגוד למטרת מאגר המידע. החשודים השתמשו במערכת כדי לבלוש ולחקור
אחר אנשים, חלקם אף עובדי החברה, לצרכים אישיים ועסקיים. השימוש במידע נעשה
בהזדמנויותרבותובאופןשהפךלדפוספעולהחוזרלבירורענייניםשוניםאותםביקשההנהלת
החברה אוהחשודים לברר באמצעותמאגר המידע.
כךלמשל,בשנת2013
,עלמנתלברראתזהותושלמישפרץלביתושלאחדהחשודים, ערכושני
החשודים בדיקות במאגר המידע על מספרי טלפון של אנשים שונים. במקרה אחר, ביצע
האחראי על אבטחת המידע בדיקה במאגר על מספרו של אדם שהגיש תביעה כנגד חברת "רמי
לוי". בנוסף, ביצע החשוד בדיקות במערכת על מספר עיתונאים שפרסמו כתבה שלילית על
החברה. בדיקות נוספות נעשו לעובדת חברת בת של "רמי לוי" על רקע סברה בדבר הקמת ועד
עובדים.
כתב האישום הוגש על ידי פרקליטות מחוז ירושלים (פלילי) נגד חברת "רמי לוי שיווק השקמה
תקשורת בע"מ", נגד מנהל החברה ונגד אחראי האבטחה בחברה בגין עבירות של פגיעה
בפרטיות ועבירות נוספות.
תיק "אנשים טובים"
חקירהשניהלההרשותלהגנתהפרטיותאשרבמרכזההעברתמידעאודותנשיםשהתכוונולבצע
הפלה. המידע הועבר לידי עמותה במרכז הארץ, אשר פעלה להניא את הנשים מלבצע את
ההפלה, תוך ניצולהמידעהרפואי הרגיש שהועבר לידיה ופגיעהחמורה בפרטיותן.
על פי ממצאי החקירה, שתי עובדות פעילות בעמותה חשודות כי קיימו קשר טלפוני קבוע עם
מזכירה במרפאה בה מתבצעות הפלות, וקיבלו ממנה מידע על נשים שקבעו תור לביצוע הפלה.
המזכירה מסרה לשתי העובדות פרטים כגון מועד ההפלה, מועד הוועדה לאישור הפלות, שמן
ומספרי הטלפון הסלולרי של הנשים. העובדות
מצדן התקשרו לאותן נשים וניסו לשכנען שלא
לבצע את ההפלה. כל זאת, מבלי שהנשים מבינות או מקבלות הסבר כיצד פרטיהן הגיעו לידי
העמותה.
החקירההחלהלאחרשאחתהנשיםפנתהלקופתהחוליםולמרפאהבעקבותהשיחהמהעמותה,
ודיווחה כיפרטים רפואיים אישיים ביותר
שלההגיעולידיים זרות.
מחלקת הסייבר בפרקליטות המדינה הגישה כתב אישום כנגד שלושת הנשים המעורבות
ומשפטן עודנו מתנהל.
21
תיק "דףחלק"
תיק "דף חלק" עניינו זיוף מידע בתחום נתוני אשראי וכן עבירות בנושא מאגרי מידע לפי חוק
הגנת הפרטיות. בשנת 2019
הורשע אחד הנאשמים בפרשיה ונדון לעונש מאסר בגין חלקו
במחיקתנתוניאשראישלילייםמדוחות,שכללשוחדשלעובדבמאגרמידעוזיוףמסמךבכוונה
לקבל דבר.המשפט כנגד הנאשם בעבירות הפרטיות עודנו מתנהל.
תיק "והדרת"
חקירה פלילית מסועפת שחשפה מספר חשודים אשר העבירו מידע רפואי רגיש על מטופלים.
המידעהועברמעובדיםבבתיחוליםובקופתחולים,למתווכים,אשרסחרובמידעזהעםחברות
למתן שירותי סיעוד. ההליך הפלילי, שהתנהל בבית משפט השלום בחיפה, הסתיים בתחילת
שנת2020
לאחר שכלהמעורבים בוהודו. להלןפירוטגזריהדין בעניינם:
•
עובדקופתחוליםאשרכרתחוזהבכתבעםאחתמחברותהסיעודהורשעונידוןלמאסר
בדרך של עבודות שירות, מאסר על תנאי וקנס. בית המשפט קבע בעניינו כי "הציבור
רשאיוזכאילהניח,כיהמידעאודותיויישמרבמאגריםולאיזלוגלידימישאינומורשה
לעיין בו. כאן משתלב גם תפקידן של רשויות אכיפת החוק, ובכללן בתי המשפט,
להחמירבדינםשלמישמנצליםאתהמאגרים שלאכדין לשליפתמידעלתכליותזרות.
שימושבמאגרימידעשלאכדין,כמוהוכחדירהלמבצרפרטיותושלהפרטללאידיעתו.
ניתן להשוות את מי ששולח ידו למידע חסוי אודות הפרט, אל מי ששולח ידו לקניינו
של האדם וניתן אף להניח שיהיו מקרים בהם הפגיעה בחשיפת מידע אישי חמורה
שבעתייםמפגיעהרכושיתגרידא"(
ת"פ51643-09-17
השלוםחיפה)(מ"ינ'רומןבאזוב
(
14.12.17
.)
•
בעניינםשל שניהמתווכיםשהעבירואתהמידעמהצוותהרפואילחברותהסיעוד,קבע
בית המשפט כי העונש הראוי הינו עד 12
חודשי מאסר. אולם, בשל מצבור נסיבות
מיוחדות ובעיקר בריאותיות שפורטו בגזר הדין, נידון המתווך למאסר על תנאי בן
שמונה חודשים למשך שלוש שנים, ולקנס בסך עשרות אלפי ש"ח. לגבי שותפתו
שהודתה בסחר במידע, החליט בית המשפט שלא להרשיעה, והטיל עליה צו שירות
לתועלת הציבור בסך 400
שעות וכן העמידה תחת צו מבחן. בעניין שני נאשמים אלה
ציין ביתהמשפט במסגרת גזר דינו:
"הנאשמיםניצלואתמעמדםמולקורבנותהעבירה,שהםמטופליםהזקוקיםלתמיכה
ולסיוע,ופגעובפרטיותםובזכותםלאינטימיותולאוטונומיה,פגיעהקשה,תוךשקיבלו
מידעפרטיאודותיהם,והעבירולגורמיםאחרים,והכלבשלמטרתרווח.חומרהיתירה
בכך, שהנאשמים העבירו פרטים אודות מטופלים עוד בטרם אשפוזם, מידת הפגיעה
בערכים המוגנים היא חמורה" (ת"פ
57001-09-17
שלום חי)'( מדינת ישראל נ' פריד
אבונאג'י
פורסם בנבו,( 04.02.2020
.))
•
אח בבית החולים הורשע ונידון לעונשי מאסר על תנאי וקנס, וכן פוטר
מעבודתו. ערעורולביתהמשפטהמחוזיבגין העונש,נדחה.
22
•
חברותהסיעוד שרכשואת המידע נקנסו במאות אלפי ש"ח כלאחת.
•
כנגד מעורבים נוספים אשר הודו בכתב האישום הסתיים ההליך בהסדרים
מותנים הכוללים תשלומים של עשרות אלפי ש"ח למדינה, התחייבויות
להימנע מעבירה והליך משמעתי.
תיק "אמנון ותמר"
חקירהפליליתאשרחשפהעבירותסחרבמידעתוךמכירתרשימות("לידים")בניגודלחוקהגנת
הפרטיות. מקורן של הרשימות היה במאגרי מידע של חברה בתחום הביטוח והחזרי מס, בה
אחדהחשודיםהיהמועסק. רשימותאלוהכילומידעאודותעשרותאלפיאזרחים.בנוסף,סחר
החשוד במאגר מידע שמקורו בקופת חולים. כנגד החשודים הוגש כתב אישום
על ידי מחלקת
הסייבר בפרקליטות המדינה, והתיק מתנהל בבית משפט השלום בתל אביב. ההליך המשפטי
מתקרבלסיומו בעקבות הודאת שני הנאשמים בעבירות המיוחסות להם.
23
פיקוחי רוחב
הרשות להגנת הפרטיות החלה בהפעלת מערך פיקוחי רוחב (ביקורת) בשנת 2018
.
במסגרת
פעילות המערך מתקיימים פיקוחים מגזריים לבחינת יישום חוק הגנת הפרטיות והתקנות
מכוחו. הקמת מערך פיקוח הרוחב נועדה לאתר כשלים מגזריים הדורשים התערבות ומתן
הנחיות,להגביר אתההגנהעלהמידעהאישי במשקהישראלי,ולהעלותאתהמודעות לפרטיות
ולחשיבותהאסדרההעצמית (Self-Regulation
בתחום הפרטיות.)
קיוםהליך רוחבימגזרי, מאפשרהטמעה משמעותית של הוראות חוקהגנתהפרטיות, התקנות
מכוחו והנחיות הרשות בקרב בעלים ומחזיקים במאגרי מידע הכוללים מידע אישי; צמצום
פערים בין ההסדרים החקיקתיים הקיימים בתחום הפרטיות לבין המצב הקיים במשק
באמצעות הנחיות לתיקון ליקויים וביקורות חוזרות, וכן יצירת תמריצים לעמידה בהוראות
החוק והגברת מודעות באמצעות חשיפה רחבהלממצאים בקרבהמשק.
בנוסף,הליךפיקוחרוחבימאפשרהפקתמסקנותרוחביותהןבמישורהאכיפתיבאיתורכשלים
הטעונים אסדרה או פיקוחוהן במישורים נוספיםכגון מתןהנחיותוחידודן.
במסגרת פעילות פיקוח הרוחב נשלחים שאלונים לגופים מסקטורים שונים במשק שמטרתם
לבחון את עמידתם של הגופים בהוראות חוק הגנת הפרטיות ותקנות אבטחת מידע על בסיס
קריטריונים שונים,ובכללם:
•
בקרה ארגונית וממשל תאגידי -
קיומה של תכנית שנתית בתחום הגנת הפרטיות
ואבטחת המידע ומינויים של גורמים בעלי אחריות בתחום;
•
ניהול מאגרי מידע -
אופן קבלת ההסכמה לשימוש במידע אישי, האם השימוש תואם
למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור
ישיר;
•
אבטחת מידע -
עמידת הגופים בהוראות התקנות בהתייחס לבעלי מאגרים, מנהלים
ומחזיקים במידעאישי;
•
העברת מידע בין גופים ציבוריים -
אם מדובר בגופים ציבוריים, ייבחן אופן העברת
המידע האישי בין גופים ציבוריים בהתאם להוראות החוק והתקנות העוסקות בנושא,
לרבות קיומן שלועדות הבוחנות את הצורך במידע ואי העברת מידעעודף.
•
שירותי מיקור חוץ
-
התקשרויות של בעלי מאגרי המידע עם גורמים שלישיים
המחזיקים במידעוהאופן בו הםמבטיחיםהגנה עלהמידע.
בהמשךלכך,נערךניתוחוסיכוםשלהממצאיםבדו"חבינייםלצורכיבחינתרמתהציותוהמשך
טיפול, לרבות דרישה להשלמת מידע, פיקוחים בשטח, הנחיות לתיקון ליקויים, פרסום דוחות
הכוללים תמונת מצב מגזרית והנחיות כלליות. ההיבטים התפעוליים של מערך פיקוחי הרוחב
מתבצעים בסיוע משרדי רואי חשבוןפרטיים במיקור חוץ שנבחרו במכרז.
24
במהלךהשנים2018-2019
ביצעההרשותלהגנתהפרטיות181
הליכיפיקוחרוחבלבדיקתמידת
עמידתם של מגזרים שונים במשק בחוק הגנת הפרטיות והתקנות מכוחו. זאת, תוך התמקדות
במגזרים אשר מנהלים או מחזיקים במאגרי מידע שיש בהם סיכון מוגבר לפגיעה בפרטיות, בין
בשל רגישות המידע,היקפי המידע אומטרות השימוש בו.
במסגרת הליך פיקוח הרוחב, פנתה הרשות לגופים ממגזרים שונים בדרישה למילוי שאלוני
ביקורת. במסגרת כך נבחנו 54
חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של
למעלה מ-
100
אלף איש, 30
מרפאות לבריאות הנפש, 23
מכונים ומעבדות רפואיות, 38
ספקי
פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים, ו-
36
חברות המספקות
שירותי אחסון ועיבוד מאגרי מידע. בנוסף, ביצעה הרשות הליך פיקוח רוחב המתמקד בבדיקת
רמתאבטחתהמידע הנדרשתעלפיהתקנות ב-
52
גופים ב-4
מגזרים נוספים.
בשנת 2019, פתחה הרשות ב-
244
הליכי פיקוח רוחב לבדיקת מידת העמידה בחוק הגנת
הפרטיותוהתקנותמכוחובקרבשבעהמגזריםאשרהוגדרועלידיהרשותכמגזרים בעליסיכון
גבוהלפרטיות.
במסגרתהליךפיקוחהרוחב,פנתההרשותלגופיםשוניםבדרישהלמילוישאלוניביקורת.בתוך
כך, פנתה הרשות אל 40
גופים במגזר בתי האבות, 40
גופים במגזר שירותי הסיעוד, 10
גופים
במגזרהחברותהמספקותשירותיםלמימושזכויותרפואיות,35
גופיםבמגזרסוכנויותהביטוח,
15
גופים במגזר תאגידי ביוב, מים וחברות גז, 14
גופים במגזר חברות המספקות שירותי מוקד
טלפוני, ו-
70
מועצות ועיריות ממגזר הרשויות מקומיות. בנוסף, ערכה הרשות 20
ביקורות
25
חוזרות על גופים אשר עברו את פיקוח רוחב בשנת 2018-2019, לשם בחינת עמידתם בתיקון
הליקויים שהוטל עליהם.
הליך פיקוח הרוחב בקרב מגזר מועדוני הלקוחות בישראל
כחלק מפעילות הליך פיקוח הרוחב פנתה הרשות בדרישה למילוי שאלוני ביקורת ל-
54
גופים
המנהליםמועדונילקוחות,אשרכלאחדמהםמחזיקבמידעאודותלמעלהמ-
100
אלףלקוחות.
במגזר מועדוני הלקוחות נמצאה רמת עמידה נמוכה בהוראות חוק הגנת הפרטיות בנוגע
להסתייעותבשירותי מיקורחוץלשםביצועפעולותלעיבודמידעאישי.כמוכן,עולה כימרבית
החברותבמגזרמועדוניהלקוחותלאפועלותעלפיהוראותהחוקבכלהנוגעלדרישתמינוימנהל
מאגרועדכוןהרשםבדברמינוי
ו
ומרביתמהגופיםהמשתייכיםלמגזרזהנמצאוככאלהשאינם
מקפידים ליידע את ציבורהלקוחותעל האופן שבונאסף המידע אודותיהם.
לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 43
מתוך 44
הגופים
(בגוף אחד לא נדרש
תיקון ליקויים) שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם6.
הליך פיקוח רוחב בקרב גופים המנהלים פלטפורמותלימודיות וחינוכיותלקטינים
הרשות הגדירה את מגזר הגופים המנהלים אתרים ואפליקציות לימודיות וחינוכיות המיועדות
לקטינים כיעדפיקוח רוחב משמעותי בשל מאפייניו הייחודיים של מגזר זה.
פערי הכוחות המובנים הקיימים בין גופים אלה, המנהליםומחזיקים אתהמידע האישי אודות
הקטינים,לביןהקטיניםדורשיםהקפדהיתרהעליישוםהוראותהחוקוהתקנותבאופןשיהיה
ברור לקטינים בהתאם לגילם ויכולת הבנתם מהו השימוש שנעשה במידע אודותיהם ולאיזו
6 להרחבה בעניין
ממצאי
הליך פיקוחרוחב
ראו "דו"ח
פיקוח
2019
-
2018
ממצאי
הליך פיקוח
רוחב בקרבמגזר
מועדוני הלקוחות בישראל"
26
מטרה. בשל פערים מובנים אלה, ורגישות המידע, מגזר זה נחשב כבעל סיכון גבוה לפגיעה
בפרטיות.לכן, קיימת חשיבותיתרה בהקפדהעלהוראות חוקהגנתהפרטיותוהתקנות מכוחו.
הגופים והחברות הפועלים במגזר זה ומספקים פלטפורמות לימודיות, מנהלים או מחזיקים
מאגרימידערביםהכולליםמידעאישי
רגישומזוההאודותקטינים,בגיליגןעדתיכון,לצרכים
לימודיים וחינוכיים שונים, ביניהם: פורטלים חינוכיים המפרסמים מידע להורים ולתלמידים,
אתרי שיעוריםפרטיים,חוגים מקוונים,לימודי טכנולוגיה, מוזיקהודת,פלטפורמות לימודיות
חברתיות, הרגלי קריאה, שיתוף של תמונות ילדים ממסגרות חינוכיות ועוד. פלטפורמות אלו
אוספות מידע אישי על קטינים, לרבות במועד ההרשמה אליהן, וכן צוברות מידע אישי נוסף
בעת השימוש של הקטין, הוריו והגורם החינוכי בהן, כגון ציונים, התקדמות לימודית, לקויות
למידה, הרגלי קריאה,הערכותעל הישגיםלימודיים,
תמונות ועוד.
בסופו של דבר, הרשות בחנה 24
גופים המנהלים פלטפורמות,
אתרים ואפליקציות לימודיות
המיועדות לקטינים. מתוכם 10
גופים נדרשו לספק מידע, מסמכים והבהרות נוספות לרשות
בכתבובפיקוח בשטח. בסיוםההליך נמצאו ליקויים ב-
23
מתוך24
הגופיםהמפוקחים.
הליך פיקוח רוחב בקרב מכונים ומעבדות רפואיות
כחלק מפעילות הליך פיקוח הרוחב, פנתה הרשות בדרישה ל-
23
גופים המנהלים מכונים
רפואיים למילוי שאלוני ביקורת. מדובר בגופים בהיקפי פעילות שונים אשר חלקם מספקים
שירותים לקופת חולים אחת או יותר, אשר מנהלים כ-
300
מכונים רפואיים ומעבדות רפואיות
בפריסה ארצית.
מגזר המכונים הרפואיים והמעבדות הרפואיות נחשב למגזר בסיכון גבוה במיוחד לפגיעה
אפשרית בזכות לפרטיות, הן בשל היקפי המידע והן בשל רמת הרגישות הגבוהה של המידע
הבריאותי הנאסף ונשמר אודות ציבור המטופלים. המכונים והמעבדות שנבדקו במסגרת הליך
27
הפיקוח שערכה הרשות מחזיקים במידע אישי רב ורגיש, הכולל, בין היתר, מידע רפואי הנוגע
לבדיקות מסוגים שונים דוגמת בדיקות הדמיה כגון ממוגרפיה, אבחוני שמיעה וכן טיפולים
שונים כגון פיזיותרפיה. כמו כן, במגזר זה נאסף לעיתים מידע נפשי אודות מטופלים וכן מידע
אודות קטינים הנוגע לטיפולים הניתנים, לדוגמה, במסגרת מכוני התפתחות הילד. כמו כן, על
פי הבדיקה שערכה הרשות, נמצא כי במגזר זה המטופלים אינם מודעים תמיד לאופן השימוש
במידע על אודותיהם והאם הוא מועבר לידי גורמים אחרים. בנוסף, ניהול ואחזקת המידע
אודותמצבםהבריאותישלהמטופליםבמגזרזהמבוצעבדרכיםשונותובהןניהולהמידעבאופן
ישיר על ידי המכונים עצמם, או באמצעות שימוש בשירותי מיקור חוץ ונודעות לכך השלכות
בהיבטי ההגנהעלהמידע.
מממצאיהליךפיקוחהרוחבעלה,
כיקיימיםפעריםמשמעותייםברמותעמידהבהוראותהחוק
והתקנות בין מכונים רפואיים גדולים, או כאלה המשויכים לבתי חולים וקופות חולים, לבין
מכונים רפואיים בינוניים וקטנים. כך למשל, נמצא כי מרבית המכונים הרפואיים הגדולים
מקיימיםמסגרותממוסדותשלממשלתאגידי.במסגרתכך,ממוניםגורמיםאשראחראייםעל
ניהולאבטחתמידעועולהכיקיימתמודעותובהתאםרמתעמידהגבוההבתקנותאבטחתמידע.
זאת לעומת מכונים רפואיים קטנים בהם רמת המודעות, ובהתאם גם העמידה בהוראות
התקנותנמוכה, גם במקרים בהם מוחזק על ידם מידע רב.
הליך פיקוח הרוחב בקרב מגזרחברותאחסון ועיבודמאגרי מידע בישראל
הרשות להגנת הפרטיות הגדירה את מגזר חברות
אחסון
ועיבוד מאגרי מידע בישראל כאחד
מיעדיפיקוחהרוחבהמשמעותייםוזאת בשלמאפייניוהייחודייםשלמגזרזה,המחזיקמאגרי
מידע רבים המתייחסים למידע רגיש ומזוהה אודות הלקוחות. מדובר בחברות המעניקות
שירותים מגוונים הכוללים שירותי -SAAS
Software as a service
(רובן דיווחו שאינן
מחזיקיםבמאגריםשלאחרים).חלקמהגופיםמעניקיםשירותיאירוח(IAAS
)וחלקםעוסקים
בשירותי השמה,פיתוח,ונושאים טכנולוגיים אחרים.
ניהולמידעצולבשללקוחותמחייבאתאותםארגוניםלעמודבדרישותאבטחתהמידעולקיים
אתחובת השקיפות אל מול הלקוח.
כחלק מפעילות הליך פיקוח הרוחב הרשות פנתה בדרישה למילוי שאלוני ביקורת ל-
36
גופים
המנהלים שירותי אחסוןועיבודמאגרי המידע.
28
חקיקהוהנחיות
חקיקה
1.
הצעתחוק הגנת הפרטיות (תיקון מס'13
)
קידום תיקון סמכויות אכיפהבחוק הגנתהפרטיות:
הגם שהכנסת כידוע לא קיימה פעילות שוטפת במהלך שנת 2019
, על רקע מערכות הבחירות
העוקבות לכנסת ה-
21
ולכנסת ה-
22
, פעלה הרשות יחד עם מחלקת ייעוץ וחקיקה במשרד
המשפטים,להכנת תיקוניחקיקה אשרנועדולהרחיב באופן משמעותי אתסמכויותהאכיפה
של הרשות ולהקנות לה כלי אכיפה נוספים, כמו גם לעדכן הוראות מהותיות בחוק הגנת
הפרטיות, אשר נחקק לפני עידן ועידנים, בשנת 1981
, ובכך לחזק את ההגנה על הזכות
לפרטיותבישראל
,ואת
מעמדהשלישראלבעולםבתחוםההגנהעלהפרטיותוהמידעהאישי.
הצוות המשפטי של הרשות יחד עם מחלקת ייעוץ וחקיקה במשרד המשפטים ניצל את פגרת
הבחירות
הממושכת לשם ביצוע עבודת
הכנה בשיתוף צוות ועדת
החוקה, חוק ומשפט של
הכנסת,כדי
להבטיחשעםחזרתהשלהכנסתלפעילותחקיקהשגרתית,תונחעלשולחן
ועדת
השרים לחקיקה הצעת החוק לתיקון סמכויות
האכיפה בחוק, כחלק מרפורמה כוללת
בחוק
הגנת הפרטיות שמתגבשת בימיםאלה.
הצעת החוק
הממשלתית לתיקון מס' 13
בחוק הגנת הפרטיות
, אשר נדונה גם בכנסת ה-
20
והדיונים בה לא נשלמו, נועדה לה
קנות לרשות אמצעי אכיפה מנהליים
משמעותיים יותר,
כחלופהל
חלקמןההליכיםהפליליים,אשרהענישהעלפיהםנמוכהואינההולמתאתחומרת
ההפרות והעבירות הנדונות. כך למשל, מסמיכה ההצעה את הרש
ות
להטיל על מפרי החוק
עיצומים כספיים בסכומים אפקטיביים העשויים להגיע
כדי
מיליוני
ש"ח, בהתאם לנוסחה
שתחושב לפי חומרת ההפרה, רגישות המידע בו בוצעה וגודל המאגר שהושפע ממנה. כן
מסדירה ההצעה את המתכונת המיוחדת בה יוחלו סמכויות האכיפה של הרשות על גופי
ביטחון שונים
, וקובעת עבירות פליליות חדשות.
כל זאת, על מנת לתת מענה הולם לסיכונים
הגוברים לזכות לפרטיות בעידן הסייבר ועיבוד המידע הדיגיטאלי,
גם למול חברות גדולות
במשק,
ובשיםלב להתפתחויות בדיניהגנת המידע האישי בעולם.
2.
תקנותהגנת הפרטיות
(העברתמידעאל מאגרי מידעשמחוץלגבולותהמדינה),תשס"א-
001
2
התקנות אשר עוסקות בדרכי העברת מידע אל מחוץ למדינה
הותקנו בשנת 2001
. לאור
השינויים הטכנולוגיים והרגולטוריים המואצים בעולם, ערכה הרשות עבודת מטה לגיבוש
הצעה ראשונית לעדכון התקנות והתאמתן להתפתחות הטכנולוגיה ולמשטר הגנת המידע
הנוהג במדינות ובארגונים המובילים בעולם. בכוונת הרשות להמשיך ולקדם את התיקון
המוצע לתקנות אלו.
29
3.
המשך פעולותלמיצובמעמדהשלישראל בזירה הבין-לאומית ו
מנגנון ה-
Adequacy
:
לאחרתהליךבחינהארוך,הוכרהמדינתישראלבשנת2011
ע
לידי
האיחודהאירופיכמדינה
המעניקה הגנה מספקת למידע (להלן - החלטת ה-
Adequacy
.) ה-
GDPR
, רגולציית הגנת
המידע האירופית החדשה שנכנסה לתוקף בשנת 2018
, מגבילה העברה של מידע על תושבי
מדינות האיחוד האירופי אל מחוץ לאיחוד, ומתירה אותה רק אם מתקיים אחד מהחריגים
הקבועיםבחקיקה.ביןהשארניתןלהעבירמידעעלאירופ
איםלמדינותשהוכרובידיהאיחוד
האירופי כמספקות רמה נאותה של הגנה על מידע אישי ( protection of level Adequate
.)
ההכרה
הייחודיתשניתנהלישראלבשנת2011
אפשרהלהעבירמידעאישימאירופהלישראל
ללא חסמים בירוקרטיים ומשפטיים מסובכים, ו
ככזו היא בעלת
השלכות משמעותיות על
יחסי המסחר בין ישראל לאירופה.
על רקע כניסתו לתוקף של ה-
GDPR
בשנת 2018
, נבחנת
כיום מחדש ההכרה בישראל
ובמדינות נוספות כמספקות רמה נאותה של הגנה. בשיתוף עם
מחלקת ייעוץ וחקיקה במשרד המשפטים, פועלת הרשות להגנת הפרטיות כדי להבטיח
שמעמד ייחודי זה לו זכתה ישראל,
יישמר. לצד הפעולות הננקטות על ידי הרשות בתוך
ישראל, כולל
ת
הפעילות בעניין זה
שיח עם פקידי נציבות האיחוד האירופי, הכנת דו"
ח על
מצב הגנת המידע האישי בישראל ומענה שוטף לשאלות האיחוד האירופי בנושא.
תהליכים
אלונמשכוגם במהלך שנת 2019
.
4.
פעילותאסדרה ופיקוח במסגרת הבחירות הארציות והבחירותלרשויותהמקומיות
במסגרתהליכיהבחירותלכנסת
והבחירות לרשויותהמקומיות,מקבלים מועמדיםומפלגות
את פנקס הבוחרים, הכולל מידע אישי אודות בעלי זכות הבחירה. לקראת הליכי הבחירות
לכנסת
והבחירות לרשויות המקומיות, הפיצה הרשות באמצעות המפקחת על
הבחירות
מסמך בנושא
רענון הוראות חוק הגנת הפרטיות למפלגות, לסיעות ולמועמדים. כמו כן,
במטרה להוביל להגברת המודעות של מקבלי פנקס הבוחרים
להוראות חוק הגנת הפרטיות
והתקנות מכוחו
ב
נוגע לשימוש הראוי שניתן לעשות במידע,
ולצמצום השימושים שלא כדין
בו,
פעלה הרשות במישורים הבאים: אסדרה באמצעות רישום מאגרי מידע של הגופים
שקיבלואתפנקס
הבוחרים;מענהלפניותציבורושאילתותבנושאשימושיםמותריםבמידע,
וקיום יוםעיוןלמפלגותולסיעותבנושאהשימושבפנקסהבוחריםלקראתהבחירות
לכנסת.
השתתפות ב
ו
ועדותוצוותים
5.
צוותמשותף
לרשותלהגנת הפרטיות,הרשותלהגנת הצרכן ורשות התחרות בתחום
הכלכלההדיגיטלית
הצוות המשותף הוקם במטרה לקדם אסדרה, פיתוח כלים מתקדמים ושיתופי פעולה למען
הגנה על מידע אישי ופרטיות המשתמשים בכלכלה הדיגיטלית, מניעת הטעיות צרכניות,
הקפדה על תנאי שימוש הוגנים והפחתת חסמים לתחרות במטרה להיטיב עם הציבור
בישראל. הצוות דן
בסוגיות משותפות
לרשויות כגון חוזים אחידים ואכיפה חוצת גבולות.
כמו
כן, הצוות עובד עלפרסוםמסמך משותף בנושא זכותהניוד (portability
.)
30
6.
גיבושמדיניותשימוש בשירותי מחשוב ענן בממשלה ומשרד הבריאות, וועדת הענן
המגזרית
הרשות להגנת הפרטיות משתתפת באופן קבוע
בוועדת הענן הממשלתית המייעצת למשרדי
הממשלה
בנוגע להעלאת מאגרי מידע לשירותי ענן, ובוועדת הענן המגזרית של משרד
הבריאות המאשרת מעבר של גופים מפוקחיםלסביבהעננית. ועדות אלההוקמו מתוךהבנה
כי
המגמההגוברת בעולםהטכנולוגי
הינהלשימוש ב
אחסון בענן,המאפשר זמינות
רבהיותר
והרצת יישומים מתקדמים.
יחד עם היתרונות לסביבת הענן, מדובר בתחום אשר אינו מוכר
דיו
למשרדיהממשלהולגופיבריאות.
כחלקמהליךהפיקוחוהסיועבתהליךהמעברלסביבת
ענן בוחנת
הוועדה סוגיות הקשורות לפרטיות הציבור, השלכות של העברת המידע מחוץ
לגבולותהמדינה וסוגיות של אבטחת מידע.
הרשות רואה חשיבות רבה למעבר בטוח לטכנולוגיית ענן, ופועלת בכדי לסייע למשרדי
הממשלה במעבר לטכנולוגיה זו, כדי להבטיח את ה
הגנה על פרטיותם של תושבי ואזרחי
המדינה
,גם בסביבתענן.
7.
צוות בין-
ממשלתילבחינת העברת מידעללשכה המרכזיתלסטטיסטיקה
בהתאם להחלטת הממשלה, הוחלט להגביר את השימוש במידע ממשלתי
המועבר ללשכה
המרכזית לסטטיסטיקה
לצורך שיפור המדיניות הממשלתית, קידום
המחקר של מוסדות
המדינה, והגברת
האפקטיביות של פעולות הממשלה. הצוות בו לוקחת הרשות חלק
בוחן
דרכיםלהעברתמידעללשכההמרכזיתלסטטיסטיקה
באופןיעילואפקטיבי,
לצדשמירהעל
עקרונות דיני הגנת הפרטיות.
8.
ועדה ציבוריתלבחינת מקצועהחוקר הפרטי
הרשותלוקחתחל
קב
ועדהציבורית,
אשר
הוקמהעלמנתלדון
בסוגיותהבאות:אי
הבהירות
הקיימת
ביחס לסמכויות החוקר הפרטי והגנות בדין; הגדרת גבולות המקצוע; הרגולציה
הנוגעתלהכשרהלעיסוק במקצועועוד.
מסמכי מדיניות
סקר סיכוני פרטיות
במהלך שנת 2019
ביצעה הרשות להגנת הפרטיות 'סקר סיכוני פרטיות'
. סקר זה התבסס על
מספר רב של מקורות מידע
המצביעים על
ההתפתחויות בעולם הכלכלה, הטכנולוגיה,
האקדמי
ה,החברההישראלית,מגמותגלובליותמרכזיות
ולימודתחומיהעיסוקהמרכזייםשל
רשויות הגנת הפרטיות המקבילות בעולם.
במסגרתסקרזה
נערכודיוניםמקיפיםברשותלהגנתהפרט
יות,
ובסיומו
גובשו
סדריהעדיפויות
בכלהנוגעלנושאיםבהםתתמקד
בשניםהקרובות.בכוונת
ה
שלהרשות
לקייםמעתלעתבחינה
ותיקוף שלסקר זהולהטמיע בו כיוונים חדשים ככל ש
יידרש.
מהדורהמחודשתל
מדריך הגנת הפרטיות בעיר החכמה''
31
הרשות להגנת הפרטיות פרסמה בשנת 2019
מהדורה מחודשת ומעודכנת של 'מדריך הגנת
הפרטיותלעיר החכמה'.המדריךנועד
להנגישאתעקרונות
דיני ההגנהעלפרטיותומיועדלכלל
השותפיםבהובלה,ניהולותכנוןמיזמיםהקשוריםלעירהחכמה.המדריךאףכוללמידעוכלים
יישומייםלתהליכי
העבודה הקשורים בהטמעה ובפיתוח מיזמים הקשורים בה.
המדריךסוקראתהעקרונותלהטמעתטכנולוגיותחדשותבעירהחכמהואתהסיכוניםהנובעים
מן המאפיינים הייחודיים של שימוש בטכנולוגיות מידע במרחב העירוני. כמו כן, הוא כולל
הרחבות חדשות התואמות את ההתפתחויות העדכניות ב
יותר בערים החכמות בישראל,
ומתייחס לתחבורה במרחב העירוני ולתיק נתוני תושב. הרחבות אלו נועדו, בין היתר, לסייע
לרשויותהמקומיותבתכנוןוהפעלתמיזמיםתחבורתייםחדשיםוקיימיםולסייעבייעולעבודת
הרשות המקומית בעידן שבו הולך וגובר איסוף ושימוש במידע אודות תושבי העיר לצורך
אספקת שירותים דיגיטליים.
מדריךהגנת הפרטיות בגופיתחבורה בעידןהדיגיטלי''
מערכת התחבורה בישראל ובעולם כולו מתפתחת בקצב הולך וגובר. במערכת זו פעילים גופים
ציבוריים, פרטיים, חברות הזנק חדשניות, חברות רכב גלובליות מובילות בתחומן, ועשרות
ארגונים שונ
ים מהמגזר השלישי,
אשר שמו לעצמם מטרה לקדם את התחום ולהתאימו לצרכי
המשתמשים בעידן הנוכחי.
תחוםהתחבורההחכ
מהמתאפייןבפעילותענפהשלחברותפרטיותהפועלותבמיקורחוץ.
אחת
ההשפעותהבולטות של מגמה זוהיאהתגברות פוטנציאלהסכנהלפרטיות המשתמשים.
במטרה להגן על פרטיות המשתמשים הבאים במגע עם שירותי תחבורה שונים, נכתב ברשות
להגנת הפרטיות 'מדריך הגנת הפרטיות בגופי תחבורה בעידן הדיגיטלי'. במהלך שנת
2019
התקיימההעבודה על מדריך זהובשנת
2020
הואייצאלאור.
פעילות בינלאומית
אמנה108
של מועצתאירופה
אמנה 108
(
Convention for the Protection of Individuals with regard to Automatic
Processing ofPersonal Data
)
קובעת מסגרתלהגנהעל מידע אישי של פרטים במדינות החברות
באמנה, ומאפשרת העברות מידע בין גורמים הפועלים במדינות אשר הינן צד לאמנה. בשנת 2017
הצטרפהישראלכמשקיפהלאמנה.הרשותלהגנתהפרטיות,יחדעםמחלקתייעוץוחקיקהומשרד
החוץ,
ממשיכות
לבחון
את יההתכנותל
הצטרפות
ה של
ישראל כצדלאמנה.
תת-
הוועדהלענייני צדק ומשפט ביןישראל לבין האיחוד האירופי
אחת מתוך עשר תתי-
וועדות שהוקמו במטרה ליישם את תכנית העבודה (Plan Action
) שסוכמה
בדצמבר2004
ביןישראללביןהאיחודהאירופי,לשדרוגשיתוףהפעולהביןהצדדיםוזאתבמסגרת
מדיניות השכנות האירופית של האיחוד (ENP Policy- Neighborhood European
). מדי שנה
מתקיים מפגש של תת הוועדה עם גורמים ממשלתיים בישראל,
במטרה לקדם שיתוף פעולה
מקצועי בין ישראל לבין האיחוד האירופי במגוון רחב של נושאים וביניהם הגנת מידע אישי
32
ופרטיות.
בדצמבר2019
התקיים
בישראל
מפגששלתתהוועדהובוהשתתפוגםנציגיהרשותלהגנת
הפרטיות.
במסגרת המפגש, הרשות סקרה אתפעילותה בשנההאחרונה.
פורמים בינלאומיים
הרשות
להגנת הפרטיות חברה בפורומים הבינלאומיים הבאים:
הועדהלקביעתמדיניות הכלכלההדיגיטלית(CDEP)
וקבוצת העבודה בנושא ניהול מידע
ופרטיות (WPDGP)
של ארגון ה-
OECD
הרשות השתתפה בדיוני הועדה לקביעת מדיניות הכלכלה הדיגיטלית
(CDEP)
, אשר התמקדו
בשנת 2019
בטכנולוגיות בינה מלאכותית (AI)
, ניוד מידע Portability) (Data
ו-
BlockChain
.
כמו כן,
משתתפת ישראל בקבוצת העבודה בנושא ניהול מידע ופרטיות, העוסקת, בין היתר,
בנושאים הנמצאים בליבת דיני הגנת הפרטיות והמידע. קבוצת העבודה משמשת תת ועדה של
ה-
CDEP
ופועלת תחת הנחייתה ופיקוחה. במהלך שנת 2019
קבוצת העבודה
WPSPDE
פוצלה
לשתי קבוצות ותחומי האחריות שלה חולקו
בין WPDGP –
העוסקת בענייני פרטיות
וניהול מידע,
ובין קבוצת עבודה נוספת (WPSDE)
שתחומי
אחריותה
הם אבטחת
מידע.
במהלך שנת 2019
עסקה קבוצת העבודה בנושאים מגוונים, ובכלל זה
בבחינת הצורך
בעדכון ותיקון הנחיות הפרטיות של ארגון ה-
OECD
, בינה מלאכותית והשלכותיה, אכיפה
ושיתוף פעולה בין-
לאומי, אבטחת מידעובפרט דיווח על אירועי אבטחהועוד.
אסיפת הפרטיות הגלובלית –
GPA
הפורום המרכזי שלרגולטורים בתחום הגנת המידע. מדובר בפורום גלובלי שהחללפעולעוד
בשנת1979
וחברות בו רשויותלהגנתהמידע מרחביהעולם. באסיפה דניםרגולטורים בנושאים
העומדים בליבת ההגנה עלהמידעוהפרטיות ומפרסמיםניירות עמדה בנושאים שונים.
האסיפה"" מתכנסת אחתלשנהומתקיימים בה מושבים סגורים המיועדים לרגולטורים בלבד,
ומושבים פתוחים בהם משתתפים כלל הגורמיםהפועלים בתחוםהגנת המידע (תעשייה,חברה
אזרחית וכו.)'
קבוצתברלין
בספטמבר 2015
הצטרפה הרשות ל-
International Working Group on Data protection in
Telecommunications
המכונה Group Berlin
. בקבוצת העבודהחבריםנציגי רשויותהגנת מידע
אישי מהעולם והיא פועלת תחת כנס נציבי הגנת הפרטיות
(ICDPPC)
. קבוצת העבודה מכינה
ניירות עמדה בנושאים שונים הקשורים להגנת מידע בתחום הטלקומוניקציה. במסגרת זו הובילה
הרשות נייר עבודה בנושא הגנה על פרטיות קטינים בשירותים מקוונים, אשר נוסחו הסופי אושר
במהלך שנת 2019
. הרשות אף הוזמנה להציג את העקרונות אשר במסמך בסדנא בנושא הגנה על
קטינים ברשת, אשרהתקיימה מטעםארגון OECD
באוניברסיטת ציריך.
רשתשיתוף פעולה באכיפת הגנת הפרטיות במידע-
GPEN
(
Global privacy
Enforcement Network
.)
33
הארגון מתמקד בנושאי אכיפה, והרשות להגנת הפרטיות חברה ב-
GPEN
ובוועד המנהל של
הארגון,יחד עם רשויותהגנתהפרטיות של קנדה, אנגליה, ארה"ב, ניו זילנדוהונג קונג.
הארגוןמקייםפרויקטיםשוניםלרבותסדנתאכיפהשנתית(ישראלא
ירחהאתהסדנההשנייהשל
הארגוןביוני2018),פעולתאכיפהמשותפתבשם
Sweep
,שיחתועידהחודשיתבנושאיאכיפתדיני
הגנת המידע (הרשות מנהלת פרויקט זה יחד עם מקבילתה האמריקאית -
FTC
) עריכת סקרים
ודוחותבנושאיאכיפה,וקיוםמושבב-
GPA
(בשנת2019
עסקהמושבבמשילותשלארגוניםבנושא
פרטיות ואבטחת מידע.)
במסגרת חברותה בוועד המנהל של GPEN
, הרשות להגנת הפרטיות אחראית על הכנת הדו"ח
השנתי של הארגון, ניהול הפגישות הרבעוניות של הוועד המנהל (שמתקיימות בשיחות ועידה
טלפוניות) וקיום
שיחתועידה
חודשית בנושא מקצועי רלבנטילתחום האכיפה.
פניות ציבור
הטיפול בפניות ציבור מהווה כלי מרכזי לקיום קשר והידברות עם הציבור ועם קהל הפונים
לרשות. במסגרת פניות הציבור, הרשות מקבלת תלונות על הפרות החוק ופניות ושאלות מאת
הציבור בכללותו וכן מעורכי דין ואנשי מקצוע בתחום אבטחת המידע לגבי יישום חוק
הגנת
הפרטיות והתקנותמכוחו.
התלונות המתקבלות ברשות מהוות מקור חשוב להחלטה בדבר ביצוע פעולות אכיפה מנהליות
ופליליות,
לעריכת פיקוחי רוחב ולקביעת הפרות של החוק במקרים המתאימים. בנוסף, הרשות
מסתייעת בפניות הציבור לצורך זיהוי נושאים בהם נדרשות פעולות אסדרה באמצעות פרסום
הנחיות,ניירותעמדה, מדריכים, שאלות ותשובותבאתר וכיו"ב.
34
בשנת2019
התקבלוברשות947
פניותבתחוםהגנתהפרטיות,מתוכן224
סווגוכתלונות.
בשנת
2018
התקבלו ברשות1,728
פניות בתחוםהגנת הפרטיות, מתוכן123
תלונות.
נושאים מרכזיים שעלו בפניות
בשנת2019
:
•
אבטחת מידע-
פניות בנוגע לניהול מאגרהמידעולבעלי תפקידים במאגר; סיווג מאגרי
מידע;יישום תקנותאבטחת מידע.
•
הסכמה -
שימוש במידע
ש
לא למטרה לשמ
ה
נמסר; העברת מידע לצד שלישי; הודעה
לפי סעיף11
לחוק.
•
זכות עיון ומחיקת מידע -
זכות העיון במידע שבמאגרי מידע; מחיקת מידע והזכות
להישכח;עיון במידע שנאסף בעת מבחניםלמקוםעבודה;עיון בשיחות מוקלטות.
•
מצלמות אבטחה
-
שימוש במצלמות במרחב הציבורי והפרטי; מצלמות אבטחה
במקומות עבודה; מצלמות אבטחה בבתים משותפים;עיון במידע ממצלמות אבטחה.
•
דיוורישיר - קבלת מסרונים ממפלגות; הצעות לרכישת מאגרי מידע מפולחים.
•
משפט וטכנולוגיה -
אפליקציות המזהות מתקשרים; ניטור עובדים ברכבים; זכות
להישכח ומחיקת מידע באפליקציות; פריצה וחסימה לחשבונות
ברשתות חברתיות;
נתוני מיקום.
•
בקשותחופש מידע
•
פרקד'לחוקהגנת
הפרטיות-
העברתמידעביןגופיםציבוריים;בקשתגוףציבורילקבל
מידע על אדם ספציפי במסגרת פרק ד'; העברת מידע בין אגפי גוף ציבורי במצב חירום
וביומיום.
35
רישום מאגרי מידע
חוק הגנת הפרטיות מסמיך את רשם מאגרי המידע לנהל את פנקס מאגרי המידע. כל מי שמנהל
מאגר מידע אישי בישראל (למעט החריגים הקבועים בחוק) חייב ברישום מאגר מידע בפנקס. בעת
הרישום יש למסור פרטים על בעל המאגר (יחיד, תאגיד, עסק, גוף ציבורי), מטרת המאגר, סוגי
המידע במאגר, מנהל המאגר, האם מוחזק מידע אצל גורם חיצוני, האם מועבר מידע לחו"ל והאם
מבוצעים שירותי דיוור ישיר.על בעלמאגר גםלעדכן את רישום המאגר בפנקס בכלעת שחל שינוי
במידעהמדווח.
לצורך בדיקת בקשת הרישום ובקרה על כך שהמאגר
שבמוקד הבקשה
עומד בחובות
על
פי החוק,
הרשות להגנת הפרטיות עשויה לבקש מידע נוסף בהיקפים משתנים. לעתים בקשות הרישום
מאושרות בתנאים, עם דגשים על מימוש סעיפים חיוניים בחוק כגון אופן קבלת הסכמת נושאי
המידע לשימוש במידע. במקרים מיוחדים,
כגון
קבוצת חברות, העברות מידע לגורמים נוספים
לצרכי שיווק או סוג מידע רגיש במיוחד, עשויה הרשות לנקוט בהליך בירור מורחב בטרם אישור
בקשת הרישום, ולדרוש התאמות באופן עיבוד המידע על מנת לבסס עמידה בהוראות החוק.
במקרים חריגים, אם נמצא שאופן השימוש במידע על ידי
בעל המאגר אינו יכול לעמוד בהוראות
החוק, עשוי רשם מאגרי המידעלעשות שימוש בסמכותוולדחות את בקשתהרישום.
36
בשנת 2019
הוגשו לרשם מאגרי המידע 1,162
בקשות רישום מאגרים, 309
בקשות עדכון, 1,046
פניות ושאילתות בנושא רישום.
בשנת 2018
הוגשו לרשם מאגרי המידע 1,129
בקשות רישום מאגרים, 637
הודעות עדכון
פרטי
הרישום ו-
536
פניות ושאילתות בנושא רישום.
פעילות הסברהוהדרכהלציבור
הרשותלהגנתהפרטיותפעלהבשנת 2019
רבותבמטרהלהעלותאתהמודעות הציבוריתלזכות
לפרטיות, ולהנגיש את חוק הגנת הפרטיות הן לכלל הציבור
בכדי שיוכל לעמוד על זכויותיו והן
לעוסקים בתחום,
על מנת שיטמיעו אתעקרונותהגנתהפרטיות בארגונים.
במהלך שנת 2019
קיימה הרשות 48
הרצאות והדרכות.
עובדי הרשות העבירו הרצאות וקיימו
שיחעםעובדיהמגזר הציבורי במסגרתפורוםהגנתהפרטיות במגזר הציבורי שמנהלת הרשות.
מטרת הפורום היא
לתת כלים מעשיים ליועצים משפטיים ולמנהלי מערכות מידע ואבטחת
מידע,כיצדלהגןעלפרטיותהאזרחיםש
לגביהם
מחזיקים
משרדיהממשלהו
הגופיםהציבוריים
בישראל מידע אישי רב. בנוסף, עובדי הרשות השתתפו בא
ירועים מטעם לשכת עו
רכי הדין,
באי
רועים לציבור שנערכו על ידי חברות גלובליות המיוצגות בישראל, בימי עיון המאורגנים על
ידי
משרדי עורכי דיןוחברות ייעוץ, באוניברסיטאותובבתי ספר.
בשנת 2019
העבירו עובדי הרשות שיעורים במסגרת עמותת "שיעור אחר", הפועלת לקידום
שוויון הזדמנויות בחינוך ולעידוד מעורבות משמעותית של הציבור במערכת החינוך על ידי
37
יצירת גשר בין אזרחים ועובדי ציבור,
לבין תלמידים בבתי ספר בהן לומדות בין היתר
אוכלוסיות ממעמד סוציו-אקונומינמוך.
סקר בנושא פרטיות ברשת
הרשות להגנת הפרטיות במשרד המשפטים ערכה לראשונה סקר אשר נועד לבחון את מודעות
הציבור לאיומים ולסיכונים לפרטיות ברשת ומה עושה הציבור למען שמירה על פרטיותו.
מהסקר עלו פערים משמעותיים באשר למודעות חשיבות השמירה על הפרטיות בהשוואה בין
בניהנוערלמבוגרים. בשימוש באפליקציותהפערים בשמירהעל הפרטיותהתגלו
כמשמעותיים
ביותר.הסקרנערך בקרב מדגם מייצג בוהשתתפו803
גבריםונשיםבגילאי 14
ומעלה7.
כנסים
כנסים בנושאשימוש
במידעאישי מפנקס הבוחריםלקראת הבחירותלכנסת
לקראתהבחירותלכנסתה-
21
וה
כנסתה-
22
קיימההרשותלהגנתהפרטיותכנסיםבנושא"שימוש
במידע אישי מפנקס הבוחרים" בשיתוף רשות התאגידים, ועדת הבחירות המרכזית לכנסת ומשרד
הפנים.
לכנסים הוזמנו ממוני אבטחת מידע, מנהלי מאגרי מידע, אנשי טכנולוגיה, מנהלי מטה
ויועצ
ים מטעם המפלגות והסיעות לכנסת.
במסגרת הכנסים ניתן רענון הנחיות למפלגות ולסיעות
בכלהנוגע להוראותחוקהגנתהפרטיותולתקנות מכוחו בשימוש במידע מפנקסהבוחרים.
שולחן עגול בין-
מגזרי בנושא פרטיות בתחבורהחכמה
הרשות להגנת הפרטיות קיימה שולחן עגול בין-
מגזרי בעקבות המדריך
שהוכן על ידה
למתן כלים
בנושאפרטיות בתחבורהחכמה.
המדריךנועדלסייעלגורמיםהשוניםהפועליםבתחוםהתחבורההחכמה,בהגדרתסיכוניהפרטיות
למשתמשים,בהיכרות עם שיטות להטמעת שיקוליפרטיות בשלבי תכנון מקדמיים שלפרויקטים,
ובהנגשת כלים ושיטותעבודה מומלצותלהגנת פרטיותהמשתמ
שים.
בשולחן העגול
לקחו חלק נציגי המגזר העסקי והציבורי מתחום התחבורה,
ובמסגרתו הציגו את
התייחסותם למדריך המתגבש. במפגש השתתפו, בין היתר, נציגי ממשל, מסחר, מגזר שלישי
וחברות הזנק מתחומיהתחבורההחכמה.
השולחן הבין-מגזרי בנושא פרטיות בתחבורה חכמה הינו חלק מתהליך כולל לשיתוף ציבור,
שמובילה הרשות, לקידום תהליכי עיצוב ותכנון לפרטיות בפרויקטים דיגיטליים שונים במשק
המכילים מידע אישי רבעל אודות אזרחים.
הקלטת פרק הסכת
פודקאסט)(
לרגל יום הגנת הפרטיות הבינלאומי
במטרהלהגביראתמודעותהציבורלאתגריההגנהעלהפרטיותבע
ידןהדיגיטלי,
תוךשימושבכלים
דיגיטלייםמתקדמיםהמאפשריםדיוןעמוקבסוגיותמרכזיותאשרעימןמתמודדתהרשותלהגנת
הפרטיות בכל הנוגע להגנה על מידע אישי של אזרחים, הקליטה הרשות פרק ב
הסכ
ת
פודקאסט)(
7
הרשות להגנת הפרטיות מפרסמת ממצאיסקר בנושאפרטיותברשת לרגליום הגנת הפרטיותהבינלאומי.
38
אשר הושק
בי
ום הגנת הפרטיות הבינלאומי. הפרק כלל
ראיונות
עם גורמי מקצוע מהרשות להגנת
הפרטיות
שסקרו את האתגרים המרכזיים בתחומי הגנת הפרטיות, הציגו מידע על זכויות
הציבור
לפרטיות, והעניקו כליםוהמלצותלשמירהעלהפרטיות ברשת8.
דו"ח
מבקרהמדינה
והתייחסות
הרשותלקביעות בו
בחודשים מרץ עד אוגוסט 2018
בדק משרד מבקר המדינה היבטים בסוגיית ההגנה על הפרטיות
במאגרי מידע בישראל9. ליקויים מרכזיים
שמציין הדו"ח בהתייחס להגנה על הזכות לפרטיות
בישראל
התייחסולצורךבקידומםשלתיקוניחקיקהנחוציםבחוקהגנתהפרטיות,ביןהיתרבעניין
הרחבת סמכויות האכיפה של
הרשות
שיאפשרו קיומה של סנקציה יעילה, בין השאר, בגין הפרה
שלחובתאבטחתהמידע,
והגברתיכולתההרתעהשלהרשות.כמוכן,צייןהדו"ח
כיהיעדרפעילות
אכיפה נג
ד תאגידים בין-
לאומיים, שהם השחקנים הגדולים והמרכזיים בתחום מאגרי המידע,
מחזק את הצורך במתן כלי אכיפה אפקטיביים יותר בידי הרשות, להגנה על הפרטיות של תושבי
ישראל, העשויים להרתיע ולחזק את מעמדה כרשות אפקטיבית וכן לחזק את אפשרותה לשתף
פעולה עם רשויות עמיתות בעולם. זאת במסגרת בחינה כוללת של האופן בו הרשות נדרשת
להתמודד עםהפרות של חוק הגנת הפרטיות מצד חברות גלובליות לגבי מידע אישי על ישראלים.
בהתייחס
לנושאיםאלהיצויןכי,במהלך
שנת
2019
הגםשהכנסתכידועלאקיימהפעילותשוטפת,,
על רקע מערכות הבחירות העוקבות לכנסת ה-
21
ולכנסת ה-
22
, קיימה
הרשות יחד עם מחלקת
ייעוץוחקיקהבמשרדהמשפטים,
עבודתמטהלעדכון
הוראותמהותיותבחוקהגנתהפרטיות,אשר
נחקק בשנת 1981, ובכך לחזק את ההגנה על הזכות לפרטיות בישראל, ואת מעמדה של ישראל
בעולם בתחוםההגנהעל הפרטיות והמידעהאישי.
בנוסף,
הצוותהמשפטישלהרשותיחדעםמחלקתייעוץוחקיקהבמשרדהמשפטיםניצלאתפגרת
הבחירות
הממושכת
לשם ביצוע עבודת הכנה בשיתוף צוות ועדת
החוקה, חוק ומשפט של הכנסת,
כדי להבטיח שעם חזרתה של הכנסת
לפעילות חקיקה שגרתית,
תהיה
ההצעה להרחבת סמכויות
האכיפה של הרשות מוכנה להמשךהליכיהחקיקה.
בנוסף ציין דו"ח מבקר המדינה
כי על אף החשיבות שהרשות
ייחסה
למעורבותה בסוגיות הגנת
הפרטיות במאגרי מידע במגזר הציבורי, פעילותה בנושא הייתה
חלקית. הרשות אינה מעורבת
בפרויקטים ממשלתיים בנושא בצורה אפקטיבית, ודיונים רבים בכנסת
נערכו
ללא השתתפות
הרשות.
בהתייחס
לכךיצויןכיהרשותפעלה
להשפיעעלתהליכיעיבוד
מידעאישיועיצובלפרטיות,אךבשל
מיעוטכוחהאדםיחסיתלמספרהגופיםהמפוקחיםוהמאגריםהקיימים,ג
ובשהמדיניותמושכלת
ולפיה היא משקיעה את משאביה בעיקר באסדרה של נושאים עקרוניים בעלי השפעה רוחבית על
8 הסכת
(פודקאסט) "פרטיות
העתיד"
9 דו"ח מבקר
המדינה
69
ב' היבטים בהגנה
על
הפרטיות במאגרי
מידע//3
39
כלל
המשק,ולאהתמקדה
בפרויקטים"שוטפים"שלגופיםממשלתייםאופרטיים,
למעט
במקרים
נקודתיים.
בדו"ח המבקרנכתב
עוד
כי
קביעתהנחיותופרסומןמייעליםאתפעולתהרשותותורמיםלאחידות,
לעקביותולשוויוןבהפעלתסמכויותיה.על אףהחשיבותהרבהשהרשותמייחסתלפרסוםהנחיות,
בשנים 2008
-
2018
היא פרסמה 15
הנחיות בלבד בתחום הגנת הפרטיות, ובשנים 2013
-
2016
לא
פרסמה הנחיות כלל. גם בנושאים שהרשות זיהתה כי נכון יהיה לפרסם הנחיות לגביהם, בשל
חשיבותם והרלבנטיות שלהם לציבור,היאלא עשתה כן לבסוף.
בהתאם לכך, ונוסף על ההנחיות פרסמה הרשות בשנת 2018
גילוי דעת בנושא כתובות דואר
אלקטרוני כמידע אישי, מדריכיםליישומן של תקנות אבטחת מידעומדריךלעריםחכמות.
הדו"ח צייןכי
הרשות לא קבעה מדיניות אכיפה סדורה המתחשבת בשיקולים שקבע ראש הרשות,
כגון מידת ההשפעה הרוחבית של פעולת האכיפה, אכיפה בנושא הייחודי לרשות, תיעדוף הטיפול
בגופים חזקים, ועוד.
יצוין, כי במהלך שנת 2020, פרסמה הרשות מסמכים שונים לציבור ובכלל זה המלצות
ודגשים
וסקירות מקצועיות בהיקף נרחב (כ-
35
)
, וזאת בהתבסס על הצורך ליתן מענה לסוגיות פרטיות
שונות שעלו לסדרהיום הציבורי.
40
סיכום ואתגרים
פעילות הרשות, כפי שמשתקפת בדו"ח זה, להגנה על הזכות לפרטיות ומידע אישי במרחב
הדיגיטלי,מבטאתאתחשיבותהשמירהעלהמרחבהפרטישלכלאדםואדם.
מרחבזהמאפשר
לכלאחדלנהלאתחייוהאישייםבאופןפרטי,מבלישייחשףעלאודותיומידעשאיןהואמעוניין
שייחשף
תוך שליטה מלאה במידע האישי, ללא התערבות חיצונית
ושימוש במידע שלא
בהסכמתו.
חשיבותה של הזכות לפרטיות והחשיבות בשמירתו של מרחב אישי ופרטי וחופשי מהתערבות
חיצונית תקפה ביתר שאת במרחב הדיגיטלי. זכות זו מהווה חלק אינהרנטי מזכות היסוד של
כבוד האדם ופגיעה בה עשויה לגרור פגיעה בזכויות נוספות כגון הזכות לכבוד, לחופש ביטוי,
לחופש בחירה, קניין ועיסוק ואףפוטנציאללפגיעהבהליכים דמוקרטיים שונים.
אירועי הקורונה שהתרחשו בעת האחרונה בארץ ובעולם, הדגישו ביתר שאת את חשיבותה
העצומה של הזכות לפרטיות ואת חשיבות ההגנה עליה -
לא רק בעתות שגרה אלא אף במצבי
חירום. עם פרוץ המשבר, זיהתה הרשות את הצורך במתן מענה מהיר ומידי לסוגיות הקשורות
בהגנת הפרטיות והתגייסה לשם מתן מענים ופתרונות פרקטיים לסוגיות פרטיות שונות שעלו
לסדרהיום הציבורי, וכן בעיצובהסדרים שונים מכווני פרטיות.
לאור העובדה שבעידן הנוכחי הפך המידע האישי ל"זהב החדש" ולמודל העסקי של שירותים
רבים, ודאי אל מול יוזמות טכנולוגיות מתקדמות, וגם בהינתן אירועים בלתי צפויים ברמה
הלאומית, הדורשים מתן מענה
מהיר ומיטבי להיבטי פרטיות, בכוונת הרשות לפעול לקידום
תיקוני חקיקה ש"ירעננו" את חוק הגנת הפרטיות שהינו בתוקף מזה כ-
40
שנה
כשבמהלך
תקופה זו
לא
נעשו בו שינויים משמעותיים. מהלך זה הכרחי לשם הקניית וודאות לכלל גורמי
המשק ולשם תיאום ציפיות עימם בכל הקשור לדיני הגנת הפרטיות ומידע אישי, שהינם
קריטיים לציבורולמדינה בימי שגרה ובעתותחרום.
המציאות מלמדת כי ההגנה על הזכות לפרטיות ועל המידע האישי רלוונטיים וחשובים כיום,
יותרמתמיד,לאורהשינוייםהתכופיםבעולמותהטכנולוגיהובהינתןשכמויותעצומותשלמידע
אישינאסףומעובדלשםיצירתפרופיליםאישיים,מפורטיםומפולחיםכשהמידעעלכולנונאסף
גם "ברקע", באופן פסיבי, משימוש בטלפונים חכמים, גאדג'טים שאנשים נושאים עליהם
וחיישנים המוטמעים במקומות רבים במרחב הציבורי.
כל אלה מובילים לא רק להגברה משמעותית של האיומים הנשקפים לזכות לפרטיות, אלא אף
לשינוייסודי במהותם, במידתהחומרה שלהם ובזירות בהן הםמתרחשים.
41
נראהכיצוהשעהשנובעמתהליכיםגלובלייםולאומייםמחייבביצוערפורמהבתחומיהחקיקה
אשר תהווה אבן דרך משמעותית בהגנה על מידע אישי ועל הזכות לפרטיות במדינת ישראל,
ולצמצוםהפערים אל מולהסטנדרטים הבינלאומיים הקיימים בתחום זה.
רפורמהבתחוםזהתשפרבאופןניכראתההגנהעלהמידעהאישישלהאזרחים,תצמצםאפליה
והדרת קבוצות מוחלשות בחברה מקבלת שירותים שונים לצד הגבלת הפגיעה בחופש הדעות
וההליכים הדמוקרטיים במדינה.
*
הדו"חהשנתילשנת2019
הוגשבאיחור
בשלקיומןשל
מערכותבחירותחוזרותופרוץמשברהקורונה
אשר נתן אותותיו על כלל מגזרי המשק,
ובעקבותיו נדרשה הרשות ליתן מענה מהיר ופרקטי לנושאי
פרטיות והגנהעלמידע אישי
שהתעוררוכתוצאה מהצעדים שננקטובהתמודדות עםהמשבר.
42