חקיקת משנה - פניית הגורם המומסך

PDF 25,641 תווים המסמך המקורי ↗
משרד המשפטים הרשותלהגנת הפרטיות דו"ח פעילות הרשות לשנת 2018 1 בהתאם לסעיף 10א לחוק הגנת הפרטיות, התשמ"א- 1981 להלן: "חוק הגנת הפרטיות)"( מוגש דין וחשבון רשם מאגרי המידע על פעולות האכיפה והפיקוח שבוצעו על ידי הרשות להגנת הפרטיות בשנת 2018 . מועד הגשת הדו"ח השנתי לשנת 2018 התאחר לאור העובדה שבמהלך שנת 2018 סיימו תפקידם ברשות ראש הרשות ומנהלת מחלקת קשרי ציבור וממשל ובשל פרק הזמן שארך עד למינוי מ מלאי מקוםלמשרותאלה. 2 הרשות להגנת הפרטיות מחלקותהרשות- היכרות עםתחומי העשייה: מחלקת אכיפה מבצעת הליכי אכיפה פלילית ומנהלית כנגד גורמים המפרים את הוראות החוק ומנהלת פיקוחי רוחב שמטרתם לבחון את מידת הציות לחוק באופן רוחבי, במגזר ספציפי או בתופעה מסוימת. מחלקתקשרי ציבור וממשל 3 תפקידה העיקרי של מחלקת קשרי ציבור וממשל הוא העלאת המודעות לערך ההגנה על הפרטיות ולחשיבותה בעידן המידע, באמצעות פעולות חינוך, הסברה והדרכה. כמו כן, פועלת להטמע ה של הזכויותוהחובותלפיחוקהגנתהפרטיות בקרב הציבור. מחלקתחדשנות ופיתוחמדיניות עיקר תפקידיה ה וא ניתוח וזיהוי מגמות עתידיות - טכנולוגיות, חברתיות ועסקיות, ובחינת השלכותיהן על הפרטיות, עריכת מחקרים והצעת מדיניות רגולציה חדשנית לתכנון אסטרטגי של פעולות הרשות בתחוםהפרטיות וכן קידום מיצובה של הרשות בזירההבינלאומית. מחלקתייעוץ משפטי ואסדרה פועלת ל קידוםהליכי חקיקה חדשים ולעדכוןחקיקה קיימת לצדפרסוםהנחיות ,המלצות ומסמכי עמדה המפרשים אתהוראותהחוקהקיים ומיישמים אותן. עיקריתכנית העבודה לשנת 2018 : הקמת מערך פיקוח רוחב (Audit ) הקמת מערךאכיפהחדש(פיקוחרוחב) נוסף לזרועותהאכיפההפליליתוהמנהליתברשות להגנת הפרטיות. מערך פיקוח הרוחב יפעל להגברת מודעות המשק להוראות החוק, לאיתורכשליםענפייםהדורשיםהתערבותוהנחיותמיוחדותולקבלתתמונתמצבמגזרית לגביעמידה בהוראותהחוק. הצגתעמדתהרשותלתזכיר חוק הסייבר לעמדת הרשות נוסח התזכיר שפורסם לציבור העלה שאלות נכבדות בעניין מעמד הזכות לפרטיות ומעמד הרשות כגוף האמון על קידומה ואכיפתה. בהתאם, במטרה לשפר את האיזונים שנכללו בתזכיר נערכה עבודה מקיפה על טיוטת תזכיר וגיבוש הערות, התזכיר תוקן חלקית ועל כן גובשו והוגשוהערות נוספות לטיוטה המעודכנת. קמפיין תקשורת וסרטון הסברה השקת קמפיין להעלאת המודעות לחשיפת מידע אישי ברשת. הקמפיין נועד להעלות את מודעותהציבורלחשיבותהפרטיות,בליוויסדרתסרטונים,תשדירירדיוופרסומיםברחבי האינטרנט. בנוסף לקמפיין הפיקה הרשות סרטון הסברה להעלאת מודעות הציבור לסיכונים לפרטיות במרחב הדיגיטלי וקריאה לציבור לפנות אליה במקרים של פגיעה בפרטיות וכן ל קבלת מידע וכליםבאתרהרשות. דיווח מקוון עלאירועאבטחת מידעחמור תקנה 11 ד()(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 קובעת כי בעל מאגר מידעשחלהעליורמתאבטחהבינוניתאוגבוהה(כהגדרתןבתקנות)מחויבלהודיעלרשות להגנתהפרטיותבאופןמידיעלאירועאבטחהחמור(כהגדרתובתקנות),וכן לדווחלרשות 4 על הצעדים שנקט בעקבות האירוע. במסגרת כך הרשות פעלה ליצירת טופס דיווח מקוון במקרה של אירוע אבטחה חמור לשימושהמבקשיםלדווחעל אירועים אלה. קיוםכנסהגנת הפרטיות השנתי בשנת 2018 קיימה הרשות את ה כנס ה שנתי הראשון בפורמט ארצי אשר עסק בנקודות המפגש המרתקות והמאתגרות של ההתפתחויות הטכנולוגיות המואצות, וההשלכות הכלכליות, החב רתיות והמוסריות שלהן . הכנס נערך בסימן "פרטיות, הדור הבא" בהשתתפותםשל580 אישובהםבכיריםמכללמגזריהמשק- הציבורי,העסקיוהאקדמי. בכנסהתקיימהתערוכהובההוצגויוזמותטכנולוגיותבתחוםהגנתהפרטיות,אשרפותחו על ידי חברות סטארט- אפ ישראליות וכן ניתנו מגוון הרצאות מרתקות בנושאים שונים וביניהם,ענקיותהאינטרנט, פרטיות וכלכלתהמידע ופרטיות דיגיטלית בראיה עתידית. כנסאכיפה ופורנזיקה בינלאומי GPEN במסגרת פעולות לקידום מיצובה של ישראל בזירה הבינלאומית ושימור מעמדה המיוחד של הרשות כרגולטור הגנת מידע פרואקטיבי ונחוש , הרשות קיימה במהלך שנת 2018 כנס אכיפהופורנזיקה לחבריהארגוןולגורמיםנוספיםהקשוריםלעולםהגנתהפרטיות.הכנס עסק בלימוד כלים יישומיים בתחום אכיפת הגנת מידע אישי ואפשר הכרת הרשויות השונותלשםהגברת שיתוף הפעולההבינלאומי בתחום אכיפתעקרונותהגנת הפרטיות. כתיבתהנחיות לקביעת אופן תחולתתקנות הגנת הפרטיות(אבטחת מידע) על גופים המקיימים רגולצייתאבטחתמידעאחרת במסגרת כך פרסמה הרשות הנחיות לעניין גופים המפוקחים על ידי הפיקוח על הבנקים, גופים המפוקחים על ידי רשות שוק ההון, ביטוח וחיסכון וגופים המקיימים את תקן ISO27001 וחברי בורסה שאינם תאגיד בנקאי הכפופים לתקנוןהבורסה. גיבוש ניירות עמדה כחלק מבחינת מעמד האדקווסי המשך הפעילות בתהליכים הקשורים לבדיקת מעמד ה- Adequacy אשר ניתן לישראל בעבר, ונבחן כעת מחדש ע"י האיחוד האירופאי. משמעות ה- Adequacy היא הכרה של האיחוד האירופאי כי רמת ההגנה הניתנת בישראל ל מידע אישי היא נאותה, ובכך מתאפשרת העברת מידע אישי מאירופה לישראל. יחד עם מחלקת ייעוץ וחקיקה במשרד המשפטים, השתתפה הרשות בעבודת הצוות שהכין את הדין וחשבון שהוגש לאיחוד האירופי במסגרתההליך. 5 פעילות אכיפה הרשות להגנת הפרטיות כרשות אסדרה ואכיפה פועלת להגן על המידע האישי הנאסף במאגרי מידע דיגיטליים על פי סמכויותיה המוגדרות בחוק הגנת הפרטיות. מרחב זה כולל את כלל מערכות המידע הדיגיטליות ה מנהלות מידע אישי בגופים מסחריים, עסקי םי, במשרדי ממשלה וברשויות ציבוריות. במסגרת פעולות האכיפה, מבצעת הרשות הליכי אכיפה פלילית ומנהלית כנגד גורמים המפרים את הוראות החוק ומנהלת פיקוחי רוחב שמטרתם לקיים הליכים רוחביים המתמקדים במגזר ספציפי או בתופעהמסוימת. אופן הטיפול האכיפתי בחשדות להפרת החוק, נקבע על פי מדיניות הרשות לניתוב תיקים. ברירתהמחדללטיפולתהיה בערוץהאכיפההמנהלי,אשר מטרתושיפוררמתהציותלהוראות הדין בדרך פשוטה, מהירה ויעילה יותר, אשר תקל על העומס המוטל על מערכת בתי המשפט, ותאפשרלאדםשעובר עבירהמנהליתלשאתבעונשהמתאיםמבלישיוכתםבכתםשלמישעבר עבירהפלילית1. כאמור,הליךזהמתאפייןבכךשהינו קצרבאופןיחסי ומביאלתוצאותמהירות יותר, כגון הפסקת ההפרה או תיקון ליקוי אבטחת מידע. בנוסף, בכדי להוכיח את ההפרה המנהלית דילהוכיחאתהרכיבהעובדתי בה (לא נדרשיסודנפשי.) ההליך המנהלי מתחיל בדרך כלל ב תלונה שמוגשת לרשות. עם קבלת התלונה מתבצעת בחינה ראשונית לשם מתןהמלצההאם המקרהמתאיםלהליך אכיפה.בהמשך ,יתבצעו לפיהנסיבות,, פעולות איסוף מידע, דרישת ידיעות ומסמכים מהמפוקח, חיפוש בחצרי המפוקח ובמחשביו (פיקוח במקום) ותשאולים לצורךניתוח הראיות. לעיתים י תבצע פיקוח במקום ( בתיאום או ללא תיאום עם המפוקח,) גם טרם הוצאת דרישת ידיעותומסמכים,וזאת במקריםבהםישחששלשיבושהליכיהפיקוחאובשל דחיפות הטיפול. לאחר קבלת המידע העובדתי, המידע נבחן מבחינה ראייתית ומשפטי ת, לשם גיבוש מסקנות והמלצה אם יש מקום לקב וע הפרה לכאורה של החוק. קודם לקביעת ההפרה ניתנת למפוקח ההזדמנות להשמיע את ט ענותיו. בסיום התהליך וככל שלא תתקבל עמדת המפ וקח, תיקבע הפרהו יישלחלמפוקחמכתב ההפרה הכולל אתסיכוםהתיק,פירוטהליכיהפיקוחוהממצאים העובדתיים, תגובת המפוקח ו התייחסות לטענות יו, המסקנות המשפ טיות המבססות את ההפרה וקביעת הפרה כולל תוצר אכיפתי, כגון קנס או תיקון ליקויים . ב הליכי פיקוח בהם הוחלט על הטלת קנס, תצורף למכתב ההפרה הודעה על הטלת קנס מנהלי בהתאם לחוק העבירותהמנהליות, התשמ "ו- 1985 . כאשר עולה סוגיה המצריכה בחינה או הסדרה רוחבית במגזר מסוים, מופעלות הסמכויות המנהליות במסגרת הליך פיקוח רוחב י אודיט)( . בהליך זה בודקים גופים המשתייכים לאותו המגזר במטרה לאתר כשלים מגזריים ולפרסם הנחיות רוחביות לתיקון הכשלים שנמצאו. ממצאיהבדיקה בפיקוחהרוחב מפורסמים כדו"ח באתר הרשות. הניתוב ל הליך אכיפה פלילי יעשה כאשר עולה חשד סביר לביצוע עבירה במידת חומרה גבוהה. ההליךהפלילי מתאפייןבדרךכללביכולתלייצרתהודהציבוריתרבהוהעלאתתחושתהמוגנות בציבור על ידי הגדלת אפקט ההרתעה כלפי מפרי החוק וקביעת תוצאותענישה מכבידות יותר. 1 כמפורט בהנחיית היועץ המשפטי לממשלהנוהל והנחיות הפעלת חוק העבירות המינהליות, התשמ"ו- 1985 6 גם החקירה הפלילית מתחילה בדרך כלל לאחר קבלת תלונה, ומתפתחת באמצעות פעולות איסוף מידע ו חיפוש, חקירות פרונטליות באזהרה וחקירות מחשבים לצורך איסוף וניתוח ה ראיות .עםסיו מהשלהחקירהמועברהתיקלעיוןה פרקליטותלקבלת החלטהאם להגישכתב אישום.חוקריהרשותמלוויםאתהתיק,מסייעיםלפרקליטיםבהכנתוובמידתהצורךמעידים בביתהמשפט. בשנת2018 הסתייםהטיפול ב- 105 תיקי אכיפה ונפתחו 316 תיקי ם, זאתלעומת שנת 2017 בה סיימה הרשות טיפול ב- 115 תיקי אכיפה ופתחה ב- 83 תיקי אכיפה. בשנת 2018 , נפתחו בין היתר,, הליכים בגין חשיפת מידע רגיש בבית חולים, שימוש במאגר ממשלתי בניגוד להסמכה שבחוק, שימוש במידע של מתפקדים למפלגות שלא לצרכי בחירות, שימוש במידע ממאגר מידע בניגודלחוק במ שרדי עורכי דין, ועוד. בתחוםאבטחתמידע נפתחו 84 תיקיפיקוח כוללפיקוחי םבעקבות דיווחאירועיאבטחתמידע חמורים ו כן פעילות יזומה של הרשות שהתבצעו בחברות ישראליות ו חברות זרות אשר החזיקו מידע אודות ישראלים, בחברות תקשורת ופיננסים, בקופות חולים ובתי חולים, במשרדים ממשלתיים ובגופים ציבוריים. ב מסגרת פיקוחי הרוחב ערכה הרשות 235 תיקי פיקוח רוחב (אודיט), מתוכם 54 במסגרת פעילות פיילוט בתחום אבטחת המידע, במגזרי התיירות, במגזר השלישי (עמותות ואיגודים,) במוסדות חינוך ובחברות טכנולוגיה המספקות שירותים בתחום הבחירות. עם סיום שלב הפיילוט הופצו 181 שאלוני פיקוח רוחב לגופים הנמנים על חמישה מגזרים: חברות המנהלות מאגרימידעשלמועדונילקוחותבהיקפיםגדולים,מכוניםרפואיים ומעבדותרפואיות,מרפאות בריאותהנפש,ספקיפלטפורמותמקוונותהאוספותמידעעלקטיניםוחברותהמספקותשירותי אירוח ואחסון מידע. בשנת 2018 נפתחו 4 תיקי חקירה פלילי ת (בהשוואה לשנת 2017 בה פתחה הרשות ב-5 תיקי חקירה פליליים) ובכללם חשד לסחר במידע אודות מאות אלפי מועמדים לגיוס צבאי וחקירות כנגדמתכנתים שעשו שימוש במאגרי מידע של מרשםהאוכלוסין ופנקסי הבוחרים. בנוסף, התקיימו ישתופי פעולה עם גופי אכיפה נוספים לרבות משטרת ישראל, רשות המסים והרשות להגנת הצרכן. הרשות מפרסמת באתר האינטרנט2 מידע על הליכי אכיפה שנקטה בגין הפרת חוק הגנת הפרטיות במטרה להנגיש אתהמידע לציבור. 2 https://www.gov.il/he/departments/guides/enforcementact?chapterIndex=2 7 תוצריאכיפה בתיקים שנסגרו עלידיהרשות ב שנת 2018 • 55 תיקיאכיפה - ניתנו הנחיות לתיקון ליקויים; • 13 תיקי אכיפה - נקבעההפרהוניתנוהנחיותלתיקוןליקויים. • 5 תיקי אכיפה- נקבעה הפרה והוטל קנס על הגוףהמפוקח. • 3 תיקי אכיפה- הועברולפרקליטות להגשת כתבי אישום. • 2 תיקי אכיפה- הועברולטיפולעלידי גורם מחוץ לרשות. • 14 תיקיאכיפה - פורסמו דו"חות:הנחיותבעקבותאיסוף מידעבתהליכי גיוס עובדים; הנחיות בעקבות בחינת שוק שירותי צפיית תוכן בישראל והרגלי הצפייה שללקוחות; מצלמות אבטחה במק וואות ועוד. • 13 תיקי אכיפה- לאנמצאה הפרה. סךהכל:105 תיקים סוגיתיקיאכיפהשנפתחו עלידיהרשות בשנת8 201 • 181 תיקי ביקורת (פיקוח רוחב) במגזרים הבאים: מרפאות בריאות הנפש; מכונים רפואיים; מועדוני לקוחות ( בהיקפים של למעלה ממאה אלף איש) ; ספקי פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים; חברותהמספקות שירותי אחסון ועיבודמאגרי מידע. • 53 תיקי אבטחתמידע (בשנת 2017 נפתחו20 תיקים בתחומי אבטחת מידע). • 30 תיקי אכיפה - שימוש במידע (בשנת 2017 נפתחו 58 תיקים בתחומי שימוש במידע). 8 • 48 תיקי פיקוח רוחב אבטחת מידע. סךהכל:312 תיקים יתאורתמציתי של מספר תיקיאכיפהשהתנהלו בשנת 2018 בניית אפליקציות על בסיס מאגרי מידע ה אסורים בשימוש אגרון וובי חקירה פלילית בחשד לעביר ה מסוג פשע, בשל שימוש במידע על ענייניהם הפרטיים של אזרחי מדינת ישראל באמצעות פיתח תוכנה שאפשרה גישה למאגר הלא חוקי של מרשם האוכלוסין הידוע בכינויו "האגרון", לשימוש באמצעות מכשירים סלולריים. עם סיוםהחקירההועבר התיקלמ חלקתהסייברבפרקליטותהמדינה לצורך בחינהוהחלטה בדברהגשת כתב אישום.יצוין כי האפליקציההוסרה מהמרשתת. גןחיות"" חקירה פלילית כנגד שני חשודים בחשד לעבירה מסוג פשע, בשל שימוש במידע על ענייניהם הפרטיים של אזרחי מדינת ישראל באמצעות תוכנת "השועל" שפיתחו תוכנת ה"שועל". בנויהעלבסיסמאגרי מידעהאסוריםבשימוש:מרשםהאוכלוסין,כלירכבופנקסיבוחרים. 9 עלפיממצאיהחקירה,שהתנהלהבשיתוףעםרשותהמסים, התוכנהנמכרהבצורהשיטתית לבתיעסק במשך שנים. חקירת הרשות הסתיימה ו עם סיום החקירה על ידי רשות המיסים יועבר התיק למחלקת הסייבר בפרקליטות המדינה. שימוש בתוכנת האגרון ברשות להגנת הפרטיות התנהלו מספר הליכי אכיפה, בעקבותיהם נקבעו הפרות והוטלו קנסות, בגין שימוש בלתי חוקי במידע ממאגר מרשם האוכלוסין הבלתי חוקי בשם האגרון."" " האגרון" כולל מידע ממרשם האוכלוסין אשר נגנב בשנת 2006 והועלה באופן בלתי חוקי כתוכנה לאינטרנט. מאז באופן בלתי חוקי הועתק האגרון, הוא עודכן על ידי גורמיםשונים וכללנגזרותשונותשלמידעשנאסףבאופן בלתיחוקי. גורמיםאלהמכרואת האגרוןהמעודכן לכל דורש. במטרהלמנועאתהמשךהשימושבאגרוןהמעודכןניהלההרשותשלושההליכיאכיפהכנגד שימוש בלתיחוקי במידע המבוססעל האגרון: 1. הליך אכיפה מנהלי בו נקבע כי גורם מסחרי הפר את סעיף 8(ב) לחוק הגנת הפרטיות בכך שעשה שימוש בלתי חוקי בתוכנת האגרון. ההליך כלל חיפוש במשרדי הגורם המסחרי ותשאול עובדי ו , ובמהלכו נמצאו ראיות שהעלו כי האגרון המעודכן הותקן במספרעמדותמחשב וכי נעשהבו שימוש שוטף במסגרת ה פעילות. עלהגורם הוטל קנס מנהלי בסך 25,000 ₪ וכןנקבעו הנחיות לתיקון ליקויים. 2. הליךאכיפהמנהליבונקבעכי אדםפרטיהפראתסעיף8(ב) לחוקהגנת הפרטיות.המפר הגישבמסגרתתיקאזרחי שהתנהלבביתהמשפט תצהירעדותראשיתאליו צרףתדפיס אשרהופק על בסיס מאגר האגרון המעודכן. עלהמפר הוטל קנס מנהלי בסך5,000 .₪ 3. הליך אכיפה מנהלי בו נקבע כי חברה העוסקת במתן שירותים פיננסיים הפרה את סעיפים8 א,)(8 (ב)ו- 17(ו)לחוק הגנתהפרטיות. בהליךהחיפושאותרהבמשרדיהחברה ת וכנה לאיתור מידע רגיש. התוכנה נבנתה על בסיס מידע בלתי חוקי המבוסס על מאגרים מהאגרון, מפנקס י בוחרים, ממאגרים של מתפקדים במפלגות וממערכת "נט המשפט", והיא שימשה לאיתור פרטי קשר ופניה בדיוור ישיר ל לקוחות פוטנציאליים כדילעניין אותם בשירותיהחברה. עלהחברההוטל קנס מנהלי בסך 100,000 ש"ח. שימוש במידע שלאלמטרה לשמונמסר הסתדרות המוריםלישראל בהליךאכיפה מנהלישניהלההרשותנקבעכיהסתדרות המוריםלישראלהפרה את סעיפים 8 ב,)( 17 , 17ו(א) ו- 17 ו(ד) לחוק הגנת הפרטיות. ההליך נפתח בעקבות תלונות מחברי הסתדרות המוריםעל קבלת מסרונים שעניינם תעמולת בחירות לראשות ההסתדרות. 10 ההליך כלל חיפוש במשרדי הסתדרות המורים, אצל ספקי שירותי הקמפיין שלה ושל סיעה בהסתדרות המורים ותשאול הגורמים הרלוונטיים, ובמהלכו נמצא כי הסתדרות המורים עשתה שימוש במאגר המידע המפולח של ההסתדרות לצרכי תעמולת בחירות, וזאת בניגוד למטרה שלשמה נרשם מאגר המידע. בנוסף, נמצא כי ההסתדרות לא יישמה נהלי אבטחת מידעתקפים וכןנמצאו ליקוייאבטחת מידע רבים במערכותהמחשוב של המפוקחת. על הסתדרות המורים הוטל קנס מנהלי בסך 25,000 ,₪ והיא נדרשה לתקן את ליקויי אבטחת המידע, לבצע סקר סיכו נים באמצעות חברה המתמחה בתחום בדיקות אבטחה של מערכות אינטרנטוליישםמערכותהגנה וניטור, בקרהוהתר האעל אירועי אבטחת מידע. חברתאמבולנט בע"מ בהליךאכיפהמנהלישניהלההרשות, נקבעכיחברתאמבולנטבע"מהפרהאתסעיפים8 א)( 8 ב,)( 17 ו- 17ו(א) לחוק הגנת הפרטיות. ההליך נפתח בעקבות תלונות על שימוש לא חוקי במאגרי מידע על ידי חברת אמבולנט בע"מ . ממצאי ההליך העלו ש ה חבר ה החזיקה עשרות מאגרי מידע אשר הכילו מידע אישי ללא הסכמת נ ש ואי המידע. מאגרים אלה לא נרשמו בפנקס מאגרי המידע והחברה השתמשה בהם לשיווק שירותיה. בנוסף, נמצאו בחברה עותקים של תוכנת ה"אגרון" . כמו כן, נמצאו ליקויי אבטח ת מידע במערכות המחשוב של החברה. עלהמפרההוטל קנס מנהלי בסך60,000 ש"ח. החברה הגישה בקשה להישפט והתיק הועבר לפרקליטות להמשך טיפול ולהשלמת חקירה עלידי הרשות להגנתהפרטיות. סחר במידע ופניותשיווקיות "המקפצה" -חשדלסחר במידע אודות מועמדיםלשירות בטחון חקירה פלילית שניהלה הרשות חשפה כי בין השנים 2014-2011 העתיקו החשודים רשימות של אזרחים שפרטיהם הופיעו בלשכת הגיוס הצה"לית. החשודים הציגו את עצמם בשם "המרכז לחיילים משוחררים" או "יעוץ והכוונה לחיילים משוחררים" והשתמשו ברשימות אלה שכללומידעאישירגישומפולחאודותמועמדיםלגיוס,, לצורך פניותשיווקיות.בנוסף, מכרוהחשודיםאת המידע לצדדים שלישיים. עם סיום החקירה הועבר התיק למחלקת הסייבר בפרקליטות המדינה לצורך החלטה בדבר הגשת כתבאישום. "מכר מרחוק" הרשות להגנת הפרטיות השתתפה צבוות חקירה מיוחד עם משטרת ישראל, הרשות להגנת הצרכן ו רשות המסים. החקירה התמקדה בביצוע עבירות הונאה, מרמה ושימוש שלא כדין במידע ממאגרי מידע אודות "לקוחות" של חברות אחרות. בין היתר, החליפו החברות רשימות של לקוחות עם חברות אחרות שעוסקות אף הן בשיווק טלפוני, ובכך עשו שימוש במידע בניגודלמט רהלשמה נרשםהמאגר ולשמה נאסף המ ידע. החקירה עודנה מתנהלת. 11 אבטחתמידע נציבות שירותבתי הסוהר בעקבות אירוע דלף מידע אישי אודות מועמדים לגיוס שאוחסן בשרתי נציבות שרות בתי הסוהר שב"ס)(, ניהלה הרשות להגנת הפרטיות הליך אכיפה לבדיקת רמת אבטחת המידע ויישום נוהלי אבטחת המידע במערכות השב"ס. ממצאי הפיקוח העלו כי במועד האירוע לא קיימה המפוקחת את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות ולתקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו - 1986 . השב"ס נדרש לבצע פעולות לתיקון הליקויים ו ליישום רמת האבטחה הנדרשת,ופעולות אלה נבדקו ואושרו על ידי מומחי אבטחת המידע ב רשות. חברת איתוראןאיתור ושליטהבע"מ בעקבות אירוע דלף מידע אישי שפורסם בתקשור ת אודות לקוחות חברת איתוראן, ניהלה הרשות הליך אכיפה לבדיקת רמת אבטחת המידע ויישום נוהלי אבטחת המידע במערכות איתוראן.ממצאיהפיקוחהעלו כיבמועדהאירועלאקיימההמפוקחתאתהחובההמוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיו ת וכן את תקנות 2 , 4 , 5 א,)( 9 ב()(2 ,) 10 , 11(ד) ו- 14 (א) לתקנות הגנת הפרטיות (אבטחת מידע) , התשע"ז – 2017 להלן:( תקנות הגנת הפרטיות (אבטחת מידע)")". איתוראן נדרש ה לבצע פעולות לתיקון הליקויים ו ליישום רמת האבטחה הנדרשת בהתאם לתוכנית לעמידה בדרישות החוק שאושרה על ידי הרשות. הנהלת בתי הדין הרבניים בעקבות תלונה, ניהלה הרשות פיקוח במשרדי הנהלת בתי הדין הרבניים לבחינת רמת אבטחתהמידעואופןהשמירהעלהמידעהאישיאותוהיאמנהלת. ממצאיהפיקוחהעלו כי המפוקחתלאקיימהאתהחובההמוטלתעליהלאבטחתמידע הקבועהבחוקהגנתהפרטיות ונקבע כי הפרה את סעיף 17 לחוק ואת תקנה 3 לתקנות הגנת הפרטיות (אבטחת מידע). הנהלת בתי הדין הרבניים נדרש ה לבצע פעולות לתיקון הליקויים וליישום רמת האבטחה הנדרשת וכן לעדכן את תכנית העבודה לשיפור רמת אבטחת המידע בארגון. פעולות אלה נבדקועלידי מומחי אבטחת המידע של הרשות. חובות החלות עלמי שאוסף מידע רשותהאוכלוסין, משרד הפנים הרשות ניהלה הליך אכיפה מנהלי ברשות האוכלוסין בנוגע לחובת מבקש המידע הקבועה בסעיף11 לחוקהגנתהפרטיות. סעיף 11 לחוק קובע כי בעת פניה לאדם לקבלת מידע לשם החזקתו במאגר מידע או שימוש בו, יש להודיע אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע 12 תלויה ברצונו ובהסכמתו; המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה. ממצאי הפיקוח העלו כי הטפסים והפרסומים של רשות האוכלוסין לא כוללים התייחסות האםחלהעלממלאהטופסחובהחוקיתלמסוראתהמידעאושמסירתהמידעתלויהברצונו ובהסכמתו. המקורהחוקילאיסוףמידעלמאגרהמידעשלרשותהאוכלוסיןהינוחוקמרשםהאוכלוסין. חוק זה כולל הסמכה לאיסוף פרטי קשר כגון מען ו כתובת דוא ר, אך אינו כולל הסמכה מפורשת לאיסוף ושימוש בפרטי קשר מסוג טלפון קווי, טלפון סלולרי, דוא"ל ופקס - בהם בפועל רשותהאוכלוסיןעשתה שימוש. בעקבות ממצאים אלה, נקבע כי רשות האוכלוסין לא קיימה את החובה המוטלת עליה לפי סעיף 11 לחוק הגנת הפרטיות. כדי לעמוד בהוראות החוק עליה לוודא כי ב טפסים לאיסוף מידע יפורט אם חלהחובה חוקית למסור אתהמידע או שהאיסוף מבוסס על הסכמת מוסר המידע, וכן תצוין מטרת איסוף המידע והשימושים שייעשו בו. לרשות האוכלוסין נקבעו הנחיות לתיקון הליקויים בדבר איסוף המידע שהתקבל בהסכמה, ניהולו ומגבלות השימוש בו. סך קנסותשהוטלו בשנת2018 בשנת2018 הוטלו קנסות מנהליים בסך 365,000 .₪ בשנת 2017 הוטלו במסגרת הליכי אכיפה שניהלה הרשות קנסות מנהליים בסך כולל של 640,000 ₪. שם הנקנס תאריך הטלת גובה הקנס הקנס בשקלים ליבנה דני שירותים פיננסיים בע"מ 11-01-18 100,000 מ.ס.ד חיפה חברה למסחר בע"מ 25-01-18 150,000 קשור לתיק "והדרת)"( י.ב. 02-10-18 25,000 י.ד. 01-11-18 5,000 הסתדרות המורים לישראל 28-06-18 25,000 אמבולנט בע"מ 16-07-18 60,000 סה"כ 365,000 פיקוחי רוחב בשנת 2018 החל לפעול מערך פיקוח י רוחב ביקורת,)( במסגרתו התקיימו פיקוחים מגזריים לבחינת יישום חוק הגנת הפרטיות ותקנות הגנת הפרטיות אבטחת מידע)(. הקמת מערך פיקוח הרוחב נועדה ל אתר כשלים ענפיים הדורשים התערבות ומתן הנחיות, להגביר את ההגנה על המידע האישי הנשמר בגופים בעלי השפעה במשק הישראלי, לחזק את השפעת 13 Self- הרשות במשק ולהעלות את המודעות לפרטיות ולחשיבות ההסדרה העצמית ( Regulation )בתחום הפרטיות. קיום הליך רוחבי מגזרי, מאפשר הטמעה משמעותית של הוראות חוק הגנת הפרטיות ו מדיניות הרשותבקרבבעליםומחזיקיםבמאגרימידעהכולליםמידעאישי;צמצום פערים בין ה הסדרים ה חקיקתיים ה קיימים בתחום הפרטיות לבין המצב הקיים במשק באמצעות הנחיות לתיקון ליקויים וביקורות חוזרות; יצירת תמריצי עמידה בהוראות חוק הגנת הפרטיותו הגברת מודעות באמצעות חשיפה רחבה במשק ויצירת הד תקשורתי. בנוסף, הליך פיקוח רוחבי מאפשר לרשות להפיק מסקנות רוחב יות הן במישור האכיפה - איתור כשלים הטעונים אסדרה או פיקוח מנהלי או פלילי, והן במישורים נוספים – כגון ה מלצ ותלפרסום הנחיות רשםוחידוד הנחיות קיימות. מערך פיקוח הרוחב מאפשר הליכי אכיפה קצרים וממוקדים ונגיעה במספר רב של גופים בעלי מאפיינים סקטוריאליים דומים. במהלך שנת 2018 הופצו 181 שאלונים לבעלי מאגרי מידע ממגזרים שונים שנקבעו בתכנית העבודה השנתית: 54 שאלונים ל חברות המנהלות מאגרי מידע של מועדוני לקוחות גדולים; 23 שאלונים למכונים ומעבדות רפואיות; 30 שאלונים ל מרפאות בריאות הנפש; 38 שאלונים לספקי פלטפורמות מקוונות האוספות מידע על קטינים ו- 36 שאלונים ל חברות המספקות שירותי אירוח ואכ סוןמידע. ה שאלוני ם נועדו לבחון את עמידתם של הגופים בהוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע) על בסיס קריטריונים שונים, ובכללם: בקרה ארגונית וממשל תאגידי- בוחןקיומהשלתכניתשנתיתבתחוםאבטחתהמידעוהגנתהפרטיותואתמינויים של גורמים בעלי אחריות בתחום; ניהול מאגרי מידע- בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, האם השימוש תואם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי; אבטחת מידע- בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות אבטחת מידע)( בהתייחס למנהלי ומחזיקי מידעאישי; העברתמי דעביןגופיםציבוריים- בוחןאתאופןהעברתהמידעהאישיביןגופים ציבוריים בהתאם להוראות החוק והתקנות העוסקות בנושא, לרבות קיומן של וועדות הבוחנותאתהצורךבמידע,ואיהעברתמידעעודף. שירותימיקורחוץ- בחינתההתקשרויות שלבעלימאגריהמידעעםגורמיםשלישייםהמחזיקיםבמידעוהאופןבוהםמבטיחיםהגנה עלהמידע. לאחר קבלת ה תשובות וניתוחן, נערך סיכום הממצאים בדו"ח ביניים לצורכי בחינת רמת הציות ולהמ שך טיפול, לרבות דרישה להשלמת מידע, הוצאת מפקחים אל המקום, מתן הנחיותלתיקוןליקויים,הכנתדוחות הכולליםתמונתמצב מגזריתופרסוםהנחיות כלליות. ההיבטים התפעוליים של מערך פיקוח הרוחב מתבצעים בסיוע ספקי מיקור חוץ שנבחרו במכרז. 14 מדדי הגנת הפרטיות - עמידה בהוראות החוק לפי מגזרים *ממוצע חישוב לפי גופים שנבדקו רמת עמידה גבוהה רמת עמידה בינונית רמת עמידה נמוכה 4% 8% 18% 22% 20% 13% 31% 30% 43% 79% 78% 65% 50% 39% מועדוני לקוחות שירותי אחסון פלטפורמות מכונים רפואיים מרפאות בריאות ועיבוד מאגרי אינטרנטיות הנפש מידע לימודיות השומרות מידע על קטינים אכיפתאירועי אבטחתמידע חמורים החל ממועד כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע) במאי 2018 ועד לסוף שנת 2018 , קיימה הרשות להגנת הפרטיות 84 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים בנושאים שונים: אירועי סייבר (כגון תקיפות ישירות של מאגר המידע), טעויות אנוש, שימוש לרעה במידע ותקלות טכניות. הסקטורים בהם התרחשו מרבית אירועי האבטחה החמורים כללו את סקטור מערכות המידע דוגמת חברות היי טק, ניו מדיה ואינטרנטו שירותיאחסון( 31% ) ; סקטורהביטוחופיננסיםדוגמתחברותוסוכנויותביטוח, בנקים וחברות כרטיסי אשראי ( 15% ;) גופים ציבוריים דוגמת עיריות ותאגידי מים ( 11% ;) וסקטור הבריאות דוגמת קופותחולים, בתיחולים ועוד ( 9% ). בכ- 35% מאירועי האבטחה בהם עסקה הרשות, מאגרי המידע כללו מידע אישי אודות למעלה מ- 100,000 איש. 15 ארועי אבטחה לפי סקטורים תעשיה ואנרגיה תקשורת 4% 4% תחבורה, הובלות, אחר 7% 4% שירותים ביטח ופיננסים 4% 15% שירותי ניהול ותמיכה 2% בריאות 9% חינוך מערכות מידע 7% 31% מינהל ציבורי מדע וטכנולוגיה 11% 2% 16 עדכונים בנוגעלהליכי אכיפה פליליים שהחלו לפני שנת 2018 "אמנון ותמר" - ברשות התנהלה חקירה פלילית שחשפה סחר במידע ומכירת רשימות " לידים" בניגוד לחוק הגנת הפרטיות. ממצאי החקירה העלו את החשד לסחר ברשימות " לידים" אשר הופקו מ תוך מאגרי מידע של החברה בתחום הביטוח והחזרי מס בה החשוד היה מועסק, וכן ממאגר מידע נוסף שמקורו בקופת חולים. כנגד הנאשם הוגש כתב אישום על ידי מ חלקת הסייבר בפרקליטות המדינה והתיק מתנהל בבית משפט השלום בתל אביב. "אנשים טובים" – ברשות התנהלה חקירה פלילית שעניינה העברת מידע רפואי רגיש על אודות נשים ש ביקשו לבצע הפלה. המידע הועבר ממרפאת נשים לידי עמותה המתנגדת לביצועהפלותומטרתהלהניאאתהנשיםמלבצעאתההפלה. בשנת2018 הוגש ו כתב י אישום נגדמזכירהשעבדהבמרפאהבהמתבצעותההפלותונגדשתיעובדותשעבדובעמותה, בחשד לכך שקיבלו את המידע מהמזכירה ועשו בו שימוש שלא כדין. התיק מתנהל בבית המשפט השלום בתל אביב. "והדרת" – ברשות התנהלה חקירה פלילית בעניין העברת מידע רפואי רגיש של מטופלים למתווכים, אשר סחרו במידעזהעםחברות שירותי סיעוד. העברתהמידענעשתהעלידיעובדיםבבתיחוליםובקופותחולים.נכוןלמועדפרסוםהדו"ח ארבעה נאשמים בתיק זה הורשעו וכן הוטלו קנסות מנהליים בסך מאות אלפי שקלים כנגד חברו ת שעשו שימוש בפרטי מידע אישיים על אודות מאושפזים.בבית משפט השלום בחיפה ממשיךלהתנהל המשפט נגד שניהנאשמיםהעיקריים בתיק. "דף חלק" – בבית המשפט המחוזי מוסיף להתנהל משפט כנגד מספר נאשמים בפרשה המכונה "דף חלק". בעקבות חקירה פלילית שהתנהלה ברשות יחד עם משטרת ישראל ויאח"ה (להב 433 ) נאספו ראיות לכאורה למחיקת מידע כלכלי שלילי מדו"חות אשראי שהונפקו ע"י חברת BDI. עובד שעבד ב- BDI נאשם כי פעל בשיתוף עם רשת של מתווכים למחיקת מידע כלכלי שלילי בניגוד לדין. 17 פניותציבור בשנת2018 התקבלו ברשות 1,728 פניות בתחוםהגנת הפרטיות, מתוכן 123 תלונות. להלן ריכוז הנושאיםלגביהםהתקבלו עיקר הפניות: • 248 פניות בנושא אבטחת מידע- אחריות מנהל מאגר מידע • 159 פניותבנושאתקנותהגנתהפרטיות(אבטחתמידע)– בעקבותכניסתןלתוקףשלתקנות אבטחת מידע הוגשו לרשות פניות ושאלות רבות בנוגע ליישום התקנות, ביחס לבעלי תפקידים במאגר המידע, לסיווג מאגר המידע, אופן אבטחת המידע, וכן בקשות להכרה בהנחיית רשות מוסמכת או בתקן רשמי לפי סעיף 20 לתקנות. הרשות העלתה לאתר האינטרנטהבהרות ביחס לנושאים אלה. • 153 פניות בנושא הסכמה - שימוש במידע שלא למטרה לשמה נמסר; העברת מידע לצד שלישי;הודעה לפי סעיף 11 לחוק. • 103 פניות בנושא דיוור - בחירות לרשויות המקומיות - ברשות התקבלו תלונות בנוגע לדיווריםשהתקבלואצלנמעניםבאמצעותמסרוניםושיחותטלפוןמאתמועמדיםלרשויות המקומיות. המתלוננים הלינו שלא נתנו הסכמתם לקבלת פניות אלה ולהכללתם במאגרי מידע של המועמדים. • 58 פניות בנושא מצלמות אבטחה- ברשות התקבלו פניות בנוגע ליישוםחוק הגנת הפרטיות ולהנחייתמצלמותאבטחהבמרחבהציבוריובמקומותעבודה.הפניותהתקבלוהןמאזרחים והן מבעלי מאגרי המידעהמציבים אתהמצלמות, לרבות ממעבידיםומרשויות מקומיות. • 50 פניות בנושא זכותעיוןו בקשותלמחיקת מידעממאגרי מידע. • 40 פניותבנושא הנחיותרשםמאגריהמידע– ברשותהתקבלושאלותהבהרהבנוגעלהנחיות ולטיוטות הנחיות שפורסמו עלידי רשםמאגרי המידע. • 26 פניות בנושא בקשותלפי חוקחופשהמידע, התשנ"ח- 1998 . • 25 פניות בנושא זכותעיוןומחיקת מידע – פניות בנוגע לעיון במידע ממכוני מיון. רישוםמאגרימידע חוק הגנת הפרטיות מסמיך את רשם מאגרי המידע לנהל את פנקס מאגרי המידע. כל מי שמנהל מאגר מידע אישי בישראל (למעט החריגים הקבועים בחוק) חייב ברישום מאגר מידע בפנקס. בעת הרישום יש למסור פרטים על בעל המאגר (יחיד, תאגיד, עסק, גוף ציבורי), מטרת המאגר, סוגי המידע במאגר, מנהל המאגר, האם מוחזק מידע אצל גורם חיצוני, האם מועבר מידע לחו"ל והאם מבוצעים שירותי דיוור ישיר.על בעלמאגר גםלעדכן את רישום המאגר בפנקס בכלעת שחל שינוי במידעהמדווח. לצורך בדיקת בקשת הרישום ובקרה על כך שהמאגר שבמוקד הבקשה עומד בחובות על פי החוק, הרשות להגנת הפרטיות עשויה לבקש מידע נוסף בהיקפים משתנים. לעתים בקשות הרישום 18 מאושרות בתנאים, עם דגשים על מימוש סעיפים חיוניים בחוק כגון אופן קבלת הסכמת נושאי המידע לשימוש במידע. במקרים מיוחדים, כגון קבוצת חברות, העברות מידע לגורמים נוספים לצרכי שיווק או סוג מידע רגיש במיוחד, עשויה הרשות לנקוט בהליך בירור מורחב בטרם אישור בקשת הרישום, ולדרוש התאמות באופן עיבוד המידע על מנת לבסס עמידה בהוראות החוק. במקרים חריגים, אם נמצא שאופן השימוש במידע על ידי בעל המאגר אינו יכול לעמוד בהוראות החוק, עשוי רשם מאגרי המידעלעשות שימוש בסמכותוולדחות את בקשתהרישום. בשנת2018 הוגשולרשםמאגריהמידע1,129 בקשותרישוםמאגרים,637 הודעותעל עדכוןפרטי הרישום ו- 536 פניות ושאילתות בנושא רישום. אתר: www.ppa.justice.gov.il דואר אלקטרוני: [email protected] פקס: 02-6467064 כתובת: קריתהממשלה, ת.ד. 7360,תל אביב 6107202 19