דיווח על-פי חוק
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
תארי
:20 יולי
,2009
כ"
חתמוז
,
תשס
"ט
סימוכי
:01599 2009 000789
לכב
'
לכב
'
לכב
'
לכב
'
ועדת חוקה
,
חוק ומשפט
ועדתהכלכלה
ועדת
ה
מדע ו
ה
טכנולוגיה
שרהמשפטי) פרופ יעקב נאמ
כנסתישראל
כנסתישראל
כנסתישר
אל משרדהמשפטי)
נכבדיי
,
הנדו
:
די וחשבו על פעילותהרשותלמשפט
,
טכנולוגיה ומידעבשנת 2008
1. הרשות למשפט
,
טכנולוגיה ומידע
)
להל
–
הרשות
(
הוקמה מכח החלטת ממשלה 4660
מיו) 29.1.2006
אשר החליטה על הקמת
"
רשות משפטית
לטכנולוגיות מידע והגנה על הפרטיות
"
במשרד המשפטי)
.
החלטת הממשלה הורתה על הכללת) של שלושה תפקידי) על פי די המסורי) לנושאי תפקיד במשרד
המשפטי) במסגרתהפעילות שלהרשות
,
ואלה ה)
:
א.
רש) מאגרי מידע הפועל מכוח חוק הגנת הפרטיות
,
התשמ
"א 1981
)להל בהתאמה
–
רש
מאגרי
מידע
ו
חוקהגנת הפרטיות
(.
ב.
רש) גורמי) מאשרי) הפועל מכוח חוק חתימה אלקטרונית
,
התשס
"א 2001
)להל בהתאמה
רש גורמי מאשרי
ו
חוקחתימה אלקטרונית
(.
ג.
רש) שירותי נתוני אשראי ומידע על עוסקי) הפועל מכוח חוק שירות נתוני אשראי
,
התשס
"ב
2002
)להל בהתאמה
–
רש שירותינתו
ני אשראי
ו
חוק נתוניאשראי
(.
2. ב 1.9.2006 מונ
יתי
לתפקיד
והוטלה עלי המשימת להקי) את הרשות
.
במסגרת זו
,
מינתה אותי הממשלה
לקראת סו- שנת 2006
ג) כ
רש) מאגרי מידע ו
שר המשפטי) מינה אותי כ
רש) שירותי נתוני אשראי
.
את
תפקיד רש) גורמי) מאשרי) ממלא
עו"
ד עמית אשכנזי
,
המשמש
ג) כראש המחלקה המשפטית של
הרשות
.
3. די וחשבו זה מאגד
,
בפע) הראשונה בחיי הרשות
,
דיווח של שלושת הרשמי) לכדי דו
"
ח מאוחד1.
א-
שלא קיימת לכ חובה בדי
,
הוס- על ידי הרשות ביוזמתה דו
"
ח אודות פעילות רש) שירותי נתוני אשראי
באות) היבטי) לה)קבועה חובהלרשמי)האחרי)
.
ההגיו שלמת דו
"
חמאוחד נובעמהיעד של הרשות
לפעול כרשות הגנת מידע אישיהמפעילהבאופ מאוחד אתמנגנוניהרגולציה של שלושתהחוקי) הנ
"ל.
1. שניי) מהחוקי)המפורטי)לעיל קובעי) מסגרת של די וחשבו שנתילרשות המחוקקת
:
א.
סעי-10א לחוק הגנת הפרטיות קובע כי המועצה להגנת הפרטיות תעביר
,
לא יאוחר מאחד באפריל בכל שנה
,
די
וחשבו שיכי
רש) מאגרי מידע אודות פעולות האכיפה והפיקוח שבוצעו אל ידו בשנה הקודמת להגשת הדו
"ח.
לדו"
ח מצורפות הערותהמועצה להגנתהפרטיות
.
ב.
תקנה 16 לתק
נות חתימה אלקטרונית
)
חתימה אלקטרונית מאובטחת
,
מערכות חומרה ותוכנה ובדיקת בקשות
(,
תשס
ב–"2001 קובעת כי רש) גורמי) מאשרי) י
גיש לוועדה לענייני מחקר מדעי וטכנולוגי של הכנסת
,
לא יאוחר מ
1
באוקטובר של שנה
,
די וחשבו עלהפעלת סמכויותיועלפיהתקנות
.
GovernmentCampus,9thfloor
ק
רית הממשלה
,
קומה 9
12 5
B e g i n
R o a d
ד
ר ב ג י 5 2 1
ת
.
ד
.7
3
6
0
P. O .
B o x
7 3 6 0
Email:[email protected]
ת ל
א ב י ב 2 7 0 1 6
T e l
A v i v
6 1 0 7 2
Web: ILITA.justice.gov.il
Tel.: +972-3-7634050
ט ל ' 0 5 0 4 3 6 7 3:0
Fax: +972-2-6467064
פ
ק ס
:02 6 4 6 7 0 6 4
1
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
4.
הרשות תנקוט מהל
ייזו)
תיקו החוקי) לצור סנכרו
מועד
חובות הדיווח בי הרשמי) השוני)
,
וזאת
כדילאפשר הגשה שלדו
"
ח מאוחד
כאמור
.
5. עיקרי
מסמ זה
מפרטי)
את פעילות הרשות בשנת 2008 בהפעלת הסמכויות הרגולט
ו
ריות המוקנות
לרשמי) השוני) על פי די
.
בנוס-
,
מתוארות פעילויות הקשורות
בהגנת מידע אישי אשר נעשו
במהל
השנה עלידי
הרשות
כ
מרכז הידע בנושאמשפטוטכנולוגיהבמשרד המשפטי)
.
בברכה
,
יור)הכה
ראשהרשותלמשפט
,
טכנולוגיה ומידע
העתקי)
:
מר
משה שילה
המנהלהכללי
,
משרדהמשפטי)
;
מר
מנימזוז
יוע0משפטי לממשלה
,
משרדהמשפטי)
;
מר
משהלדור
פרקליט המדינה
,
משרד המשפטי)
;
הגב
'
אורית קור
–
המשנה ליוע0המשפטילממשלה
)
חקיקה
(
הגב
'
שרית דנה
–
המשנהליוע0המשפטילממשלה
)
אזרחי
(
GovernmentCampus,9thfloor
ק
רית הממשלה
,
קומה 9
12 5
B e g i n
R o a d
ד
ר ב ג י 5 2 1
ת
.
ד
.7
3
6
0
P. O .
B o x
7 3 6 0
Email:[email protected]
ת ל
א ב י ב 2 7 0 1 6
T e l
A v i v
6 1 0 7 2
Web: ILITA.justice.gov.il
Tel.: +972-3-7634050
ט ל ' 0 5 0 4 3 6 7 3:0
Fax: +972-2-6467064
פ
ק ס
:02 6 4 6 7 0 6 4
2
משרדהמשפטי
הרשות למשפט
,
טכנולוגיה ומידע
די וחשבו אודות פעולות
הרשות למשפט
,
טכנולוגיהומידע
בשנת2008
יולי
2009
ת
מוז
,
תשס
"ט
תוכ ענייני
סטטוס
הקמת
הרשות
3
מבנה
ארגוני
3
משימות
עיקר
יות
במהל
שנת
2008
בנושא
הגנת
מידע
אישי
5
די
וחשבו
של
רש
מאגרי
מידע
לפי
חוק
הגנת
הפרטיות
,
התשמ
"א 1981
אודות
פעולות
הפיקוח
והאכיפה
בשנת
2008
8
מבוא
9
נתוני)
9
פעולות
פיקוח
9
רישו)
מאגרי
מידע 11
קנס
מנהלי
13
די
וחשבו
של
רש
גורמי
מאשרי
לפי
חוק
חתימה
אלקטרונית
,
התשס
"א 2001
לשנת
תשס
"ח 2008
14
מבוא
15
פיקוח
15
פעולות
נוספות
)
שאינ
פיקוח
(17
חקיקה
והנחיות
17
עדכוני)
אודות
חתימה
אלקטרונית
באירופה
18
נספח
אופ
הפעלת
סמכויות
הפיקוח
בחברת
קומסי
י 20
די
וחשבו
של
רש
שירותי
נתוני
אשראי
ושירותי
מידע
על
עוסקי
לשנת
תשס
"ח 2008
25
מבוא
26
מת
רישיונות
26
פיקוח
על
בעלי
הרישיונות
26
טיפול
בתלונות
26
הנחיות
הרש)
26
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
סטטוס הקמתהרשות
הרשות
למשפט
,
טכנולוגיה ומידע
נמצאת
בשלבי) מתקדמי) של הקמה
,
א טר) נית ל
קבוע
כי הסתיי)
התהלי והיא נמצאת בשגרת פעולה
ברוכה
.
הקמת הרשות כרוכה ב
ראש ובראשונה ב
תהליכי
תק
נו ו
גיוס כח
אד)
,
אשר
במגזרהממשלתיאורכי)זמ רב
.
על א- האמור לעיל
,
חלה בשנת 2008
התקדמות רבה בתהלי הקמת הרשות ע) בחירת) של מנהלי) לשלוש
המחלקות ברשותותחילת איושהרשות
ב
דרגזוטריו
תר.
ע) זאת
,
היעד שלאיושהרשות ב
20
אנשי) במהל
שנת2008לא הושג
,
וג)
היעד
המתוקצב של 24 אנשי) בשנת2009לא נראה
,
בשלב זה
,
ברהשגה
.
מבנה ארגוני
כזכור
,
המבנה הארגוני שאושר לרשות
והסמכויות המצויות בידי הרשמי) השוני)
מבסס
אותה כרשות
(personal data protection)
מסדירה לתחו) של הגנת מידע אישי
. מידע אישי הינה הגדרה רחבה
,
והיא
כוללת בתו
כה את ההגנה על מידע מוג פרטיות
,
א ג) נושאי) נוספי) כגו זהותו האלקטרונית של האד)
)
נושאהמטופלכיו)באופ חלקי בחוקחתימה אלקטרונית
(
אומידע שהואאישי
,
א לאבהכרח מוג פרטיות
)
כגו מספר כרטיסאשראי
(.
הרשותבנויהב
חלוקה הבאה
:
מחלקת רישו ופיקוח – עוסקת בש
לוש משימות עיקריות
,
אשר נגזרות מעיקר הסמכויות הקיימות היו)
בידיהרשמי)
:
•
ניהול מרש) מאגרי המידע לפי חוק הגנת הפרטיות
,
מת רשיונות לשירותי נתוני אשראי ומידע על
עוסקי) ומת רשיונות לגורמי)מאשרי)
;
•
הפעלת סמכויות הפיקוח המסורות לרשמי) השוני)
)
סעי-10 לחוק הגנת
הפרטיות
;
סעיפי 13)10
לחוק שירות נתוניאשראי
;
סעי-17לחוקחתימה אלקטרונית
(
•
חיבור הנחיות שוק בנושאי) הנמצאי) באחריות הרגולטורית של הרשות
קרי פרטיות במידע
,
נתוניאשראיוחתימה אלקטרונית
;
לראשות המחלקה נבחרה בסו עו-2008"
ד רבקי דב
"ש,
מי שעסקה בעבר בנושא הג
נת פרטיות
,
חופש מידע
וחוק הארכיוני) במחלקת ייעו0 וחקיקהבמשרד המשפטי)ועברהלרשותבמהל שנת2007
.
מחלקתאכיפה –מחלקת האכיפה
,
הנמצאתבשלביהקמה
,
אמורהלבצע שתימשימותעיקריות
:
•
חקירת עבירות על פגיעה בפרטיות במאגרי מידע על פי חוק הגנת הפרטיות וחוק שירותי נתו
ני
אשראי
;
•
מת סיוע לגופי אכיפת חוק אחרי) בסוגיות המשפטיות והחקיקתיות העולות תו חקירת מחשבי)
,
בפרטבסוגיות של ראיותאלקטרוניות
;
לראשות המחלקה נבחרה במהל שנת עו2008"
ד מילי ב
,
לשעבר ראש צוות חקירות ברשות להגבלי)
עסקיי)
.
3
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
מחלקהמשפטית –למחלקההמשפטית של
הרשות שלושהתפקידי)עיקריי)
:
•
מת ייעו0משפטיפנימי לפעילות הרשות כרשותרגולציהואכיפתחוק
;
•
מוקדידעפנימי שלמשרד המשפטי) בסוגיות שונות של משפטוטכנולוגיה
;
•
מת ייעו0 משפטי לפרויקטי טכנולוגית מידע משמעותיי) בשירות הציבורי
)
ממשל זמי
,
תעודת
זהותחכמהוכד
'( ב
היבטי) הייחודיי) שלמשפטוטכנולוגיה
;
לראשות המחלקה נבחר במהל שנת עו2008"
ד עמית אשכנזי
,
שהוא בעל ניסיו
רב ממחלקת ייעו0 וחקיקה
בנושאי טכנולוגיה ומשפט
.
עמיתמשמשג)כרש) גורמי)מאשרי)
.
הסמכויותהשונותהמוקנות לרשמי)על פי די
,
מופעלות עלידיהמחלקותהשונות
בהתא)לנושא
.
ראש הרשות למשפט,
• רישו ומת רשיונות
סמכויות
על פי די
•
פיקוח וביקורת
טכנולוגיה ומידע
•
וקנס
כספי
עיצו
רש)מאגרימידע
מנהלי
•
עו"ד יורם הכהן
ומחיקה
התליה
מרישו
או ביטול
רש)גורמי)מאשרי)
ר
שיו
רש) שירותי נתוניאשראי
מחלקה משפטית
מחלקת אכיפה
מחלקת רישום ופיקוח
עו"ד עמית אשכנזי
עו"ד מילי בך
עו"ד רבקי דב"ש
4
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
משימות עיקריות במהל!שנת 2008 בנושאהגנת מידע אישי
מעבר למשימות הפיקוח
,
הרישוי
והאכיפה
המתוארות בדו
"
חות השוני) להל
,
הרשות עסקה במהל שנת
2008במספר נושאי)מרכזיי)הקשורי)לתחומי עיסוקה
כרשות העוסקתבהגנת מידעאישי
.
בפרקזה נת
אר
את עיקריה)
.
יצויי
,
כי מעבר לאמור כא עסקה הרשות בנושאי) נוספי) הקשורי) במשפט וטכנולוגיה
,
א
כיו שאינ)קשורי)בסוגיות שלפרטיותאו
של
חתימה אלקטרונית
,
ה) אינ) מפורטי)בדו
"
ח זה
.
מימושהמלצות דו
"
חשופמ
דו"
ח הצוות לבחינ
ת
החקיקה בתחו) מאגרי המידע בראשות
המשנה ליוע0 המשפטי לממשלה
)
חקיקה
(
יהושע שופמ
שהוגש בשנת 2007
)
להל
–
דו"
ח שופמ
(
המלי0 על שורה של שינויי) ב
פרק ב
' ל
חוק הגנת
הפרטיות
.
במהל שנת 2008
נעשתה עבודה משותפת לרשות ולמחלקת ייעו0 וחקיקה במשרד המשפטי) לקידו) יישו)
המלצות דו
"
ח שופמ
.
הוחלט להפריד בי
תהלי חיזוק סמכויות רש) מאגרי מידע והכלי) הרגולטוריי)
העומדי) לרשותו ו
בי
תהלי גיבוש השינויי) האחרי) בחוק
,
זאת כדי לתת לרש) מאגרי מידע
במהירה
את
הכלי) המודרני) הנדרשי) לצור פעילותו
.
במהל שנת 2008
הושקע מאמ0 ניכר לנסח את
טיוטת
תזכיר חוק המבסס את סמכויו
ת האכיפה של רש)
מאגרי מידע בפעולתו כגור) האוכ- את חוק הגנת הפרטיות בהיבט של פרטיות במידע ממוחשב
.
תזכיר זה
יוגש לכנסת במהל שנת 2009
, והוא מגדיר באופ מדויק את העבירות וההפרות הקשורות בפרטיות במידע
,
את סמכויות האכיפה של רש) מאגרי מידע של עבירות אלה ואת אמצע
י האכיפה הנדרשי) כדי לממש את
הסמכויות
.
במקביל
,
נמש
ברשות
תהלי של
ניתוח וניסוח יתר
השינויי) בחוק הגנת הפרטיות
שהומלצו ב
דו"ח
שופמ
.
אל שינויי) אלה יתווספו המלצות לשינויי) נוספי) בחוק
,
העולות מהעיסוק היו)
יומי ברשות בתחו) הגנת
המידע האישי
.
הח"
מ רואה בתהלי
התאמת חוק הגנת הפרטיות
,
אשר נחקק בשנת 1981
, לאתגרי) שמציבה המציאות
העכשווית והכיווני) אליה) חותרת טכנולוגיות המידע
משימה עיקרית של הרשות אשר מחויבת מהשינויי)
הדרמטיי) בפעולות עיבוד מידעממוחשב
.
ליווי עבודת המטה ל
הצעת
חוק
הכללת אמצעי זיהוי ביומטריי במסמכי
זיהוי ובמאגרי מידע
,
התשס
"ט
2008
במהל שנת 2008
השתתפה הרשות ב
תהלי המטה הממשלתי לגיבוש הצעת חוק
הכללת אמצעי זיהוי
ביומטריי) במסמכיזיהויובמאגרי מידע
,
התשס
"ט 2008
.
מטרת הצעת חוק זו לאפשר
נטילת אמצעי זיהוי ביומטריי) מאזרחי)
על ידי משרד הפני)
במסגרת הנפקת)
של תעודות זהות ודרכוני) הכוללי) שבב מחשב
,
והמאפשרי) אימות וזיהוי אלקטרוניי) של נושא מסמ
הזיהוי
.
בהצעתהחוקמוצע להקי)
מאגרמידעהמכיל נתוני) ביומטריי) של
כל
אזרחימדינת ישראל
.
במסגרת תהלי המטה
הודגש
והובהר
על ידי הרשות פוטנציאל הסכנה לפרטיות כתוצאה משימו
ש לא הול)
בטכנולוגיה הביומטרית
,
ובפרט באבטחת
המידע הביומטרי
במאגר המידע
.
חלק מ
המלצות הרשות
לעניי זה
התקבלו ו
באולידיביטוי בנוסח
הצעת החוק
.
במהל שנת 2009משתתפת הרשותבדיוני)המתקיימי) בכנסתבהצעתהחוק
.
5
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
OECD
תהלי!
הצטרפות
ישראל ל
במהל שנת 2008 רכזה הרש
ות את עבודת המטה הממשלתית מול ועדת מדיניות מחשבי)
,
מידע ותקשורת
Poclicy) Communication and Computers Information, – (ICCP של ארגו ה
OECD וזאת במסגרת
תהלי הצטרפותישראל לארגו
.
OECD על ישראל להוכיח כי היא עומדת במסמכי ההנחיה החלי) על חב
לצור קבלת ישראל ל
רות הארגו
.
ICCP מספר הנחיות העוסקות בסוגיות של פרטיות במידע
(dataprotection)
(data
לועדת ה
, אבטחת מידע
security)
(broadband)
(Critical Information
, מדיניות פס רחב
, הגנת תשתיות מידע קריטיות
Infrastructure)
(e-Authentication/e-Signature)
,
הזדהות וחתימה אלקטרוניי)
, הסדרת השימוש
(Cryptography)ושימושנוס-במידעציבורי
(re-useofPublicSectorInformation)
באמצעיהצפנה
.
ICCP
הרשות נהלה את התהלי מול ועדת ה
, ורכזה את המענה של מדינת ישראל בנושא אשר כלל
התייחסות של משרד ראש הממשלה
,
ומשרדי האוצר
,
הבטחו והתקשורת
.
תהלי זה אמור להסתיי) בשנת
2009 ע)אישורעמידתישראלבהנחיותהארגו בהבטי)אלה
.
לעניי זה יש להדגיש כי קיומה של הרשות עזר באופ משמעותי לתהלי האישור של ישראל בנושאי הליבה
ICCP
של ה
, שכ סוגיות הקשורות בהגנת מידע אישי ה מרכזיות בעיסוקהועדה בנושא
.
בקשתה
כרתהנציבותהאירופית בהתאמתישראללדירקטיבההאירופיתלהגנתמידעאישי
בסעי- לדו26"
ח רש) מאגרי מידע משנת 2007
דווח על הגשת בקשה של ישראל להכרה כי משטר הגנת
הפרטיות במידע בישראל מקיי) רמה מקבילה לזו הקיימת בדירקטיבה האירופית להגנת מידע אישי
,
ועל כ
נית להכי
ר בישראל כמקיימת
"
רמה הולמת
"
של הגנת מידעעלפי סעי-25
)6(לדירקטיבה
.
במהל שנת 2008 התקבל דו
"
ח בדיקה שבוצע על ידי הנציבות האירופית בנושא ולגבי מספר נקודות בו
נדרשה התייחסות מפורשת
.
הרשות גבשה את המענה בנושא
,
ונמצאת בהמש תהלי בחינת הבקשה על ידי
הנציבותה
אירופית
.
ג) לעניי זה ראוי לציי כי קיומה של הרשות
,
בדומה לרשויות הגנת מידע אירופאיות
,
ותפקודה בפועל
,
הינ
ו
נדב חשוב וקריטיבתהלי ההכרה בישראל כתואמת אתהנדרש בדי האירופי
.
ליווי גיבוש טיוטתתזכיר להפצתמידעמרש החברות
במהל שנת 2008 בוצעה על ידי הרשות
,
במשות- ע) רשות התאגידי) במשרד המשפטי) עבודת מטה
לבחינת ההסדר הקיי) להפצת מידע מרש) החברות
.
תהלי זה נדרש עקב כשלי) שהתגלו בתהלי הקיי)
שלהפצתהמידעמרש) החברות באמצעותזכייני)
.
לצור הגנה על הפרטיות מחד גיסא ובחינת הצרכי) הכלכליי) מאיד גיסא נעשה על ידי
הרשות ורשות
התאגידי) תהלי מטה מסודר אשר בח את התכליות הראויות להסדרה בעניי זה
,
ואת המסגרת הנכונה
לש)פיקוחעלתהלי הפצתהמידע מרש)החברותלמטרותהלגיטימיות
.
בסופו של התהלי הופ0 תזכיר לתגובת הציבור
,
המציע מסגרת של מערכת רשיונות להפצת המידע האמור
,
באופ
שיתקיי)האיזו האמורעיל
.
תזכירחוק זהאמור להיות מובאבפניהכנסתבמהל שנת2009
.
6
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
גיבושתוכנית twinningבנושאהגנתמידעאישיע הנציבותהאירופית
במהל שנת 2008
גובש המכרז לקיו) תוכנית twinning ע) הנציבות האירופית בנושא של
"
חיזוק הגנת
.Twinning היא תוכנית הממומנת על ידי הנציבות
מידע אישי בישראל
" ב
תקציב של כ
1,000,000 אירו
האירופית
,
במסגרתהמתבצע שיתו- פעולה בי רשותמדינתיתאירופיתלרשות מקומית
.
המכרז שגובש פרט מסגרת לתוכנית בת 18 חודשי) שתעסוק בהבטי) שוני) של הגנת מידע אישי
,
וזאת כדי
לשפר את היכולות של ה
רשות בקיו) תפקידיה כרשות הגנת מידע אישי
,
כמו ג) לגרו) להעלאת מודעות
בציבור בנושא זה
.
בתהלי המכרזי שנער בי מדינות אירופאיות שונות נבחרה רשות הגנת המידע האישי של ספרד Agencia
(AEPD) Datos de Protección de Española שהיא
רשות הגנת מידע אישי מובילה
,
ואשר הצ
עתה כללה
שליחת מומחי)מרחביאירופה במסגרת התוכנית
.
במסגרת התוכנית
,
אשר צפויה להתחיל במחצית שנת 2009
יתבצע מספר רב של
פעילויות שיועברו על ידי
מומחי בנושא הגנת מידע אישי מאירופה
.
בי היתר
,
יתקיימו סדנאות פנימיות לעובדי הרשות
,
ימי עיו
לציבור הרחב ולסקטורי) מ
וגדרי)
,
סיורי) ברשויות הגנת מידע אישי מקבילות באירופה וייצור מסמכי
הנחיה והעלאתמודעות בנושא שלפרטיותבמידע
.
הרשות מייחסת חשיבות רבה לתוכנית זו
,
אשר עשויה לספק ידע ייחודי בנושא ממקורות אירופאיי)
מגווני)
,
חשיפת אנשי הרשות למתודות פיקוח ואכיפה ברשות מקבילות
והעלאת המודעות לנושא בקרב בעלי
מאגרי מידעובציבור הרחב
.
7
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
די וחשבו
של
רש
מאגרימידע
לפי חוקהגנת הפרטיות
,
התשמ
"א 1981
אודותפעולות הפיקוחו
ה
אכיפה ב
שנת2008
8
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
מבוא
במהל שנת 2008 סבלה פעילות הפיקוח של רש) מאגרי מידע מתהלי החלפת כוח ה
אד)
,
שהוא חלק
2. פעולות הפיקוח שנעשו היו מצומצמות
מתהלי הקמת הרשות ואודותיו כבר דווח בדי וחשבו לשנת 2007
יחסית
,
ועיקרהמאמ0הפיקוחי התמקדבבירור תלונות
שהת
קבלו מאזרחי)
.
במחצית שנת 2008 נבחרה עו
"
ד מילי ב לעמוד בראש מחלקת האכיפה של הרשות
.
לקראת סו- שנת 2008
נבחרה
עו"
ד רבקי דב
"
ש לעמוד ב
ראש מחלקת רישו) ופיקוח
ועו"
ד לימור שמרלינג
מגנזיק
כסגניתה
והממונה על הפיקוח
.
מינויי) אלה סללו את הדר ל
תחילת תפקוד של המחלקות בחלוקת התפקידי) המיועדת לה
,
לפיה
מחלקת רישו) ופיקוח עוסקת ב
תהלי רישו) ורישוי ופיקוח עקב תלונו
ת אודות הפרות של חוק הגנת
הפרטיות
,
בעוד שמחלקת האכיפה מטפלת במקרי) קשי) יותר
,
העשויי) לעלות עד כדי עבירה פלילית על
הוראות חוק הגנת הפרטיות
.
לעניי זה יש להבהיר כי בשלב זה לא קיימות בידי הרשות סמכויות חקירה
פליליות
,
ועל כ מופעלותהסמכויותהמצויות בפרקב
' ל
חוקהגנתהפרטיות
.
בשל המצב המתואר
לעניי מצבת כח האד)
לאור רוב השנה
כמעט ולא התקיימה
פעולה יזומה של פיקוחי
רוחב
,
החיוניי)כדילזהות תופעותבתחו)הגנתהפרטיותבמידע
.
נתוני
בשנת 2008
נפתחו 122 תיקי פיקוח
,
מתוכ)111
תיקי)
אשר
מקור) בתלונה
)
זאת לעומת 90 תיקי
פיקוח
אשרנפתחו בשנת 2007
(.הטיפול ב
85
תיקי)
)כ 70%
( הסתיי) באותה שנה
.
בחינת תוכ התלונה ו
מיהות
הנילוני)
מעלה
כי מרבית התלונות נגעו ל
פגיעה בפרטיות כתוצאה מ
פעולות
שיווקיות3
)
15 תלונות
כ–33% מס התלונות
(.
בנוס-
,
פעילות המגזר הפיננסי הטרידה את המתלונני
7) )
תלונות
–כ–15%
(
ותחו) התקשורת ופעילות) של גופי) ציבוריי)
)5תלונותכ
"
א כ 11% לכלסקטור
(.
מרבית התלונות הגיעו לרשות דר אתר
האינטרנט של הרשות
)18 תלונות
(
או ב
דואר האלקטרוני
)14
תלונות
(.
פעולות פיקוח
מדיניות רש) מאגרי מידע היא כי הדיווח על פיקוחי) מתב
צע רק לאחר סיו) תהלי הפיקוח
,
וזאת כדי לא
לפגוע בתהלי הפיקוח
.
על כ
,
מפורטות להל מספר פעולות פיקוח אשר לגביה נית למסור מידע
,
שכ
תהלי
הפיקוח
הסתיי
)או שנית לפרס)את תוכ הפיקוח
מבלי לפגועבתהלי
.
גופי ציבוריי
משרדהבטחו
בדו"
ח השנתי לשנת 2007
, דווח
על התליית
רישומו של
מאגר
מידע בשירות אג- השיקו) במשרד הבטחו
עקב מציאת כשלי) בשמירה על הוראות אבטחת מידע בתהליכי
העברת מידע מ
ה
אג- לגורמי) חיצוניי)
כמיקור חו04.ב
תהלי
המש ל
פיקוח
,
נערכה פגישה בי נציגי
משרד
הבטחו
לרש) מאגרי המידע
,
בעקבותיה
התקבלמהמשרד
מ
ידענוס-אודות תהליכיהשמירה על הפרטיותבמשרדהבטחו
.
2
ראוסעיפי)9
,
10
,
17 ו 18לדו
"
חרש)מאגרי מידע משנת2007
.
3
בכלל
כמחציתנגעולסעי-30א לחוק התקשורת
)
העוסקבפניותבלתי מוזמנות ב
אמצעי) אוטומטיי)
( –7במספר
4
ראוסעי-19לדו
"
חרש) מאגרי מידע משנת2007
.
9
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
בחינת החומר
העלת
ה כי עדיי ישנ) ליקויי) באופ טיפולו של משרד הבטחו בנושא הגנת
הפרטיות ב
מידע
האגור
במאגרימידעהמצויי)בניהולו
,
ובפרט ככלהקשורבתהליכי העברתמידעלגורמי) חיצוניי)במסגרת
מיקור חו0
.
רש)
מאגרי המידע
הורה למשרד לתק את הליקויי) שנמצאו
לאלתר
.
בכוונת הרש) לערו פיקוח חוזר
בסוגיה זו בהמש שנת העבודה2009
.
המפקח הארצי עלהבחירות והפצת פנקסהבוחרי)
לקראת בחירות לכנסת
,
נמסר לרשימות או מפלגות המתמודדות בבחירות תקליטור ובו רשימת הבוחרי)
ממרש) האוכ
לוסי
)
להל
–
הפנקס
(
בהתא) להוראות סעי-39 לחוק הבחירות לכנסת
]
נוסח משולב
[,
תשכ
"ט –1969
)
להל
–
חוק הבחירות
(.
המידע הכלול בתקליטור כולל ש) משפחה וש) פרטי
,
מספר תעודת
זהות
,
וכתובתמדויקת והוא מכילאת כל בעלי זכותהצבעהבבחירות הארציות
.
לפי חוק הבחירות השימ
וש בפנקס מותר רק לצור התמודדות בבחירות לכנסת ולצור קשר ע) ציבור
הבוחרי)
;
אי לעשות במידע שימושאחר
לרבותהעברתו לצד שלישי.
במערכות בחירות קודמות
,
עלה חשש שרשימות הבוחרי) שנמסרו לנציגי המפלגות לצור מערכת הבחירות
,
דלפו שלאכדי לגורמי) פרטיי) שוני)
,
תו
פגיעה בפרטיות ציבורהבוחרי)ועבירה של הוראות החוק
.
לפיכ
,
הוחלט לערו פיקוח רוחבי בתחו) זה על מנת ללמוד את פעילות המפקח על הבחירות
,
משרד הפני)
,
המפלגות וגופי) נוספי)
,
לבחו את הכשלי) ולית המלצות לשינוי התהלי על מנת
לצמצ) את אפשרות
הפגיעהבפרטיות
.
תהלי
הפיקוח החלבשלהי שנת2008
,וצפוילהסתיי)בשנת2009
.
ע)סיו) הפיקוח
,
יועברוממצאיובדו
"
ח נפרד
.
כשלאבטחת מידע בבית חולי)
איכילוב
בעקבות ידיעה
עיתונאית
על כשל אבטחת מידע באתר האינטרנט של בי
ת החולי)
איכילוב
,
בוצע פיקוח
לבחינתמהות
הכשל ו
אופ התנהלותביה
"ח
והח
ברההמפעילהאת האתרעבורביה
"ח.
הבדיקה העלתה כי כשל אבטחת המידע
,
אפשר ל
מי שאינו מורשה לעיי ב
פרטי
הזמנת תורי) למרפאות חו0
httpשלדפדפ האינטרנט
של בית החולי)על ידי הכנסתמספרתעודתהזהות של המזמי לפקודת ה
.
הכשל תוק מיידית על ידי החברה המפעילה את האתר
,
א
בבדיקה נתגלו ממצאי) מדאיגי) בנוגע למדיניות
אבטחתהמידע
בביתהחולי)
,
אשרתוצאתה
באהלידי ביטויג)בכשל המתואר לעיל
.
בעקבות דרישה של הרש)
,
הכי ביה
"
ח תוכנית עבודה לטיפול בליקויי)
,
לרבות ביצוע ס
קר סיכוני) מקי-
.
תוכנית עבודה זו אמורה להיות מיושמת על ידי בי
ת החולי) במהל שנת 2009
, ו
בכוונת הרש) לבדוק את
התקדמות המפוקח לפי תוכניתהעבודה ותיקו הליקויי)כנדרש
.
10
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
מגזר פרטי
חברת
ישרכארט
–
חשיפת מידע עוד-בהלי משפטי
התקבלה
תלונה כנגד חברת ישרכארט
בטענה שהחברה
העבירה מידע המצוי במאגריה
,
לגור) שלישי מעבר
לנדרש
.
עני
ינה של התלונה היה תביעה
שהוגשה על ידי צד ג
'
כנגד המתלונ ו
חברת ישראכרט
בגי עסקה שביצע
המתלונ
.
במסגרת כתב ההגנה
מטעמה
הגישה ישראכרט
תדפיסי פירוט פעולות של המתלונ לגבי
מספר
חודשי)
.
בכל אחד מ
התדפיסי)
הופיעו נתוני) כגו מס
'
החשבו
,
פירוט עסקאות שביצע
המתלונ
באותו
חודש
,
עסקאותתשלומי) שביצעבמועדי)אחרי)
,
נתונימסגרתהאשראי ונתוני) נוספי)
.
לאחר בירור מול ה
חברה
נמסרה הודעה לחברה
כי
על פניו
המידע שנמסר על יד
)
במסגרת ההלי המשפטי
מהווה פגיעה לכאורה בפרטיות לפי סעי-2 לחוק
,
שכ המידע שנמסר בהלי המשפטי אינו נדרש
באותו עניי
ולא היה צור בחשיפתו במסגרת ההלי אשר עסק בעסקה מסוימת ע) בית עסק אחד
. ה
חברה
נתבקש
ה
ליידעאתהרש)בדבר הפעולות שבכוונתו לנקוט על מנתלהבטיחכי מקרי)כאלולאיישנו
.
שימושבעותקי) בלתי חוקיי) שלמרש)האוכלוסי
בדו"
ח רש) מאגרי מידע משנת 2007
, דוו
ח על התופעה של זליגת מידע ממרש) האוכלוסי למאגר מידע
המופ0 ברשת האינטרנט5
והטיפול באירוע על ידי משרד הפני)
.
במהל שנת 2008 התקבלו מספר תלונות
,
שבדיקת העלתה כי קיי) ביניה מכנה משות- והוא שימוש על ידי גופי) מסחריי) במאגר המידע הבלתי
חוקי הנ
"ל.
השימושי)הבל
תי חוקיי) במאגרמסתברי) להיות מהטיפוסי)הבאי)
:
•
שימושבמידעלמטרתפעילותמפולחת של דיוורישיר
•
שימושבמידעלאיתור אנשי)בהליכיגביית חוב
•
שימוש במידע למטרות של גניבת זהות6או וידוא פרטי הזהות
תהליכי הבדיקה של התלונות הנ
"
ל נמצאי) עדיי בשלבי בירור
,
א לדעתנו ה
יק- השימוש במידע
מתו
מאגר המידע הנ
"ל
במגזר הפרטי
,
ולעיתי) ג) על ידי ספקי
שירות של מגזר ציבורי
,
היא גדולה
ומדובר
בתופעהחמורה
.
לעניי זה יחידת רש) מאגרי מידע פועלת לצמצו) התופעה במסגרת הסמכויות המוקנות לה כיו)
,
א לאור
מקרי) מסוג זה בולט חסרונ של סמכויות
מקיפות יותר לרש)
,
אשר תאפשרנה התמודדות יותר אפקטיבית
ע)אירועי)מסוג זה
.
בנקלאומי
–
שימושבמידע שלאלמטרה שהתקבל
אצל רש) מאגרי מידע
התקבלה תלונה כי בסני- של בנק לאומי בחיפה נעשה שימוש במידע
שמנוהל על ידי
הבנק כמתפעל של קר השתלמות ל
מטרות שיווקיות
,
החורג
ות במפורש מהשימוש הלגיטימי שהותר לו
לעשות במידע
.
פיקוח במקו) אימת את ה
חשד להפרה
,
והתברר כי לא
מדובר במעידה חד
פעמית אלא שיטת
הפעולה של פקידי הסני-
.
עוד
הסתבר כי הפעולה נעשתה בניגוד להנחיות כלליות שנתנו בבנק לעניי
ולהתחייבות מפורשת שנת הבנק לרש) מאגרי מיד
ע בעת אישור הסכמי התפעול של הבנק במסגרת מימוש
רפורמתבכר7.הבנק
אישר למתלונ את עיקריהתלונה
, ו
התחייבלרענ אתהנהלי) ולאכו- אות)
.
מקרה זה הינו דוגמה למגבלות
ה
אכיפה
במסגרת
הסמכוי
ות הקיימות לרש) מאגרי מידע היו)
.
על פניו
מדובר בעבירה פלילית
לכאורה8 והפרה של
התחייבות שנתנה לרגולטור
.
אמצעי
האכיפ
ה
הקיימי) היו)
5 ראו דו
"
חרש) מאגרי מידעלשנת2007
,
סעי-19
.ב.2.ב.
6 על כ לא התקבלהתלונה ישירה ברשות
.
7
לעניי ההנחיותהרגולטוריות בעניי זה ראו סעי-11לדו
"
חרש) מאגרי מידע משנת2007
.
8 הפרה של
הוראותסעי-2)9(לחוקהגנתהפרטיות
,
עבירה שבצידה עונש שלחמש שנות מאסר
.
11
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
לרש) מאגרי מידע מוגבלי) ומתמצי) באפשרות להתלות או למחוק מאגר מידע מפנקס מאגרי מידע9 או
בהטלה של קנס מנהלי
,
אשר נית להפעלה על עבירות אחריות קפידה שאינ
הולמות
מקרה זה
.
התמרי0
הקיי) להפר את החוק הוא כלכלי ב
עיקרו
)
שימוש במ
ידע למטרות שיווקיות
(,
ועל כ חשוב שתהיה סנקציה
אשרתמזעראתהכדאיות הכלכלית שלההפרה
,
דוגמת האפשרות להטיל עיצו)כספיעל ידי הרש)
.
רישו
מאגרימידע
נתוני
בשנת 2008
הוגשו 472 בקשות חדשות לרישו) מאגרי מידע
עליה
קלה
מול שנת 2007
בה הוגשו 442
בקשות
א
במסגרתהמגמה הטבעית שלגידול שנתימתו של בקשותהרישו) הנובע מהתרחבותהמשקהישראלי
.
כפי שצויי בדו
"ח
רש) מאגרי מידע ל
שנת 2006
, הלי הרישו) מתבצע ברובו במיקור חו0 מול רשות הדואר
,
עלהבעיותהנגזרות מכ
–
כפישצויי ש)10
.
נוס-עלכ
,
מערכתהמידע שמעמ
ידהרשותהדוארלניהול פנקס
מאגריהמידע
,
אינהנותנת מענהמתאי)לצרכייחידת הרש)
.
לאורהאמור לעילהוחלט לשנותאת אופ פעילותהיחידהמולרשותהדואר
,
כאשר בשלב ראשו טופלתהלי
רישו)מאגרימידעחדשי)
.
מטרתהשינוינועדה להוביל לתוצאות הבאות
–
•
הגברת היעילות בטי
פול בבקשותהרישו)לאורכח האד)המצומצ)
אשר נית להקצותלמשימה
;
•
עמידה ביעד של
מת אישור רישו) למאגרי מידע תו 90
יו)
.
לצור כ נקבע יעד של
מת אישורי
רישו)תו 90 יו) ל
70% מהמאגרי) שהגישו בקשות חדשות
;
•
יישור קו לגבי מאגרי המידע אשר הגישו בקשות רישו) בעבר וט
ר) קיבלו אישור כאמור למרות
חלו- 90
הימי)
)כ 1500
מאגרי)
(.
מטרת מהל זה לצמצ) את
מספר מאגרי המידע הממתיני)
לאישור רש) בשליש
,
וצמצו) מספר מאגרי המידע הממתיני) לאישור רש) לעשרות ספורות בסו-
שנת2010
.
צמצו חובת רישו מאגרי מידע
בעקבות המלצות
דו"ח
שופמ
,
ולאור
המידע שנאס- מיו) כניסתו של
רש) מאגרי מידע הנוכחי
,
הוחלט
לקד)
,
בשיתו- ע) מחלקת ייעו0 וחקיקה במשרד המשפטי)
,
הצעה לצמצו) חובת רישו) מאגרי המידע או
לבחינת חלופות לחובה זו
.
בימי) אלו מתגבשת טיוטת תזכיר אשר תכלול
,
בי היתר
,
הצעות לשינוי בתחו)
זהתו כוונה שזות
שולב בטיוטתתזכירסמכויותהאכיפההאמור
.
לעניי זה
,
יש לדעת כי המשאבי) המוקדשי) כיו) על ידי יחידת רש) מאגרי מידע למכלול ההבטי) של
הרישו)
)
בדיקת בקשות רישו)
,
בקשות לשינוי פרטי רישו)
,
תהלי גביית
אגרות רישו) ואגרות שנתיות
(,
יחסיתלגודלה של הרשות
,
ה)רבי)
.
בע
בודה הקשורה ברישו) מאגרי מידע
עוסקי)
היו) שני עובדי)
באופ שוט-
.
בנוס- עוסקי) בכ באופ
חלקי
,
בפרט בתקופת הפצת האגרה השנתית
,
עובדי) נוספי) במחלקת רישו) ופיקוח
אשר עוני) על פניות
הציבור בנושא
.
מוחזקת מערכת מידע ייעודית בחברת הדואר לניהול פנקס מאגרי המידע
, ו
חלק מהעבוד
ת
הרישו)
נעשה במיקור חו0 על ידי עובדת חברת הדואר
.
כדי להקל על העומס בתקופה של תשלו) האגרות
מופעל זה שנתיי) מוקד ייעודיבמיקור חו0
המעסיק שני אנשי)
.
התועלת להגנת הפרטיות במידע של האזרחי) מהלי רישו) מאגרי מידע מוטל בספק
.
מי משמעבד מידע
פרטי פוגש א
ת הרשות המסדירה
,
רש) מאגרי מידע
,
בעיקר בהבטי) של רישו) ותשלו) אגרות ופחות
בהיבטי) של קיו) החובות המהותי
ות
על פי חוק הגנת הפרטיות
–
שימוש במידע למטרה שנמסר
,
שמירה על
סודיותהמידעואבטחתו
,
מת זכות עיו ותיקו במידע לנושאי המידעוכד
'.
9 שתהפו כל פעילות עיבוד מידע במאגר לבלתי חוקית
.
10
ראוסעי-11לדו
"
חרש) מאגרי מידעלשנת2006
.
12
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
העקרו של רישו) מאגרי
מידע מקורו בשנות ה
80
, בו כמות מאגרי המידע במדינה הייתה בסדר גודל של
מאות
.
כיו)
,
קיימי) בישראלעשרות מליוני מחשבי)11שכלאחדמה) עשוילהכילמאגרמידע אחדאויותר
.
להלי של רישו) מאגרי מידע יכול להיות תועלת חיובית
,
וזו ג) הודגמה בתהלי שתואר בדו
"
ח הרש) לשנת
2007 בהקשר של קופות הגמל12
. א העמדה המקצועית של הרשות
,
לאור הנסיו המצטבר בנושא היא שנית
למצוא הסדרי) חלופיי) לתועלות המתקבלות מתהלי רישו)
,
ולצמצ) באופ משמעותי את החובה
הבריוקרטית
המוטלתכיו) תו שיפורמצב ההגנהעל הפרטיותבמידע בכל היבט
.
יצויי
,
כי ככל
שמדובר בגופי) ציבוריי) האוספי) מידע אודות אנשי) מכח חוק
)
ולא על
בסיס
הסכמה
כנדרש בחוק הגנת הפרטיות
(
ומי שעוסק בסחר במידע13
עמדת הרשות היא כי יש להמשי בקיו) חובת
רישו) כאמורמהטע) שהשימוש במידעלא נעשה על בסיסהסכמתהאנשי) אוידיעת)
.
דחיית בקשת רישו בשל ח
ש
דלרישו למטרה בלתיחוקית
במהל שנת 2008
התקבלה אצל רש) מאגרי מידע בקשה לרישו) מאגר מידע לשירות נתוני אשראי לפי חוק
שירות נתוני אשראי
.
נסיבות הבקשה
ומיהות המבקש
העלו חשד כי
עצ) רישו)
מאגר המידע
ישמש לפעילות
בלתי חוקית אוכמסווהלה)
.
14
לאחר בדיקה החליט רש) מ
אגרי מידע
,
מכוח הסמכות המוקנית לו בסעי-10
א)()1(
לחוק הגנת הפרטיות
לסרב לבקשה
.
למבקש נתנה שהות כקבוע בסעי-10
א)()3( לחוק הגנת הפרטיות להשמיע את טענותיו
.
המבקש בחר שלא לטעו כנגדההחלטה
,
ובקשתרישו) מאגרהמידענמחקה
.
הפעלת סמכות זו שלרש) מאגרימידע היאנד
ירה
,
ובפרט במקרההמתואר לעיל
.
קנס מנהלי
לקראת סו- שנת 2008
הסתיי) תהלי הפעלת אפשרות מת קנס מנהלי על ידי רש) מאגרי מידע בדר של
המרת עבירות פליליות של אחריות קפידה על פי סעי-31א לחוק הגנת הפרטיות לקנס
.
אודות האפשרות
שיוטל קנס מנהליפורסמה הודעהלציבור
.
ב
מהל שנת 2009
יופעל הקנס במקרי) הראויי) לכ
,
מקו) שיהיו בידי רש) מאגרי מידע ראיות להפרת
סעי-31אלחוק
.
לעניי זה נבקש לציי כי בתזכיר סמכויות האכיפה האמור
,
מגובש מנגנו חלופי של עיצומי) כספיי)
,
אשר
מתאי) טוב יותר
,
לדעת רש) מאגרי מידע
,
לסוג ההפרות של חוק ה
גנת הפרטיות אשר רבות מה נובעות
משיקולי)כלכליי)
.
11 לעניי זהיש להבי כי כלטלפו סלולרי הוא מחשב
,
כהגדרתובחוק המחשבי)
,
התשנ
ה"1995ומחזי
ק,
במקרי)רבי)
,
מידע אישי רב
.
12
ראוסעי-14לדו
"
חרש) מאגרי מידע משנת2007
.
13כלומר מי שמוכר מידע שאס- אודות אנשי) לאחרי) למטרותכגו דיוורישיר
,
טיוב מידע
,
שיווק וכד
'.
14
—
"ה
וגשהבקשהלרישו) מאגר מידע
)1( י
רשו) אותוהרש)בפנקס
,
תו 90ימי)מיו) שהוגשהלו
הבקשה
,
זולת א)היהלו יסוד סבירלהניח כי המאגר משמש או
עלוללשמשלפעולותבלתי חוקיותאוכמסווה לה
,
או שהמידעהכלולבו נתקבל
,
נצבר או
נ
אס-בניגוד לחוקזה או בניגודלהוראותכל
די "
13
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
די וחשבו
של
רש גורמי מאשרי
לפי חוק חתימה אלקטרונית
,
התשס
"א
2001
לשנת תשס
"ח 2008
14
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
מבוא
חוק חתימה אלקטרונית התשס
"א 2001
)
להל
בפרק זה
–
החוק
(
והתקנות שהותקנו מכוחו
,
נועדו להגביר
את הוו
דאות לגבי פעולות המתבצעות באופ אלקטרוני ע
"
י הסדרת תוקפה
המשפטי
ומעמדה הראיתי של
החתימההאלקטרונית בישראל
.
על פי החוק מונה
רש) גורמי) מאשרי)
,
הפועל כיו) במסגרת הרשות למשפט
,
טכנולוגיה ומידע במשרד
המשפטי)
.
תפקיד הרש) לרשו) את
הגורמי) המאשרי)
במרש) הגורמי) ה
מאשרי)
,
וזאת לאחר תהלי
בדיקה קפדני בדבר עמידת) בתנאי) המקדמיי) הקבועי) בחוק
.
לאחר רישו) גור) מאשר
,
מפקח הרש) על
פעילות)
של הגורמי)המאשרי)
,
עלמנתלהבטיח
כי ה
)
עומד
י)
בדרישות החוק ותקנותיו
.
הרש) מפעיל סמכויות בהתא) לחוק וכ בהתבסס על שני קובצי תקנות מקיפ
י) בנושא זה
,
שהנ) תקנות
חתימה אלקטרונית
)
חתימה אלקטרונית מאובטחת
,
מערכות חומרה ותוכנה ובדיקת בקשות
(,
התשס
"ב
2001
)
להל
–
תקנות חומרה ותוכנה
(,
ותקנות חתימה אלקטרונית
)
רישו) גור) מאשר וניהולו
(,
התשס
"ב
2001
)
להל
–
תקנות רישו גור מאשר
(.
ה
רש)ה
נוכחי
, עו"ד ע
מית אשכנזי
,מ
ונה לתפקידו ב
10.01.07
.
15
לרקע כלליבדבר הפעלתהחוק
,
מוזמ הקוראלעיי בסעי-2לדוחהשנתי לשנתתשס
"ז 2007
.
פיקוח
עיקר תפקידי הרש) אמורי) להשתלב במסגרות סמכויות מחלקת הרישו) והפיקוח של הרשות
,
ובכ לנצל
את בצורה יעילה יותר את כוח האד) הפיקוחי
ואת הנסיו בנושא זה
.
לקראת סו- שנת 2008
החל מהל
ארגוני זה להתבצע אול)טר)הושל)
.
פעילות הפיקוח בשנת 2008
מהווה המש ישיר של פעילות הפיקוח בשנת 2007
,
תו מיקוד בתחומי) בה)
התגלו ממצאי) שמחייבי) טיפול
.
בשנת 2008 הוש) דגש משמעותי בפעילות הפיקוח על תחו) אבט
חת
המידע וההגנה על המערכות הקריטיות של הגור) המאשר
.
במרש) הגורמי) המאשרי) רשו) כיו) גור) מאשר אחד
,
חברת קומסיי
בע"מ )
להל
–
קומסיי
(. ב
מהל
שנת 2008
בוצעו מספר פיקוחי) בקומסיי
,
וזאת לאחר שבפיקוחי) שבוצעו בשנת 2007
נמצאו ליקויי)
ב
רמתאבטחתהמידע
של
מער הגור)המאשרב
חברה
,
אשראינ)תואמי)את הרמה הנדרשת מניהולמער
רגיש שכזה
.
בהתא) לדרישת הרש) החלה חברת קומסיי בפעילות מתקנת על
מנת להביא את רמת אבטחת המידע לר-
הנדרש ולתק את יתר הליקויי) שנתגלו בתהליכי העבודה
.
תהליכי תיקו הליקויי) בחברת קומסיי לא
ב
וצעו בקצב הנדרש16
.הרש)ממשי לקיי) פיקוח שוט- עלהשלמתתיקו כלהליקויי) כנדרש
.
15 הדוח נית ל
עיו
באתר
האינטרנט של
הרש)
:
בכתובת
pdf
.
2007
DochRasham
/
/10394
380
BBAF
83
B
0
F
-
0
A
3
A
-
32
E
4
-
75
EE
-
5
A
70
A
75
E
/
rdonlyres
/
NR
/
il
.
gov
.
justice
.
www
://
http
16ראו לעניי זה הערותינו לעני חסרונה שלסנקציה אפקטיבית על אי עמ
ידהבהתחייבויות כלפי הרש)בסעי- 4
להל
.
15
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
הצגתמסמ כוזבלכאורה במהל פיקוח
בספטמבר 2007
,
במהל פיקוח שוט- הוצג בפני הרש) מסמ
,
אשר נחזה להיות
פרוטוקול
חתו) אלקטרונית
על ידי ששה מעובדי קומסיי
,
ובו תיעוד
,
לכאורה
, על
השתתפות) בתהלי חילול אמצעי חתימה של הגור)
המאשר מספר שבועות לפני כ
.
בבדיקה של תיעוד ויזואלי הקיי) בגור) המאשר אודות המועד שבו בוצע
התהלי
,
הסתבר כיהתהלי בוצעעל ידי שני עובדיקומסיי בלבד
.
לפי נהלי חברת קומסיי
,
כפי שהוגשו לרש) ואשר בהתבסס עליה קיבלה
החברה את האישור ונרשמה
במרש)
,
הטיפול במפתח החתימה
,
המאפשר הנפקת תעודות
,
מחייב ביצוע פרוצדורה קבועה ונוקשה אשר
תהא מבוצעת על ידי
ובנוכחות ששה מעובדי החברה
.
נוהל נוקשה זה נקבע לאור החשיבות הרבה של אבטחת
מפתח החתימה
בפעילות של גור)מאשר
.
מהעובדות המתוארות
,
אש
ר נתמכות א- בראיות אובייקטיביות
, ה
תעורר החשד כי נציגי חברת קומסיי
מסרו ביודעי מסמ שתוכנו כוזב על מנת להניח את דעתו של הרש) שער ביקורת בחברה
.
מדובר במעשה
חמור
,
שכ
,
כאמור לעיל
,
ישנה חשיבות רבה לאמו שרוכש הרגולטור לחברה
,
במיוחד לאור התלות בחברה
ה לאור
היותה החברה היחידה שרשומה במרש) וה לאור אופי המערכות הציבוריות המשתמשות בתוצרי
החברה
.
בהתייעצות ע) המשנה לפרקליט המדינה
,
מר שוקי למברגר ובהנחייתו הוגשה לעניי זה תלונה למשטרה
.
התלונה נחקרהבמהל שנת 2008 ו
התיק
הועבר לפרקליטות
להמש טיפול
.
פיקוחעל
פעילות
ההוצאה לאור שללשכת עו
רכיהדי כגור)רוש)
במסגרת הפעילות השוטפת
,
אושר לקומסיי להתקשר ע) ההוצאה לאור של לשכת עורכי הדי
,
כדי שתשמש
כגור) רוש)
,
וזאת בהתא) לסמכות הרש) על פי תקנה 10
)1( לתקנות חומרה ותוכנה
.
בהתא) לכ
,
מבצעת
לשכת עורכי הדי את תפקיד אימות הזהו
ת של עוה
"
ד המבקשי) להנפיק תעודה אלקטרונית
,
שהינו השלב
הראשו שנעשה בהנפקתתעודה
,
וזאתבשמה של חברת קומסיי
.
האישור נית לאחר בחינת ההסדרה החוזית והנהלית של הנפקת תעודות אלקטרוניות
,
בי קומסיי לבי
ההוצאהלאור שללשכתעורכיהדי
.
האישור הראשו נית בתנאי)
שנקבעו בו
,
החל מיו)20.08.07
, לתקופה
של חצי שנה
,
כלומר עד ליו)20.02.08
. הפעילות לפי הסדר זה החלה בפועל בשנת 2008
ובהתא) לכ הואר
האישור עדלספטמבר2008
.
בפיקוח שבוצע בהוצאה לאור של לשכת עורכי הדי
,
התגלו ליקויי) באופ הפעולה של קומסיי וההוצאה
לאור
,
בא
ופ שעומד בסתירה לה
סדרה החוזית והנהלית
,
שהיו תנאי לאישור
.
הליקויי) התגלו ה במישור
דרישות אבטחת המידע מהמחשב המשמש להנפקה
,
וה באופ ההתקנה של הכרטיסי) החכמי) שעל גב)
הונפקו התעודות האלקטרוניות לעורכי די
.
על רקע ממצאי הפיקוח לא הואר האישור בספטמבר 2008
עד
לביצוע פיקוח נוס- שבו הוצג תיקו הליקויי)
.
בעקבות הפיקוח שונה אופ ההתקנה של הכרטיסי) החכמי)
לעורכי די
.
הממצאי) לא היו במחלוקת ובעקבות)
התקבלה התחייבות אישית של מנכ
"
ל קומסיי ושל
מנכ"
ל ההוצאהלאור
,
כיבחנואת ממצאי הפיקוח
.
בעקבות זאת הואר
באוקטובר 2008
האישור לשיתו- הפעולה בי לשכת עורכי
הדי לחברת קומסיי עד
01.06.09
.לאחר תקופתהדו
"ח,
ובעקבותממצאי)חיוביי)הואר תוק- האישורעד סו- שנת 2009
.
16
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
פעולותנוספות
)
שאינ פיקוח
(
הפעלת סמכות הרש)
"
לחתו)
"
בחתימהמשלועל תעודהאלקטרונית שלגור)מאשר.
במהל שנת
2008
הוחל בצעדי) מעשיי) להפעלת הסמכות המוקנית לרש) בסעי- 12 לחוק לחתו) בחתימה
אלקטרוניתמאובטחת את התעודותהאלקטרוניות המשמשותגורמי)מאשרי)
.
נושא זה מקובל בחלק ממדינות אירופה ובמסגרת מער האמו המשמש עובדי מדינה בארה
"ב,
והינו בי
ההמלצות שנדונו בועדה המי
יעצת לרש)
.
המטרה היא לייצר זיהוי טכנולוגי של הגור) המאשר
,
ולקבוע
נהלי) מחייבי) באמצעות התשתית הטכנולוגית המקובלת
.
לאחר בדיקות שבוצעו
,
הכוונה היא להפעיל
במהל שנת העבודה2009 מער כאמור
,
אליויוכפ- כל גור)מאשרהמנפיקתעודות לפי החוק
.
חתימה אלקטרוניתמאובט
חת
במהל שנת 2008
ובתחילת שנת 2009
התעוררה אי בהירות בהקשר של תקנות מס הכנסה
)
ניהול פנקסי
חשבונות
(,
לגבי חתימה אלקטרונית מאובטחת ומהותה
.
בנושא זה יפרס) הרש) במהל שנת 2009
נייר
עמדהמטעמו
.
חקיקהוהנחיות
במסגרת הטיפול השוט- בחוק ובתקנות נערכת
על ידי הרשות
בדיקה של הצור להמלי0 למחלקת ייעו0
וחקיקהבמשרדהמשפטי) עלתיקוני)ושינוי) בחוקובתקנות
.
הנושאי)המרכזיי) הנבדקי)
:
ש
יפור
כליאכיפה
ופיקוח
במהל שנת 2008 התגלו מספר הפרות של הנחיות ונהלי) על ידי הגור) המאשר
,
קומסיי
.
הסתבר כי
בידי
הרש)אי סנקציות יעילות
,
פרטלהתלייתרישו)
,
כנגד הפרות אלה
.
הגור) המאשר נקט סחבת בביצוע תיקוני ליקויי) והנחיות הרש)
,
כאשר לרש) לא עמדו כלי) יעילי)
ומרתיעי) להגברת הציות
.
מאחר שכיו) פועל רק גור) מאשר אחד
,
התליית רשיונו הינה בעלת השפעה
מיידיתלפרויקטי)הנסמכי)עלחתימה אלקטרונית מ
אושרת
,
ולכ מחייבת זהירותמרובה
.
שינויתקנותבתחו)מכשירי)השומרי) עלאמצעיחתימה
תקנה 8 לתקנות חתימה אלקטרונית
)
חתימה אלקטרונית מאובטחת
,
מערכות חומרה ותוכנה ובדיקת
בקשות
(,
התשס
"ב 2001
כוללת
פירוט הדרישות לקיו) חזקה של
"
חתימה אלקטרונית מאובטחת
".
במסגרת
ז
ו נדונה השאלה מה צריכות להיות דרישות המינימו) מהתק המשמש לאיפסו מפתח לחתימה אלקטרונית
מאובטחת אומאושרת
.
התקינה המופיעהכיו) בתקנה מציבהר- נמו מדי
,
לדעת הרש)
.
באיחוד האירופי הוחלט לקבוע כדרישה להתק profile protection שנכתב לפי
תק
ה criteria common
profile protection השוני) שנכתבו להתקני) ולכרטיסי) חכמי) ה) ברמה 4
ב
רמה 4.
בנוס-
,
כל ה
לפחות
. ב
ועדה המייעצת
לרש) הגורמי) המאשרי) שפעלה במשרד המשפטי) בשנת 2004
נשמעה המלצה
לקבוע את הדרישה מהתק המשמש לחתימה אלקטרונית מאושרת לפי criteria common רמה 4 לפחות
,
ולאלהפנותכלללתק fips
.
בנושא זה מוצע לטפל בשנת 2009
.
17
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
שינויתקנותכתוצאהמ
התפתחויות במחקרההצפנה
חתימה אלקטרונית מבוססת על שימוש בישומי) המבוססי) על טכנולוגיות הצפנה מקובלות
.
ההתפתחויות
בתחו) מחקר ההצפנה ופריצת הצפנות
,
הביאו לדיו בדבר צור בשידרוג טכ
נולוגי17
.
בימי) אלה
נערכת
בדיקה בנושא זה עבורמשרדהמשפטי)
.
שינוי כלליזיהוימבקשי תעודותאלקטרוניות
התקבלו תלונות ממבקשי תעודות שאי ביד)רשיו נהיגהאודרכו ובשלכ נמנעת האפשרות להנפיק עבור)
תעודה אלקטרונית
.
דרישתהצגת) של שנימסמכיזיהויהמכילי)אתת
מונתו שלמבקש התעודה נסמכתעלהרצו לקיי)תהלי
זיהוי פני)
אל
פני) אמי ככל האפשר
.
עקב קלות הזיו- של תעודת הזהות
,
יש צור להסתמ על יותר
ממסמ אחד נושאתמונה
.
הפתרו אפשרי לבעיה זו18
הוא בשינוי התקנות באופ שנית יהא להסתמ על מסמכי) נוספי) נושאי תמונה
ואמ
יני)
,
כגו תעודות צבאיותאוממשלתיות
.
עדכוני אודות חתימה אלקטרונית באירופה
כפי שצויי לעיל
,
החוק הישראלי מבוסס במידה רבה על תובנות מקובלות בעול)
.
בהקשר זה
,
בוצעה עבודת
תקינה והסדרה משמעותית באיחוד האירופי על פי הדי האירופי
,
במסגרת קבוצות עבודה בארגו הת
קינה
19ETSI
.
בהקשר זה
,
בשל הדמיו בי הדי האירופי לדי הישראלי
,
והאינטרס בתנועה חופשית של תקשורת
,
יז)
משרד המשפטי) ע) מינהל סחר חו0 במשרד התעשייה המסחר והתעסוקה
,
שיתו- הפעולה בתחו) זה מול
האיחודהאירופי
,
ונושא זה נכללג) במסגרתתוכנית הפעולה התלת שנתית של
האיחודהאירופי מול ישראל
.
הרש) הישראלי חבר כמשקי- לא פורמלי בארגו הוולנטרי של הרשויות המפקחות על החתימה
)FESA- Forum of European Supervisory Authorities
האלקטרונית באירופה
.(
מדובר באות רשויות
פיקוח שהוקמו על פי הדירקטיבה האירופית במדינות אירופה
.
במסגר
ת ארגו זה נדונות סוגיות טכנולוגיות
ומשפטיות העולות
.
לישראל אינטרס גבוה להשתת- בדיוני) הפני) אירופאי)
,
מאחר וכ תתאפשר הערכות והתאמה מול
ההתפתחויות בתחו) באירופה והידע הנרכש בפורו) עשוי לשמש לפיתוח המדיניות הישראלית הפנימית
בנושא זה
.
מהדיוני) בפורו) זה ע
ולה כי במדינות רבות באירופה היישו) של החתימה האלקטרונית
,
בפורמט הדומה
לחוק הישראלי טר) זכה לתפוצה משמעותית
.
השימוש בפועל בחתימה אלקטרונית הוא בפרוייקטי)
ממשלתיי)
.
נית לומר כי יעד מרכזי במדיניות האיחוד בתחו) זה
)
בשונה מהמדיניות בכל אחת מהמדינות
(
הינו לקד)
אתהאחידותבתחו) שירותי
"
ממשל מקוו
"
וחתימה אלקטרונית
.
17 ראו
;
ElectronicSignaturesandInfrastructures
,
.0
.0
2
Ver
176
-
102
TS
,
ETSI
AlgorithmsandParametersforSecure :
paper
"
Algo
("
,
Hashfunctionsandasymmetricalgorithms
:1
Part
;
ElectronicSignatures
( באתרETSI
,לעיל
.
18וזאתכל עוד לא הונפקהתעודת הזהות ה
"
חכמה
"
החדשה
.
19 ראו
http://portal.etsi.org/esi/el-sign.asp:
.
18
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
בנובמבר 2008
אימצה נציבות האיחוד האירופי
"
תוכנית עבודה בדבר חתימות אלקטרונית וזיהוי אלקטרוני
"Action Plan on eSignatures and
"20
לצור אספקת שירותי) ציבורי) חוצי גבולות בשוק המשות-
)
eIdentificationtofacilitatetheprovisionofcross-borderpublicservicesintheSingleMarket
.("
מטרת תכנית העבודה לאפשר אספקת שירותי) ציבורי) באמצעות האינטרנט
,
על בסיס
חתימות
(e-signature וזיהוי אלקטרוני
)e-identification
אלקטרוניות
)
(, בעלי תוק- כלל
אירופאי
,
ולא רק תוק
-
בכלאחת מהמדינות
.
בהקשר של חתימות אלקטרונית
,
מבקשת תוכנית העבודה
ליצור תשתית אחידה לשימוש בחתימות
אלקטרוניות מצד אחד ופיתוח שירותי) המסתמכי) על חתימות אלקטרוניות מצד שני
,
במדינות השונות
,
תו יצירת בסיסמשפטימשות- שלהכרה בחתימות אלקטרוניות
.
מהל זה מ
בוסס ברובו על ממצאי מחקרי) מקיפי) בדבר הקשיי) בפני הטמעה של חתימה אלקטרונית
במדינות אירופה
.
נציבות האיחוד האירופי ביצעה מחקרי) בנושא זה וכ מיפוי הפערי) בי המדינות
"21
השונות
,
לצור התמודדות ע)סוגיה זו עלמנתלקד) שימוש בחתימהאלקטרונית
"
כללאירופאית
.
הת
כנית השנתית בתחו) החתימה האלקטרונית ברמה הגבוהה
)
המקבילה לחתימה אלקטרונית מאושרת
(
כוללת בי היתראתהרכיבי)הבאי)
:
1.זיהויסטנדרטי) שלמוצרי)בתחו) החתימות האלקטרוניות
,
וניתוח האפשרות להרחיבאתקוהמוצרי)
מעברלזה המאושר כיו) על ידי הנציבות
.
2. עריכת ר
שימה מפוקחת של כל ה
"
גורמי) המאשרי)
"
המאושרי) לפי הדירקטיבה האירופית
.
)QualifiedCertificationServiceProviders
.(
3. קביעת קווי יסוד והכוונה של הצרכי) על מנת לתמו בהטמעות של החתימות המוכרות על פי הדירקטיבה
האירופית
.
בתחו) החתימה האלקטרונית ברמה הנמוכה י
ותר
,
המקבילה לחתימה אלקטרונית מאובטחת
,
מכירה
הנציבותבער הרב שלמוסד זה
,
ובשימושבו
,
ולכ מבקשתג)כ להסדיר קווי)טכנולוגי) מנחי) למימושו
.
יש לציי כי בנציבות האיחוד האירופי מתנהל פרוייקט נסיוני רחב היק- לשימשו בחתימה אלקטרונית בי
.22
מדינות אירופאיות שונו
ת,
בתחו) הרכש הממשלתי
על פי הדירקטיבות החלות על תחו) זה נדרש שימוש
בחתימה אלקטרוניתלצור הגשתהצעותמקוונות
.
מחברי התכנית מצייני) כי היא אמנ) מתמקדת בזיהוי אלקטרוני וחתימות אלקטרוניות לשימוש
באפליקציותממשלתיות ברשת
,
א הצפי הוא שפעילות זותשמשבסיס ג)
לפיתוח ג)בסקטור הפרטי
.
20 לדיווח כללי
:http://ec.europa.eu/idabc/en/document/7768
:ActionPlan
on eSignatures and eIdentification to facilitate the provision of cross-border public
ראו
. לתוכ ההחלטה
,
ראו
servicesintheSingleMarket–COM(2008)798final.
,
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0798:FIN:EN:PDF
21 ראו
/
document
/
en
/
idabc
/
eu
.
europa
.
ec
://
http
6485:
22
http://ec.europa.eu/idabc/en/document/2084/5874
19
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
נספח
אופ הפעלת סמכויות הפיקוח
בחברתקומסיי
כנדרש בתקנה 16 לתקנות חומרה ותוכנה
,
מפורטות להל
אופ הפעלת
סמכויות הפיקוח לפי התקנות השונות
בתקופה הנסקרת
.
תקנה2.
תק
נוסח התקנה
:
"
גור)מאשריקבלמאתמכו התקני)אומאתמישאו
שרלעני
י
זהלפיסעי-12
לחוקהתקני)
קוד)לתחילתפעילותולפיהחוקתעודתבדיקהבדברהתאמהלת
"י7799
,
חלקי)1ו2,ויעמוד
בתק במש כלזמ פעילותו
."
בהתא) למידע שהתקבל ממכו התקני)
,
תוק- ההסמכה לתק ישראלי 7799
הסתיי) ביוני 2008
, והחל
ממנו תתחייב עמידה בתק
ישראלי 27001
. א- כי הודעה מתאימה פורסמה על ידי הרש) ונמסרה לחברת
קומסיי זמ רב מראש
,
לא עמדה חברת קומסיי במועד שנקבע
,
ולאחר משלוח התראות ובטר) נ
קיטת
אמצעי)
,
השלימהאת הערכותה
,
וזאתלאחרהמועד שנקבעלתפוגת האישור
.
תקנה3.זמינות
נוסח התקנה
:
"
גור)מאשריד
אגלהבטיחכיבמערכותהדרושותלבדיקתמאגריתעודותבטלותועדכונ תתקיי)בכלעת
רמתזמינותגבוההלהנחתדעתושלהרש)
."
במהל שנת 2008
ארע מקרה בו מאגר התעודות הבטלות של הגור) המאשר לא עודכ בהתא) לכללי)
החלי)עלהגור) המאשר
.
תחקור האירוע
בידיחברת קומסיי וביד
יהרש)
העלהכשלאנושיארגוניבתפקוד
הגור)המאשר
.
תקנה4.אמצעיהחתימה שלהגור המאשר
נוסח התקנה
:
"
גור)מאשרישתמשבאמצעיחתימהשמתקיימי)בולפחותכלאלה
:
)1(הואמבוססעלמפתח RSAאו DSA
באור 2048
סיביותלפחותאו ECDSA
באור 160
סיביות
לפחות
.
FIPSרמה2.
)2(הואמוג באמצעי
שמתקיימותבולפחותדרישותהאבטחהשל2140
)3(
הואמגובהבאמצעי)מוגני)ומאובטחי)להנחתדעתושלהרש)
.
הגיבוייישמרבנפרד
.
)4(דרישותנוספותשהעמידהרש)לש)קיו)אבטחהברמהסבירהמפניחדירה
,
שיבושאושימוש
לרעה
".
בבדיקה שגרתית התברר לרש) כי קומסיי ה
חליטה על דעת עצמה שאחד השרתי) המשמשי) להנפקת
תעודות אלקטרוניות יהיה כזה העושה שימוש באור מפתח שהינו באור 1024
סיביות
במקו)2048 ביט
,
וזאת בניגוד לתקנה 4 לתקנות
.
זאת בשל עמדתה
,
ולפיה
דרישת התקנות חלה רק על מפתח
"
שורש
"
ולא על
אמצעי החתימההמשמש לחתימה עלת
עודות אלקטרוניותלפי החוק
בפועל
.
עמדה זו לא נתקבלה ע
"
י הרש)
ה ברמה המשפטית וה ברמה הטכנולוגית
.
זאת משו) שדרישת התקנות
הינה לחוזק קריפטולוגי בכל רכיבי השרשרת המזהה את הגור) המאשר
,
וחוזקה כחוזק החוליה החלשה
. על
כ
הנחה להפסיק להשתמש באופ מיידי בשרת זה כש
רת הנפקה
.
נכו למועד הגשת דו
"
ח זה
,
כעולה מממצאי
הפיקוחבקומסיי
,
קומסיי פועלתעל פי הנחייה זו
.
20
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
כמהל משלי)
הרש) דרש מקומסיי
ל
בטל את
התעודות שהונפקו על ידי שרת 1024 סיביות
,
באופ שיאפשר
ביטול תעודת שרת זה שהינה בניגוד לתקנות
,
ולסגירתו של שרת 1024 באופ ס
ופי
,
באופ שיפסיק לפרס) ג)
רשימת תעודות בטלות
.
על מנת למנוע פגיעה בעסקיה של קומסיי ובלקוחותיה
,
הסכי) הרש) לפתרו
שהוצע על ידי קומסיי
,
של החלפה אוטומטית
,
בתהלי שיאושר
,
של תעודות אלו בתעודות שיונפקו משרת
2048 סיביות
.
קומסיי התחייבה לסיי) פעילות זו עד לסו
- שנת 2008
. יחד ע) זאת
,
הפיתוח שנדרש לש) כ
הושל) ע
"
י קומסיי רק בפברואר 2009
. הפיתוח שהוצג לבסו- לא היה בטוח דיו לדעת הרש) ויוע0 האבטחה
שלו
,
ובעקבותיו נדרשו תיקוני) נוספי) בהלי
.
אישור סופי של הרש) לתהלי ההחלפה המוצע
נית רק
לאחרתקופתהדוח
,
ביוני2009
.
תקנה5.אבטחתמרכיבי המערכת ואמצעיהתקשורת
נוסח התקנה
:
")א(
מרכיביהמערכתהמשמשי)לזיהויהמבקש
,
להנפקתתעודהאלקטרוניתולביטולה
)
להל
–
פעולותחיוניות
(
יעמדוברמתביטחו שלתק EAL4 criteria commonאולפיתק מקובל
אחרהמבטיחרמתאבטחהמקבילהלהנחתדעתו
שלהרש)
.
)ב(
אמצעיהתקשורתהמשמשי)לפעולותחיוניותשלהגור)המאשריעמדובדרישותאבטחה
גבוהותלהנחתדעתושלהרש)
."
במהל שנת 2008
,
עקב פיקוחי) חוזרי) בקומסיי
,
שהעלו ממצאי) מדגמיי) מטרידי) בתחו) אבטחת
המידע
,
דרש הרש) מקומסיי לערו סקר ס
יכוני) בלתי תלוי ומקי-
למערכות
באמצעות יוע0 חיצוני
.
סקר
כאמור נער על ידי מומחה שנבחר על ידי קומסיי
.
ממצאיו של סקר זה נמסרו לרש)
.
יוע0 האבטחה של
קומסיי מצא שורה של ליקויי אבטחה
,
ונת המלצות מקיפות לתיקונ)
.
קומסיי התחייבה לתק את
הליקויי) וא- הציגה לרש) מצגי) לפיה) התוכנית בב
יצוע ותושל) תו זמ קצר
.
בפיקוח שנער ב
סו-
דצמבר 2008 התברר כי למרות התחייבויו
ת
קומסיי לתיקו הליקויי) לא הושל) תיקונ) במלואו
,
וא- לא
הוחל בחלק מהתיקוני) שהוצגו כתיקוני) בעבודה
.
רק בעקבות הערות הרש) בפיקוח
,
לאחר חודש פברואר
2009
,
הוחל בביצוע מלוא התיקוני)
.
בבדיקת ביניי) שנערכה במר02009
, נית היה להתרש) מש
יפור
משמעותי שלמער אבטחת המידע
.
תקנה6.אבטחה פיזית
נוסח התקנה
:
"
גור)מאשריבטיחכי חלקיהמערכת החיוניי)לפעילותוכגור)מאשר
)
להל
"–
החלקי)
החיוניי)
"(
יישמרובמקו)מוג המונעחדירהוכניסהבלאהרשאהוה
תוא)אתאופיפעילותושל
גור)מאשרלהנחתדעתושלהרש)
."
נכו למועד הגשת דוח זה
,
ועל פי דיווח של מבקר אבטחת המידע ביחס לפעילות החברה
,
ליקויי) שהיו
בנושא זה בעברתוקנו
.
תקנה7.
בקרתגישה והפרדתתפקידי
נוסח התקנה
:
)א( “
גור)מאשריבטיחכיביצועהפעולותהחיוניותל
איהאבשליטתושלאד)אחדבלבד
)ב(
גור)מאשריבטיחאתמידורהגישהלחלקי)החיוניי)כ שלאותואד)לאתהאגישהלכל
החלקי)החיוניי)
."
במהל שנת 2008
התרחשה בקומסיי תקלה ביו) שבתו
,
והתקלה תוקנה על ידי אד) אחד בלבד
.
במסגרת
תיחקור האירוע התברר כי הגישה למערכת החיתו
) של קומסיי הוגדרה באופ שג) אד) אחד בלבד יכול
לגשת אליה
.
זאת למרות שלצד הוראת התקנה
,
ג) נהלי החברה חייבו גישה על ידי שני אנשי)
.
ג) בעת
הביקורות הוצגה תמיד גישה של שני אנשי) למער זה
,
למרות שכאמור התברר בדיעבד
,
כי נית היה להפעיל
אתהמער באמצעותאד) אחד
בלבד
.
לפיהצהרת
מנהלהאבטחה של קומסיי
,
נושאזהתוק
.
21
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
תקנה8)1
ג)((.
חזקהלעני חתימהאלקטרוניתמאובטחת
נוסח התקנה
:
"
חתימהאלקטרוניתשמתקיי)בהאחדמאלה
,
חזקהשהיאחתימהאלקטרוניתמאובטחת
:
)1(לגביאמצעילאימותהחתימהשמחזיקבידיוהמבקש
,
ואמצעיאימותהחתימ
השאותוהוא
מזהה
,
מתקיימותלפחותהדרישותכמפורטלהל
:
)ג(
היתההפעלתאמצעיהחתימהכרוכהבשימושבסיסמה
,
תעמודהסיסמהבדרישותאבטחה
ברמההגבוההלפית
"י1495
חלק3
,
אובדרישותחלופיותשקבעהרש)
,
א)נוכחכינית
לפטורמהדרישההאמורה
".
עדהיו)
לא
התבקשהרש) ל
הפעילאת סמכותולקביעתדרישות חלופיותלסיסמא לפיהתקנה הנ
"ל.
ע) זאת
,
במסגרת תיקו נהלי) של הגור) המאשר
,
וכ אישור פעולת ההוצאה לאור של לשכת עורכי הדי
,
ובהתא) למקובלות בתחו) זה
,
הנחה הרש) כי אור ססמת הגישה יהיה
לפחות 6
תוי
.
במסגרת ביקורת
שנערכה בהוצאה ל
אור של לשכת עורכי הדי התברר כי הונפקו כרטיסי) חכמי) שלא על פי הנחיה זו
.
על פי
הוראתהרש)
,
ליקוי זהתוק על ידי ההוצאהלאור
.
תקנה9.אישור לעניי חתימהאלקטרונית מאובטחת
.
")א(
מישמעוניי בכ רשאילפנותבכתבלרש)לש)קביעה
–
)1( א
) טכנולוגיה מסוימת עומדת
בדרישות שנקבעו בתקנה 8)1(,
פניה כאמור תכלול מסמכי)
המתארי)אתהטכנולוגיהלרבותתעודתהתאמהלתק מקובלא)ישנהוחוותדעתשלמומחה
אבטחתמידעבדבראמינותהשלהטכנולוגיה
,
הרש)רשאילדרושכלמידעאחרהדרושלוכדי
לבחו א)מדוברבטכנולוגיההעומדתבדרישותתקנה8)1(וכדילאשרה
.
)2( כיטכנולוגיהמסוימתמפיקהחתימהאלקטרוניתשחזקהשהיאחתימהאלקטרוניתמאובטחת
א-שאי מתקיימותבההוראותתקנה8)1(,פניהכאמורתכלולמסמכי)כאמורבפסקה
)1
.(
)ב(
אישרהרש)לפיתקנתמשנה
)א(
כיחזקהשחתימהאלקטרוניתמסוימתהיאחתימהאל
קטרונית
מאובטחת
,
יפרס)ברשומותאתדבראישורהשלהטכנולוגיהשלגביהאישרכאמור
,
נוס-עלכ
ינהלהרש)רשימהמעודכנתשלטכנולוגיותשקיבלואתאישורובאתרהאינטרנטהמשמשלכ
."
בשנת 2007 הוגשו לרש) שתי בקשות בנושא זה
.
ככלל
,
מוצרי) המשמשי) לביצוע פעולות הצפנה
,
והמ
חזיקי) מידע רגיש
,
כגו חתימה אלקטרונית
,
נדרשי) לעבור הסמכה במכו תקינה לפי תקני אבטחת
מידע מקובלי)
,
ובראש 15408)ISO
,
וכ תק של ארגו NIST האמריקאי
,
מסדרת FIPS
. הבדיקות לפי
תקני) אלה מחייבות תשתיות בדיקה ממוסדות
,
ידע והכשרה
,
שאינ מצויות במלוא בשוק האזרח
י במדינת
ישראל
.
בהתא) לכ
,
עמדת הרש) היא כי ככלל יש להסתמ על אישורי) שניתני) ממוסד מוכר בחו
"ל
בהתא)לתקני)אלה
.
בנושא זה נערכתבדיקה נוספתבידיהרש)לעניי אופ מימוש הסמכות הנתונה בתקנהזועלרקעהאמור
.
תקנה 10
)2
.( זיהויהמבקש
נוסח התקנה
:
"10
. לא
ינפי
קגור)מאשרתעודהאלקטרוניתאלאלאחרשאימתאתזהותהמבקשכמפורט
להל
:
)1( ה
גור)
ה
מאשר
,
אונציגואושליחמטעמושאישרהרש)ובתנאי)שקבעבאישור
,
זיההפני)אל
—
פני)אתהמבקש
,
וא)היההמבקשתאגיד
אתמורשההחתימהמטע)התאגיד
;
)2( ה
גור)המאשריאמתאתפרטי
ה
זיהוי
שלהמבקש
:
—
)א(ב
יחידשהואתושבישראל
עלפיתעודתזהות
,
וכ עלפידרכו ישראליתק-אורישיו נהיגה
22
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
—
ישראליתק-ע)תמונהאועלפימידעשהתקבלממרש)האוכלוסי במשרדהפני)
)
להל
מרש)האוכלוסי
(;
הרש)רשאילהורות
,ב
התחשבבעלותקבלתהמידעובתועלתהעשויה
לצמוח
ממנו
,
כיהאימותבהתא)לפסקתמשנהזו
,
לגב
י
כללהתעודותהאלקטרוניותאולגבי
תעודותאלקטרוניותמסוימות
,
יתבצעעלפימידעשהתקבלממרש)האוכלוסי
;
בפסקתמשנה
— "
זו,"
מידעשהתקבלממרש)האוכלוסי
הפרטי)שדרשהרש)
,לוכ)
אוחלק)
,
מבי
אלה
:
מספרהזהותשלהמבקש
,
ש)מ
שפחתווש)משפחהקוד)
,
א)ישנו
,
ש)פרטי
,
ש)האב
,
ש)הא)
,
שנתלידה
,
תארי הנפקתתעודהאחרו
,
סיבתהנפקתהתעודה
,
מע נוכחי
,
א)ישנ)
—
סטטוספטירהותארי פטירה
;
—
)ב( ב
יחידשהואתושבחו0
עלפידרכו חו0אותעודת
מ
סעאותעודתזהות
,
וכ עלפימסמ
זיהוינוס-הנו
שאתמונהשלהמבקשופרטי)מזהי)שלוושל
מישהנפיקאתהמסמ הנוס-
;
—
)ג( ב
תאגיד הרשו) בישראל
על פי תעודת הרישו)
,
אישור של עור די על קיומו של
התאגיד
,
שמוומספרוהרשו)
,
אובמקו)אישורשלעור די כאמור
—על
פי
אימותבמרשמי)
המתאימי)
,
וכ על פי העתק מאושר של ה
חלטת האורג המוסמ בתאגיד בדבר מורש
ה
החתימהמטע)התאגיד
,
אואישורשלעור די עלמורשההחתימהכאמור
;
—
)ד( ב
תאגידשאינורשו)בישראל
עלפיהעתקמאושרממסמ המעידעלרישומו
,
אישורשלעור
—
די עלקיומושלהת
אגיד,
שמוומספרוהרשו)
,
אובמקו)אישורשלעור די כ
אמור
עלפי
אימותבמרשמי)המתאימי)
,
וכ עלפיהעתקמאושרשלהחלטתהאורג המוסמ בתאגיד
בדברמורשההחתימהמטע)התאגידאואישורשלעור די עלמורשההחתימהכאמור
;
—
)ה(ב
מוסדציבורי
עלפיהצהרתהמבקש
,
לאחר
ש
הגור)המאשרנוכח
,
עלפימסמ
,
כימורשה
— "
החתימהמוסמ
לפעולבש)המוסדהציבורי
;
לעני פס
ק
הזו
",
מוסד ציבורי
משרדי
ממשלה
,
רשויותמקומיות
,
וכ רשויות
,
תאגידי)אומוסדותאחרי)שהוקמובישראללפי
חיקוק
;
—יזהההגור)המאשראתמורשההחתימהלפי
)3(ל
עני פסקאותמשנה
)ג(עד
)ה(
שבפסקה
)2(
הוראותפסקאותמשנה
)א(או)ב(
שבא
ותהפסקה
,
לפיהעני
;
— "
)4(ל
עני פסקאותמשנה
)ד(ו)ה(
שבפסקה
)2(,
"העתקמאושר
העתקמתאי)למקורהמאומת
בידיאחדמאלה
:
)א(ה
רשותשהנפיקהאתמסמ המקור
;
)ב( ע
ור די בעל
ר
ישיו לעריכתדי בישראל
;
)ג( נ
ציגדיפלומטיאוקונסולריישראליבחו0לאר0
."
בהח
לטתו מיו) 1.1.03
הורה הרש) לגורמי) המאשרי) לזהות יחידי) שהנ) תושבי ישראל על סמ מידע
שהתקבלממרש)האוכלוסי
.
בדצמבר2008
גובשה הנחייתביניי) בתיאו)ע) קומסיי
לזיהוי ביחסליחידי) שבה
)יש אי התאמה חלקית
בפרטירישו)
,
והנחייה זו תעודכ בתקופההקרובה
.
23
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
תקנה12
.זיהוילצור!הנפקתתעודהאלקטרונית חדשה
"
בהנפקתתעודהאלקטרוניתחדשה
,
עלסמ תעודהאלקטרוניתשטר)פגתוקפה
,
יכולגור)
מאשרלנקוטהליכיזיהוישוני)מאלההאמורי)בתקנה10
,
ובלבדשהרש)אישרהליכי)
כאמור
".
במסגרת סמכותו הנ
"
ל אישר הרש)
לקומסיי
לנקוט בהלי
זיהוי שונה מזה האמור בתקנה 10 בעת חידוש
תעודה אלקטרונית תקפה
.
במסגרת הלי הזיהוי המתוק אושר שימוש באמצעי זיהוי חלופיי) במקו) זיהוי
המבקש פני) אל פני)
.
מבירור שנער ע) חברת קומסיי
,
בשנת 2008 לא היה שימוש בנוהל זה
.
הרש) בוח
תיקו לאישור שנית
.
תקנה15
.
שינויתק
")א(
הוחל-תק מ התקני)הנזכרי)בתקנותאלה
,
לרבותמסמ RFC
,בתק אומסמ חדש
,
לפיהעניי
,
יהיוהתק אוהמסמ החדשמחייבי)במקביללתק אוהמסמ היש
,
זולתא)
אי עודבתק אובמסמ היש כדילהבטיחתנאיאבטחהנאותי)להנחתדעתושלהרש)
,
שאזיחייב
התק אוהמסמ החדשבלבד
,
בתו זמ שיורההרש)
".
)ב(
הרש)יודיעלגורמי)המאשרי)עלשינויתק אומסמ RFCמחייבכאמורבתקנתמשנה
)א(
ויפרס)באתרהאינטרנטשיועדלכ רשימהמעודכנתשלהתקני)והמסמכי)המחייבי)לפי
תקנותאלה
."
RFC שלפיו יש לערו מסמ נהלי) של גור) מאשר
בהחלטתו מיו)18.2.04 קבע הרש) כי המסמ
2527
RFC
כאמור בתקנה 1
לתקנות יוחל- החל מיו) 1.3.04
במסמ חדש המסומ 3647
.
בנוס-
,
כאמור נמסרה
הודעה על פי תקנה זו כי עד ולא יאוחר מ
–30.06.08
על גור) מאשר להציג תעודה על התאמה לתק ישראלי
27001
, במקו) ההתאמהלת
ק ישראלי7799
.
כמו כ נבדקות התפתחויות בתחו) ההצפנה ואבטחת המידע לצור בחינת סוגיית עדכו ההנחיות בנושא זה
בתקנות ועל פיה
.
24
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
די וחשבו
של
רש
שירותי נתוני אשראיושירותי מידע על עוסקי
לשנת
תשס
"ח 2008
25
MinistryofJustice
משרד המשפטי
TheIsraeliLaw,Information&
הרשות
למשפט
,
טכנולוגיה ומידע
TechnologyAuthority(ILITA)
מדינת ישראל
StateofIsrael
די וחשבו אודות פעולות הרשותלמשפט
,
טכנולוגיהומידעבשנת2008
מבוא
להל פירוט הפעילויות ברש
ות במסגרת הפעלת סמכויות רש) שירותי נתוני אשראי ושירותי מידע על
עוסקי)
)
להל
הרש
(
מכוח חוק שירות נתוני אשראי
,
התשס
"ב 2002
)
להל
החוק
(
ותקנות שירות נתוני
אשראי
,
התשס
"ד 2004
)
להל
התקנות
(.
מת רישיונות
במהל 2008 המשי הלי בדיקת הבקשה לרישיו שירות נת
וני אשראי של חברת לב אמו בע
"מ,
כולל מספר
ביקורי) במתקני החברה
.
ביו)14.8.08
נית לחברת לב אמו רישיו שירות נתוני אשראי המוגבל לאיסו-
נתוני)בלבד
,
ואוסר עלמסירת)
,
עדלהשלמתבדיקות הרש)ומת אישור מפורשלמסירתמידע
.
התקבלו מספר פניות של גורמי) אשר הביעו ע
ניי בקבלת רישיו שירות נתוני אשראי
,
ע) זאת עד כה לא
הוגשהבקשהמסודרתלרישיו
.
פיקוח על בעליהרישיונות
בי די איי
ביזנס דאטה ישראל בע
"מ נערכה ביקורת שירות נתוני אשראי
.
במהל הביקורת נבדק מער
אבטחתהמידע והיבטי)מסוימי) לגבי הפעלתהשירות
.
לאנמצאוליקויי
)מהותיי)
.
סי אי
איי
בע"מ נערכו מספר ביקורות אבטחה פיסית במשרדי החברה
,
היות והמשרדי) הועברו למיקו)
חדש
.
ליקויי) שזוהובמהל הביקורות תוקנועל ידי בעלהרישיו
.
טיפול בתלונות
במהל 2008 הוגשו תלונות בודדות מהציבור כלפי בעלי הרישיונות
.
בכול
נמצא שהרקע לתלו
נה הוא אי
הבנת ההסדר בחוק עלידי המתלונ
.
הנחיותהרש
ביו)24.1.08 פורסמה הנחיית הרש) מס
'2/2008
שעניינה אופ הטיפול בבקשות לתיקו מידע על ידי בעל
רישיו שירותנתוניאשראי לפי סעי-31לחוק
.
ליווי הליכי תיקו החוק והתקנות במהל הדיוני) לגבי תיקו החוק ו
התקנות במשרד המשפטי) ובוועדת
הכלכלה בכנסת נכחהרש) ו
/
אונציגיו
.
תשלו) לתאגידי) הבנקאיי) בינואר 2008 הוציא הרש) דרישה לשניי) מבעלי הרישיונות
)
חברות
בי.די.
איי
ביזנס דאטה ישראל בע
"מ ודי.
אנד בי
.
החברה לנתוני אשראי בע
"מ(
לבצע את התשלו) הנדרש
לתאגידי)
הבנקאיי
)המעבירי) אליה)מידע
,
וזאתעל
פיפרקח
'
לתקנות
.
על דרישה זו השיגו שני בעלי הרשיונות
.
במהל השנה בח הרש) את טענות בעלי הרישיונות ו
תגובת
איגוד
הבנקי) עד שמסר לצדדי) הכרעתו בנובמבר 2008
,
לפיה על בעלי הרשיונות לשל) את הנדרש לתאגידי)
הבנקאיי)
.
על הכרעה זו הו
גשהעתירהלביהמ
"
ש העליו
כשבתו כבג
"0
ביו)2.2.09 והיאנדונה בימי)אלה
.
26