דיווח על-פי חוק

PDF 153,904 תווים המסמך המקורי ↗
הרשות למשפט, טכנולוגיה ומידע דו"ח לשנת 2011 נובמבר 2012 א. דבר מנכ"ל משרד המשפטים דבר המנכ"ל לדו"ח הפעילות לשנת2011 -רמו"ט הדו"ח המסכם את שנת העבודה 2011 ברשות למשפט, טכנולוגיה ומידע מציג את הפעילות המגוונת והייחודית שנעשתה ברשות במהלךשנהזו. בשנה החולפת פעלה הרשות במספר מישורים, תוך הקפדה על השגת היעדים השוטפים לצד תכנון צופה פני עתיד. בזכות שיתוף הפעולה עם גורמים נוספים במשרד המשפטים, פועלת הרשות בתווך שבין החוק להתקדמות הטכנולוגית המהירה, וכך שומרת על יכולת האכיפה וההסדרה של המדינה בתחומי חיים מתפתחים. השנה הוכיחה הרשות את חשיבות קיומו של גוף המרכז ידע ויכולת בתחומי הגנת המידע והפשיעה הטכנולוגית. דוגמא בולטת לכך היא ההצלחה בפיצוח "פרשת האגרון", והשתלבותה בקידום החקיקה להגברת אכיפה בתחוםהגנת הפרטיות. הרשות למשפט, טכנולוגיה ומידע תמשיך להתמודד עם אתגרים חדשים בנושאים שבתחום אחריותה. על עובדי הרשות להמשיך ולמלא את תפקידם תוך שמירה על ערכי השירות הציבורי ומשרד המשפטים. כגוף הנותןשירות לציבור, על הרשות להמשיךולחתור לשיפורהשירות. זה המקום להודות לעו"ד יורם הכהן על שש שנות עבודה ממושכת בתפקידו כראש הרשות. תרומתו לרשות החל מהקמתה, דרך שנות פעילותה הראשונות וכלה בשנת העבודה החולפת, ניכרת בכל תחומי העשייה ברשות. בהזדמנות זו, אבקש גם להודות לכלל עובדי הרשות, ובפרט לכותבי הדו"ח השנתי המפורט. משרד המשפטים והנהלתו מחויבים כתמיד להמשיך בשיתוף הפעולה עם ה רשות, על מנת להביא יחדיו לצמיחה,התייעלות, חדשנות ושיפור. ב. דבר ראש רמו"ט תוכן עניינים א. דבר מנכ"ל משרד המשפטים ................................ ................................ .................. 2 ב. דבר ראש רמו"ט................................ ................................ ................................ .... 8 ג. עיקרי הדו"ח ................................ ................................ ................................ ....... 11 ד. סטטוס הקמת רמו"ט ................................ ................................ ........................... 14 כ"א ................................ ................................ ................................ ................................ ..... 14 מערכת מידע מרכזית ברמו"ט................................ ................................ ................................ .. 15 המעבדה הפורנזית ................................ ................................ ................................ ................ 15 ה. חקיקה ומדיניות צבורית בנושאי משפט וטכנולוגיה ................................ .................. 16 הצעת חוק הגנת הפרטיות (תיקון מס' 12 ()סמכויות אכיפה,) התשע"ב- 2011 ................................ .. 16 טיוטת תזכיר חוק הגנת הפרטיות (תיקון מס)...' (צמצום חובת הרישום ו קביעת חובה לקיום סדרי ניהול וכללי עבודה ולעריכת מסמכים) ................................ ................................ ........................ 16 חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ..................... 16 הסדר חקיקתי למסלקה הפנסיונית ותקנות לפיו ................................ ................................ .......... 17 השימוש בחתימה אלקטרונית מאובטחת במרשמי תרופות ................................ ........................... 18 תקנות מרשם רוקח ................................ ................................ ................................ ............... 18 הסרת גישה לרשימות לקוחות וחשבונות מוגבלים מאתר בנק ישראל ................................ ............. 19 היבטי פרטיות במנגנון הטעינה של רכב חשמלי – ................................ ....................... 19 smart grid ועדת אנגלרד – בחינת פרסום מידע פרטי מזוהה בפסקי דין המפורסמים אלקטרונית ........................ 19 ועדת לבחינה מיסוי רכב על פי שימוש ................................ ................................ ....................... 20 ועדת רשומות אלקטרוניות ................................ ................................ ................................ ...... 20 הסדרי שיתוף פעולה עם רגולטורים אחרים ................................ ................................ ................ 21 ו. פעילות בינלאומית של רמו"ט ................................ ................................ ............... 22 הכנס הבינלאומי ה- 33 של נציבי הגנת מידע ופרטיות ................................ ................................ .. 22 קבוצת העבודה של הארגון לשיתוף פעולה כלכלי ( ) ................................ .................. 22 WPISP OECD רשת שיתוף פעולה באכיפה הגנת הפרטיות במידע ( ) ................................ ......................... 22 GPEN סיום תוכנית ה- עם רשות הגנת המידע הספרדית ( ) ................................ ............... 23 twinning AEPD 4 ב. דבר ראש רמו"ט תכנית המסגרת האירופית השביעית למחקר ................................ ................................ ....... 23 FP7 פעילות במסגרת ................................ ................................ ................................ ........... 23 FESA ז. דין וחשבון של רשם מאגרי מיד ע לפי חוק הגנת הפרטיות, התשמ"א- 1981 אודות פעולות הפיקוח והאכיפה בשנת 2011 ................................ ................................ ............................... 25 הערות המועצה להגנת הפרטיות לפי סעיף 10א לחוק הגנת הפרטיות ................................ ............ 26 מבוא ................................ ................................ ................................ ................................ ... 30 פיקוח ................................ ................................ ................................ ................................ .. 30 מבוא ................................ ................................ ................................ ................................ ... 30 נתונים ................................ ................................ ................................ ................................ . 30 שיעורי תיקי הפיקוח לפי חתך מגזרי ................................ ................................ ......................... 31 נושאים שנבדקו בתיקי פיקוח ................................ ................................ ................................ ... 31 תיקי פיקוח נבחרים במגזר הציבורי ................................ ................................ .......................... 32 תיקי פיקוח נבחרים במגזר הפרטי והשלישי ................................ ................................ ............... 35 הטלת קנסות מנהליים ................................ ................................ ................................ ............ 41 חקירות פליליות ................................ ................................ ................................ .................... 42 מבוא ................................ ................................ ................................ ................................ ... 42 תיק ה"אֶגְרֹון" – גניבת מרשם האוכלוסין והפצתו באינטרנט ................................ .......................... 43 תיק מ.נ.ר ................................ ................................ ................................ ............................ 51 הנחיות רשם מאגרי מידע ................................ ................................ ................................ ....... 53 כרטיס חכם בתחבורה ציבורית ................................ ................................ ................................ 53 הנחיית רשם מאגרי מידע: מיקור חוץ ................................ ................................ ........................ 54 טיוטת הנחיית רשם מאגרי מידע: פרטיות והגנת מידע בחוזה הלקוח של חברות הטלפון הסלולארי ..... 54 טיוטת הנחיית רשם מאגרי מידע: תחולת הוראות חוק הגנת הפרטיות על פעילות מכוני מיון לקבלה לעבודה ................................ ................................ ................................ ................................ .......... 54 הנחיית רשם מאגרי המידע: איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי ......................... 55 השימוש במצלמות מעקב – טיוטת הנחייה וטיפול שוטף ................................ ............................... 55 הגנה על מידע אישי במקום העבודה: מדריך למעבידים ולעובדים לאור פס"ד איסקוב ........................ 56 רישום מאגרי מידע ................................ ................................ ................................ ................ 56 נתונים ................................ ................................ ................................ ................................ . 56 5 ב. דבר ראש רמו"ט גביית אגרות ................................ ................................ ................................ ......................... 57 רישום מאגר מידע לשירות ................................ ................................ ......... 57 GoogleStreet View ח. דין וחשבון של רשם גורמים מאשרים לפי תקנה 16 לתקנות חתימה אלקטרונית (ניהול גורם מאשר וניהו לו,) התשס"ב- 2002 ................................ ................................ ..................... 58 כללי ................................ ................................ ................................ ................................ .... 59 נתונים ................................ ................................ ................................ ................................ . 60 גורמים מאשרים רשומים ................................ ................................ ................................ ........ 60 בקשות רישום חדשות של גורמים מאשרים ................................ ................................ ................ 61 חברת פרסונל איי.די בע"מ ................................ ................................ ................................ ...... 61 ה גורם המאשר הממשלתי ................................ ................................ ................................ ....... 61 פעולות פיקוח ................................ ................................ ................................ ....................... 61 הגורם המאשר קומסיין בע"מ ................................ ................................ ................................ .. 61 הנחיות ................................ ................................ ................................ ................................ 63 הנחייה 2-2010 ................................ ................................ ................................ .................... 63 מעקב – מימוש הנחייה 4-2010 – עדכון אלגוריתמים ................................ ................................ .. 64 אישור חומרה לפי תקנה 2 ( 9 ) ................................ ................................ ................................ .. 65 ט. פירוט הפעלת סמכויות רשם שירותי נתוני אשראי ושירותי מידע על עוסקים, מכוח חוק שירות נתוני אשראי, התשס"ב- 2002 ותקנות שירות נתוני אשראי, התשס"ד- 2004 . .................... 66 כללי ................................ ................................ ................................ ................................ .... 67 בעלי רישיונות ................................ ................................ ................................ ....................... 67 בעלי רישיונות תקפים................................ ................................ ................................ ............. 67 ביטול רישיון שירות מידע על עוסקים................................ ................................ ......................... 67 שינוי בבעלות, דירקטורים ומנהל שירות ................................ ................................ .................... 68 ד יווחים על פגם לפי תקנה 80 ................................ ................................ ................................ .. 68 פיקוח על בעלי רשיונות ................................ ................................ ................................ .......... 68 נתונים ................................ ................................ ................................ ................................ . 68 תיקי פיקוח נבחרים ................................ ................................ ................................ ................ 69 6 ב. דבר ראש רמו"ט נספח א' – הצעת חוק הגנת הפרטיות (תיקון מס' 12 ) (סמכויות אכיפה,) התשע"ב- 2011 ................. 71 נספח ב' – מסכים של תוכנת א גרון ................................ ................................ ........................... 98 נספח ג' – הנחית 2/2011 של רשם מאגרי מידע – שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי................................ ................................ ................................ ................ 104 7 ב. דבר ראש רמו"ט ב. דבר ראש רמו"ט את דברי המצורפים לדו"ח השנתי על אודו ת פעילות רמו"ט בשנת 2011 , אני מבקש להקדיש לחשיבות שרמו"ט מייחסת לאכיפה של עקרונות הפרטיות במידע במסגרת פעילותה הרגולטורית וקידום המדיניות הציבורית לגבי הגנת הפרטיות , נוכח אירועים משמעותיים שקרו במהלך שנה זו. דיני הגנת הפרטיות במידע ( ) מיועדי ם להסדיר את אופן השימוש במידע אישי על אודות אנשים data protection האגור ומעובד במערכות מידע, ולמנוע מראש שימוש לרעה במידע אישי על אודות אדם, אם בידי מי שהורשה כדין לעשות שימוש במידע, ואם בידי מי שכלל אין לו הרשאה כזו. מחד גיסא נקבע עקרון צמידות המטרה והגבלת השימוש במידע למטרה לשמה נאסף המידע ועל בסיס ההרשאה שניתנה לו, ומאידך גיסא נקבעה חובת אבטחת המידע על מי שמנהל את המידע האישי. דיני הגנת הפרטיות במידע מקנים זכויות נוספות לנושאי המידע (datasubjects), בעיקר לעניין שקיפות בדבר הליכי איסוף המידע על אודותם. תוכנו של המידע ה אגור, עדכניותו ונכונות ו והשימוש בו בפועל., במהלך שנת 2011 עשתה רמו"ט שימוש במגוון כלים רגולטוריים להשגת יעדיה, ובפרט בתחום הגנת הפרטיות במידע, ובהם: פיקוחים לאיתור הפרות של החוק, ייזום וליווי הליכי חקיקה, פעילות בתחום המדיניות הציבורית, חינוך הציבור, פרסום הנחיות, שיתוף פעולה עם רגולטורים אחרים בישראל ושיתוף פעולה עם רגולטורים עמיתים ובעלי עניין אחרים בזירה הבינלאומית. אכיפה - מנהלית, פלילית או אזרחית-פרטית - היא נדבך מרכזי והכרחי בכל מארג כלים רגולטורי ובכל תחום הדורש הסדרה של רשות מפקחת. בהגנת הפרטיות במ אגרי מידע ממוחשבים, מהווה האכיפה אמצעי רגולציה חיוני במיוחד, בשל חשיבותו של הערך המוגן, פרטיות בני אדם, המהווה זכות יסוד חוקתית במדינת ישראל. אכיפה מנהלית הינה לחם חוקה של רמו"ט מיום הווסדה, והיא נעשית תוך הפעלת סמכויות הפיקוח ונקיטת הסנקציות הקיימות בחוקים השונים שרמו"ט אחראית להפעלתם – חוק הגנת הפרטיות, חוק שירות נתוני אשראי וחוק חתימה אלקטרונית. במהלך שנים אלה שופרה ללא היכר דרך הפעלת סמכויות אלה, בפרט לעניין פיקוח, וכן נרכש הנסיון והידע הנדרשים להטלת עיצומים כספיים לפי חוק חתימה אלקטרונית וחוק שירות נתוני אשראי, וקנסות מנהליים על הפרתן של הוראות פליליות בסעיף 31 א לחוק הגנת הפרטיות. ציבור בעלי מאגרי המידע נחשף יותר ויותר לפעולות אכיפה מנהלית של רמו"ט, אל מול עושר איסוף ועיבוד המידע המתרחש בישראל. למיקומה של פעילות האכיפה הפלילית במסגרת רשות הסדרה ייעודית המתמחה במשמעויות המשפטיות של טכנולוגיות מידע חשיבות מיוחדת, נוכח המורכבות של החקירה הפלילית בנושאים אלה, המחייבים ידע מעמיק בטכנולוגיות מידע, ראיות אלקטרוניות והגנת פרטיות. בשים לב לרמת המודעות הנמוכה של מקבלי החלטות ונושאי תפקידים, כמו גם של כלל הציבור ב ישראל (אשר הולכת ומשתפרת עם פעילותה של רמו"ט), לאכיפה פלילית משנה תוקף. הקלות יוצאת הדופן של ביצוע הפרות בתחום הגנת מידע אישי מחייבת קיומה של אכיפה יעילה, אשר תשפיע על כלל השחקנים. עליה להבטיח כי מי שמנהל מידע אישי או מחזיק בו, יפנים במידה מיטבית את התוצאות השלילי ות הנובעות מהפרה, בין אם על ידו ובין אם על ידי מי שינצל את רשלנותו בשמירה על המידע. היא 8 ב. דבר ראש רמו"ט נדרשת לייצר הרתעה מספקת של עברייני המידע האישי, אשר לאור כשלים באכיפה בעבר לא חששו ממערכת אכיפת החוק, ועליה לגרום להעלאת רמת המודעות של הציבור כולו בישראל לזכויותיו על פי חוק הגנת הפרטיות ולחשיבות קיומן. בהשוואה לענפי רגולציה אחרים בישראל בהם הגברת האכיפה העלתה את המודעות ואת מידת הציות לחוק ( כגון הגבלים עסקיים, ניירות ערך ו איכות סביבה) – קיימת הצדקה מיוחדת להגברת האכיפה של דיני הגנת המידע דווקא, משום שבמקרים רבים הנזק שנגרם כתוצאה מהפרתם, אינו ניתן לתיקון ולעומת זאת הפגיעה בפרטיות קשה, אך לא בלתי אפשרית, לכימות כספי ולפיצוי בגין הנזק. התשתית הטכנולוגית של עיבוד מידע אישי ממוחשב הופכת מורכבת משנה לשנה, וכך גם התהליכים הכלכליים והעסקיים המניעים את עולם המידע. אלה דורשים ת חכום והבנה מעמיקה בטכנולוגיה, מידע וכלכלה. בנוסף להבנה של נפש העבריין וכלי חקירה ותשאול מסורתיים, נדרשת רשות אכיפה מודרנית בהגנת פרטיות ליכולות משלימות שיאפשרו חשיפה של העבריינים המסתתרים מאחורי מיסוך טכנולוגי ואמצעים המשתנים תדיר. חוקר מערכות המידע נדרש ל הכרות עם ה ארכיטקטו רה של הטכנולוגיה והיכולות ש היא מאפשרת, לצד הבנה מעמיקה של מערכות תפעוליות ומידול תהליכי הליבה בארגונים. שימוש לרעה במידע אישי ניתן לביצוע בנקל: עלות העתקת מידע דיגיטלי ושמירתו היא אפסית; ניתן להפיצו במהירות ובקלות לציבור בלתי מוגבל; ה עברי ינים מתוחכמים, בעלי הבנה טכנולוגית , ו מסוגלים לבצע את פעולות ההעתקה וההפצה המפרות מאחורי מנגנוני הסתתרות דיגיטליים; קשה לאתר עבריינים כאלה, שכן במקרים רבים הם אינם נדרשים לשותפים לעבירה; הרווח הכספי מסחר ושימוש במידע אישי גנוב עשוי להיות עצום; מידע אישי משמש כתשתית מרכזית לביצוע עבירות נוספות, כגון עבירות זיוף והונאה, גניבת קנין רוחני, טרור קיברנטי, פריצות למערכות מידע וכד.' לא רק הש תועלת משימוש לרעה במידע אישי עשויה להיות גבוהה - קשה במקרים רבים לאתר שימוש כזה, שכן אין מדובר בחפץ ממשי שנגנב. מעת שנפגמה השלי טה הבלעדית במידע של בעל הזכות החוקית לשימוש במידע, הנזק שנגרם אינו ניתן לתיקון. פעמים רבות הנפגעים, בעלי המאגרים או נושאי המידע ( ) data subjects כלל אינם מודעים לדבר השימוש האסור, אף כי הוא עשוי להשפיע על חייהם. כדי להתמודד עם מורכבות האכיפה הפלילית בתחום המורכב של עבירות מידע אישי, נדרשת רשות האכיפה הייעודית למגוון כלים משפטיים, טכנולוגיים ואנושיים. עליה להחזיק בסמכויות התואמות את אופי העבירות, אשר ברוב המקרים כרוכות גם בעבירות מחשב, כפי הגדרתן בחוק המחשבים, התשנ"ה- 1995 . היא חייבת לפתח מיומנות בנושא המורכב של ראיות אלקטרוניות, ובפרט כאלה ש ב בסיס ן עומדים מאגרי מידע, לרבות היכולת להפיק ראיות כאלה ברמה הנדרשת במשפט פלילי. עליה להתמחות בסביבה הטכנולוגית בהן מתנהלות עבירות מידע אישי, קרי בסיסי נתונים, יישומי מידע, אינטרנט ואבטחת מידע, ועליה להעסיק חוקרים בעלי מיומנות טכנולוגית והבנה משפטית בנושא הליבה של הגנת הפרטיות, המסוגלים להתמודד עם האתגר האינטלקטואלי אשר מציבים עברייני המידע. ייחודה של שנת 2011 הינו הצלחת מאמציה של רמו"ט ב קידום ה אכיפה הפלילית בפרטיות במידע, ובפריצת הדרך שהשיגה רמו"ט בתחום זה. הצלחה זו היא קצירתן של פירות ההשקעה של רמו"ט בבניית מחלקת חקירות ייעודית, שמטרתה הגברת האכיפה הפלילית בנושא של פרטיות במידע , ועונה על האפיונים המתוארים. 9 ב. דבר ראש רמו"ט דוגמא מוחשית לקלות ביצוע הפרות הקשורות למאגרי מידע, לעוצמת הנזק שנגרם ולחוסר האפשרות לתקנו – באה לידי ביטוי בפרשה המתוא רת בהרחבה בדו"ח זה - פרשת גניבת מאגר מרשם האוכלוסין של מדינת ישראל והפצתו ברשת האינטרנט (פרשת האֶגְרֹון.) בשנת 2011 סיימה מחלקת החקירות הפלילית ברמו"ט את פיצוח פרשת האגרון לאחר חקירה מאומצת שהחלה בשנת 2009 , והעבירה את תיק החקירה לפרקליטות מחוז ת"א עם המלצה להעמיד את החשודים לדין. בחודש מאי 2012 הוגש נגד החשודים כתב אישום הכולל עבירות מחוק הגנת הפרטיות, מחוק המחשבים, ומחוק העונשין. הנזקים שגרמה פרשת האֶגְרֹון למדינת ישראל ולאזרחיה רבים וקשים, ודו"ח זה מפרט אותם אחד לאחד. גם בתחום התשתית החקיקתית לסמכויות הפי קוח והאכיפה של רמו"ט, התרחשה בשנת 2011 קפיצת דרך: בשלהי השנה קיבלה הכנסת בקריאה ראשונה את הצעת חוק הגנת הפרטיות (תיקון מס' 12 ) (סמכויות אכיפה,) התשע"ב- 2012 . הצעת חוק זו שגובשה ביוזמת רמו"ט בשיתוף עם מחלקת ייעוץ וחקיקה במשרד המשפטים, צפויה לקדם את יכולות ה אכיפה של הנורמות הקבועות בחוק הגנת הפרטיות, התשמ"א- 1981 לאתגרים של זמננו. כפי שעולה מן הדו"ח המצורף, נוקטת רמו"ט בפעילות אכיפה משולבת המתאימה את האמצעים לחומרת ההפרות ולהיקפן: פיקוח מנהלי והטלת סנקציות מנהליות על ההפרות הקלות והבודדות, לצד שימוש בכלי חקיר ה פליליים וענישה מתאימה להרתעה מפני ביצוע עבירות המידע החמורות יותר, וככלי משלים לסמכויות הפיקוח המנהלי. במהלך השנים הקרובות תמשיך רמו"ט להתמקד באכיפה מנהלית ופלילית של הוראות החוק. מבלי לגרוע מכך, ובשים לב למגבלות המשאבים העומדים לרשותה, מאמינה רמו"ט גם ביעילות ובחשיבות ה של אכיפה פרטית, באמצעות המשפט האזרחי, של הוראות החוק. אכיפה פרטית זו מופנית כבר היום אל גופים פרטיים, אך גופים ציבוריים – לרבות מוסדות המדינה - האוספים מידע אישי על אודות האזרחים וחבים בניהול תקין ושמירה על המידע האישי חייבים גם הם להיות נתונים, במקרים הראויים, ל סנקציה אזרחית. בהתאם לתפישה זו, תמשיך רמו"ט לנהוג בשקיפות בחשיפתם לציבור של ממצאי הליכי פיקוח שהיא מקיימת ולפרסם הנחיות שיעמידו את הציבור על זכויותיו. לסיומם של דברים אלה, אבקש להודות לעובדים האיכותיים והמסורים של הרשות למשפט, טכנולוגיה ומידע על העבודה הנפלאה שהם עושים מדי יום, ואשר תוצא ותי ה מפורט ות בדו"ח זה. יורם הכהן ראש רמו"ט 10 ג. עיקרי הדו"ח ג.ע יקרי הדו"ח דו"ח זה סוקר את פעילותה של רמו"ט במהלך שנת 2011. בשנה זו המשיכה רמו"ט להיבנות, אך טרם הגיעה להיקף כח האדם והמשאבים אשר יועד ו לה עם ההחלטה על הקמתה. במהלך השנה הוחל בפיתוח מערכת מידע ייעודית לתמיכה במגוון הפעולות הרגולטוריות של רמו"ט. לקראת סוף השנה התקבלה בקריאה ראשונה בכנסת הצעת חוק הגנת הפרטיות (תיקון מס' 12 ) (סמכויות אכיפה), התשע"ב- 2012 אשר אמורה להסדיר באופן מודרני והולם את סמכויות האכיפה הנדרשות לפעולתו של רשם מאגרי מידע הפועל במסגרת רמו"ט, או בשמו החדש בהצעת החוק – הממונה על הגנת מידע. נמשכה העבודה על התיקון המשלים לחוק הגנת הפרטיות, והוא שינוי החוק אשר בעקבותיו תצומצם משמעותית חובת רישום מאגרי מידע ויונהג משטר של ניהול תקין של מידע אישי. בסוגיות שונות של מדיניות ציבורית המשיכה רמו"ט במסגרת שנת 2011 להיות מעורבת ולהשפיע על מהלכים שונים המערבים סוגיות של משפט וטכנולוגיות מידע, כגון: גיבוש הסדר חדש לפרסום מידע אישי על אודות אנשים בפסקי דין במסגרת ועדת אנגלרד; הקמת המאגר הביומטרי במסגרת פרוייקט תעודת הזהות החכמה; המסלקה הפנסיונית להנגשת מידע על אודות חסכון פנסיוני לצורך שיפור מערך הייעוץ הפנסיוני לאזרחי ישראל; שימוש בחתימה אלקטרונית לחתימת מרשמי תרופות, אבטחת המידע במסגרת הנגשת מידע רפואי לרוקחים במסגרת רפורמה לשיפור השירות לחולים כרוניים; סוגיות פרטיות העולות בהקמת רשת חכמה grid) (smart לטעינת רכב חשמלי; יוזמה לבחינת אפשרות שינוי מערך מיסוי הרכב על פי שימוש בפועל; גיבוש מדיניות לאומית לגנז המדינה באשר לשימורן של רשומות אלקטרוניות; פרסום מידע על אודות לקוחות וחשבונות מוגבלים על ידי בנק ישראל. במהלך שנה זו החלה רמו"ט בבניית הסדרי שיתוף פעולה וקביעת מנגנונים למניעת כפל הסדרה עם רגולטורים אחרים במדינת ישראל להם נגיעה בסוגיות של מידע אישי, כגון הפיקוח על הבנקים בבנק ישראל ואגף שוק ההון באוצר. במישור הבינלאומי, רמו"ט המשיכה בשנת 2011 להשתתף ולהשפיע על השיח הבינלאומי בסוגיות של פרטיות במידע, וזאת בעקבות המעמד הבינלאומי לו זכתה בשל פעולות רבות בזירה זו, כגון: אירוח הכנס הבינלאומי של נציבי הגנת מידע אישי בירושלים בשנת 2010 ; קיום תוכנית ה- עם רשות הגנת המידע הספרדית twinning אשר הסתיימה בראשית השנה)(; קבלת ההכרה של האיחוד והפרלמנט האירופיים שרמת הגנת המידע AEPD האישי בישראל תואמת את דרישות הדירקטיבה האירופית להגנת מידע אישי; נציגת ישראל בועדת ICCP של ארגון ה- ובקבוצת העבודה שלה בנושא (Information, Communication and Computers Policy) OECD פרטיות ואבטחת מידע Privacy) and Security Information on Party Working – (WPISP ; חברה מייסדת ברשת האכיפה הבינלאומית לפרטיות במידע Network)EnforcementPrivacyGlobal –(GPEN . בתחום הפיקוח על פרטיות במאגרי מידע, רמו"ט המשיכה בתהליך שיפור יכולות הפיקוח שלה על בעלי מאגרי מידע ברחבי ישראל. הנושאים המרכזיים אשר עלו בפעולות אלה היו שימוש במידע אישי החורג מהמטרה לשמה נאסף המידע, אי קיום הוראות פרק הדיוור הישיר בחוק הגנת הפרטיות וקיום חובת אבטחת המידע 11 ג. עיקרי הדו"ח הקבועה בחוק. הדו"ח מפרט תיקי פיקוח של רשם מאגרי מידע במגזר הציבורי (משרד הבטחון, רשות האכיפה והגביה, משרד התחבורה (רשות הרישוי), רשות ניירות ערך, עיריית אשקלון) ובמגזר הפרטי והשלישי, בסקטורים שונים (אינטרנט, שירותי קבורה, דיוור ישיר, מיון והשמת כ"א, רפואה, ביטוח, חוקרים פרטיים, תקשורת). בחלק מהתיקים שהסתיימו בשנת 2011 הוטלו קנסות מנהליים. האירוע המרכזי של שנת 2011 בפעילות רמו"ט היה פענוחו של תיק ה אֶגְרֹון, פרשת גניבתו של מרשם האוכלוסין המלא של מדינת ישראל והפצתו באינטרנט. חקירת הפרשה החלה בשנת 2010 , עם קבלתן של סמכויות חקירה פליליות למחלקת החקירות של רמו"ט. לאחר חקירה מאומצת, סבוכה ומורכבת, הצליחה מחלקת החקירות של רמו"ט לבסס תשתית ראייתית כנגד ששה אנשים, אשר חברו לגניבתו של מרשם האוכלוסין המלא על אודות 9.2 מליון אזרחי ישראל (חיים ומתים) , סחר בו, פיתוח תוכנה לשימוש בו והפצתו ברשת האינטרנט, וזאת בצד עבירות אחרות. פרשת ה אֶגְרֹון גרמה נזק גדול ביותר, בראש ובראשונה לפרטיות אזרחי מדינת ישראל, אך גם לערכים נוספים, ולפענוחה משמעות רבה לתכלית למענה קמה רמו"ט. ברמו"ט נוהל בשנת 2011 תיק חקירה פלילי נוסף, שגם עניינו סחר במידע אישי ממקור לא חוקי. תיק זה נוהל בתחילתו כתיק פיקוח מנהלי בגינו הוטלו קנסות מנהליים, אך הנאשם בחר להישפט בגין העבירות שנעשו, ועל כן הפך התיק להליך חקירה פלילי שהועבר לטיפול הפרקליטות. בשנת 2011 המשיכה רמו"ט לפרסם הנחיות בתחום הגנת הפרטיות, לשם הבהרת הדין בסוגיות קונקרטיות. הופצו הנחיות בנושאים הבאים: פרוייקט הכרטיס החכם בתחבורה ציבורית (כרטיס הרב-קו); מיקור חוץ של עיבוד (processing) של מידע אישי; טיוטה של הנחיה בהקשר של פרטיות והגנת מידע אישי בחוזים של חברות הטלפון הסלולרי; טיוטה של הנחיה באשר לתחולת הוראות חוק הגנת הפרטיות על פעילות מכוני מיון לקבלה לעבודה; איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי; טיוטת הנחיה לעניין שימוש במצלמות מעקב ובמאגרי הצילומים הנקלטים בהם. במהלך שנת 2011 אישר רשם מאגרי מידע לחברת Google להפעיל בישראל את שירות View Street Google , וזאת לאחר שהוסדרו מספר נושאים הקשורים לאופן איסוף הצילומים לשירות, שקיפות ויידוע האזרחים לגבי הצילום, סמכות שיפוט של בתי משפט ישראליים לגבי הפרות של החוק, ככל שיתרחשו ואופן הצגת המידע לציבור משתמשי השירות. בתחום החתימה האלקטרונית, אושר במהלך שנת 2011 רישומה של חברת פרסונל איי.די. בע"מ כגורם מאשר להנפקת תעודות אלקטרוניות לחתימה אלקטרונית מאושרת בהתאם לחוק חתימה אלקטרונית, התשס"א- 2001 , לאחר שהחברה עמדה בדרישות החוק ורשם גורמים מאשרים. במהלך השנה נמשך הטיפול בבקשת הרישום של הגורם המאשר הממשלתי המוקם במסגרת פרוייקט "ממשל זמין" ב משרד האוצר, ואשר אמור לאפשר ביצוע חתימה אלקטרונית מאושרת לכל אזרח במסגרת פרוייקט תעודת הזהות החכמה. במהלך השנה הוטל ו על הגורם המאשר חברת קומסיין בע"מ שני עיצומים כספיים בשיעור של 71,600 ₪ בשל הפרות שונות של החוק והוראות הרשם. בשנת 2011 הוחל ביישומה בפועל של הנחיה 2-2010, המסדירה את הדרישות הטכנולוגיות, הנוהליות והאבטחתיות של מערך לניהול גורם מאשר לחתימה אלקטרונית. בנוסף, אושר בפעם הראשונה על ידי רשם 12 ג. עיקרי הדו"ח גורמים מאשרים רכיב חומרה, כרטיס חכם של חברת Athena , כתואם את דרישות החוק באשר להפקתה של חתימה אלקטרונית מאובטחת. בתחום נתוני האשראי, בוטל, לבקשת חברת לב אמון יזמים, רשיון להפעלת שירות מידע על עוסקים. במסגרת שיתוף פעולה עם בנק ישראל גובש הסדר להפצת קבצים המכילים רשימת מושכי שיקים ללא כיסוי (מושל"כ) לגופים הנדרשים לכך, לצורך סליקת שיקים במסגרת פעילותם העסקית, וזאת לאחר שביוזמת רמו"ט הפסיק בנק ישראל להפיץ מידע זה בקבצים באתר האינטרנט שלו. 13 ד. סטטוס הקמת רמו"ט ד. סטטוס הקמת רמו"ט כ"א במהלך שנת 2011 נמשכה בניית תשתית כ ו ח האדם ברמו"ט, אך גם בשנה זו לא הושלמה יצירת תקני כ וח האדם ואיושם ליעד של 24 עובדי מדינה כפי שאושר על ידי נציבות שירות המדינה ומשרד המשפטים בשלבים הראשוניים של הקמת רמו"ט. בסוף שנת 2011 עמד ה מצבת כ וח האדם של רמו"ט על 22 איש, מהם ארבעה קבלנים וארבעה מתמחים באופן הבא: תקני כ"א (מלאים) קיי הערות מים מתוכנ נים מחלקה סה"כ עובדי מדינה קבלנים עובדי מדינה 2010 2011 2010 2011 2010 2011 לשכת ראש בנוסף - בת שירות 3 3 3 3 - 4 רמו"ט לאומי מחלקת בנוסף - שני 7 10 5 7 2 3 9 סטודנטים ובת רישוי שירות לאומי למוקד אגרות ופיקוח מחלקת 6 6 5 5 1 1 8 חקיר ות מחלקה בנוסף - ארבעה 3 3 3 3 - - 4 תקני מתמחים משפטית ( עד 2013 ) 19 22 16 18 3 4 25 במהלך השנה הקצה מנכ"ל משרד המשפטים 8 תקנים להשלמת יתרת התקנים אשר הובטחו לרמו"ט בעת ההחלטה על הקמתה. תקנים אלה אמורים להתממש במהלך השנים 2011-2012 . במהלך שנת 2011 נקלט ברמו"ט מומחה אבטחת מידע ראשון בתקן מלא, בהתקשרות קבלנית דרך מערך ההתקשרויות עם אנשי מחשוב בשירות המדינה. ידע זה, של איש אבטחת מידע מנוסה בטכנולוגיות ובנהלי אבטחת מידע, חשוב מאוד לפעילות רמו"ט כרשות רגולציה שעיקר עיסוקה בסוגיות שונות של אבטחת מידע. 14 ד. סטטוס הקמת רמו"ט מערכת מידע מרכזית ברמו"ט לקראת סוף שנת 2011 הוחל בפיתוח מערכת מידע ייעודית לפעילותה של רמו"ט במגוון פעילו יויתה – רישוי ורישום, פיקוח, חקירה פלילי ת , איסוף מודיעין ו ניהול מערך הייעוץ המשפטי ה פנימי ו החיצוני. מערכת זו נבנית על בסיס תהליך אפיון מקיף של תהליכי העבודה ברמו"ט והצרכים הנוכחים והעתידיים שלה כרשות הסדרה שמרכז עיסוקה הוא הגנת מידע אישי בפורמט אלקטרוני. גרסה ראשונה של המערכת צפויה לע מוד לרשות רמו"ט במהלך חודש אוקטובר 2012 . בגרסאותיה העתידיות, תכיל המערכת ממשק אינטרנטי ישיר בין הצי בור לרמו"ט באמצעות פורטל מקוון, אשר יאפשר לציבור לקיים את חובות הרישום, הרישוי והדיווח מכוח החוקים השונים שרמו"ט אמונה על יישומם ואכיפתם על פי מתודת "ממשל זמין." המעב דה הפורנז ית במהלך שנת 2011 חלה התקדמות רבה בהקמתה של המעבדה הפורנזית, והיא מילאה תפקיד מרכזי בחקירת פרשת גניבת מרשם האוכלוסין, המפורטת בדו"ח רשם מאגרי מידע להלן. במהלך החקירה נתפסו ונחקרו עשרות רבות של מחשבים ומאות תקליטורים , כוננים קשיחים (disks hard ) ואמצעי אחסון מידע (CD/DVD) דיגיטלי ניידים אחרים (disk-on-key , טלפונים וכד') בהיקף של כ- 70 טרה בייט ( .) Terra Byte ניתוח ה מידע הביא למציאת מקורות המידע הגנוב ו זיהוי הפעולות אשר בוצעו לעיבוד ולטיוב המידע. במהלך ניתוח מאגרי המידע, ביצעו החוקרים במעבדה השוואות בין קבצי מאגרים שונים והתחקו אחר מחזור החיים של המידע ש נתפס . באופן זה, הת גלו במאגרים אלה שכבות המידע השונות שהיו חומרי הגלם המקוריים של מאגרי המידע הבלתי חוקיים. המעבדה הפורנזית מכילה אמצעים לניתוח ולהפקה של ראיות דיגיטליות ולחקירת מאגרי מידע ובסיסי נתונים שונים על תשתית של מערכות וירטואליות. תשתית זו מאפשר ת לחוקרים לשחזר קבצים שנמחקו או שובשו על ידי החשודים, וכך הצליחה המעבדה הפורנזית לשחזר שרידי מידע בעלי חשיבות ממשית ל ביסוס ה אישומים. במעבדה ניתן ל הקים סביבות עבודה ממשיות מתוך מחשבים וקבצים שנתפסו במהלך פעילות הא כיפה של רמו"ט, וכך לאפשר לחוקר ה מחשב לבחון את המידע הדיגיטלי מנקודת מבטו של החשוד ולדמות פעילות רגילה ויומיומית אותה ביצע החשוד במחשבו. בנוסף, מאפשרת המעבדה הפורנזית כלים לחקירת קוד תוכנה ייחודי שנכתב על ידי חשודים. חקירת הקוד מאפשרת להוכיח כי התוכנה המקור ית מיועדת לפעילות במאגר המידע הלא חוקי ואף מציגה את המורכבות החבויה בתוך פרטי המידע של המאגר. בעותקי התוכנות ובמאגרי מידע שנתפשו בוצעו פעולות חקירה מתקדמות של רמו"ט לניתוח המידע וזיהוי הפרות ועבירות. 15 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה ה. חקיקה ומדיניות צבורית בנושאי משפט וטכנולוגיה הצעת חוק הגנת הפרטיות (תיקון מס' 12 ()סמכויות אכיפה,) התשע"ב- 2011 הצעת חוק הגנת הפרטיות תיקון מס'( 12) (סמכויות אכיפה), התשע"ב- 2012 , גובשה ביוזמת רמו"ט עם מחלקת ייעוץ וחקיקה במשרד המשפטים, והיא מאורה לקדם את יכולות האכיפה של הנורמות הקבועות בחוק הגנת הפרטיות, התשמ"א- 1981 לאתגרים של זמננו. בתחילת שנת 2011 נוהל מו"מ בעניין תחולת החוק גם עם גופים מ מערכת הביטחון, עד לקבלת ההחלטה להחריג בשלב זה,, מתחולת התיקון את גופי הביטחון המנויים בסעיף 19 לחוק העיקרי. ההצעה הובאה לראשונה לועדת השרים לענייני חקיקה ביום 27.3.2011 והדי ון בה נדחה לאור התנגדות המפקח על הבנקים, שדיונים עימו נערכו מאז תחילת 2011 . הצעת החוק פורסמה ברשומות ב- 16.11.2011 , לאחר שאושרה בועדת השרים לחקיקה ביום 5.6.2011 . ביום 28.11.11 התקבלה הצעת החוק במליאת הכנסת בקריאה ראשונה. הצעת החוק אמורה להידון בכנסת במהלך שנת 2012 . נוסח הצעת החוק מצ"ב כנספח א' לדו"ח. טיוטת תזכיר חוק הגנת הפרטיות (תיקון מס)...' (צמצום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה ולעריכת מסמכים) בחודש יולי התחדשו הדיונים עם מחלקת יעוץ וחקיקה על טיוטת תזכיר החוק, אשר אמור לעדכן את משטר הרגולציה של הגנת מידע אישי, ולהשלים את מהלך השינוי ברגולציה של הגנת פרטיות במידע אשר החל בתיקון סמכויות האכיפה האמור לעיל. עיקרו של התזכיר המוצע הוא צמצום משמעותי של חובת הרישום של מאגרי מידע על פי המלצות דו"ח שופמן ו הנסיון שנצבר ב רמו"ט בהפעלת סמכויותיו השונות של רשם מאגרי מידע, במקביל לקביעת חובות "ניהול תקין" של מידע אישי על בעלי מאגרי מידע כהגדרתם בחוק. עד לסוף שנת 2011 הושגה התקדמות ממשית בגיבוש התזכיר, אולם טרם הופץ תזכיר בנושא לתגובות הציבור. חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים ב מסמכי זיהוי ובמאגר מידע בשנת 2011 המשיכה רמו"ט ללוות מהלכים שונים הקשורים ב יישום חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע- 2009 והפעלתו הצפויה. במסגרת זו נדרש ה התקנת תקנות העוסקות באופן נטילת המידע הביומטרי (תקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשע"א– 2011 ) , וכן ניסוח צו המסדיר את קיום תקופת המבחן ( פיילוט) לפי החוק ( צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי 16 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה ובמאגר מידע, (תקופת מבחן), התשע"א– 2011 ) . רמו"ט הציגה למשרד הפנים ולמחלקת ייעוץ וחקיקה במשרד המשפטים את עמדותיה בעניין זה , וחלקן התקבלו וייושמו בנוסח אשר התקבל. בנוסף, השתתפו נציגי רמו"ט בדיוני הכנה ובדיוני ועדת הכנסת בנושא. בנוסף לכך, העבירה רמו"ט למשרד הפנים בחודש אוגוסט 2011 טיוטה של תקנות בנוש א תפקידיו של הממונה על הגנת הפרטיות במאגר הביומטרי, תפקיד שהו גדר בפעם הר אשונה בחקיקה זו ביוזמת רמו"ט. הסדר חקיקתי למסלקה הפנסיונית ותקנות לפיו בשנת 2011 נערכו מספר סבבי דיונים עם אגף שוק ההון , ביטוח וחסכון במשרד האוצר לצורך התקנת תקנות הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיוניים) (אבטחת מידע במערכת סליקה פנסיונית מרכזית), התשע"ב- 2011 שנועדו לקבוע את ההוראות שחלות על המסלקה הפנסיונית ועל המשתמשים בשירותיה. תקנות אלה מפרטות החובות החלות על מי שינהל מערכת סליקה פנסיונית מרכזית, ובין היתר ק ובעת חוב ות בנושאים הבאים:  קביעת מדיניות אבטחת מידע למערכת הסליקה  מינוי של ממונה על פרטיות ואבטחת מידע  כתיבת נוהל אבטחת מידע  מיפוי רכיבי המערכת וב יצוע סקר סיכונים לגביהם  עקרונות עיצוב לפרטיות במסלקה design)by(privacy  האבטחה הפיזית וניהול כח האדם המועסק במ סלקה  הרשאות הגישה, זיהוי העובדים ותיעוד גישה ואירועי אבטחה  אבטחת תקשורת  שימוש בהתקנים ניידים  ביקורות תקופתיות  גיבוי, התאוששות והמשכיות עסקית  זיהוי משתמשים ולקוחות  תיעוד המידע שהועבר ומתן זכות עיון לנושאי המידע  מעמדו הראייתי של פלט במערכת המסלקה הפנסיונית רמו"ט היתה מעורבת בניסוח התקנות, וכן בשילוב מנגנוני שמירה על הפרטיות ומנגנוניים כגון זיהוי חזק, אמצעי בקרה, וחובת מינוי ממונה אבטחה ופרטיות במסלקה ובארגונים המתחברים למסלקה שיש בהם יותר מ- 10 עובדים. 17 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה השימוש בחתימה אלקטרונית מאובטחת במרשמי תרופות בשנת 2011 יזם משרד הבריאות תיקון תקנות הרופאים (מתן מרשם) , התשמ"א- 1981, כך שתתאפשר הנפקת מרשמים אלקטרונים לתרופות, אשר ייחתמו על ידי רופאים בחתימה אלקטרונית מאובטחת, כמשמעות ה בחוק חתימה אלקטרונית, התשס"א- 2001 כתחליף לעריכת המרשמים בנייר וחתימה פיזית עליהם. כזכור, ה הבדל בין חתימה אלקטרונית מאובטחת לחתימה אלקטרונית מאושרת נובע בין היתר מהעובדה שחתימה מאושרת מלווה בתעודה אלקטרונית שהונפקה על ידי גורם מאשר, המשמש כצד שלישי נאמן על הצדדים. בהתאם לכך, נקבע בחוק הסדר הגבלת אחריות המאפשר למי שנפגעה שליטתו בחתימה האלקטרונית להודיע על כך לגורם המאשר, ולא לחוב באחריות בגין שימוש לרעה לאחר מכן. נושאים אלה אינם מוסדרים ישירות בחתימה אלקטרונית מאובטחת. בנוסף, המטרה המרכזית של יוזמת משרד הבריאות ה יא חתימה של רופא על מרשמים, בשם ארגון בריאות (כגון קופת חולים או בית חולים) , כך שאין מדובר בחתימה אישית של אדם, אלא בחתימתו מכח תפקידו בארגון הבריאות. יוזמה זו חייבה לאפשר הסתמכות על מערך ניהול ה זיהוי וההרשאות ה פנימי של ארגו ני הב ריאות השונים (בפרט קופות חולים ובתי חולים) תוך התחשבות באינטרסים של הרופאים החותמים על כן,. נקבעו בתקנות הוראות בנושא הסדרה של מער כי ניהול הזהויות בארגוני הבריאות לצורך הנפקת אמצעים לחתימה אלקטרונית מאובטחת לרופאים. כך יכול ארגון בריאות להקים לעצמו מערך ניהול זהויות המיישם את היתרונות של חוק חתימה אלקטרונית, מבלי הצורך בהסתמכות על גורם חיצוני כגורם מאשר, ותוך קביעת הוראות שמטרתן ביצוע פעולות אלה בהתאם לדרישות החוק. בהתאם לכך, התקנות מסדירות את הליך זיהוי הרופא מנפיק ה מרשם , ומגבלות על אחריותו לשימוש בחתימה האלקטרונית. על מנת לסנכרן הסדר זה עם ההסדרה של ניהול גורם מאשר (המנפיק תעודות לחתימה אלקטרונית מאושרת) , נקבע בתקנות כי ההוראות ש מנכ" ל משרד הבריאות יקבע לעניין ניהול מערכי ניהול הזהויות האלקטרוניות של מנפיקי המרשמים במערכת הבריאות, יקבעו לאחר התייעצות עם רשם הגורמים המאשרים. רמו"ט ליוותה את הליך ניסוח התקנות במשותף עם משרד הבריאות ומחלקת ייעוץ וחקיקה (אזרחי). לאחר התקנתן העביר מנכ"ל משרד הבריאות אל הרשם סט נהלים מוצע, ולגביו הועברו הערות על ידי הרשם. ההערות התקבלו ויושמו בנוהל מתוקן במהלך 2012 . תקנות מרשם רוקח בהתאם למדיניות הממשלה הוחלט על קידום אפשרות הסמכה של רוקח בכיר , להנפ יק מרשמים לחולים כרוניים. לצורך כך, נדרש הרוקח הבכיר לגשת לתיק הרפואי של הלקוח טרם הנפקת המרשם. דרישה זו מעלה סוגיות של פרטיות במידע, אבטחת מידע. בנוסף, נדרש לאפשר כי הרוקח הבכיר יוכל לחתום על המרשם בחתימה אלקטרונית, בהסדר דומה לזה שנקבע לעניין חתימת מרשמים על ידי רופאים. רמו"ט שותפה בתהליך, ו הציעה למשרד הבריאות הסדר מקיף בתחום אבטחת המידע הרפואי שמטרתו מניעת שימוש לרעה במידע הרפואי בשל נגישותו לאלפי רוקחים. נוסח ההצעה תוקן באופן שארגון הבריאות שמנהל 18 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה את התיק הרפואי ינהל את הגישה למידע תוך יישום אמצעים שמטרתם צמצום שימוש לרעה בידי משתמש הקצה. באופן כללי נדרש כי ההתקשרות אל מערכות המידע של ארגון הבריאות תעשה באופן שהמידע לא יוצא ממערך המידע של ארגון הבריאות, הוא לא יישמר בתחנה המקומית של הרוקח, והרוקח יזוהה באמצעות זיהוי חזק מול המערכת. בהצעה זו ייושמה, שוב, תפישת ה"עיצוב לפרטיות" design) by (privacy אשר מקדמת רמו"ט מזה מספר שנים. בנוסף, נדרש ביצועו של סקר סיכונים מקיף לאיתור הסכנות למידע. בהיבט של חתימה אלקטרונית על המרשמים, תקנות אלה כוללות הוראות דומות להוראות ששולבו בתקנות הרופאים (מתן מרשם) כמתואר ל עיל. הסרת גישה לרשימות לקוחות וחשבונות מוגבלים מאתר בנק ישראל לאור פניית רמו"ט והנחיית המשנה ליועץ המשפטי לממשלה (אזרחי), ולאחר דיונים ממושכים, הפסיק בחודש יוני 2011 בנק ישראל לפרסם באתר האינטרנט שלו את הקובץ המלא של חשבונות הבנק והלקוחות המוגבלים שהם יחידים ולאפשר גישה למידע בשאילתה ספציפית בלבד. להפס קת פרסום הקובץ באינטרנט קדם הליך שימוע שאיפשר לגופים בעלי אינטרס לגיטימי להגיש לבנק בקשה להמשיך ולקבל את הקובץ באופן ישיר. רמו"ט ליוותה את בנק ישראל לאורך כל משך ההליך, ובכלל זה בחנה את הבקשות שהוגשו, המליצה לבנק ישראל אילו מהן ניתן לאשר, וקבעה את התנאים המפורטים להיתר להמשך השימוש בקובץ המלא. עד לסוף 2011 סיימה רמו"ט את הטיפול במרבית הבקשות מתוך למעלה מ- 60 שהוגשו. היבטי פרטיות במנגנון הטעינה של רכב חשמלי – smart grid רמו"ט פנתה למשרד התשתיות והפנתה תשומת לבו לכך שעקרונות המדיניות להפעלת רכב חשמלי בישראל מיום 15.02.2011 ואשר גובשו על ידיו, דורשים הפעלת רשת חשמל חכמה. רשת חכמה מחייבת לכאורה,, הקמת מאגר מידע ואיסוף מידע אישי מכל צרכן אשר יהיה מעוניין להשתמש ברשת על מנת לטעון את רכבו. רמו"ט הפנתה את תשומת לב משרד התשתיות לכך שמוטב לבחון ולנמק בשלב עיצוב המדיניות את הצורך באיסוף מידע אישי במסגרת קידו מה. במקביל נדרש המשרד לבחון חלופות המאפשרות קיום תכליות הפרוייקט תוך צמצום או מיזעור החשש לפגיעה בפרטיות, למשל בדרך של אנונימיזציה חלקית או מלאה של הפרטים, או שימוש בפתרונות טכנולוגים מקובלים אחרים בנושא זה. יצויין כי נושא רשת חכמה הוא כר נרחב לפעילות עיצוב לפרטיות Design) By (Privacy , המתאימה מאוד ליוזמה זו. ועדת אנגלרד – בחינת פרסום מידע פרטי מזוהה בפסקי דין המפורסמים אלקטרונית במהלך שנת 2011 החלו דיוניה של ועדה אשר מינה שר המשפטים, בראשות השופט בדימוס פרופ' יצחק אנגלרד, לבחינת ההסדר הראוי לפרסום פסקי דין בפורמט אלקטרוני נוכח תלונות הולכות ורבות של אזרחים על אודות פגיעה בפרטיותם הנגרמת בשל יכולות אחזור המידע במדיה אלקטרונית. 19 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה ראש רמו"ט משמש כחבר הועדה. הוועדה בוחנת את האיזון הראוי בין עקרון פומביות הדיון, לעניין הליך פרסום פסקי דין ופרוטוקלי דיונים בבתי המשפט בפורמט אלקטרוני ומתן יכולת אחזור מידע full-text לגביהם מחד גיסא, והגנת הפרטיות במידע מאידך גיסא. יכולות אחזור המידע הנ"ל, אשר קיימות במנועי איתור מידע משפטי ייעודיים כגון "תקדין" ו"נבו", או במנועי חיפוש כלליים כגון google , מאפשרות איתור מידע על אודות שם אדם, בין אם הופיע בפסק הדין כצד להליך, כעד בו או כנשוא הדיון. לעיתים פסקי הדין מכילים מידע אישי רגיש, כגון מידע רפואי בתיקי נזיקין. בהקשר של דין פלילי, הפרסום המזוהה פוגע בעקרון הקבוע ב חוק המרשם הפליל י ותקנת השבים, התשמ"א- 1981 , שכן מאגרי המידע המשפטיים מכילים פסקי דין ישנים יותר מתקופת ההתיישנות הקבועה בסעיף 14 לחוק זה. ז ועדה ו עוסקת, הראשונה בפעם ב בישראל להשכח," ה"זכות שאלת נוכח האגירה אשר to Right (TheOblivion), שהיא אחד מהנושאים המטרידים את העוסקים בעולם הפרטיות כמעט אינה מוגבלת בנפח ובזמן של מידע על אודות אנשים במאגרי מידע. ועדת לבחינה מיסוי רכב על פי שימוש במהלך שנת 2011 החלו הדיונים של ועדת מומחים ממשלתית אשר בוחנת את האפשרות לשנות את מודל המיסוי על כלי רכב באופן שיגלם את השימוש בפועל בכלי הרכב וההשפעות שלו על עומסי תנועה וזיהום אויר. מאחר ויוזמה כזו כרוכה, בדרך כלל, באיסוף מידע על אודות השימוש בפועל בכלי הרכב על ידי האזרחים, בקשה רמו"ט להיות נוכחת בדיוני הועדה וראש רמו"ט משתתף בה במעמד של משקיף. במהלך דיוני הוועדה הוכנסו בעצת רמו"ט,, שיקולי פרטיות לתהליכי הניתוח והבחינה של היוזמה, לרבות במסגרת ניסוי אשר יתקיים בנושא. רמו"ט תלווה את התהליך עד לגיבוש ההמלצות הסופיות. ועדת רשומות אלקטרוניות במהלך שנת 2011 התחדשו דיוניה של ועדת ההיגוי הממשלתית לנושא רשומות אלקטרוניות, אשר אמורה לגבש את ההסדר הראוי לשימור ארכיוני של רשומות אלקטרוניות הנוצרות במסגרת השירות הציבורי. ראש רמו"ט הוא חבר בוועדה. מטרת ועדה זו לשמש כועדת היגוי לתהליך אשר משנה את אופן הפעולה של גנז המדינה, אשר אחראי מכוח חוק הארכיונים, התשט"ו- 1955 על ההבטים הארכיוניים של מסמכים הנוצרים בגופי המדינה השונים. המציאות היום- יומית היא שכמויות עצומות של מסמכים ומידע נוצרים בגופי מדינה באופן דיגיטלי - באמצעי תקשורת מקובלים כגון דואר אלקטרוני, באמצעי ייצור מסמכים כגון מעבדי תמלילים, ובבסיסי נתונים רבים המשמשים את השירות הציבורי. היקף מידע כזה בפורמט דיגיטלי מעלה, מטבע העניין, שאלות של פרטיות במידע, אך עוסק גם בנושאים נוספים הקשורים לתחום עיסוקה של רמו"ט, כגון ראיות אלקטרונית, חתימה אלקטרונית, חופש מידע אלקטרוני וכד.' 20 ה. חקיקה ומדיניות ציבורית בנושאי משפט וטכנולוגיה הסדרי שיתוף פעולה עם רגולטורים אחרים בחודש מאי 2011 שלחה רמו"ט למפקח על הבנקים בבנק ישראל (להלן – הפיקוח על הבנקים), ולממונה על אגף שוק ההון, הביטוח והחסכון במשרד האוצר (להלן – הפיקוח על שוק ההון,) טיוט ות של הסכ מים ל שיתוף פעולה ( ) בינם לבין רמו"ט. memorandum of understanding מטרת טיוטת ההסדרים הלתוות את מסגרת העבודה בין רמו"ט לבין הפיקוח על הבנקים ובין רמו"ט לפיקוח על שוק ההון. רמו" ט זיהתה כי נדרש שיתוף פעולה ותקשורת בעניינים שהם בעלי עניין הדדי לה ולרגלטורים אלה, כמו גם נדרשת הסד רת הטיפול במקרים שבהם ישנה חפיפה בין הסמכויות ותחומי הפעילות של רמו"ט ובין אלה שלהם. ת חומים אלה הם בעיקרם בסוגיות של הגנת הפרטיות ואבטחת מידע במאגרי מידע בגורמים המפוקחים על יד י אותם רגולטור ים, במ קביל לסמכו תו הכללית של רשם מאגרי מידע, הפועל במסגרת רמו"ט. מזכרי ה הבנה יושמו במהלך שנת 2011 בהליכים שונים הקשורים לגיבוש הנחיות רמו"ט בנושא הגנת פרטיות במידע. 21 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ו. פעילות בינלאומית של רמו"ט הכנס הבינלאומי ה- 33 של נציבי הגנת מידע ופרטיות בסוף חודש אוקטובר 2011 השתתפה משלחת של רמו"ט בראשות ראש רמ ו"ט בכנס הבינלאומי ה- 33 של נציבי הגנת מידע אישי ופרטיות אשר נערך במקסיקו- סיטי, מקסיקו. לעניין זה יש להזכיר כי הכנס בשנת 2010 (בו הוחלט גם כי הכנס ב- 2011 ייערך במקסיקו) אורח על ידי רמו"ט בירושלים, והיה העוגן המרכזי באירועי שבוע הפרטיות במידע (25-29/10/2010 (. ראש רמו"ט השתתף במושב המרכזי ביום השני של הכנס אשר עסק בחשיבות ובמורכבות של אבטחת מידע בהקשר של הגנת הפרטיות. הכנס נערך מספר ימים לאחר הפרסום הפומבי של תוצאות חקירת גניבת מרשם האוכלוסין (ראו להלן בפרק הדיווח של רשם מאגרי מידע), וראש רמו"ט וסגן מנהל מחלקת חקירות עו"ד אריאל שהם הציגו את השתלשלות האירוע והפרטים הפומביים של החקירה לקהילה הבינלאומית בכנס. קבוצת העבודה WPISP של הארגון לשיתוף פעולה כלכלי ( ) OECD ראש רמו"ט משמש נציג ישראל בקבוצת העבודה and Security Information on Party (Working WPISP Privacy) וכן נציג ישראל (בשיתוף עם משרד התקשורת) בועדת and Communication (Information, ICCP של הארגון לשיתוף פעולה כלכלי (OECD .) Computers Policy) עוסקת בסוגיות של פרטיות במידע, אבטחת מידע ו- , תוך מתן דגש על ההיבטים WPISP cybersecurity הכלכליים שלהם. בישיבת WPISP מספר 31 , אשר נערכה בדצמבר 2011 בפריס, נבחר ראש רמו"ט יורם הכהן, לשמש כסגן- נשיא של קבוצת העבודה WPISP . בנוסף, משמש ראש רמו"ט כסגן ליו"ר קבוצת המומחים אשר בוחנת את העדכון הנדרש בהנחיות ה- משנת 1980 בנושא של הגנת פרטיות במידע והעברות מידע בין- לאומיות. OECD רשת שיתוף פעולה באכיפה הגנת הפרטיות במידע ( ) GPEN רמו"ט חברה בצוות המייסד של רשת שיתוף הפעולה הבינלאומי לאכיפת הגנת הפרטיות במידע . לשיתוף פעולה בינלאומי באכיפת פרטיות במידע חשיבות (GPEN – Global Privacy Enforcement Network) גבוהה, שכן עיקר פעולות איסוף המידע האישי והשימוש בו נעשה באמצעות תשתית האינטרנט ועל ידי חברות בינלאומיות, או חברות לאומיות הפועלות במרחב הוירטואלי. בנוסף, אתגרי האכיפה של פרטיות במידע הינם דומים בר וב המדינות הדמוקרטיות, בהן לפרטיות מעמד של זכות יסוד חוקתית. מהטעם הזה יש צורך ממשי בשיתוף פעולה בין הרשויות השונות העוסקות בנושא ברחבי העולם, הן משיקולים של אפקטיביות אכיפתית והן משיקולים של הקצאה יעילה של משאבים. 22 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 בפגישת GPEN שנערכה בשולי הכנס הבינלאומי של רשויות הגנת מידע אישי ופרטיות במקסיקו באוקטובר 2011 , הציגה רמו"ט תובנות בנושא אכיפה פלילית של הגנת פרטיות במידע, אשר עלו מחקירת גניבת מרשם האוכלוסין והפצתו באינטרנט (ראו להלן בפרק הדיווח של רשם מאגרי מידע.) על GPEN ניתן לקרוא באתר האינטרנט של הרשת https://www.privacyenforcement.net סיום תוכנית ה- עם רשות הגנת המידע הספרדית ( ) TWINNING AEPD בתחילת שנת 2011 הגיעה לסיומה המוצלח תוכנית ה- לחיזוק רמת ההגנה על מידע אישי בישראל, twinning שקיימה רמו"ט עם רשות הגנת המידע הספרדית (AEPD) במימון הנציבות האירופית. על התוכנית ניתן לקרוא בדו"חות השנתיים הקודמים של רמו"ט. תכנית המסגרת האירופית השביעית למחקר FP7 תכנית המסגרת האירופית השביעית למחקר היא תכנית רב שנתית המשמשת מסגרת למימון מחקרים (FP7) באירופה ובמדינות נוספות, בתקציב רב שנתי כולל בסך 50 מיליארד אירו. התכנית פתוחה בפני חוקרים באקדמיה, חברות מסחריות וגופים ציבור יים. לפי תנאי תכנית המסגרת, פרויקטים המבקשים לקבל את מימונה נדרשים, בין השאר, לעבור בדיקה אתית וכן להציג אישורים של רשויות הגנת המידע ( ) בכל אחת מן המדינות הרלבנטיות – Data Protection Authority בדבר עמידה בהוראות חוקי הגנת הפרטיות המקומיים. בשנת 2011 החלה רמו"ט בשיתוף פעולה עם , ISERD המנהלת הישראלית לתכנית המסגרת האירופית. במסגרת זו ניסחה רמו"ט טופס בקשה לקבלת אישור כאמור ונדרשה לחוות דעתה בדבר היבטי הגנת המידע של מספר פרוייקטים בהם נטלו חלק שותפים ישראלים. כמו כן , בחודש ספטמבר השתתף נציג רמו"ט בסדנת עבודה בנושא " " שאורגנה בידי תחום מחקרי הביטחון ב- Ethical issues in Security Research - a practical approach - סוכנות של נציבות האיחוד האירופי המנהלת את תכנית המסגרת. REA (Research Executive Agency) במסגרת הכנס הצגתי סקירה כללית של שיטת המשפט הישראלית ושל משטר הגנת הפרטיות והמידע הנובע ממנה, תוך שימת דגש על הדמיון בינה לבין משטר הגנת המידע האירופי והחלטת הנציבות האירופית לפיה ישראל מספקת רמת הגנה נאותה למידע אישי ( .) adequacy פעילות במסגרת FESA ב- 12-13.04.2011 התקיים בשטוקהולם, שוודיה המפגש התקופתי של רשויות הפיקו ח האירופאיות על חתימה אלקטרונית ( ,) באירוח הרשות השבדית לטלקומוניקציה Forum of European Supervisory Authorities –FESA ולדואר ( .) Swedish Post and Telecom Agency ארגון הוקם באופן וולנטרי על ידי החברים, ואינו בעל מעמד רשמי של ארגון דיפלומטי אלא מהווה פור ום FESA להחלפת דעות ותיאום עמדות בין רשויות הפיקוח. החל משנת 2007 רשם גורמים מאשרים חבר בפורום זה כחבר משקיף, ובשנת 2008 הרשות למשפט טכנולוגיה ומידע אף אירחה מפגש של הפורום בתל אביב. 23 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 במפגש נכחו 19 נציגים של 14 רשויות הפיקוח של המדינות הבאות: גרמניה, פולין, הולנ ד, צ'כיה, שבדיה, איסלנד, פינלנד, אוסטריה, שוויץ, הונגריה, דנמרק, נורבגיה, סלובקיה ואלבניה. כמו כן, נכח שליח נציבות האיחוד האירופי הממונה על נושא חתימה אלקטרונית. את רמו"ט ייצג עו"ד עזמי טנוס, מפקח במחלקת רישוי ופיקוח מנהלי, העוסק בנושאי חתימה אלקטרונית. במפגש נדונו הנושאים הבאים: עדכונים מנציבות האירופית על מגמות ההסדרה והחקיקה של חתימה אלקטרונית באירופה, מהלכי הרמוניזציה  של הרגולציה בין המדינות, ההסדרה של רשימה ממוחשבת של גורמי אמון באיחוד האירופי (ה- ,) פעילות TSL גופי התקינה ה אירופיים לעדכון התקינה הקיימת, פיתוח טכנולוגיות ייעודיות לשימוש המדינות לקידום ההרמוניזציה בין המדינות. בנוסף נמסר דיווח על אודות תוצאות ביניים לשאלוני שהופצו Public Consultation לציבור באירופה ו שמטרתם לספק ידע לגבי האופן שבו חתימה, הזדהות ואימות אלקטרוניי ם, נתפסים ומיושמים בכל אחת מהמדינות על ידי גופים ציבוריים ופרטיים. תהליך זה נעשה במסגרת הכנת הרפורמה בדירקטיבה האירופית בדבר חתימה אלקטרונית. עדכונים של כל המדינות המשתתפות לגבי התפתחויות אחרונות בכל מדינה בתחום החתימה אלקטרונית.  תיאור של כל אחת מהמדינות המשתתפות לגבי משטר הרישום והפיקוח הקיים אצלה, במסגרת הניסיון  להגברת הרמוניזציה למשטר רגולציה אחיד בין המדינות. הצגת נציג הרשם על המצב בישראל, משטר הרישום והפיקוח, והניסיון הפיקוחי של רמו"ט בתחום.  חלוקת ידע באתגרים משותפים.  24 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ז.דין וחשבון של רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 אודות פעולות הפיקוח והאכיפה בשנת 2011 25 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 הערות המועצה להגנת הפרטיות לפי סעיף 10א לחוק הגנת הפרטיות המועצה הציבורית להגנת הפרטיות י"ג באלול תשע"ב 30 באוגוסט 2012 לכבוד ח"כ דוד רותם יו"ר ועדת החוקה חוקומשפט הכנסת ירושלים נכבדי, הנדון: הערות המועצההציבוריתלהגנת הפרטית על דו"חרשם מאגרי מידעלשנת 2011 המועצה הציבורית להגנת הפרטיות מתכבדת להגיש את הערותיה לדו"ח רשם מאגרי המידע לשנת 2011 , בהתאם לסעיף 10אלחוק הגנת הפרטיות, התשמ"א- 1981 . לצערנו, גם השנה מוגש הדו"ח באיחור. הוא הועבר לעיון המועצה באמצע חודש יולי 2012 . מדובר אמנם באיחור קטן יותר מאשר בשנים עברו, אך כיוון שמועד הגשת הדו"ח קבוע בחוק, יש להקפיד על עמידה בלוח זמנים זה. יחד עם זאת, נראה שיש מקום לשקול מחדש את מסגרת הזמן הקבועה בסעיף 10א, שאינה נותנת זמן מספיק לערוך את הדו"ח ולהגישו להערות המועצה. מאז חוקק הסעיף גדל היקף הפעילות של הרשם באופן דרמטי, וככל שיש ציפייה שהדו"ח יכלול פירוט מהותיולא רק מידעסטטיסטי,נראה כי יש מקום להאריךאתהתקופההקבועה בחוקבחודשים מספר. שנת 2011 הייתה שנה של הישגים משמעותיים בתחום הגנת הפרטיות, בזכות פעילותה של הרשות למשפט, טכנולוגיה ומידע. אך היא הייתה גם שנה שבה נמשכה המגמה של איומים על הגנת המידע האישי של תושבי ישראל. אלה גם אלה באיםלידי ביטוי בדו"ח. European Commission שנת 2011 נפתחה בהישג חשוב במישור הבינלאומי. בסוף חודש ינואר, החליטה ה – להכיר במשטרהגנתהפרטיות ישראל כתואמתאת אמותהמידההאירופיות הקבועות בדירקטיבה שלהפרלמנט האירופי.החלטה זו ניתנה במידה רבה בזכות פעולותיה של רמו"ט בשנים שמאז הקמתה. כפי שעולה מנוסח ההחלטה, ניתן גם משקל רב להודעתה של מדינת ישראל כי היא מתכוונת ליזום תיקוני חקיקה שישפרו את כלי האכיפה של דיני הגנת הפרטיות, וכן תעדכן את הדינים המהותיים עצמם על מנתלהתאימם לסטנדרטים בינלאומיים ולהתפתחויות הטכנולוגיות האדירות מאז חוקק חוק הגנת הפרטיות. למרבה הצער, פעילות החקיקה מתקדמת באיטיות. הצעת חוק בדבר דרכי האכיפה הוגשה לכנסת לפני חודשים מספר, ואילו הצעות החוק בתחום הדין המהותי נמצאות בשלבי הכנה שונים במשרד המשפטים. המועצה קוראת למשרד המשפטים להאיץ את קצב ההכנה של הצעות חוק שטרם הוגשו לכנסת, ומקווה שהשלמת הליכי החקיקה של הצעתהחוק הנמצאת כרגע על שולחן ועדת החוקהחוקומשפט שלהכנסת תיעשה בקרוב. לקראת סוף השנה פורסמה תוצאת החקירה המוצלחת של מחלקת החקירות של רמו"ט בעניין דליפת מרשם האוכלוסין ופרסומו באינטרנט (פרשת האגרון). הצלחתה של יחידה ייעודית זו לפצח פרשה חמורה זו מקום שחקירת המשטרה לא הניבה תוצאות היא עדות לכך שתחום מיוחד זה של עבירות במאגרי מידע מצדיק הקצאת משאבי חקירה מיוחדים ומיומנים. שאלת אשמתם של הנאשמים בפרשה תיקבע על ידי בית המשפט, אך כבר בשלב זה יכולה המועצה לברך את העוסקים במלאכת ברמו"ט על שחשפו את הפעולות שהובילו להפצת המרשם ברבים. המועצה מקווה שמעבר להליכים הפליליים, חשיפה זו תביא להפקת לקחים ולשיפור דרכי אבטחת המידע אצל רשויות המדינה כדי למנוע עד כמה שניתן דליפת מאגריםהכוללים מידעאישי. 26 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 אלה החדשות הטובות. אך לא ניתן להתעלם מהחדשות הרעות שלצידן. הסיכונים לזכות לפרטיות רק הולכים ומתעצמים. חלק מהם באים לידי ביטוי בדו"ח הרשם. כך, למשל, פרויקט ה"רב קו" בתחבורה הציבורית יצא לדרך בשנת 2011 . נאסף מידע רב מתושבי המדינה, לרבות מידע על קטינים, בלי שניתנה הדעת לצורך לצמצם את היקף המידע שנאסף. לא ניתנה לתושבים בצורה מספקת האפשרות להשתמש בתחבורה הציבורית בלי צורך למסור מידע אישי. אף לא נקבעה שיטת איסוף והחזקה המיועדת למנוע שימוש במידע שנאסף שלא למטרה שלשמה נמסרה. מערכת הרב- קו תוכננה ללא כל מודעותלצורך לאמץעקרונות שלעיצוב לפרטיות (design by privacy ). רק כאשר ניגש משרד התחבורהלקבוע אתההסדר החקיקתי לשימוש ברב-קו נחשפו הבעיות בתחום הפרטיות (בין השאר, בעקבות החלטת המועצה לקיים דיון עם נציג משרד התחבורה בנושא). שיתוף הפעולה עם רמו"ט החל בשלב מאוחר מדי, ומשרד התחבורה הפעיל את השיטה החדשה עוד לפני סיום הבחינה של רמו"ט ולפני השלמת הליכי החקיקה (שטרם הסתיימו). התנהלות זו חמורה בעינינו, כיוון שהיא חושפת מאות אלפים לקוחות "שבויים" של מערך התחבורה הציבורית לפגיעה בזכותם החוקתית לפרטיותם מבלי שזו תעוגן בחוק של הכנסת. מערכת הרב- קו נבנתה ועוצבה במטרה לשרת את צרכי משרד התחבורה והמפעילים ותוך התעלמות מהצורך להימנע מפגיעה בפרטיות, ולכל הפחות - לצמצמה ולהפכה למידתית. כפי שדיווח נציג רמו"ט בוועדת הכלכלה שלהכנסת (בדיון מיום 21.2.12 ), ה"ארכיטקטורה שלהטכנולוגיה" שנבחרה על ידי משרד התחבורה מכתיבה "סט של אילוצים", שמקשים היום על גיבוש הסדר מעשי וחוקי ראוי בהתאם לעקרונות של עיצוב לפרטיות. למרבה הצער, גם התחייבות של משרד התחבורה שניתנה למועצה, כי לכל נוסע תינתן אפשרות להשתמש ברב- קו ללא מתן פרטים מזהים (רב- קו אנונימי) לאהתקיימה במועד ונערמו קשיים בפני מי שהעדיףלהשתמש בכרטיס אנונימי. המקרה של פרויקט רב-קו מהווה רק דוגמה לדפוס מדאיג שאפייני למיזמים נוספים של המדינה: רישות רחובות הערים במצלמות מעקב; מאגר ביומטרי של זרים, שהמדינה התחייבה בפני בג"צ לעגנו בדיעבד בחקיקה; מאגר התמונות "הביומטריות" במשרד התחבורה; מאגר המידע של ראמ"ה במשרד החינוך ועוד. רשויות המדינה בונות ומפעילות מערכות הפוגעות בפרטיות, ורק לאחר מכן – לעתים אחרי שנדרשו לעשות כן על ידי נציגי היועץ המשפטי לממשלה – נזכרים שיש צורך לעגן את הפעילות בחקיקה. בדרך זו הן עוקפת הרשות המבצעת את הכנסת, מונעת דיון ציבורי, וקובעת עובדות בשטחעוד לפני שהתקיים דיון ראוי לגבי האיזון הנאות ביןהזכות לפרטיות לבין אינטרסים אחרים של הציבור. עוד אירוע מדאיג בשנת 2011 היה אישור חקיקת המשנה להפעלת המאגר הביומטרי לתקופת מבחן ("הפיילוט"). הצו והתקנות אושרו בדיון חפוז אחד בוועדה מיוחדת של הכנסת, בלי מתן משקל מתאים, לדעת המועצה, לשיקולי הגנת הפרטיות. לאחרונה, בעת דיון בעתירה לבג"צ בנושא (בג"צ 1516/12 ), הבהירו השופטים שהצו לתקופת המבחן אינו עומד בדרישות החוק, והמדינה הסכימה לתקן את הצו כך שייקבעו בו הסוגיות שייבחנו בתקופת הפיילוט ומדדי ההצלחה. המועצה מברכת על כך שמדינה הצהירה שבמסגרת תקופת המבחן, ולפני שתתקבל החלטה אם להקים מאגר ביומטרי שיכלול את כל תושבי המדינה, תישקל שוב הצעת פרופ' עדי שמיר למודל של מאגר שיכול להבטיח את אמינות מרשם התושבים ומסמכי הזהות בלי לפגוע פגיעה בלתי מידתית בפרטיות. המועצה מקווה שהצעה זו, עליה המליצו המועצה ורמו"ט בעבר, אכן תישקל בלב פתוח ובנפש חפצה, וכי לא יוחלט על הקמת מאגר כעניין שבחובה בלי לאמץ הצעה זו או מודלהדומה לו. לפני ההתייחסות לדו"ח עצמו, מבקשת המועצה לברך את רמו"ט ואת העומד בראשה, עו"ד יורם הכהן, המסיים את תפקידו בימים אלה, על עשייה מקיפה ומרשימה ביותר למען הגנת הפרטיות של תושבי המדינה. עו"ד הכהן הקים את רמו"ט כמעט יש מאין, יחד עם הנהלת משרד המשפטים, ריכז צוות עובדים מצוין והצעיד את הרשות להישגים נכבדים. על כךנתונה לו תודתהמועצה והערכתה. 27 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 התייחסות לדו"ח עיון בדו"ח מגלה פעילות רבה מאד של רמו"ט בתחום הגנת הפרטיות. ניתן לראות גידול בהיקף הפעילות בנושאי רוחב – חקיקה ומתן הנחיות. זו פעילות חשובה ביותר, ומקובלת עלינו גישת רמו"ט הנותנת קדימות לקביעת נורמות ולהכוונת הפעילות של הגופים מחזיקים מאגרי מידע. אך מובן שאין תחליף גם לאכיפה נמרצת ורחבת היקף. כדי לוודא שמחזיקי מאגרים ישקיעו את המאמצים ואת המשאבים הדרושים לקיום הוראות החוק, עליהם לדעת שקיימת סבירות ממשית שמעשיהם ייבחנו עלידיהגוףהמסדיר והאוכף,וכי הם חשופים הן לעיצומים מינהליים והן להליכים פליליים. בהקשר זה ניתן לשאוב עידוד גם מפסק הדין שניתן לאחרונה, שהכיר בסמכותה של רמו"ט לפרסם הנחיות ונהלים, ולהכריז בהם על הפרשנות של הדין, שלאורה תנהג רמו"ט בעת אכיפתו (עת"מ (ת"א) 24867-02-11 איי.די.איי חברה לביטוח בע"מנ' רמו"ט(השופטתד"ר מיכל אגמון גונן, 1.8.12 .) נראה כי בשנת 2011 הייתה ירידה מסוימת במספר פעולות הפיקוח והאכיפה המינהלית. בשנת 2010 טיפלה הרשות ב – 233 תלונות בנושא הגנת הפרטיות, ואילו בשנת 2011 ב – 173 תלונות. בשנת 2010 נפתחו 76 תיקי פיקוח וטופלו 43 תיקים נוספים משנת קודמות, ובשנת 2011 נפתחו 55 תיקי פיקוח וטופלו 51 משנים קודמות. בשנת 2010 הוטלו 13 קנסות מינהליים (נגד11 גופים) ובשנת2011 – חמישה (נגד ארבעה גופים.) היינו רוצים לחשוב שהדבר נובע משיפור משמעותי בעמידתם של מחזיקי מאגרים בהוראות חוק הגנת הפרטיות, ולכן פחות תושבים גילו הפרות של זכותם לפרטיות ונאלצו להגיש תלונות. אך אנו חוששים שאין הדבר כך. נראה כי ההפרות הן עדיין רווחות ומהותיות. ירידה במספר התלונות עשויה להצביע על מודעות בלתי מספקת ליכולת של תושבי המדינה להפנות תלונותיהם לרשות.בכל מקרה,לא מצאנוהסבר בדו"ח לתופעה זו. ייאמר מיד: אין אנו סבורים שהטלת קנסות היא מטרה בפני עצמה, ושהצלחתה של רשות אכיפה נמדדת במספר הקנסות שהיא מטילה. אך ירידה במספרים בתחום שבו ברור כי אנו רחוקים ממצב משביע רצון ברמת הציות לחוק טעונה לדעתנו הסבר. ייתכן מאד יש להפנות משאבים נוספים לרמו"ט כדי שהיא תשמור על רמת פעילות גבוהה בתחום הפיקוח והאכיפה. ייתכן גם שפחות מדי נעשה כדי להביא לידיעת הציבור שרמו"ט היא כתובתלפניות ולתלונות. באשר לפירוט בדו"ח בעניין התלונות ובעניין תיקי פיקוח: אנו נאלצים לחזור על הערה שהערנו בעבר ואשר לא יושמה בדו"ח. בנתונים המפורטים בעמודים 3 – 6 לדו"ח חסרים פרטים על תוצאות פעולות הפיקוח. כאשר גוף מפקח המטפל בתלונות מדווח על פעולותיו, אין זה מספיק שידווח על מספר התלונות והתיקים ויאפיין אותם לפי הגוף שבו מדובר והנושאים שנבדקו. הדיווח צריך לשקף גם את תוצאות הטיפול, ולא רק בדרך של מתן דוגמאות. אנו מצפים כי הרשות תדווח כמה תלונות נמצאו מוצדקות, לפי אפיון של הגוף שעליה הייתה התלונה. נדרש גם דיווח על סוגי ההפרות שנמצאו והאמצעים שננקטו. אין אנו מצפים לתיאור מפורט של כל מקרה ומקרה, אך גם לא למספר סיפורי- מעשה בלבד. ראוי שהדיווח יכלול נתונים לגבי כלל התלונות, כדי שניתן לדעת מי הם הגופים המועדים להפרות בנושא הגנת הפרטיות ומה הן ההפרותהנפוצות. הדיווח על מבחר תיקי הפיקוח הוא מאיר עיניים. כפי שכבר הערנו בעבר, חשוב ביותר שמידע זה יגיע לציבור לא רק אחת לשנה, עם פרסום הדו"ח, כי אם באופן שוטף. ואכן, לגבי חלק מהמקרים הופצו הודעות לעיתונות. חשיפת רמו"ט לתקשורת ולציבור אכן מתרחבת עם השנים. לפרסום בסמוך למועד ההתרחשות יש ערך הרתעתי רב, בנוסף כמובן לערך של שיתוף הציבור במידע כשלעצמו. נכון הוא שפרסום הודעה לעיתונות אינו מבטיח כיסוי תקשורתי, אך לכל הפחות יכולה הרשות לוודא שמידע על פעולות פיקוח שהסתיימו יועמד לרשות הציבור באתר האינטרנט של רמו"ט באופן שוטף. לא מצאנופרסום מסודרושיטתיכזהבאתר הרשות היום. מהדיווח לגבי תיקי פיקוח עולה כי לעתים מסתפקת הרשות בהודעת הגוף כי הוא יתקן את הליקויים ובמקרים אחרים נמסרעל הטלת קנס מינהלי. אין בכך כלפגם, אךיש מקוםלהסברלגבי מדינותהאכיפה.נמחיש זאת בשתי דוגמאות. 28 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 בעמ' 11 לדו"ח מובא המקרה של חברת קדישא גחש"א בתל אביב. נמצא כי הייתה פעילות שלא כדין של עובד שבינתיים פוטר, והמידע בנושא הועבר למשטרה. אך היה גם כשל מערכתי שאיפשר גישה למידע בניגוד להרשאה. נאמר כי נעשו פעולותלתיקון בעיות אבטחתהמידע. לא ניתן הסבר מדועלא ננקטו כלפי החברה קדישא גםפעולות אכיפה. בעמ' 12 נדון המקרה של חברת אדם מילוא בע"מ. נמצא כי הייתה הפרה של סעיף 13 לחוק והוטל קנס מינהלי. ההפרה נבעה ממדיניות החברה להשמיד עותקים של דו"חות אבחון אחרי שהאדם שעליו הדו"ח ביקש לעיין בו. החברה שילמה את הקנס, אך לא מצאנו בדיווח מידע לגבי שינוי מדיניות החברה. מקרה מסוג זה מחייב, כך נראה, מעקב ופיקוח חוזר, כדי לוודא שהחברה אינה ממשיכהלנקוט במדיניותהקודמת שנמצאהבלתי חוקית. בדו"ח מובא בהרחבה סיפור חשיפת השגת עותק ממרשם האוכלוסין והפצתו באינטרנט (פרשת האגרון). אכן מדובר בעניין בעל חשיבות ציבורית רבה וההצלחה של רמו"ט בעניין זה היא מרשימה. התוצאה במישור הפלילי תיקבע בבית המשפט. לדידנו, לא פחות חשובות הן המסקנות והתוצאות המערכתיות בעקבות הפרשה. בהקשר זה נציין, כי לצד הנזקים הכבדים שנגרמו בפרשת האגרון (ר' עמ' 29 – 32 לדו"ח), נראה כי היא הביאה גם לסקפטיות בריאה בדבר היכולת להגן באופן הרמטי על מידע אישי במאגרי מידע גדולים. פרסום הפרשה יוסיף, יש לקוות, מידה מוגברת של זהירות בשיח הציבורי בקשרלהקמת מאגרי מידע ממשלתיים נוספים. במהלך החקירה נחשפה עובדה שאי אפשר להפריז בחומרתה – החזקת עותק של פנקס האימוצים בידי אדם פרטי. למרבה המזל, מאגר זה, החסוי ביותר, לא הועלה לאינטרנט ואין אינדיקציה שהוא הועבר לידיים נוספות. אך הוצאת עותק מפנקס אימוצים מחייבת צעדים נחרצים כדי למנוע כל אפשרות שמעשה זה יחזור על עצמו. אף שהדבר אינו מופיע בדו"ח, אני מקווים שצעדים אלה נעשו כבר, וכי הרשות דואגת לפקח על כך כיאות. נראה למועצה כי עניין זה צריך להיות בראש סדר העדיפויות של רמו"ט. המועצה ממליצה כי וועדת החוקה חוק ומשפט תקיים ישיבה שבה יוצג וייבחן הדו"ח השנתי. המועצה מציעה כי בדיון זה תבקש הוועדה מגופים הנוגעים בדבר דיווח על הפעולות שנעשו במשרדי הממשלה ובגופים ציבוריים אחרים כדי להפיק לקחים מכשליהאבטחה שהתגלובפרשתהאגרון, ובפרט – בעניין פנקס האימוצים. בברכה, יהושע שופמן יו"ר המועצה 29 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 מבוא רשם מאגרי מידע היא פונקציית הרגולציה של הגנת הפ רטיות במידע על פי חוק הגנת הפרטיות , התשמ"א- 1981 (להלן בפרק זה – החוק) , והיא פועלת במסגרת רמו"ט על בסיס החלטת הממשלה להקמתה. ראש רמו"ט מחזיק במכלול סמכויותיו של רשם מאגרי המידע על פי החוק , ומפקחי רמו"ט פועלים מכח סמכויות הפיקוח המוקנות ב ו . פעולות החקירה הפלילית המתוארות בדו"ח זה, נעשו מכח הסמכה ספציפית של השר לבטחון פנים לחקור עבירות על החוק ועל חוק שירות נתוני אשראי, התשס"ב- 2002 . פרק זה של הדו"ח השנתי מוגש לועדת החוקה, חוק ומשפט על בסיס סעיף 10 א לחוק, ובראשיתו מובאות הערות המועצה להגנת הפרטיות לגביו. פיקוח מבוא בשנת 2011 המשיכה רמו"ט בפעולות פיקוח על קיום הוראות ה חוק, בהתאם לסמכויות רשם מאגרי המידע, ו הגבירה את נוכחותה ב תודעת המשק הישראלי, הציבורי והפרטי כאחד. בשנה זו טופלו בתחום הגנת הפרטיות 106 תיקי פיקוח בנושאים מהותיים שונים בחוק הגנת הפרטיות ובהם שימוש שלא למטרה במידע אישי, קיום דרישות החוק בפנייה לאדם בדיוור ישיר, אבטחת מידע שמצוי במאגרי מידע, איסוף מידע מאנשים שלא כדין והעברות מידע בין גופים ציבוריים. החלטות שנתקבלו בתיקים כללו הטלת קנס ות מינהליים, קבהעי כי ה ופר החוק ו הנחייה לתיקון ליקויים. לעיתים עצם הפתי חה בפיקוח והפניה למפוקח גורמת לשינוי אופן הפעולה של הגורם המפוקח כך שיעמוד בחובות החוק. הטל ת קנס ות מינהלי ים ופירוט סנקציות אחרות מ ופרסמות באתר האינטרנט של רמו"ט בקישור: . /MOJHeb/ILITA/Pirsumim/enforcementact.htm http://www.justice.gov.il נתונים בתחום הגנת הפרטיות הוגשו בשנת 2011 לרמו"ט 173 תלונות , המהוות כ- 80% מכלל התלונות שהגיעו לרמו"ט. נתון זה מציג ירידה של כ- 25% בכמות התלונות ביחס לשנה הקודמת. הירידה מיוחסת לסיומה של פעילות תקשורתית ענפה שביצעה רמו"ט בשנת 2010 וחזרה של כמות התלונות להיקפן בשנת 2009 . אחוז התלונות בתחום הגנת הפרטיות מתוך כלל התלונות המגיעות לרמו"ט נותר כשהיה. במהלך השנה נפתחו ברמו"ט 55 תיקי פיקוח חדשים בנושא הגנת פרטיות, המהווים 70% מכלל תיקי הפיקוח שנפתחו בשנה זו. בנוסף נמשך טי פול ב- 51 תיקי פיקוח בתחום זה שנפתחו קודם לשנת 2011, ובסה"כ טופלו בשנת 2011 בתחום הפיקוח 106 תיקים. 30 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 שיעורי תיקי הפיקוח לפי חתך מגזרי השקף להלן מציג את התפלגות תיקי הפיקוח לפי חתך מגזרי. הוא נותן תמונה יחסית מדויקת לגבי מגוון תחומי הפיקוח של רשם מאגרי מידע, וזאת לאור העובדה שמידע אישי מעובד היום במשרדי הממשלה, בגופים ציבוריים אחרים, בכל סקטור במגזר העסקי, וכן בגופים ללא מטרת רווח. מטבע הדברים, החלוקה להלן מעידה רק על הפקוחים בפועל שנעשו על ידי רמו"ט, ולא בהכרח על התחומים בהם יש סכנות גדולות יותר לפרטיות מאשר אחרים. תחבורה אחר תקשורת 4 17 11 שירותי מידע 8 ביטוח שירותי גביה ופיננסים 2 16 ציבורי בריאות 21 דיוור 8 ישיר 8 השמת כ"א אינטרנט 2 3 נושאים שנבדקו בתיקי פיקוח הנושאים שבהם עסקה רמו"ט בתיקי הפיקוח כללו1: א. שימוש במידע שלא למטרה לשמה נמסר (סעיף 8 ב) לחוק)( - בכ- 55% מהתיקים; ב. פניות בדיוור ישיר (סעיף 17 ד - 17ו לחוק) - בכ- 31% מהתיקים; ג. אבטחת המידע במאגרי המידע (סעיף 17 לחוק) – בכ- 25% מהתיקים; ד. אי מתן הודעה בטרם איסוף מידע למאגר מידע (סעיף 11 לחוק) – בכ- 13% מהתיקים; ה. העברות מידע בין גופים ציבוריים (פרק ד' לחוק) – בכ- 4% מהתיקים; 1 בתיקי פיקוח נבחנות לעתים קרובות הפרות אפשריות של יותר מסעיף חוק אחד, ולכן הדיווח באחוזים הינו לגבי כל סעיף חוק מתוך כלל התיקים. 31 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ו. אי מתן זכות עיון (סעיף 13 לחוק) – בכ- 2% מהתיקים. תיקי פי קוח נבחרים במגזר הציבורי משרד הביטחון הפיקוח בחן העברות מידע מרשות המסים, מ המוסד לביטוח לאומי, וממשרד הפנים (רשות האוכלוסין, ההגירה ומעברי הגבול) לאגף שיקום נכים במשרד הבטחון. במסגרת הפיקוח נבח נה תקינות הליך העברת המידע בין גופים אלה, נוכח הוראות פרק ד' לחו ק והתקנות מכוחו. העברת מידע בין גופים ציבוריים מוסדרת בפרק ד' לחוק, בתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבורים), התשמ"ו- 1986 ובהנחייה ליועצים המשפטיים במשרדי הממשלה מטעם המשנה ליועץ המשפטי לממשלה (ייעוץ), מר בלס, מיום 16.03.2006 , בנושא "העברת מידע בין גופים ציבורים." ההליך כולל חובת הגשת בקשה לועדה להעברת מידע בין גופים ציבוריים של הגוף בעל המידע וקבלת אישורה. הבקשה אמורה להבדק על ידי הועדה רק לאחר אישורה על ידי מנהל מאגר המידע, הממונה על האבטחה והיועץ המשפטי של הגוף ממנו נתבקש המידע. על בעלי התפקידים הרלוונטיים והועדה לבחון, בין השאר, אם הגוף המבקש את המידע הוא "גוף ציבורי" הרשאי לדרוש אותו על פי דין. כמו כן, יש לבחון את המידתיות והסבירות של הבקשה ואת התאמת רמת אבטחת המידע בגוף המבקש לאופי המידע שהיא מבקשת לקבל, אופי והיקף מורשי הגישה והטיפול במידע בגוף המבקש. אישור הועדה עשוי להינתן לתקופה קצובה. בפיקוח נמצא כי – א. בחלק מהמועדים שבהם הועבר מידע מהמוסד לביטוח לאומי למשרד הבטחון לא היה אישור ועדה להעברת מידע תקף המאשר את העברת המידע. משרד הבטחון הודיע כי הוא פעל מיידית לחידוש האישור, כי הודגש בפני העובדים כי אין לבצע העברות מידע ללא אישור תקף, וכי הוא פועל ליצירת מנגנון בקרה והתרעה ממוחשב לניהול הנושא על מנת למנוע מקרים כאלו בעתיד. 32 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ב. העברת מידע מרשות האוכלוסין, ההגירה ומעברי הגבול במשרד הפנים למשרד הביטחון לצרכי אגף שיקום נכים מבוצעת באופן ובהיקף שאינו סביר, אינו מידתי וכולל מידע עודף רב. הועדה להעברת מידע נתבקשה לבחון מחדש את החלטתה בהתאם לעקרונות החוק, התקנות והנחיית היועמ"ש. סוגייה זו ממשיכה להתברר בימים אלו. ג. משרד הבטחון לא העמיד לעיון הציבור באתר האינטרנט שלו את רשימת מקבלי המידע ממנו כנדרש. המשרד נדרש לתקן ליקוי זה. רשות האכיפה והגבייה הפיקוח בחן את המרשם המקוון של ה חייבים שהוכרזו מוגבלים באמצעים ע"י רשות האכיפה והגבייה. תקנות ההוצאה לפועל, תש"מ- 1979 מכוחן פועל המרשם קובעות, כי משתמש לא יוכל להגיש ולקבל מענה מהמרשם על יותר מ- 10 שאילות ביום. בפיקוח נמצא כי – א. ניתן במניפולציה להגיש מספר בלתי מוגבל של שאילתות ולמעשה לייצר עותק של כל המידע. ב. נמצאו ליקויי אבטחת מידע נוספים. הרשות הונחתה לתקן את הליקויים שנמצאו, לבצע סקר סיכונים ומבדק חדירות לשם איתור פרצות האבטחה באתר ולבצע תוכנית עבודה לתיקון הליקויים שיאותרו. הרשות דיווחה על ביצוע הנדרש. משרד התחבורה - רשות הרישוי הפיקוח בחן את המוקד הטלפוני הממוחשב שמפעיל משרד הרישוי למתן מידע על רישיונות נהיגה. בפיקוח נמצא כי – הליך הזיהוי לצורך קבלת מידע ושירות מהמוקד התבסס על פרטים המופיעים במרשם האוכלוסין בלבד, בניגוד להנחיית הרשם 1-2010 אשר קבעה כי הסתמכות על פרטי מידע אלה בלבד, לאור קיומו של עותק ממרשם האוכלוסין באינטרנט, היא הפרה של חובת אבטחת המידע הקבועה בסעיף 17 לחוק. רשות הרישוי הונחתה לפעול לתיקון הליקויים והודיעה שתפעל בהתאם. 33 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 רשות ניירות ערך הפיקוח בחן את אופן הפרסום של מידע אודות יועצי ם , משווקי ם ומנהלי ם להשקעות בעלי רשיון מאת הרשות לניירות ערך באתר האינטרנט של הרשות. בפיקוח נמצא כי – א. באתר מפורסמת רשימה הכוללת פרטים אישיים וביניהם שם, שם משפחה, מספר תעודת זהות, מספר רישיון ופרטים אודות הרישיון. של פעילות מבקשי הרישיון במטרה לשמור ב. מטרות הפרסום ע"י רשות ניירות ערך הן בקרה, פיקוח והסדרה על ציבור המשקיעים. ישנו מזהה חד-חד- ערכי שהוא מספר רישיון שהוענק ע"י רשות ניירות ערך, ויכול להחליף את השימוש במס' ג. ת.ז. נקבע כי פרסום מספרי הזהות בצמוד לשם בעל הרישיון אינו מידתי, שכן ניתן ללמוד רבות אודות אדם ממספר , הזהות שלו2 וכן ניתן לנקוט באמצעים למימוש המטרה שפגיעתם פחותה. למשל ציון מספר הרישיון שניתן לבעל הרישיון על ידי רשות ניירות ערך. רשות ניירות ערך הודיעה לרשם כי היא מסירה את מס' ת.ז. מהפרסום באתר האינטרנט שלה. עיריית אשקלון הפיקוח בחן את אופן יישום השימוש במערך מצלמות אבטחה שנפרש בעיר אשקלון במסגרת פרויקט עיר ללא אלימות. יצויין, כי הגם שמניעת אלימות היא מטרה חשובה וראויה, נדרשת תשומת לב ביישום פרוייקט מסוג זה גם להיבטים של הפגיעה בפרטיות האנשים, שהיא פועל יוצא של הצבת מצלמות במרחב הציבורי. הפיקוח בחן את הפרוייקט אל מול חוות הדעת שפרסמה המחלקה המשפטית ב רמו"ט "מצלמות מעקב – הדין החל ואופן השימוש" מיום 3.11.10 (ע"י עו"ד ניר גרסון.) בפיקוח נמצא כי – א. הפרויקט נדון ע"י צוות מקצועי ואושר בועדת היגוי עירונית בהשתתפות נציגי ציבור, משטרה, ועד הורים מרכזי, נציגי ועדי שכונות, מנהלי בתי ספר, מפקחים, פסיכולוגים, עו"ס ומפקח ארצי לנוער וצעירים; ב. מטרות הפרוייקט הוגדרו בנוהל כתוב: איתור קטטות, תקיפות, נפילות טילים, סדר ותנועה, השלכות פסולת, איתור גניבות, פעילות פלילית וכיו"ב. בהתאם לכך נקבע מיקום ומספר המצלמות. ג. לא נערך תסקיר של השלכות השימוש במצלמות על זכויות הציבור ובמיוחד על הזכות לפרטיות; ד. המוקד הוקם במבנה הביטחון העירוני ופועל במשך כל שעות היממה במשך כל השנה; 2 בגץ 6824/07 ד"ר עאדל מנאע נ' רשות המסים, פסקה 37 . 34 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ה. הוגדרו 14 מורשי צפייה מטעם העירייה; המורשים עברו ועדת קבלה ונבדק עברם הפלילי. הם קיבלו הדרכה וקיימות הוראות כתובות כי חל איסור צפייה בשטחים שאינם ציבוריים; ו. מידע מועבר למשטרת אשקלון, בהתאם לנהלי עבודה, כאשר נצפה אירוע פלילי; ז. המידע המצולם מוקלט ונשמר במערכת המחשב במוקד. לאחר חודש המידע נמחק באופן אוטומטי; ח. למצלמות אין יכולת ראיית לילה, הקלטת קול או זיהוי אנשים; ט. כדי לצפות במידע המצולם יש להיכנס להיסטוריה של כל מצלמה בנפרד; י. לא ניתן לצפות במידע המצולם באמצעות האינטרנט; יא. מנהלת המוקד מפקחת באופן שוטף על קיום ההנחיות, אך אין נוהל בקרה כתוב; יב. המידע אודות המוקד והצבת המצלמות פורסם במקומונים בשפה עברית ורוסית, באתרי אינטרנט וברדיו; יג. במועד הפיקוח טרם הוצב שילוט המספק מידע לתושבים. ראוי לציין כי הפיקוח העלה כי עיריית אשקלון יישמה רבים מהעקרונות אשר גובשו על ידי רמו"ט בחוות הדעת האמורה, עובר לפיקוח כתוצאה מעבודת מטה סדורה שנעשתה בעניין זה החל משנת 2006 , ובהחלט ראוי לציין זאת לחיוב. העיריה הונחתה להציב שילוט ולגבש נהלי בקרה על קיום ההנחיות לתפעול המוקד. תיקי פיקוח נבחרים במגזר ה פרטי והשלישי אתר MAKO.CO.IL - איסוף מידע מקטינים בירור תלונה שהוגשה לרמו"ט על ידי המועצה לשלום הילד לגבי חריגות באיסוף מידע על קטינים במסגרת מיון לתוכניות ריאליטי על ידי אתר האינטרנט של חברת התקשורת "קשת" העלה כי קטינים יכולים ואף (mako.co.il) מוזמנים להירשם כמועמדים לתוכניות ריאליטי באתר, תוך מסירת מידע אישי רב על אודותיהם, על א ודות משפחתם ועל אודות חבריהם, וזאת ללא הסכמה הורית. גם נוסח ההסכמות עליהם נדרשו קטינים "להסכים", לכאורה, הביאו לויתור גורף על זכויותיהם. במסגרת הפיקוח הוצגו ה ממצאים לחברת קשת, ונוהל משא ומתן על האופן שבו יכולה קשת, באמצעות "מאקו," לגייס מועמדים לתוכניות ריאליטי לילדים, תוך צמצום החשש של מסירת מידע אישי רב ללא הסכמה או פיקוח הוריים. במסגרת ההתדיינות עם קשת נדונו עקרונות שמשלבים מחד גיסא את התכליות הנדרשות לקשת לצורך פעילותה העסקית, ומאידך גיסא, עמידה בהוראות חוק הגנת הפרטיות ועקרונותיו. העקרונות התבססו על נייר העמדה שפרסמה רמו"ט בנושא איסוף מידע על קטינים. 35 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 העקרונות מבוססים על החלופות הבאות: א. איסוף פרטי קשר בלבד - בחלופה זו יאספו פרטי קשר בסיסייים בלבד מקטין שהביע התעניינות בתוכנית, כאשר איסוף מידע רב יותר אודותיו לצורך הליך המיון יעשה רק לאחר קבלת הסכמה של אפוטרופוס. ב. אי סוף מידע ללא פרטים מזהים - איסוף מידע בהיקף נרחב אודות קטין לצרכי הליך המיון, אולם ללא איסוף פרטים המזהים אותו. הקישור לפרטים מזהים ייעשה רק בהסכמה של אפוטרופוס. ג. איסוף מידע הכולל פרטי קשר ומידע נרחב יותר בשי טה סבירה המוודאת הסכמה של אפוטרופוס – ניתן לאסוף מידע רב יותר בתנאי שננקטה פרקטיקה סבירה לוודא כי ניתנה הסכמה של אפוטרופוס, כגון קבלת טופס הסכמה חתום, קיום שיחה טלפונית מתועדת עם ההורה, שימוש במספר כרטיס אשראי ועוד. במסגרת כל אחת מחלופות אלה, נדרשה קשת לתת גילוי נאות, בשפה ברורה ובהירה התואמת את רמת ההבנה של הנמען ובהתאם להוראות סעיף 11 לחוק, לעניין זהות הגורם המעבד את המידע, מטרות השימוש במידע, הגורם האחראי על השימוש במידע, אופן העיון במידע ואופן מחיקתו במידה שנושא המידע מעוניין בכך. במסגרת הה תדיינות עם קשת הוברר כי המידע שנאסף לא הועבר לגורם חיצוני מחוץ לקשת והגורמים הפועלים מטעמה, ולא שימש לכל מטרה פרט להליך המיון לתוכניות. במסגרת הפיקוח התחייבה קשת להפסיק את איסוף המידע מקטינים באופן שפעלה בו בטרם הפיקוח. קשת נדרשה בהמשך לכך, למחוק את המידע שנאסף על קטינים ללא הסכמה מדעת של הורה, ושהמשך השימוש בו לא הותר על ידי הורה, בהתאם למנגנון קבלת הסכמה סביר. על רקע האמור, ומאחר שהמידע לא הועבר לכל גורם חיצוני ולא שימש לכל מטרה פרט להליך המיון, ובשים לב לשיתוף הפעולה של קשת בתיקון אופן פעילותה, מצאה רמו"ט לנכון לסיים את הטיפול בתלונה בצעדים המתקנים שננקטו על קשת. חברה קדישא גחש"א תל אביב – יפו והמחוז בפיקוח נבחנו תלונות שהעלו חשד להעברת מידע של משפחות נפטרים שהובאו לקבורה באמצעות חברה קדישא תל אביב –יפו ל קבלני מצבות. בפיקוח נמצא כי – א. עובד החברה קדישא הוציא ללא רשות מידע ממערכת המידע של החברה ו מכר א ותו לקבלן מצבות. ב. מערכות המידע של החברה אפשרו את השימוש במידע בניגוד להרשאה ולא אפשרו ניטור הפעילות הלא מורשית של העובד. בעקבות ממצאי הפיקוח העובד פוטר מ עבודתו בחברה והחברה פעלה לתיקון ליקויי אבטחת המידע במ ערכותיה, לביצוע בקרה למניעת קרות אירועים כאלו ולהדרכת עובדיה בהתאם. תיק הפיקוח דווח ה משטרה. 36 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 סמארט קלאב בע"מ החברה עוסק ת במכירות באמצעות דיוור ישיר טלפוני של מוצרי אלקטרוניקה. בפיקוח נמצא כי – א. הדיוור הישיר מתבצע על בסיס מידע שנרכש ממאגר לשירותי דיוור יש יר. ב. החברה הפרה את חובותיה בפנייה בדיוור ישיר לציין את מספר הרישום של המאגר המשמש לשירותי דיוור ישיר שעל בסיסו פנתה לאדם, ומהו המען אליו עליו לפנות על מנת להסיר את פרטיו ממנו. הוטלו על החברה קנסות מינהליים אשר שולמו על ידיה. אדם מילוא בע"מ בפיקוח נבחנה תלונה של אדם שביקש לממש את זכותו בסעיף 13 לחוק לעיין במידע שמוחזק עליו במאגר מידע וסורב. בפיקוח נמצא כי – א. המתלונן עבר מבחן התאמה לעבודה מטעם מעסיק במכון גיוס והשמת כח אדם "אדם-מילוא". ב. כאשר ביקש לעיין במידע נענה ע"י המכון כי על פי ונהל עבודה שלו, המכון ומחק מידע על אדם לאחר ש הגיש בקשת עיון במידע. זאת משום שהוא ויתר על זכותו לעיין במידע בכתב ויתור עליו חתם לטובת המכון בטרם בוצע המבחן. ג. בפיקוח במשרדי אדם מילוא נמצא עותק מחוות הדעת. נקבע כי המכון הפר את חובתו למתן עיון למתלונן על מידע שעל אודותיו במאגר מידע, וכי עצם הניסיון למחוק את חוות הדעת לאחר שאדם מבקש לעיין במידע בהתאם לזכותו בסעיף 13 לחוק מהווה הפרה של החוק. על החברה הוטל קנס ב סך- 2000 ₪ ששולם על ידיה. חוות הדעת הועברה לעיון המתלונן לאחר שהמעביד שהזמין אותה קיבל הודעה מרמו"ט על כוונתה לפעול כך ולא התנגד. גפן מדיקל בע"מ בפיקוח ה תבררה תלונה של אדם שרכש מכשיר למדידת רמת סוכר בדם ונדרש למסור מידע אישי רגיש לצורך קבלת שרות ואחריות למכשיר. בפיקוח נמצא כי – א. החברה, העוסקת במכירת ציוד רפואי, נהגה לאסוף מרוכשי מוצרים במעמד מכירת המוצר בנוסף ל שם וכתובת גם מין, תאריך לידה ופרטי קופת חולים. 37 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ב. בנוסף אספה החברה בשובר שנדרש הלקוח למלא פרטים אודות מחלתו, הרופא המטפל ועוד. באותיות זעירות נכתב כי אין חובה למלא את השורות הבאות. ג. המידע האישי הוזן למאגר המידע של החברה. נקבע כי איסוף המידע באופן זה אינ ו עומד בדרישות סעיף 11 לחוק הקובע כי יש לפרט האם חלה על האדם חובה חוקית למסירת המידע או שהיא תלויה ברצונו ובהסכמתו. וכן ל פרט את המטרות והשימושים שיעשו במידע, למי יימסר המידע ומה מטרות המסירה. עוד נקבע כי כריכת איסוף המידע עם מתן אחריות מוצר המחויבת על פי חוק פוגמת באפשרות של הלקוח לתת הסכמה חופשית לשימוש במידע האישי שהוא מוסר ולכן אסורה. על החברה הוטל קנס בסך 2000 ₪ בגין ההפרה במקרה התלונה בנוסף,. הונחתה החברה ל שנות את אופן הפניה לקבלת מידע בהתאם לחוק, ול מחו ק את המידע הרגיש ממאגר המידע שלה שנאסף בניגוד לחוק. החברה שילמה את הקנס שהוטל עליה ודיווחה על ביצוע הנדרש ממנה. הראל חברה לביטוח בע"מ הפיקוח בחן שימוש שעושה הראל חברה לביטוח בע"מ, במידע שבמאגרי המידע שלה שמקורו בעריכת ביטוחי רכב לעובדי מדינה כזוכה במכרז. בפיקוח נמצא כי – א. החברה העבירה מידע על מבוטחים שלה בביטוחי רכב לסוכנות ביטוח איריץ- דושינסקי; ב. הסוכנות פנתה למבוטחי הרכב בדיוור ישיר טלפוני בהצעות לביטוח חיים על בסיס המידע שנתקבל; ג. החברה טענה שהסכמת נושאי המידע לשימוש בפרטיהם למטרה זו ניתנה בטופס התקשרות לביטוח רכב; ד. בטופס ההתקשרות היה אזכור עמום של מטרה שיווקית לשימוש במידע, מעורב במשפט ארוך ומורכב שעיקרו הצהרה כי הפרטים ישמשו למטרת הטיפול בביטוח הרכב. נקבע שבנסיבות אלו החברה הפרה את חובת הגילוי ב סעיף 11 לחוק. בהתאם נפגמה ההסכמה מדעת של המבוטח למטרות שימוש נוספות ואחרות מלבד קבלת ביטוח הרכב. החברה נדרשה לתקן את הליקויים באופן פעולתה מול לקוחותיה. – גרטלר דוידוב תקשורת ש"מ WWW.NEXTMODEL.CO.IL הפיקוח נפתח לבירור תלונה שהעבירה לרשם המועצה לשלום הילד, המצביעה על מיזם של החברה נקסט מודל, ש הקימה אתר אינטרנט המש מש כסוכנות דוגמנות וירטואלית, הכוללת פרסומים שנחזים להיות על קטינים. בפיקוח נמצא כי – 38 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 א. המידע באתר מועלה ע"י הגולשים, לאחר שמסרו פרטים מזהים המאפשרים להנהלת האתר ליצור עימם קשר; ב. החברה מסרה שהיא נהגה לנטר תכנים בלתי נאותים ופוגעניים. במקרים אלו הוסר הפרופיל האישי ופרטי ההרשמה שנמסרו לצורך הרישום נמחקו; ג. פרט לפרסום הפרופיל באתר ושימוש במידע שלא פורסם, לזיהוי, לא נעשה שימוש אחר או נוסף במידע שנמסר על ידי הנרשם, כמו כן לא נמסר ולא נאגר מידע אודות גולשים שלא נרשמו לאתר; ד. נרשם אשר ביקש למחוק את הפרופיל האישי שלו, לאחר זיהוי, הוסר מן האתר וכל פרטי ההרשמה שלו נמחקו כליל. ה. מיד עם פניית רמו"ט לחברה היא הודיעה על הפסקת פעילותו של האתר. WWW.INFORMER.CO.IL בפיקוח נבחנה חוקיות שירות מכירת דו"חות אימות נתונים ובדיקות רקע שהוצע באתר האינטרנט . www.informer.co.il בפיקוח נמצא כי – א. השירות ניתן ע"י בעל רישיון ל חוקר פרטי; ב. השירות ניתן לכל מזמין באמצעות אתר האינטרנט, מבלי שמבוררת זהות הלקוח; ג. החוקר הפרטי עשה שימוש בנתוני אשראי שהתקבלו מבעל רישיון שירות נתוני אשראי די.אנד.בי החברה לנתוני אשראי בע"מ שלא למטרה לשמה הוקם המאגר; ד. החוקר הפרטי ה שתמש בהליך הנפקת הדו"חות, במידע כהגדרתו בחוק הגנת הפרטיות ממקורות מידע אשר אינם, לכאורה, זמינים לציבור באופן פומבי וחוקי; נקבע, כי החוקר הפרטי הפר את סעיף 8 (ב) לחוק בשימוש שלא למטרה במידע ממאגר מידע של בעלת רישיון שירות נתוני אשראי, ושהוא הפעיל שירות נתוני אשראי ללא רישיון תוך הפרה של חוק שירותי נתוני אשראי, תשס"ב- 2002 . על החוקר הפרטי הוטלו 2 קנסות מינהליים בסך כולל של 10,000 ,₪ ונאסר עליו להמשיך בפעילות המפרה. דיווח על ממצאי הפיקוח הועבר למועצה לרישוי חוקרים פרטיים ושירותי שמירה, אשר דנה בחידוש רישיון החוקר הפרטי, והחליטה שלא לחדשו בשנת 2012 . במקביל, בעלת הרישיון די.אנד.בי הודיעה כי הפסיק ה את מכירת דו"חות האשראי לחוקר הפרטי. בהמשך פעולות פיקוח בשנת 2012 נמצא עוד כי החוקר הפרטי עשה שימוש שלא למטרה ותוך הפרה של החוק במידע ממרשם האוכלוסין מההפצה הבלתי חוקית שלו ברשת האינטרנט המכונה אֶגְרֹון. גם על הפרה זו הוטל עליו קנס מינהלי. 39 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 על רקע הממצאים בתיק פיקוח זה גיבש רשם שירותי נתוני אשראי ומידע על עוסקים הנחיה לשירותי נתוני אשראי, כמפורט בהמשך הדו"ח השנתי. סלקום ישראל בע"מ בשנת 2011 הסתיים הטיפול במספר תיקי פיקוח על חברת סלקום ישראל בע"מ (להלן –סלקום) . תיק פיקוח ראשון בחן את היקף איסוף המידע האישי ממנויים והשימושים שנעשים ב מידע ע"י החברה אל מול ההסכמה שניתנת ע"י הלקוחות. בפיקוח נמצא כי – א. סלקום אוספת מידע אישי מסוגים שונים בהיקף עצום על אודות נושאי מידע במהלך פעולותיה השונות, ועושה בו שימושים רבים למטרות מגוונות, וזאת בנוסף על השימוש הבסיסי והמקורי של מתן שירותי טלפון נייד. ב. האיסוף כולל פרטים אישיים שנמסרים ע"י הלקוח בעת ההתקשרות לצורך מתן השירות העיקרי; טיוב נתוני הלקוח ממאגרי מידע אחרים; איסוף מידע על אנשים שאינם לקוחות על בסיס המידע של הלקוחות; איסוף נתוני מיקום לצורך מתן שירותים מבוססי מיקום ולשימוש אחר בהם שאינו מתן השירות; איסוף מידע ע"י צדדי ג' ( דוגמא: ספקי שירותי תוכן שאוספים נתוני גלישה באתרי תוכן או תכני גלישה) והעברתו לסלקום שעושה בו שימוש שאינו מתן השירות. ג. נמצא גם כי סלקום עושה שימושים במידע שנצבר על מנוי תוך כדי ההתקשרות באמצעות מתן גישה לצדדי ג' כגון ספקי תוכן וספקי אפליקציות במידע. סלקום הונחתה במכתב אשר מוען למנכ"ל החברה,, לפעול לקבלת הסכמה מדעת כחוק של נושאי המידע ל שימוש ים השונים שנעשים במידע עליהם ולהימנע משימושים שלא ניתנה להם הסכמה. לצורך קבלת הסכמה מדעת, הונחתה סלקום לתת שקיפות מלאה לבעל המידע בטרם קבלת ההסכמה לגבי סוגי המידע הנאסף וה שימושים המיועדים לו. עוד הונחתה סלקום לפעול לגיבוש מדיניות פרטיות מפורטת להגנה על פרטיות עובדיה ולקוחותיה, במגוון הרחב של השימושים שהיא עושה במידע. סלקום השיבה כי היא בוחנת את הממצאים ותפעל בהתאם. ראוי לציין כי במקביל לפיקוח נבחנה בבית הדין לחוזים אחידים שאלת ההסכמה שנדרש לקוח לתת בחוזה האחיד עליו הוא מוחתם בעת ההתקשרות עם סלקום. עמדת היועץ המשפטי לממשלה היתה כי נוסח ההסכמה שקיים בחוזי סלקום מהווה תנאי מקפח בחוזה אחיד. תיק פיקוח שני מול סלקום בחן יישום משחקי (אפליקציה) מבוסס נתוני מיקום לשימוש בטלפונים סלולריים שהציעה סלקום על גבי פלטפורמת הרשת החברתית פייסבוק. מאופי הרשת החברתית כמחזיקה מידע מזוהה, פעולות המשתמשים באפליקציה מזוהות עם הפרופיל האישי שלה ם. קהל היעד אליו שווקה האפליקציה, והשימוש בה בפועל, כלל קטינים. הפעלת המשחק הופסקה לאחר שנה ביוזמת סלקום. לאור פניית הרשם הודיעה סלקום כי מחקה את כל הנתונים שנאספו במהלך המשחק. 40 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 בתיק פיקוח שלישי נבחנה העברת מידע על לקוחות סלקום לחברת נטרואדס תקשורת בע"מ לצורך שיווק שירות התראה על מכמונות מהירות בעת נהיגה. בפיקוח נמצא כי – א. הפניות בדיוור ישיר ללקוחות נעשו שלא בהתאם להוראות פרק הדיוור הישיר בחוק. ב. בפיקוח נקבע כי סעיף 17ו. לחוק מתייחס לכל פנייה בדיוור ישיר, ואין חובה שהמאגר על פיו בוצעה הפניה יהיה מאגר לשירותי דיוור ישיר. ג. הובהר כי הגם שלקוח של החברה לא יוכל להימחק לחלוטין ממאגרי החברה, מאחר שחלות על החברה חובות חוקיות לשמור את המידע לתקופות מסוימות , על החברה לאפשר את מחיקתו מקבלת פניות בדיוור ישיר. סלקום נדרשה לפעול להתאמת פעילותה לדרישות החוק. הטלת קנסות מנהליים לנוחות הקוראים מצורפת בזאת טבלה המרכזת את כל הקנסות המינהליים שהוטלו על ידי רמו"ט בנ ושאי הגנת הפרטיות בשנת 2011 : מועד קביעת סעיף הח וק שם המפר סקטור מספר ח.פ. תיאור ההפרה ההפרה שהופר המכון סרב לאפשר לנבחן לעיין בחוות הדעת שנמסרה למעסיק הפוטנציאלי. כמו מיון כן, המכון טען כי כחלק מנהלי העבודה 30/08/2011 אדם מילוא והשמת 511033086 13 המידע נמחק בעת הגשת בקשת עיון. כוח אדם בפיקוח במשרדי המכון נמצא עותק מחוות הדעת. שימוש במידע ממאגר שירות נתוני אשראי חוקרים 21/07/2011 חוקר פרטי 8 ב)( למכירת דוחות מידע אישי במסגרת פרטיים פעילות חוקר פרטי בפניה לא מסרה החברה למלין כי הפניה היא בדיוור ישיר, לא צוין מספר המאגר חכם מועדון ממנו נרכש המידע, לא ניתנה הודעה על 17/04/2011 בע"מ (סמרט שיווק ישיר 512010653 17 ו(א) זכותו של מקבל הפניה להימחק מהמאגר קלאב) כך. לצורך לפנות יש אליו והמען כאשר המלין שאל למקור המידע נמסר לו מידע מטעה. 41 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 בפניה לא מסרה החברה למלין כי הפניה הי א בדיוור ישיר, לא צוין מספר המאגר ממנו נרכש המידע, לא ניתנה הודעה על חכם מועדון זכותו של מקבל הפניה להימחק מהמאגר בע"מ (סמרט כך. לצורך לפנות יש אליו והמען 17/04/2011 שיווק ישיר 512010653 17 ו(א) קלאב) בשיחה נוספת של החברה עם המלין נמסרו פרטי מידע שגוי אודות מספר המאגר וכתובת שגויה לצורך הסרה מהמאגר אי יידעו כי מסירת המידע תלויה בהסכמת 29/03/2011 גפן מדיקל שי ווק ישיר 512219361 11 המוסר ואי פירוט המטרות והשימושים שיעשו במידע חקירות פליליות מבוא מחלקת החקירות של רמו"ט הוקמה בשנת 2009 במטרה לכונן אכיפה פלילית בתחום של הגנת פרטיות ב מידע אישי , נושא אשר לא זכה במדינת ישראל לעדיפות מספקת עד הקמת ה של רמו"ט. לצורך כך הוחל בבנייתו של צוות מקצועי ומיומן אשר מסוגל ל התמודד עם עבריינות מורכבת ב נושא זה. במהלך 2010 הוענקה ע"י השר לביטחון פנים הרשאה לחוקרי מחלקת החקירות של רמו"ט לחקור עבירות על חוק הגנת הפרטיות וחוק שירות נתוני אשראי ב התאם לסמכויות המוקנות בפקודת הפרוצדורה הפלילית (עדות.) בשנת 2011 מנתה המחלקה שישה חוקרים. במקביל לניהול החקירות המתוארת בפרק זה, נ בנתה תורת העבודה לחקירת עבירות בתחום הפרטיות במידע, ו התגבש צוות חוקרים בעלי מומחיות ייחודית בתחום. מחלקת החקירות היא הטרוגנית בהרכב המקצועי שלה בצורה לא אופיינית – והיא כוללת מארג של חוקרים- משפטנים ואנשי טכנולוגיה, רובם בעלי רקע טכנולוגי ייחודי בתחום בסיסי נתונים וראיות אלקטרוניות. מחלקת החקירות משמשת מעין "משטרת פרטיות במידע ממוחשב" המטפלת בתופעות של שימוש לא חוקי פלילי במידע א ישי המעובד במערכות מחשבים. בדו"ח השנתי של רמו"ט לשנת 2010 אוזכרה חקירה פלילית שנוהלה ע"י ה מחלק ה, אלא שנכון למועד פרסום הדו"ח היה מוטל צו איסור פרסום על החקירה. הצו הוסר באוקטובר 2011 ולפיכך מובאת בדו"ח זה לראשונה תמצית פרשת "גניבת מרשם האוכלוסין של מדינת ישראל והפצתו באינטרנט," המכונה "פרשת ה אֶגְרֹון" . בנוסף לפרשת ה אֶגְרֹון, התקיימה פעילות חקירה פלילית נוספת במחלקה ואף זו מדווחת בפרק זה. 42 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 תיק ה"אֶגְרֹון" – גניבת מרשם האוכלוסין והפצתו באינטרנט רקע תיק החקירה בעניין גניבת מרשם האוכלוסין הוא תיק חקירה פלילית ראשון בישראל של פרשה מסועפת של שימוש לרעה במידע אישי. ב מרכזה ועמד קובץ מחשב דיגיטלי שמקורו במאגר מידע של מרשם האוכלוסין במשרד הפנים, אשר בטכנולוגיה של ימינו ניתן לנשיאה על גבי אמצעי אחסון נייד אישי ( .) Disk on-Key קיומה של התופעה נודע לציבור הרחב בחודש יוני 2007 , עת נחשף בתקשורת דבר קיומו של אתר אינטרנט המאפשר הורדה (Download) של גרסה "פרוצה" של תוכנת איתור מידע המיושמת על בסיס נתונים ושמה "אֶגְרֹון 2006 " (להלן – ֶאגרֹוְן) ואשר כללה מידע מקיף ממרשם האוכלוסין. תוכנה זו לא הייתה ידועה בציבור הרחב עד למועד זה. המידע שנגנב ממשרד הפנים והופץ ב אֶגְרֹון היה, נכון למועד גניבתו, המידע הרחב, האמין והמעודכן ביותר על אודות כלל אוכלוסיית מדינת ישראל מאז קום המדינה (למעלה מ- 9 מיליון אזרחי מדינת ישראל, כולל בגירים, ילדים ונפטרים ) וכלל שדות מידע רבים בכל רשומה ורשומה , לרבות קשרי המשפחה של כל אחד מתושבי המדינה. רשויות מדינה רבות, לרבות הכנסת ומבקר המדינה ואמצעי התקשורת,, מתחו ביקורת קשה על עצם קיומה של תופעה זו בה מידע רגיש על כל אוכלוסיית המדינה חשוף לעין כל. ראוי לציין כי אירוע זה מיוחד אף ברמה הבינלאומית, שכן לא ידוע מק רה דומה בו נתונים כה רבים, מפורטים ועדכנים על כלל ה אוכלוסיי ה של מדינה שלמה זמינים לעין כל בצורה לא חוקית. חומרת הדברים משתקפת, למשל, בהתבטאויות שנאמרות בסמוך ל פרסום אודות האתר, המובאות מהסיפא של פרוטוקול ישיבת ועדת הפנים ביום 7/3/2007 ע"י יו"ר ועדת הפנים של הכנסת (דאז,) ח"כ אופיר פינס: ..."העניין של זליגת מרשם האוכלוסין כולו, הכול בחוץ, זה דבר מטורף...שתהיה פניה של משרד הפנים למשטרה, אני רוצה שהמשטרה תודיע על פתיחת חקירה, אלה לא דברים של מה בכך... זה עולם ומלואו...יש פה עסק עם עשרות נתונים בחוץ על כל בן אדם ואין מ שטרה אין חקירה אין העמדה לדין ואין עונשי מאסר אני מבקש שהדבר הזה ייכנס לסדר עדיפות גבוה."... לאחר הגשת תלונה רשמית ע"י משרד הפנים, משטרת ישראל פתחה בנובמבר 2007 בחקירה. במרץ 2008 נ סגר תיק החקירה בעילה של עבריין לא נודע (על"ן), עקב חוסר יכולת להתחקות אחר ע קבות העבריין בשל ריבוי הגופים מהם עשוי היה המידע לדלוף. משטרת ישראל הסבירה כי המידע של משרד הפנים מועבר (בצורה חוקית) ללקוחות חיצוניים רבים במשרדי ממשלה ובמגזר הפרטי. יש גורמים רבים, אלפים במספר, שהם בעלי גישה למידע זה ועל כן לא ניתן לאתר את הגורם העברייני. בין לבין המידע שנגנב והועלה לאינטרנט קיבל חיים משל עצמו, וההד הציבורי והתקשורתי גרם לחשיפת קיומו לקהל גדל והולך, לרבות מעבר לגבולות מדינת ישראל. 43 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 רמו"ט יחסה לאירוע זה חשיבות מיוחדת עם גילויו. בדו"ח רשם מאגרי לשנת 2007, נאמר כדלהלן: כגוף הא מון על הגנת מידע האישי, רמו"ט לא יכל ה להשאר אדיש ה לתופעה של הימצאות מרשם האוכלוסין של מדינת ישראל באינטרנט. עם תחילת הקמת מחלקת החקירות בשנת 2009 , כשנתיים לאחר פרסומו הפומבי של ה אירוע ופרסום תוצאות החקירה המשטרתית ועל רקע עושר הדיון הציבורי בכנסת, בתקשורת ובדו"ח מבקר המדינה (וכפי שהסתבר, כארבע שנים לאחר גניבת ה מידע) , הוחל בחקירת הפרשה. 44 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 תיק החקירה, כפי שיפורט להלן, הסתיים בפיצוח מלא של הפרשה ו זיהוי המעורבים המרכזיים בביצועה והיה רצוף באתגרים חקירתיים וטכנולוגיים רבים. ה תיק פותח צוהר אל עולם רחב של עבריינות מידע, בעל מאפיינים ייחודים ומאתגרים במיוחד. זהו תיק שכל עניינו גניבה, סחר והפצה של מאגרי מידע באופן בלתי חוקי, אשר נעשה ברובו על ידי מומחי מידע ומחשבים. הוא מעיד על הצורך החיוני בהבנה מעמיקה ומומחיות פרטנית בתחום מאגרי המידע, התפתחות ם והכלים המתאימים להתמודד ע ם האתגרים שהם מציבים. ה אֶגְרֹון – התוכנה ואתר ההפצה שלה הפרשה נודעה לציבור עם פרסומו של אתר אינטרנט בכתובת www.agron2006.exe.co.il שכותרתו "אֶגְרֹון 2006 פלוס" ביוני 2007 . אדם שכינה עצמו " "(ארי)" העלה אבתר קישור למספר אתרי אחסון קבצים aRi" ברשות האינטרנט בהם ניתן להוריד את ה אֶגְרֹון , הוראות התקנה ו מדריך משתמש לתוכנה. לכך הוסיף מניפסט אידיאולוגי ואנרכיסטי המתריס ומזלזל במדינה, במוסדותיה, בפרטיות אזרחיה ובסודיותו של המידע על אודותם. האתר שימש כפלטפורמה ל קידום הש ימוש ב תוכנת ה אֶגְרֹון, ובאמצעותו דאג ארי לתחזוקה שוטפת בהפצת התוכנה ונתוניה. תוכנת ה אֶגְרֹון הינה תוכנת חיפוש במאגר מידע אשר יושמה על בסיס נתונים הכולל למעלה מ- 9 מיליון רשומות על אודות אזרחי מדינת ישראל. ל אֶגְרֹון ממשק משתמש המאפשר חיתוכים, ל מקד את איתור המידע על פי מאפיינים כלליים תאריך לידה, מקום מגורים, שם, ארץ מוצא וכד)'( ולייצר רשימות מטרה מאופיינות. אֶגְרֹון מאפשרת גישה ל רשומה מסוימת על אודות אדם (על פי שמו ו/ או מספר תעודת הזהות שלו ו/או פרמטרים אחרים ), ומציגה את מארג המידע האישי על אודותיו (שם, מספר תעודת זהות, תאריך לידה, כתובת, טלפון וכד') ועל אודות קשרי המשפחה שלו (ילדיו, הוריו, אחיו ואחיותיו, בני/בת זוגו). מהצגת מידע זה על אודות אדם, ניתן להגיע לכל אדם אחר הקשור אליו, ולקבל את אותו מארג מידע גם לגביו. אין מגבלה על רוחב הטיול בפרטי המשפחה של אזרחי מדינת ישראל. בנספח ב' ניתן לראות צילומי מסך מוסברים של יכולות ה אֶגְרֹון. פרסום אתר ה אֶגְרֹון בתקשורת עורר כ אמור באופן מיידי עניין רב ותעבורת משתמשים נלהבת, וזו ליבתה את הפצתו ב אתרי הפצת מידע שונים וב תוכנות לשיתוף קבצים דוגמת Torrent ו- . פעילות זו, אף שנעשתה eMule ל מורת רוחה של רשויות המדינה העוסקות בנושא, אינה ניתנת, מעשית, לעצירה עם חריגתה מהיקף מוגבל. מהלך ראשון של החקירה – ממשרד הפנים ועד ל אֶגְרֹון במהלך 2009 נפתחת חקירה סמויה. מטעמים מובנים דו"ח זה אינו יכול לחשוף פרטים רבים על טיבה. חקירה גלויה, אשר לגביה התקבל צו איסור פרסום, נפתח ה באוקטובר 2010 . התמונה הראשונית שהצטיירה הראתה כי המידע השלם והמלא אודות כל אזרחי מדינת ישראל, הפעילים והנפטרים, מתנהל על פי חוק על ידי מנהל האוכלוסין במשרד הפנים. מנהל האוכלוסין אחראי על מלאכת האיסוף, העיבוד, העדכון וההפצה של המידע, והוא מנוהל במערכת "אביב" המופעלת במיקור חוץ על ידי חברת ישראל. לפרטי מידע ממרשם האוכלוסין נדרשים לקוחות חיצוניים רבים, במגזר הציבורי והפרטי, המקבלים HP אותו על פי הסמכה חוקית. חלקם בעלי חיבור מקוון ל מערכת "אביב" וחלקם מקבלים דו"חות מרוכזים (on-line) של מידע גזירות)"(" המועברים אליהם בקבצים. 45 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 החקירה ה עלתה כי במדינת ישראל מספר גורמים ה מקבלים גזירות כאמור, ובאמצעות עדכונים שוטפים מחזיקים בעותק מלא ועדכני של מרשם האוכלוסין. הסתבר כי משרד הרווחה והשירותים החברתיים (להלן: משרד הרווחה) הינו אחד הלקוחות ה חיצוניים, אשר קיבל בשעתו גזירה מלאה של המרשם לצרכי עבודתו השוטפת ומאז הוא מקבל עדכוני מידע עיתיים הכוללים נתונים מעודכנים על כלל אוכלוסיית מדינת ישראל. הנתונים נטענו לבסיס נתונים ייעודי הכולל מאגר מקביל למרשם האוכלוסין במשרד הפנים בו מתנהלת מערכת "מיני מרש ם" המשמשת את יישומי המחשב והמערכות התפעוליות הפנימיות במשרד. ה"מיני מרשם" הוחזק ב בסיס נתונים ייעודי שעל הקמתו והפעלתו היה אחראי איש מקצוע אשר תמך בהיבטי המידע של התפעול השוטף של משימות המשרד. אותו אדם היה עובד קבלן חיצוני אשר ה ועסק כמנהל תשתיות מערכות המי דע במשרד הרווחה בדרך של מיקור חוץ. בחקירה התברר כי נגישות ו ה חוקית למאגר המידע נוצלה למטרות פליליות והוא האדם אשר בשל מעשיו החלה שרשרת העבירות הפליליות המתוארת בפרק זה (להלן – ה עובד החשוד.) העובד החשוד נהג לקחת באופן קבוע עותק ממרשם האוכלוסין לביתו, ולעבוד על הנתונים שבו באופן פרטי ועצמאי. נמצאו אצל החשוד כל קבצי העדכון החודשיים שמקבל משרד הרווחה, והחומר כולו אוחסן באופן לא מוגן ומרושל במספר עותקים, במחשבים שונים בבית. דפוס הפעולה המתואר אפיין את שגרת עבודתו, שכן בחזקתו נמצאו מאגרי מידע שלמים נוספים ברמת רגי שות גבוהה ביותר , כפי שמפורט בהמשך. ה עובד ה חשוד סיים את עבודתו במשרד הרווחה בשנת 2006 , אך בחזקתו השאיר חומרים רבים עימם בא במגע במסגרת תפקידו. בחקירה עלה כי עוד בעת עבודתו במשרד הרווחה ניהל החשוד באופן פרטי מספר פרוייקטי תוכנה. באחד מ פרוייקטים אלה, הוא נשכר לצורכי שדרוג מער כת תורמים קיימת במוסד חרדי תורני. החקירה העלתה כי העובד החשוד ה תקין במחשבי המוסד עותק של קובץ מרשם האוכלוסין, לרבות תוכנת איתור מידע מיוחדת שכתב לשימושו של איש המחשוב של המוסד החרדי (להלן – ה לקוח החשוד). החקירה העלתה כי קובץ המרשם נמסר ע"י ה עובד החשוד ללקוח החשוד כמעין "בונוס." הלקוח החשוד, הבין את ערכו של קובץ נתוני המרשם, וה כין גרסה גולמית חדשה ונוחה של מאגר המידע, עם תוכנה אחרת המאפשרת אף היא חיפוש בנתונים . את התוכנה ומאגר המידע הוא טען על מדיה הפצת מידע ניידת הו עבירה בין היתר, לחבר (להלן - המתווך החשוד). המתווך החשוד יאתר קונה פוטנציאלי (להלן – הקונה החשוד) ו עניין אותו ברכישת קובץ המידע. תנאי העסקה נקבעו, ולאחר העברת התשלום הקונה החשוד יקבל את קובץ המידע מהמתווך החשוד. על הקונה החשוד ניתן לומר כי "מאגריו – אומנותו". הוא אספן אדוק של מאגרי מידע ותוכנות, רבים מהם בלתי חוקיים, והוא עצמו עוסק בתחום התוכנה והמחשבים. הוא טייב הו עשיר את קובץ המידע שקנה מהמתווך החשוד על בסיס קבצי מידע חלקיים וישנים של המרשם שהיו ברשותו, ו עדכן אותו במידע של פנקס הבוחרים הארצי אשר הופץ לקראת ה בחירות ה ארציות בשנת 2006 . הקונה החשוד אף בנה תוכנת איתור מידע בשם "מרשם 2006 " אשר יושמה על המידע האמור, ומכר התוא לעשרות מלקוחותיו. 46 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 במקביל, ה עביר הקונה החשוד את קובץ המרשם המט ויב למתכנת עמו הוא קיים קשר מקצועי מוקדם על בסיס עניין משותף במאגרי מידע אישי (להלן – המתכנת החשוד). המתכנת החשוד בנה תוכנת איתור מידע משלו, ויישם את התוכנה על הקובץ המטו יב . המאגר והתוכנה נקרא ו על ידו "אֶגְרֹון פלוס 2006 ". ה אֶגְרֹון נכתבה לשימוש מסחרי חשאי ומוגבל, ועל כן יישם המתכנת החשוד עליה אמצעי הגנה כנגד שימוש בלתי מורשה. הוא ה צפין את הנתונים, יישם מנגנון סיסמאות אשר נתנו על ידו באופן מוגבל, וה עבירה רק למקורבים וללקוחות. למורת רוחו של המתכנת החשוד, בסמוך לשלבי ההפצה המסחריים הראשונים של ה אֶגְרֹון, נפרצ ו על ידי מ ןא דהוא מנגנוני ההגנה של התוכנה ו נוטרלו. הגרסה הפרוצה מצאה דרכה לידיו של טכנאי מחשבים, אשר כינה עצמו "ארי" ( להלן – ארי). פיצוח חלק זה נבע בעיקרו מחקירה אשר נוהלה בעיקרה על בסיס ניתוח המידע שנגנב והופץ, ניתוח של מארג נתוני תקשורת של חשודים וחקירה פרונטלית שהתקיימה בעת שעברה החקירה לשלב הגלוי שבה. לבו של שלב חקירה זה הוא הבנה וניתוח מעמיקים של רבדי המידע אשר נכללו באגרון, אשר בעזרתם ניתן היה להצביע על קישורם למי מהעבריינים. מהלך שני של החקירה - העלאת ה אֶגְרֹון לאינטרנט על ידי "ארי" דבר קיומה של גרסת אֶגְרֹון פרוצה, מגיעה לידיעתו של החשוד כ ארי. באתר האינטרנט המוזכר לעיל, ה עיד על עצמו שהוא "שונא אנשים ששומרים הכל ל עצמם" . בחודש מאי 2007 החל החשוד כארי להקים את מערך ההפצה של תוכנת ה אֶגְרֹון הפרוצה, תוך הסתתרות סדורה ומתוכננת מאחורי זהות פיקטיבית "( aRi") ושימוש ב עזרים טכנולוגיים שמטרתם טשטוש עקבותיו הדיגיטליים. אלה אכן הקשו עד מאוד את גילוי זהותו. על פי דברים שכתב באתר החשוד כארי, הוא היה ער ל עובדה שרשויות האכיפה יחפשו אותו, כמו גם ל פליליות מעשהו ולנזקים הקשים שנגרמו מכך, ועל כן עשה את כל שי כול היה להסתיר את זהותו האמיתית. האתר שהקים החשוד כארי היה בן עשרות עמודים, ובו הוסברו האופנים בהם ניתן להוריד (Download) את אֶגְרֹון, אפשרויות השימוש ב ה, ו מניעי ו להפצת התוכנה. בנוסף הוא ה עלה לאתר גרסה פרוצה של תקליטור פרוייקט השו"ת של אוניברסיטת בר-אילן, אשר זכה אף היא ל עניין מיידי. האתר זכה לפופולאריות עצומה בציבור, וזו, כדבריו באתר, ה מריצה הו להיבה תואו ל"שפר" את האתר, להו סיף מדריכי שימוש ולהעשיר את תכניו. עם התפתחות החקירה ופריצת הדרך אשר סופה היה מיפוי מלא של כל החוליות הקודמות בשרשרת (ממשרד הפנים ועד פיתוח האֶגְרֹון), נותרה בפני צוות החקירה המשימה האחרונה של פיענוח זהותו האמיתית של ארי. זו נחשפה בשל איתור טעות בתהליך ההסתתרות הדיגיטלית של החשוד על ידי צוות החקירה, אשר נתוני תקשורת לגביה ה צביע ו אל מקום עבודתו. לאחר הצלבה ואימות מידע מקיפים החשוד נתפס, נחקר, ובחצריו נתפס ות ראיות אלקטרוניות רבות הקושרות בין זהותו הפיקטיבית כארי, וזהותו בעולם האמיתי. 47 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 מאגר אימוץ ילדים בבדיקת החומר שנתפס בביתו של ה עובד ה חשוד בגניבת המאגר ממשרד הרווחה עלה כי ברשותו של החשוד עותקים של מאגרי מידע אחרים בעלי רגישות גבוהה ביותר, אליהם נחשף במקומות בהם עבד או סיפק את שירותיו המקצועיים. אחד ממאגרי המידע שאותר ו בבית העובד החשוד הוא מן הרגישים ביותר בהיבט של פרטיות במידע שניתן להעלות על הדעת - מאגר נתוני מער כת תיעוד אימוץ הילדים ב מחוזות ירושלים, תל-אביב וחיפה, המשרתת את מערך האימוץ במשרד הרווחה. מדובר במערכת רגישה ביותר אשר מנהלת את כלל נתוני מערכת אימוץ ילדים בישראל, וכוללת פרטים מלאים על אודות ההור ים הביולוגיים, ההורים המאמצים, הזהות החדשה של הילדים המאומצים וקישור ב ין כולם. קובץ נוסף במערכת כולל פרטים על אודות נשים בהריון אשר פונות לרשויות הרווחה בבקשה למסור את ילדן לאימוץ. ה עובד ה חשוד היה גורם מרכזי בתכנון הארכיטקטורה של המערכת, ובמימוש פתרון של ה פרדה בין נתוני המאמצים, נתוני המאומצים והוריהם הביולוגיים, לצורך צמצום האפשרות לחשיפת הקשרים בין שלוש הקבוצות. ה עובד ה חשוד השתתף בהקמת ה מערכת ותי חזק אותה. על אף הרגישות העצומה ה ברורה של ה מידע, מאגר המידע נלקח ונשמר בביתו. במסגרת החקירה לא נמצאה עדות לחשש כי מאגר האימוץ הועבר מחזקתו של העובד החשוד לאחרים. נזקי פרשת ה אֶגְרֹון גניבת המרשם, פיתוח אֶגְרֹון ותוכנות דומות)( והפצתה באינטרנט גרמו נזק חמור לציבור הישראלי, שמידע על אודותיו נאסף ומוחזק במאגרי מידע מכח החובה החוקית של ניהול מרשם האוכלוסין. רמו"ט עסקה בהיבטים שונים של אֶגְרֹון החל מגילוי הפצתה באינטרנט בשנת 2007 ו נתנה ביטוי לכך בדו"חות השנתיים שלה החל משנת 2008 כגוף הרגולציה הפועל להגנת הפרטיות במידע,. הופיעו אירועי שמוש ב אֶגְרֹון בתיקי הפיקוח השונים שנוהלו על ידי רמו"ט. גם השיח הציבורי שנוגע למאגרי המידע הממשלתיים, ובפרט לעניין הקמתו של המאגר הביומטרי , הושפע מאירוע זה. כרשות המתמחה באבטחת מידע היה ברור לרמו"ט כי לאירוע זה גם השלכות משמעותיות על חוזקם של מנגנונים שונים להגנה על מידע וכי את תוצאותי ו נראה במופעים שונים של הפעילות המשקית, ציבורית ופרטית כאחד. בפרק זה נבקש לפרט, אחד לאחד, את הנזקים אשר נגרמו. הנזק הראשון, הברור לעיני כל המתבונן בתוכנה, הוא פגיעה חמורה בפרטיות כלל אזרחי מדינת ישראל. שימוש קצר בתוכנה ממחיש זאת באופן מיידי לכל מעיין בה. על כל אדם המצוי במאגר, ניתן לדעת באמצעות ה אֶגְרֹון מארג פרטי מידע על אודותיו (שמו המלא, מספר תעודת הזהות שלו, כתובתו, תאריך לידתו, תאריך עלייתו לישראל אם עלה, שמות הוריו וילדיו ופרטיהם באותה רמת פירוט). בשל המידע המדויק על קשרי המשפחה של נושא המידע, ניתן לבצע חשיפה מעמיקה של כל מארג קשרי המשפחה של אותו אדם, ללא כל מגבלה על היקפה. 48 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 הנזק השני, עניינו פגיעה חמורה במעטפת אבטחת המידע של כלל אוכלוסיית מדינת ישראל. בראש ובראשונה, מדובר ב החלשה משמעותית של מנגנוני ההגנה באמצעות סיסמאות על שימוש במערכות מחשב. חיבור סיסמא על ידי אדם נעשה, לרוב, תוך שימוש בפרטי מידע על אודות סביבתו הקרובה (שמות ילדים וחברי משפחה אחרים, תאריכי לידה וכד') וזהו בדיוק המידע הקיים ב אֶגְרֹון. מי שמנסה לפצח סיסמאות, מלאכתו קלה בהרבה אם הוא יודע את פרטי המידע המפורטים ב אֶגְרֹון שכן עליו לבחון מרחב מידע קטן משמעותית מאשר ניסיון לנחש סיסמא מקום בו המידע האישי הנ"ל אינו ידוע. שנית, הפצת ה אֶגְרֹון גורמת להחלשת מנגנוני אימות זהות מרחוק Authentication) (Remote של אנשים. בעקבות הפצת ה אֶגְרֹון פורסמה על ידי רשם מאגרי מידע ביום 20.5.10 הנחייה האוסרת להסתמך על פרטי זיהוי הנמצאים ב אֶגְרֹון בתהליכי אימות זהות של מתקשר מרחוק (בין אם בתקשורת מחשבים ובין אם בתקשורת טלפונית). רבים ממנגנוני אימות הזהות מתבססים על ידיעת המתקשר מרחוק פרטי מידע, האמורים להיות מוכמנים, כגון מספר זהות, תאריך לידה, שם של קרוב משפחה (סבים וסבתות, שם משפחה קודם של האם) וכד'. כל אלה הפכו למידע שהוא נחלת הכלל עם הפצת ה אֶגְרֹון באינטרנט. פגיעה שלישית באבטחת המידע היא ערעור מידת הביטחון שניתן לתת באמצעי הזדהות חזקה, כגון כרטיסים חכמים ואמצעים אחרים, לרבות תעודת הזהות החכמה אשר אמורה להיות מונפקת במהלך שנת 2012. ערעור אמינות זה נובע מהקלת היכולת להציג תיעוד מזויף הנחזה להיות אמין, אשר על בסיסו יונפקו אמצעי הזדהות חזקים, כגון תעודות אלקטרוניות לחתימה אלקטרונית או תעודות להזדהות מול מערכות מחשב. הנזק השלישי קשור ב פגיעה באמון הציבור באיכות שמירת המידע על אודותיו, אשר מובילה להתנגדות להקמתם של מאגרי מידע מ משלתיים. דוגמת ההתנגדות למאגר הביומטרי. כרגולטור של מאגרי מידע, רמו"ט עוקבת אחר השיח הציבורי בנושא, ואין ספק שהוא מושפע מאירוע הפצת ה אֶגְרֹון. עמדות אלה מובעות הן על ידי הציבור הרחב והן על ידי גורמי מקצוע בתחום אבטחת המידע אשר נחרדו לאור הפצת ה אֶגְרֹון. הנזק הרביעי עניינו שימוש במידע מ ה אֶגְרֹון לצורך עבירות גניבת זהות, זיוף והונאה, שכן הפרטים הכלולים ב אֶגְרֹון מקילים על גורמים עברייניים ל תכנן ולבצע עבירות כאלה, שכן גופים רבים עדיין מסתמכים על ידיעת פרטי הזיהוי הנמצאים ב אֶגְרֹון לצורך אימות זהות לפני מתן הרש אות לפעולות שונות או הסתמכות על מסמכים. המידע המקיף הקיים ב אֶגְרֹון מקל על גורמים עבריינים ועויינים לזייף תיעוד ואף להשיג תיעוד אותנטי מגופים רשמיים (דוגמת משרד הפנים, משרד התחבורה, לשכת עורכי הדין), או רשמיים למחצה (כרטיסי עובד בארגונים, חברות במועדונים דוגמת "חבר" או "טוב.)" הנזק החמישי עוסק בשימוש במידע מהמרשם לצורך פעולות שיווק, העשרת מידע וסחר בלתי חוקי במידע, שכן עושר המידע האישי ב אֶגְרֹון הוא כר נרחב לפעולות שיווק בלתי חוקיות על פי חתכים שונים. על מקרה של שימוש כזה דווח בדו"ח רמו"ט לשנת 2009 . הנזק הששי הוא סיכונים הקשורים לבטחון המדינה, שכן להפצת מאגר תשתית מידע על אודות כלל אוכלוסיית ישראל, לרבות שמות, תאריכי לידה, קשרי משפחה יש השלכה על בטחון המדינה. דומה שאין צורך להכביר במילים על המשמעות שמרשם האוכלוסין המלא של מדינת ישראל זמין לכל שירות מודיעין ברחבי העולם, עויין ואף ידידותי. זמינות תשתית מידע מקיף זה על כל האוכלוסייה של מדינת היעד, לרבות בכירים במערכות שלטוניות, הוא חלומו של כל קצין מודיעין, למטרות שונות – פגיעה פיזית, ניסיון גיוס ו/או סחיטה וכד'. בנוסף, היכולת לזהות אדם על פי מספר פרטי מידע לגיטימיים שהופיעו לגביו במקורות אחרים (כגון רשתות חברתיות, 49 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 כתבות בעיתון וכד') מאפשרת להסיר מעטה אנונימיות שניתנת לאנשי בטחון, לעיתים בצורה קלה יחסית. גם לפגיעה המתוארת בחליפת אבטחת המידע המתוארת לעיל בהקשר של סיסמאות, יש כמובן גם היבט הקשור בביטחון המדינה, אם בשל ההקלה על פגיעה בתשתיות קריטיות (שהן מערכות אזרחיות בעלות ערך שפגיעה בהם נחשבת כסיכון בטחוני) ואם ישירות בתשתיות מחשוב ומידע צה"ליות, שגם הן עושות שימוש באמצעי אבטחת מידע אשר מתבססים, לעיתים, על מידע אישי של אנשי מערכת הביטחון. הנזק השביעי הוא השימוש האפשרי במידע מ אֶגְרֹון לצורך פעילות גביה, עיקוב וחקירה בלתי חוקיים שכן הוא מאפשר להגיע בקלות אל חייבים, ואל קרובי משפחתם לצורך פעולות גביה, חוקיות ובלתי חוקיות. פיקוח שבוצע על ידי רמו"ט בשנת 2010 הצביע על תופעה זו. אֶגְרֹון הוא, כמובן, כלי רב ערך לחוקרים פרטיים, אשר המידע בו משמש אותם באופן דומה לפעולות עיקוב המבוססות על מידע זה. בדו"ח זה מפורטת פרשת פיקוח אצל חוקר פרטי שעשה שימוש במידע זה. הנזק השמיני שגורם ה אֶגְרֹון הוא פוטנציאל זיופי בחירות, שכן הוא מקל ביותר לאתר בוחרים שאינם פעילים, או להגיע לבוחרים פונטצי אליים שאינם מתכוונים לבחור ולהשתמש בזהותם. המידע הכלול ב אֶגְרֹון יכול גם לשמש לפקוד אנשים למפלגה בלי ידיעתם והסכמתם, ובכך להשפיע על תוצאות הבחירות. כל העניינים המפורטים להלן נוגעים לליבו של ההליך הדמוקרטי. הנזק התשיעי עניינו ה משמעות כלכלית של הפצת ה אֶגְרֹו ן למשק, שכן בעקבותיו נדרשו תאגידים וגופי מדינה להתמודד עם פוטנציאל הנזק, ולהשקיע באמצעי אבטחת מידע על מנת להתגבר על הכשלים המתוארים. סיכום ו מסקנות פיצוח פרש ת האֶגְרֹון הוא אבן דרך משמעותית המבשרת על כינונה של מערכת אכיפה פלילית בתחום של מאגרי מידע המכילים מידע אישי . מערכת זו נדרשת ל מגוון כלים אפקטיבים להתמודדות עם פעילו יות לא חוקי תו כגון גניבה, מכר, סחר והפצה של מידע אישי. חומרת הפרשה מדגישה את הצורך וההכרח בקיומה של אכיפה פלילית ייעודית ומקצועית. תיק החקירה חשף בשלמותו את רצף האירועים שקדם להפצת תוכנת הֶא גְרֹון על גבי רשת האינטרנט תוך מיפוי החוליות המעורבות במעשה, החל מיצירת קובץ המידע הגולמי שהופק על ידי העבריין ועד להעלאתו לרשת האינטרנט בשלמותו. המידע שנגנב עבר בין שרשרת של גורמים שונים, אשר לכולם עניין משותף ועבר עשיר של עיסוק טכנולוגי ומסחרי במאגרי מידע אישי. חומר החקירה בתיק, כלל תפיסה, בדיקה, עיון וניתוח של כ- 70 טרה-בייט של מידע שנתפס אצל החשודים והנחקרים בפרשה. אצל חשוד אחד נמצאו מאות מאגרים של מידע אישי, הכולל ים גרסאות לא- חוקיות מוקדמות של מוצרים לחיפוש על מרשם התושבים, פנקסי בוחרים, מאגרי מידע של רשויות מקומיות, מאגרי טלפונים וכד,' בהיקף של מיליוני רשומות. תיק החקירה הועבר לפרקליטות ת"א עם המלצה להגיש הגשת כתב-אישום. בתחילת שנת 2012 נערכו שימועים לחשודים ובמאי 2012 הוגש כתב אישום בפרשה הכולל עבירות מחוק הגנת הפרטיות, מחוק המחשבים, ומחוק העונשין כד וגמת הוצאת מסמך ממשומרת חוקית וכן השמדת ראיות. 50 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 עבירות כדוגמת גניבת מרשם האוכלוסין מעוררות דאגה ומחייבות דיון מעמיק בשאלות של האופן שבו מפותחים ומנוהלים מאגרי מידע אישי בשירות הציבורי. כשלים רבים שהתגלו במהלך החקירה היו יכולים להמנע לו הייתה מיושמת תפי ש ה, שהוצגה על ידי רמו"ט כבר בדו"ח שנת 2009 ומקודמת מאז על ידה, של "עיצוב לפרטיות" . לעניין זה חשוב שרשות האוכלוסין וההגירה תיישם תפי שה זו בתכנון מערכת הידע אשר (Privacy by Design) אמורה להחליף את מערכת "אביב", וכן יש לבחון את תפישת מתן אפשרות הגישה למידע לצרכנים אחרים מחוץ לרשות האוכלוסין וההגירה, דוגמת משרד הרווחה ממנו נגנב המידע בסופו של עניין. עוד ראוי להדגיש, ש מנגנוני פיקוח והגנה כאמור, עשויים להכשל נוכח הגורם האנושי, של העובד הסורר אשר יש לו נגישות כדין למידע לצורך תפקידו, אך מנצל אותה למטרה אחרת. לעניין זה יש לתת את הדעת לתהליכי המיון והסיווג של אנשים אשר יש להם נגישות מלאה למאגרי מידע, ואופן וידואה העיתי. פרשת האֶגְרֹון המחישה את פוטנציאל הנזק העצום והבלתי הפיך של גניבת מידע אישי והפצתו, ומשקלו הסגולי הרב של הגורם האנושי בעבירות מסוג זה. פיצוח פרשת האֶגְרֹון מבהירה גם את ההצדק ה לקיומה של רשות עצמאית המגינה על מידע אישי ועל פרטיות האזרח בעידן הדיגיטאלי. במישור החקירתי הפלילי, נדרשת יכולת חקירה מסורתית גבוהה המלווה ב מגוון יכולות נוספות מתחו ם טכנולוגית המידע ככלל, ומאגרי מידע ואבטחת מידע בפרט, ראיות אלקטרוניות והבנה של עולם כלכלת המידע. זהו עולם תוכן ייחודי, אשר מחייב מוקד ידע עצמאי שעומדים לרשותו הכלים החקירתיים והמשפטיים הנכונים להשגת מטרותיו. יובהר כי כל המפורט ביחס לתיק האֶגְרֹון , מתבסס על הראיות שנאספו במסגרת החקירה הפלילית שנוהלה על-ידי רמו"ט, כפי שאלה מפורש ות על-ידה . בעקבות הגשת כתב-האישום, עתידות להישמע הראיות בבית- המשפט אשר יקבע את הממצאים העובדתיים ואת המסקנות המשפטיות המחייבות. תיק מ.נ.ר תיק חקירה פלילית נוסף שנחקר בשנת 2011 ע"י מחלקת ה חקירות ברמו"ט קרוי "תיק מ.נ.ר." עיקרו של תיק זה הוא סחר במידע אישי ש מקורו לא חוקי והוא אחד התוצרים של גניבת מרשם האוכלוסין של מדינת ישראל והפצתו באינטרנט. התיק דווח בדו"ח ה שנתי של רמו"ט לשנת 2010 , עת טופל בכלים מנהליים פיקוחיים (בתקופת החקירה הראשונית, טרם היו לרמו"ט סמכויות חקירה פליליות מלאות) . תיק הפיקוח נסב על שימוש שלא כדין במאגר מידע בלתי חוקי על אודות כלל תושבי מדינת ישראל, לצרכים מסחריים. כבר בשלבים המקדמ יים של ההפצה הלא חוקית של מרשם האוכלוסין באינטרנט, כמתואר בפרק הקודם, זיהו גורמים שונים את הפוטנציאל המסחרי הגלום בנתונים אלו, לצורך איתור חייבים לשם גביית חובות. מטבע הדב רים, חייבים רבים נוטים להסתתר ולהעלם מאימת הנושים. פרטים על אודותם, ועל אודות קרובי משפחתם, והצלבות נוספות שניתן לעשות עקב זמינות ה נתונים אישיים על כלל תושבי מדינת ישראל, הם מכרה זהב עבור קהל גובי החובות. חברת מ.נ.ר מערכות מידע בע"מ (להלן מ.נ.ר) הינה בית תוכנה, ה מתמחה בפיתוח מ ערכות לניהול תיקי הוצאה לפועל ובמתן שירותי מחשוב למשרדים העוסקים בגביית חובות. החברה פיתחה רכיב לאיתור חייבים המאפשר למצוא פרטים אישיים אודות האדם נשוא החיפוש במטרה לסייע בהליכי גבייה במסגרת תהליך הוצאה לפועל. 51 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 רכיב זה נמכר ללקוחות מ.נ.ר יחד םע קובץ לא חוקי המכיל מידע אודות מרבית אזרחי מדינת ישראל וכולל תאריכי לידה, פרטי התקשרות ומספרי תעודת הזהות של ההורים באופן המאפשר מיפוי קשרי משפחה, יחסי שכנות ואיתורו של אדם. מאגר המידע מכיל פרטים על אודות כ- 7 מיליון אנשים ו כולל כאמור ממשק לחיפוש מידע. מ.נ.ר מכרה את רכיב איתור החייבים, בצירוף מאגר המידע הלא- חוקי, לכ- 80 לקוחות שונים, מרביתם משרדי עורכי דין. כחלק מתהליך המכירה הותקן אצל הלקוח ממשק לחיפוש במאגר המידע וכן מאגר המידע עצמו. כפי שדווח בדו"ח רמו"ט לשנת 2010 , בחודש יוני אותה שנה ש לחה רמו"ט הודעה לח ברה לפיה הוחלט על הטלת 86 קנסות מינהליים בגין 86 מקרים שונים לגביהם נאספו ראיות מנהליות לפיהן החברה עשתה שימוש שלא כדין במאגר ה מידע הנ"ל באמצעות העברתו לאחר. מדובר בהפרה של הוראת סעיף 8 (ב) לחוק הגנת הפרטיות, המהווה עבירה על סעיף 31א(א() 1 ) לחוק הגנת הפרטיות, וזו ניתנת להמרה בקנס מנהלי על פי חוק העבירות ה מנהליות, התש מ"ה- 1985 (להלן – חוק העבירות המנהליות). חברת מ.נ.ר והעומדים בראשה מימש ו את זכות ם שבחוק העבירות המנהליות וביקשו להישפט חלף הקנס. בשל כך, נדרשה ב שנת 2011 מחלקת החקירה לקיים חקירה פלילית בנוגע לתיק זה, ונגבו הודעות מהגורמים המעורבים. הממצאים מצביעים על מכירת מאגר מידע לא חוקי, במסגרת התוכנה שפותחה לעשרות רבות של לקוחות. התיק הועבר לטיפול ב פרקליטות חיפה פלילי.)( כאמור בדוח רמו"ט ל- 2010 הדגשת ההיבטים הפליליים של המעשה והעלאת המודעות לעצם קיומן של הסנקציות הקבועות בחוק מהווים איתות ברור לחשיבות שמייחסת רמו"ט לעצם השמירה על הוראות החוק, כמו גם לאכיפה הנוקשה בה תנקוט בעתיד במקרים של עבירות, לרבות הפעלת סנקציות אישיות כלפי נושאי משרה בתאגיד. החברה ומנהליה שימשו כחוליית ההפצה של מידע ותוכנות, שעיקר פעילותן מבוס ס על עותק לא חוקי של מאגר מידע, אודות אזרחי מדינת ישראל. 52 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 הנחיות רשם מאגרי מידע במהלך שנת 2011 המשיכה רמו"ט לפרסם הנחיות בתחום הגנת הפרטיות. מטרת הנחיות אלה להבהיר לציבור את פרשנות הדין החל בהקשר של פעילות עיבוד מידע ספציפיות, וליידע אותו על אופן הפעלת הסמכויות המוקנות לרשם בעתיד בהקשר העניין נשוא ההנחיה. כרטיס חכם בתחבורה ציבורית בשנת 2011 נמשכה העבודה על הסדרת היבטי הפרטיות בכרטיס חכם לתחבורה ציבורית (רב- קו), וזאת בהמשך להליכי פיקוח שקיימה רמו"ט בנושא ודווחו בשנת 2010 . פרוייקט הכרטיס החכם בתחבורה הציבורית מובל על ידי משרד התחבורה , והוא החל לפעול עוד בטרם התקיימה חקיקה סדורה בהקשרו. המחלקה המשפטית של רמו"ט היתה מעורבת בלימוד מעמיק של ההיבטים הטכנולוגים הקשורים בפרוייקט, על מנת לסייע ב"עיצוב לפרטיות" שלו , תהליך המקודם על ידי רמו"ט בהקשר של כל יוזמה (Privacy By Design) אשר במרכזה נאסף מידע אישי. שיתוף הפעולה עם משרד התחבורה התנהל בקצב לא מספק, והודות לסיוע של משרד המשפטים והצורך להשלים את החקיקה, הוא זכה לקידום. סיוע משמעותי להליך זה התקבל מדיון בועדת הכלכלה של הכנסת, אשר נדרשה לנושא עם תחילת הדיונים בהצעת החוק לתיקון פקודת התעבורה (מס' 100 ) (רישיון מפעיל וכרטיס חכם), התשע"א- 2010 בחודש פברואר 2011 . באפריל 2011 הפיצה רמו"ט הנחיית ביניים שמטרתה הסדרת היבטים הקשורים בנושאי הליבה של החוק בהקשר של הכרטיס החכם בתחבורה הציבורית, עד להשלמה של החקיקה, ובדגש על אופן אי סוף המידע, מטרות השימוש במידע, וחובות אבטחת המידע. במקביל המשיכו להתנהל דיונים עם משרד התחבורה לגבי אופן עיצוב הפרוייקט באופן כללי, ואופן הסדרת הכנסת טכנולוגיה זו תוך מיזעור סיכוני הפרטיות שלה. נכון לסוף שנת 2011 הטיפול בנושא זה לא הושלם. נכון למועד פרסום הדוח, ולאחר תיאום בין-משרדי, פורסמה הנחיית רשם מאגרי מידע בנושא זה, שמטרתה הסדרת הנושא עד להשלמה של החקיקה. 53 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 הנחיית רשם מאגרי מידע: מיקור חוץ בנובמבר 2011 פורסמה לאחר תהליך הכנה מקיף, אשר כלל שימוע ציבורי והתייעצות עם גורמים שונים, הנחיית רשם מאגרי במידע בנושא מיקור חוץ ( ) במאגרי מידע. הנחייה זו מצ"ב כנספח ג' לדו"ח Outsourcing זה. ההנחיה נועדה ל הנחות ארגונים לגבי האופן הראוי, לפי פרשנות רשם מאגרי מידע, לפעול ב עת ביצוע פעולות עיבוד מידע במיקור חוץ, באופן המסדיר את החובות החלים בעת עיצוב השירות, הסדרתו המשפטית והארגונית והבקרות הנדרשות בידי הארגון. במהלך שנת 2012 צפויה רמו"ט לעקוב אחר הטמעת הנחיה זו במגזרים העסקי והציבורי, ולהחל להפעיל את סמכויות הפיקוח שלה בעניין זה. טיוטת הנחיית רשם מאגרי מידע: פרטיות והגנת מידע בחוזה הלקוח של חברות הטלפון הסלולארי הצורך להכנ ת הנחיה בנושא של פרטיות והגנת מידע בחוזה לקוח של חברות הרט"ן עלה לאור קשיים בהם נתקל ה רמו"ט בהליכים לאישור חוזי חברות הסלולר בבית הדין לחוזים אחידים. בגיבוש טיוטת ההנחיה הוטמעו לקחים מפיקוח רוחבי במגזר הסלולר שערכה מח לקת רישוי פיקוח מנהלי בשנת 2010 , וכן מעמדות שנתבקשו מרמו"ט לגבי מספר תובענות ייצוגיות שהוגשו בנושא. בנוסף, הסתמכה רמו"ט על פרסומים ביחס לאיסוף נתוני המיקום המתבצע במכשירים הסלולריים. הפרק השני של טיוטת ההנחיה מסביר את החובה ל קבל ת הסכמת הלקוח לשימוש במידע על אודותיו, תוך הבחנה בין שימוש הדרוש ל אספקת השירות הבסיסי לבין שימוש נטול זיקה לשי רות זה; הפרק השלישי מצביע על המגבלות בתוכן ובסוג ההסכמות שניתן לבקש מהלקוח בחוזה אחיד, ועל הצורה בה צריכה להתבקש ההסכמה ( ;) OPT IN – OPT OUT הכנת הטיוטה הסתיימה בשלהי 2011 והיא הופצה בפברואר 2012 להערות ראשוניות לש חברות הטלפון הסלולארי, משרד התקשורת ומחלקת יעוץ וחקיקה במשרד המשפטים. טיוטת הנחיית רשם מאגרי מידע: תחולת הוראות חוק הגנת הפרטיות על פעילות מכוני מיון לקבלה לעבודה בחודש ינואר 2011 פרסמה רמו"ט להערות הציבור טיוטת ההנחיה המבהירה את מעמדם של המעסיקים ומכ וני המיון ביחס למידע הנאסף על המועמדים לעבודה במסגרת מבחני מיון. ההנחיה מפרטת אלו שימושים מותר למכונים לעשות במידע האישי הנצבר אצלם, מה תוכן ההסכמה שהמכון נדרש לקבל מן המועמדים כתנאי לעיבוד המידע, וכיצד על המעביד ו המכון לממש את זכותו של המועמד לעיין במידע האישי ש נאסף עליו ולתקנו. בעקבות ההערות שהתקבלו, פרסמה רמו"ט בחודש יולי טיוטה מעודכנת ולאחר פרסומה קיימה רמו"ט "שולחן עגול" בהשתתפות כל המגיבים לטיוטת ההנחיה: בדיון השתתפו נציגים של הסתדרות הפסיכולוגים, האגודה 54 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 לזכויות האזרח, איגוד הבנקים, המוסד לביטוח לאומי ומכוני המיון. בהמשך, עד לסוף שנת 2011 המשיכה וניהלה רמו"ט סדרה של מפגשים עם הגורמים הנוגעים בדבר. במקביל העבירה רמו"ט הערות בנושא זה במסגרת הטיפול בעתירה כנגד חוקתיות חוק היישובים הקהילתיים, שעוסק בשימוש במכוני מיון בקבלה ליישובים קהילתיים. עיקר ניסוח ההנחייה הסתיים בשלהי שנת 2011 והיא התפרסמה בתחילת מרץ 2012 . הנחיית רשם מאגרי המידע: איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי בחודש ינואר 2011 התפרסמה להערות הציבור טיוטת הנחיה שעניינה איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי, וזאת בעקבות ממצאי פיקוח בחברת אי.די.איי חברה לביטוח, אשר דווחו בדו"ח לשנת 2010 . בחודש ספטמבר 2011 פרסמה רמו"ט את נוסח הסופי של ה הנחייה, וזו נועדה להבהיר כי גורם המקבל ממערכת ההוצאה לפועל, מערכת בתי המשפט או רשויות המדינה צו עיקול כצד שלישי המחזיק אצלו כספים או נכסים המגיעים לחייב נשו א העיקול – אינו רשאי לעשות במידע שימוש אלא לצורך קיום מטרת צו העיקול. במהלך התקופה שבין פרסום טיוטת ההנחיה ופרסום הגרסה הסופית הוגשה לבית המשפט לעניינים מנהליים עתירה כנגד החלטת הרשם המסתמכת על העמדה הבאה לביטוי גם בהנחיה. לאחר פרסום ההנחיה ביקשה העותרת לת קן את העתירה. השימוש במצלמות מעקב – טיוטת הנחייה וטיפול שוטף בחודש דצמבר 2011 פרסמה רמו"ט להערות הציבור טיוטת הנחיה בנושא "שימוש במצלמות מעקב ובמאגרי הצילומים הנקלטים בהן." ההנחייה מיועדת להבהיר את תחולתם של דיני הפרטיות והגנת המידע על השימוש במצלמות המעק ב, ומציגה את עקרונות השימוש במצלמות לאור דיני הפרטיות. הטיוטה מבוססת על חוות דעת משפטית בנושא "מצלמות מעקב – הדין החל ואופן השימוש" שפרסמה רמו"ט בשלהי שנת 2010 . במהלך השנה השתתפ ו נציגי רמו"ט בדיונים במחלקת יעוץ וחקיקה (חקיקה) במשרד המשפטים במטרה לגבש נוהל להפעלת מצלמות מעקב בערים המשתתפות בפרוייקט "עיר ללא אלימות," והביעה את הערותיה על תנאי מכרז מסגרת מס' 16.11 לעניין "הקמת מערך טכנולוגי, מצלמות סנסורים ומוקדי שליטה ובקרה עירוניים" שפורסם בידי המשרד לבטחון הפנים. נושא מצלמות מעקב במרחב הציבורי על ה גם במסגרת הליך פיקוח על אופן השימוש במערכת המצלמות בעיריית אשקלון. בנוסף, התריעה רמו"ט בפני עיריית תל אביב על פרסומים בדבר כוונת אתרים, החברה לפיתוח אתרי תיירות בתל אביב, לפרוס עשרות מצלמות בחופי העיר באופן בלתי מידתי החורג, לדעת רמו"ט, מהוראות הדין. 55 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 ה גנה על מיד ע אישי במקום העבודה: מדריך למעבידים ולעובדים לאור פס"ד איסקוב בראשית שנת 2011 סיימה המחלקה המשפטית של רמו"ט הכנה של טיוטת מדריך הכולל ריכוז מקיף של עקרונות הגנת המידע במסגרת יחסי עבודה, ומטרתו לסייע למעסיקים ליישם אותם בהתאם להוראות חוק הגנת הפרטיות ולעזור לעובדים להכיר את זכויותיהם. המדריך לא הופץ לציבור שכן בחודש פברואר פורסם פסק דינו של בית הדין הארצי לעבודה בעניין איסקוב (ע"ע 90/08 טלי איסקוב ענבר נ' מדינת ישראל ואח)' בו נקבעה הלכה מקיפה ותקדימית בסוגיית הפרטיות במקום העבודה. רמו"ט השתתפה במהלך השנה בד יונים במחלקת ייעוץ וחקיקה בעניין אופן יישומה של הלכת איסקוב ובשאלת עמדת המדינה בעתירה שהוגשה בעניינה לבג"צ (העתירה נמחקה בחודש דצמבר 2011 .) לנוכח העתירה שהייתה תלויה בעניינה ולאור חוסר הבהירות בדבר פרשנותה, נמנע ה רמו"ט לפרסם את טיוטת המדריך למעבידים ולעובד ים בשנת 2011 וזו פורסמה בשנת 2012 . רישום מאגרי מידע נתונים בשנת 2011 הוגשו 532 בקשות רישום מאגרי מידע לרשם. נתון זה מהווה עליה של כ- 45% בבקשות הרישום החדשות ביחס לשנת 2010 . בהשוואה לנתוני השנתיים הקודמות ישנ ה מגמ ה בולטת של גידול בכמות בקשות הרישום המוגשות לרמו"ט ביחס לשנים קודמות (בשנת 2009 - 408 ; בשנת 2010 - 366 .) הגידול בכמות בקשות הרישום המוגשות מוסבר ע"י פעילויות שמבצעת רמו"ט שגורמות להעלאת מודעות לנושא הגנת הפרטיות בניהול מאגרי מידע בקרב גופים במשק, שבעקבותיה הם יוזמים או נדרשים לרישום מאגרי המידע שלהם. דוגמא לכך היא הסדרת לשכות פרטיות להעסקת עובדים זרים בענף הסיעוד ע"י משרד התמ"ת ופרוייקט כרטיס חכם בתחבורה הציבורית של משרד התחבורה. במסגרת פרוייקטים אלו נדרשו הגופים הפרטיים המנהלים מאגרי מידע לשימושים שנוגעים למתן שירותים לציבור המפוקחים ע"י משרדי הממשלה, לרשום את מאגריהם בפנקס מאגרי המידע ולעמוד בחובות המהותיות שקובע החוק הנובעות מכך שהם מנהלים מאגרי מידע אלו. א. במהלך שנת 2011 אושר רישומם של כ- 300 מאגרי מידע. ב. בנוסף במהלך שנת 2011 עודכן רישומם של כ- 4,200 מאגרים. עדכון כולל למשל שינוי פרטי בעל המאגר, שינוי במינוי מנהלים למאגר, העברות בעלות במאגר עקב מיזוג או מכירה או מחיקת המאגר. 56 ז. דו"ח רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א- 1981 גביית אגרות במהלך שנת 2011 נגבו כ- 2,210,000 ₪ עבור תשלום אגרות הרישום והאגרות התקופתיות. יצויין כי אגרות אלו הן אגרות ייעודיות אשר נועדו לממן, בין היתר, את פעילות ההסברה והאכיפה של רמו"ט בתחום הגנת הפרטיות, ועל כן הן מוטלות על הגורמים שיש בידם מאגרי מידע. רישום מאגר מידע לשירות GOOGLE STREET VIEW בחודש אוגוסט 2011 קיבלה רמו"ט את בקשת חברת גוגל לרישום בפנקס מאגרי המידע, כנדרש בסעיף 10 לחוק הגנת הפרטיות, של מאגר מידע לצורך הפעלת שירו ת - יישום המאפשר Google Street View (GSV) למשתמשי שירות המפות לצפות בצילום פנורמי סטטי של רחובות ושטחים ציבוריים אחרים Google Maps המופיעים בשירות המפות. בהתאם לסמכויות המסורות לו בחוק, בחן הרשם את בקשת גוגל לרישום המאגר, והחליט לאשר אותה בכפוף לקיומם של ת נאים מפורטים המיועדים לשמור על זכויותיו של הציבור הישראלי, במיוחד נוכח העובדה שמקום מושבה של גוגל נמצא מחוץ לתחום השיפוט של ישראל. אלה עיקרי התנאים: א. סמכות שיפוט אזרחית - מינתה את חברת גוגל ישראל כמורשה לקבלת כתבי בי דין מטעמה Google INC בישראל, לפי סעיף 478 לתקנות סדר הדין האזרחי, התשמ"ד – 1984 באופן שיאפשר לפתוח בישראל הליכים משפטיים אזרחיים נגד החברה האמריקאית. ב. סמכות שיפוט מנהלית ופלילית - גוגל התחייבה שלא לטעון כנגד סמכות רמו"ט להפעיל נגדה הליכים פליליים או מנהליים בקשר להפעלת שירות . GSV ג. בקשות לטשטוש – אתר האינטרנט של שירות יציע מנגנון מקוון יעיל ואמין לבקש טשטוש נוסף של GSV דמויות, לוחיות רישוי ובתי מגורים לאחר פרסומן. ד. שקיפות – גוגל פרסמה לציבור באינטרנט ובעיתונות הסברים על מהות השירות, על זכויות המצולמים, ומידע כללי על מסלול הצילומים המיועד. 57 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 ח. דין וחשבון של רשם גורמים מאשרים לפי תקנה 16 לתקנות חתימה אלקטרונית (ניהול גורם מאשר וניהולו,) התשס"ב- 2002 58 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 כללי רשם גורמים מאשרים (בפרק זה – הרשם או רשם גורמים מאשרים) אחראי מכוח חוק חתימה אל קטרונית, התשס"א- 2001 (בפרק זה – החוק או חוק חתימה אלקטרונית) על ניהול מרשם הגורמים המאשרים והפיקוח עליהם. עד 10 בספטמבר 2011 שימש בתפקיד הרשם עו"ד עמית אשכנזי, וזאת במקביל להיותו ה יועץ המשפטי של רמו"ט. החל מיום זה מונה ראש רמו"ט, יורם הכהן, לרשם לאחר שנקבע על ידי הייעוץ המשפטי של משרד המשפטים כי אין במינוי זה חשש לניגוד עניינים, לאור עיסוקו של עו"ד הכהן בתחום החתימה האלקטרונית טרם מ ינויו לתפקיד ראש רמו"ט . תהליך זה השלים את הקבוע ב החלטת הממשלה על הקמת רמו"ט, לפיה ראש רמו"ט אמור לשאת ב תפקיד שלושת הרשמים3 שנכללו ברמו"ט. הפיקוח על הגורמים המאשרים מחייב הבנה טכנולוגית מעמיקה בתחום החתימה האלקטרוני ת, התשתית ה טכנולוגית המשמשת בבסיס ה ו היכרות עם מבנה מערכות המידע ומערך (PKI – Public Key Infrastructure) אבטחת המידע של הגורמים המאשרים. כמו כן נדרש ידע מקצועי במגוון של תקנים מקצועיים בינלאומיים והבנה בתחום הקריפטוגרפיה (תורת ההצפנה). הפיקוח מצריך שעות עבודה מרובות וניתוח תהליכי עבודה מורכבים וממושכים. הפעלת סמכויות הפיקוח של רשם גורמים מאשרים מבוצעת על ידי הרשם בסיוע צוות מפקחים מ מחלקת רישו י ופיקוח מנהלי ברמו"ט , אשר עוסקים במקביל גם בפיקוח בנושאי הגנת פרטיות ונתוני אשראי. בשנת 2011 כלל הצוות ה כשיר לנושא החתימה האלקט רונית 5 מפקחים (כולם בעלי רקע במשפט וטכנולוגיה) בלבד. בשנת 2011 נעזר הרשם בשירותי ייעוץ ממומחה מקצועי חיצוני בהיקף של 300 שעות עבודה. בשנת 2011 טופלו ע"י הרשם וצוות הפיקוח שתי בקשות רישום של גורמים מאשרים חדשים: חברת פרסונל איי.די בע"מ והגורם המאשר הממשלתי. בקשות אלה חייבו הקדשה של מספר רב של שעות עבודה. בנוסף לכך, לפיקוח באתרי הגורמים המאשרים, הוקדשו בשנת 2011 כ- 21 ימי עבודה בהם נכחו צוות ים של שניים עד שלשה מפקחים. נוכח מצב דברים זה סבור הרשם, כי יש להקצות כח אדם ייעודי לתחום ה חתימה ה אלקטרונית, בנוסף על כח האדם שקיים ברמו"ט כעת. 3 רשם מאגרי מידע מכוח חוק הגנת הפרטיות, התשמ"א- 1981 , רשם שירותי נתוני אשראי ומידע על עוסקים מכוח חוק שירותי נתוני אשראי, הת שס"ב- 2001 ורשם גורמים מאשרים מכח החוק. 59 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 נתונים בתחום חתימה אלקטרונית טופלו ברמו"ט 14 תיקי פיקוח בשנת 2011 , מתוכם 10 תיקים כהמשך מהשנה הקודמת, ו- 4 תיקים חדשים. לרשם גורמים מאשרים הוגשו 2 תלונות בשנת 2011 . חלוקת התיקים לפי סוגיהם היא כדלקמן – סוג התיק כמות תיקי פיקוח בב קשות שהוגשו לאישור הרשם 9 תיקי פיקוח לבקרה בי ו זמת הרשם 5 תיקי פיקוח בעקבות תלונה 0 סה"כ 14 גורמים מאשרים רשומים מרשם גורמים מאשרים לפי סעיף 9 (ב) לחוק חתימה אלקטרונית, התשס"א- 2001 בסוף שנת 2011 הוא כדלהלן: כתובת אתר האינטרנט שם תאריך רישום פרטי התקשרות ש ל הגורם המאשר דרך דוד בן גוריון 34 רמת גן 52573 www.personalid.co.il פרסונל איי.די. בע"מ 7.7.2011 טל' 073-2900047 פקס: 073-2900379 קריית עתידים בנין 4 ת.ד. 58007 קומסיין בע"מ תל אביב 13.2.2003 www.comsign.co.il טל' 03-6443620 פקס 03-6474206 60 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 בקשות רישום חדשות של גורמים מאשרים חברת פרסונל איי.די בע"מ כמדווח בדו"ח רשם גורמים לשנת 2010 , במהלכה החל טיפול בבקשת רישום חדשה של חברת פרסונל איי.די בע"מ (לשעבר סקיורנט גורם מאשר בע"מ) . בבקשה זו יושמה לראשונה הנחיה 2-2010 שנועדה לתת בידי הרשם והגורם המאשר שיקול דעת רב יותר באשר לאופן המימוש הטכנולוגי של השירות, תוך שמירה על תכליות ומטרות החוק. בשנת 2011 הסתיים תהליך בדיקת בקשת הרישום של פרסונל איי.די. במס גרת הטיפול בבקשת הרישום נערכו בדיקות מקיפות למסמך הנהלים של החברה (תקנון השירות,) לנהלי העבודה שלה, להיבטי אבטחת מידע לוגיים ופיז יים בפעולתה וליישומה בפועל של הנחייה 2-2010 האמורה. רישו מה של פרסונל איי.די במרשם הגורמים המאשרים אושר בתנאים ביום 7.7.2011 . ל אחר מתן אישור הרישום, המשיכו מפקחי הרשם בבחינת עמידתה של חברת פרסונל איי.די בתנאים שונים שפורטו באישור שניתן לה. הגורם המאשר הממשלתי נוכח החלטת המדינה להקים גורם מאשר ממשלתי, הוגשה בסוף שנת 2010 לרשם בקשה לרישום גורם מאשר זה (להלן – הגמ"מ.) הגמ"מ מוקם בשיתוף פעולה של יחידת ממשל זמין במשרד האוצר ורשות האוכלוסין, ההגירה ומעברי הגבול. מערך הגורם המאשר הממשלתי מתוכנן לספק שירות הנפקת תעודות אלקטרוניות ל חתימה אלקטרונית מאושרת שישולבו בתעודת הזהות החכמה תש נפיק המדינה לאזרחים. במהלך שנת 2011 נמשך הטיפול בבדיק ת בקשת הרישום של הגמ"מ. במסגרת הטיפול בבקשת הרישום נבדקים מסמך הנהלים של הגמ"מ, נהלי העבודה המפורטים שלו, היבטי אבטחת מידע לוגיים ופיזים בפעולתו ובמתקניו השונים. הליך בחינת בקשת הרישום י משך בשנת 2012 , בד בבד לתהליך הקמת המסגרת הטכנולוגית והניהולית של הגמ"מ והתקדמות פרוייקט תעודת הזהות החכמה. פעולות פיקוח הגורם המאשר קומסיין בע"מ בשנת 2011 טופלו 5 תיקי פיקוח יזומים ע"י הרשם מול חברת קומסיין, ובהם המשך בירור תקלת אי פרסום , יישום הנחיות רשם 2/2010 ו- 4/2010 והפרה שעניינה הגבלת אחריותה של קומסיין בתעודות ה מונפקות CRL על-ידיה. בנוסף, טופלו 7 בקשות של קומסיין הקשורות בהרחבת פעילותה כגורם מאשר. 61 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 בקשות לאישור הרשם בשנת 2011 טיפל הרשם ב- 7 בקשות של הגורם המאשר קומסיין. 3 מהן עסקו באישור גורמים רושמים נוספים שישמשו כנציגי קומסיין בתהליך הנפקת תעודות אלקטרוניות. אחת עסק ה בחידוש אישור הגורם הרושם ההוצאה לאור של לשכת עוה"ד המשמשת כנציגת קומסיין מזה מספר שנים. בשנת 2011 , כמו בשנת 2010 , בשל הגידול בביקוש לתעודות אלקטרוניות, ביקשה קומסיין להוסיף אתרים פיזיים לאתרים בהם היא נותנת שירות. בהתאם טופלה בקשה לאישור מתחם פעילות הנפ קה נוסף של קומסיין בירושלים. בנוסף טופלה בקשה לאשור תהליך עבודה המאפשר חידוש תעודה אלקטרונית מרחוק באופן שלא מחייב הגעה חוזרת של הלקוח לאתר הגורם המאשר. הטיפול בכל הבקשות שילב בחינה של החוק, התקנות, מסמך הנהלים ( ) והנהלים המפורטים של הגורם CPS המאשר. נבחנו תכניות בינוי ואבטחה פיזית, ארכיטקטורת רשת מחשבים ותכניות אבטחה לוגית, וסוגיות של רמת השירות שיינתן לצרכנים. בחלק מהמקרים יצאו צוותי מפקחים לאתרים השונים וביצוע פיקוחים במקום. הבקשות להקמת אתר , לחידוש אישור הגורם הרושם הוצאה לאור של לשכת עוה"ד והקמת סניף הנפקות DRP בירושלים, אושרו בשנת 2011 . הליך הבחינה של יתר הבקשות נמשך בשנת 2012 . עיצום כספי בגין הפרה של הנחיית הרשם כפי שדווח בדו"ח השנתי לשנת 2010 , בספטמבר אותה שנה אישר ה רשם לאחר תהליך בחינה מקיף,, את מסמך הנהלים החדש של חברת קומסיין בהתאם לתקנות לפי ה חוק. מסמך הנהלים של הגורם המאשר מהווה את תקנון השירות שלו, ומסדיר את התחייבויותיו והצהרותיו כלפי לקוחותיו וכלפי מי שמסתמך על התעודה האלקטרונית שהנפיק. כפי שדווח, במסגרת אישור מסמך הנהלים אושר לקומסיין להנפיק תעודות אלקטרוניות לשימוש תאגידי על גבי שרת, בהתאם לנהלים מתאימים. התערבות הרשם נועדה לצמצם את הסיכונים הכרוכים בהנפקה של אמצעי חתימה, שהינו אישי מטבעו, על גבי רכיב המצוי ברשת הארגונית ולכאורה לא נמצא בשליטתו הבלעדית של בעל אמצעי החתימה, כהגדרתו בחוק. מסמך הנהלים הקודם של קומסיין לא הסדיר נושא זה. במסגרת פיקוח שקיים הרשם עקב תלונות, לאחר סבב דיונים מקיף שנערך עד להסדרה של הנושא במסמך הנהלים, הנחה הרשם את קומסיין בדצמבר 2009 שלא להנפיק תעודות לשימוש תאגידי כאמור, עד הסדרת הנושא במסמך הנהלים המעודכן שלה. בקשות חוזרות של קומסיין לאפשר מהלך כאמור במהלך 2010 נענו בתשובה מפורשת הקושרת בין נושא זה לאישור מסמך הנהלים. בפיקוח שערך הרשם התברר בהתאם לתצהיר שמסר מנכ"ל החברה, כי בתקופה שבין דצמבר 2009 למועד אישור מסמך הנהלים החדש הונפקו 9 תעודות אלקטרוניות לחתימה על שרתים, בניגוד להנחייה כאמור. 62 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 שתיים מההפרות בוצעו לאחר כניסתו לתוקף של תיקון מספר 2 לחוק, בו הוספה לרשם סמכות להטיל עיצום כספי על גורם מאשר בשל אי מילוי אחר הנחייה של הרשם. יוזכר כי סעיף זה הוסף ביוזמת ועדת המדע והטכנולוגיה במהלך הדיונים על תיקון מספר 2 לחוק, על רקע דיווחי הרשם לועדה על אודות חוסר הציות של הגורם המאשר והעדר כלי אכיפה מתאימים. בהתאם לכך, עשה הרשם שימוש בסמכותו, ובתום שימוע, הוטלו בשנת 2011 שני עיצומים כספיים בסך 71,600 ₪ כל אחד בגין שני אירועי הפרה של ההנחיה. בקשות לעיון מחדש או שינוי סכום הקנס לא התקבלו על ידי הרשם, והעיצומים שולמו ללא ע רעור משפטי. אי קיום התחייבות בנושא הגבלת אחריות במסגרת דו"ח 2010 דווח על הנחיית הרשם בנושא איסור על שינוי הגבלת האחריות בתעודות, ועל הפרת הנחייה זו. בעקבות הפרת הנחייה זו, ופיקוח הרשם, חזרה בה קומסיין משינוי הגבלת האחריות כלפי לקוחותיה, באופן שהגבלה זו אינה תקפה עוד. הודעתה של קומסיין פורסמה באתר ה אינטרנט של ה רשם. שימוע בשל כוונה ל התלייה של הרישום בשל אי עמידה בתנאי סף לרישום גורם מאשר במסגרת בחינת עמידת קומסיין בהנחייה 2-2010 , התברר לרשם במרץ 2011 כי למרות מצגים מפורשים של קומסיין ושל המבקר הבלתי תלוי מטעמה, נכלל במערכותיה מזה זמן רב רכיב קריטי במערך הנפקת התעודות האלקטרוניות שאינו מקיים את הוראות תקנה 5 לתקנות לעמידה בתקן CriteriaCommon . על רקע האמור, זומנה בחודש אפריל קומסיין לשימוע בטרם התלייה של רישומה במרשם. לאחר השימוע קבע הרשם כי קומסיין הפרה את הוראות התקנה, ואף לא דייקה בדיווחיה אל הרשם. על אף קביעה זו, מאחר שה מדיניות אשר באה לידי ביטוי ב הנחייה 2-2010 היא להגמיש דרישות עמידה בתקן כאמור, ועל רקע היות קומסיין הגורם המאשר היחיד באותה עת, לא הותלה רישומה של קומסיין. היא הונחתה לנקוט צעדים מיידים למזעור הסיכון, קיום סקר סכונים חיצוני ומבדקי חדירה לגבי רמת אבטחת המידע של אותו רכיב על ידי גורם בדיקה חיצוני , ואלה בוצעו על ידה. הנחיות ה נחייה 2-2010 כמתואר לעיל, בשנת 2011 הושלמו הליכי בדיקה של חברת קומסיין ושל חברת פרסונל איי.די, במסגרת רישומה במרשם, בהוראות הנחייה 2-2010 . בשתי החברות מימוש ההנחייה היה כרוך בבחינה מקיפ ה לש מכלול מערכות המידע שלהן, אופן ה קישוריות שלהן למערכות אחרות ולאינטרנט, ותהליכי העבודה נתמכי מערכות המידע בגורם המאשר. 63 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 תהליכי הבדיקה של הדו"חות כללו מספר סבבי דיונים מול הגורמים המאש רים ו גופי הביקורת הבלתי תלויים שנשכרו על ידם. הבדיקה של צוות הפיקוח של הרשם מול החברות כלל דיונים לגבי הדו"חות שהועברו, ומספר פיקוחים שנועדו לבצע בדיקה מדגמית על הממצאים המפורטים בדוחות. מהליכים אלה גובשו מספר תובנות, באשר לאופן היישום של ההנחיה. התובנה הר אשונה היא כי לצורך גיבוש חוות דעת בלתי תלויה כנדרש בהנחייה, נדרש צוות בעל מספר התמחויות, ובהן לפחות התמחות בבדיקת היבטי תהליכי עבודה ובקרות, ויכולת ביצוע בדיקת חדירות ו-"תקיפה" של מערכות מידע. תובנה שניה הינה השלכת הבדיקה על עיצוב מערכות המידע, שכן שתי הח ברות נדרשו ל שינויים ושיפורים משמעותיים לעומת מצבן בתחילת ה תהליך. האחריות הכוללת על תקינות המערכות, היא כמובן של החברות עצמן, ובהתאם להיקף הבחינה, של הגורמים המבקרים למועד הביקורת. בדיונים עם חברת פרסונל איי.די קויימו מספר סבבי פגישות, עד להגשת חוות דעת שה יתה מקובלת על הרשם. בדיונים עם חברת קומסיין הוגשו מספר רב מאוד של דו"חות שהוגדרו על י די גורמי הביקורת כסופיים, אך אלה נדרשו לתיקונים רבים ו לעתים סמוך לאחר הגשת הדוחות מסרה החברה כי שינויים נוספים מבוצעים. תהליך זה החל לאחר דחיות,, בסוף שנת 2010 , ונמשך עד סוף אוגוסט 2011 עת אושרה עמידת החברה בהוראות ההנחיה. במסגרת הניסיון שנצבר במסגרת ההנחיה הוגדר בצורה ברורה יותר הממשק שבין חוות דעת לפי הנחייה 2- 2010 , לבין חוות דעת מבקר בלתי תלוי לפי תקנה 2 לתקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו.) בהתאם לכך, חוות הדעת לפי הנחייה 2-2010 עוסקת בהיבטים הכללים והמפורטים של מערכת המידע, ואילו חוות הדעת של המבקר מאשרת את המימוש בפועל של היבטים אלה. בהתבסס על הניסיון שנצבר בהפעלת ההנחיה בעת מתן הנחיות שוטפות לגורמים המאשרים, גובשה הנחיה פנימית מעו דכנת בדבר אופן פרשנות סע יפי התקן. הנחיה זו תעדכן את הנחיה 2-2010 . מעקב – מימוש הנחייה 4-2010 – עדכון אלגוריתמים כפי שדווח בדוחות קודמים, פרסם הרשם את הנחייה 4-2010 בנושא האלגוריתמים המשמשים לחתימה אלקטרונית, וזאת בהתבסס על עבודת בדיקה שביצע פרופ' בני פנקס, מומחה להצפנות ומדעי המ חשב מאוניברסיטת תל אביב. בעקבות קשיי הערכות של הגורם המאשר קומסיין להנחיה, ושל גורמי הממשלה המרכזיים הנסמכים על שימוש בחתימה אלקטרונית, נערכו בשנת 2011 על ידי רמו"ט מספר דיונים ל ליבון הנושא. בעקבות דיונים אלה דחה בסוף מרץ 2011 הרשם את החובה להשתמש ב פונקצי ת גיבוב SHA-2(Hash) , ליום 1.10.2011 . השימוש בפונקצית הגיבוב אמור להפסק לחלוטין לא יאוחר מיום 1.10.2013 . משמעות החלטה זו היא SHA-1 ש תעודות שהונפקו טרם מועד זה לא ישמשו עוד ויש להחליפן. SHA-1 64 ח. דו"ח רשם גורמים מאשרים לפי חוק חתימה אלקטרונית, התשס"א- 2001 עקב פנייה קונקרטית של רשות ניירות ערך הוארכה התקופה במקצת, כך ש המועד האחרון נקבע ל- 31.12.2011 , והשימוש בתעודות שהונפקו קודם למועד זה תוך יישום פונקצית ייפסק עד ליום SHA-1 31.12.2013 . לגורמים המאשרים ניתנה האפשרות ל הנפיק במקביל תעודות משני הסוגים (SHA-1 ו- SHA-2) ב תקופת ה ביניים, אולם לא הוגשה כל בקשה כזו. על פי בקשתו, הועבר לרשם נוהל החלפה מהיר לאירוע של איתור כשל בפונקצית במהלך תקופת הביניים. SHA-1 אישור חומרה לפי תקנה 2 ( 9 ) ביום 29.11.11 אישר הרשם בהתאם לסמכות המוקנה לו בתקנה 2 ( 9 ) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) התשס" ב- 2001 כי שני כרטיסים חכמים של חברת אתנה ( ) המשמשים בין היתר,, לחתימה אלקטרונית, מקיימים את דרישות החוק והתקנות לביצוע Athena חתימה אלקטרונית מאובטחת. זהו אישור ראשון שניתן לפי סמכות זו בתקנות. האישור התבסס על אישורי הסמכה שקיבלו המוצרים לפי תקני אבטחת המי דע ו– NIST FIPS 140-2 Common , וכן על חוות דעת של מומחה אבטחה בלתי תלוי, שניתנו בהתאם Criteria for Information Technology לתבנית שנקבעה על ידי הרשם. במסגרת חוות הדעת נדרש המומחה החיצוני לאשר כי תנאי ההסמכה הזרה יושמו באופן הרלבנטי לדרישות החוק, וכן כי יושמו במוצר דרישות קונקרטיות הנובעות מדרישות והנחיות הרשם. בהתאם להצהרות ובדיקות הרשם, שני המוצרים מספקים ללקוח הקצה את דרישות האבטחה והדרישות הפונקציונליות הנדרשות לפעולת חתימה לפי החוק, וכן עומדות בדרישות והנחיות הרשם לפי החוק הישראלי. תוקף האישור הוא כל עוד מתקיימות ההסמכות האמורות. חברת אתנה התחייבה כחלק מהליך האישור לעדכן את הרשם בדבר שינויים באישורים אלה או לגבי ארועי אבטחה הפוגעים במידת הבטיחות של המוצר בהתאם לדרישות התקינה. 65 ט. דו"ח רשם שירותי נתוני אשראי ומידע על עוסקים ט. פירוט הפעלת סמכויות רשם שירותי נתוני אשראי ושירותי מידע על עוסקים, מכוח חוק שירות נתוני אשראי, התשס"ב- 2002 ותקנות שירות נתוני אשראי, התשס"ד- 2004 . 66 ט. דו"ח רשם שירותי נתוני אשראי ומידע על עוסקים כללי רשם שירותי נתוני אשראי ומידע על עוסקים (בפרק זה – הרשם או רשם שירותי נתוני אשראי) נותן רישיונות פעולה לגופים המבקשים לפעול כ שירותי נתוני אשראי או כשירותי מידע על עוסקים בהתאם לחוק שירות נתוני אשראי, התשס"ב- 2002 (בפרק זה – החוק, או חוק שירות נתוני אשראי) ומפקח עליהם מכוח הסמכויות המוקנות לו בחוק. דו"ח זה מוגש ביוזמת רמו"ט לועדת כלכלה, אשר החוק נמצא בטיפולה, בדומה לדו"חות של שני הרשמים האחרים הפועלים ברמו"ט שלהם נקבעה חובת דיווח בחוק, וזאת אף שלא נקבעה חובה בדין להגישו. בעלי רישיונות בעלי רישיונות תקפים בעל י הרישיון מכח חוק שירות נתוני אשראי בסוף שנת 2011 הינם: כתובת אתר האינטרנט מס' רישיון סוג רישיון שם בעל הרישיון של בעל הרישיון נתוני שירות די. אנד בי. החברה לנתוני אשראי 539000042 www.dbcredit.co.il אשראי בע"מ נתוני שירות 539000034 בי.די.איי קופאס בע"מ www.bdi.co.il אשראי מידע שירות 539000026 בי.די.איי קופאס בע"מ www.bdi.co.il על עוסקים מידע שירות 539000018 דן אנד ברדסטריט ישראל בע"מ www.dbisrael.co.il על עוסקים ביטול רישיון שירות מידע על עוסקים ביום 7.2.11 הודיעה חברת לב אמון יזמים כי היא מוותרת על רישיון שירות מידע על עוסקים שקיבלה בשנת 2006 . בעקבות זאת, הודיע הרשם על ביטול הרישיון של החברה, ובוצעו הפעולות הנדרשות מכוח תקנה 81 לתקנות שירות נתוני אשראי, התשס"ד- 2004 בגין סיום או הפסקת פעילות בעל רישיון שירות נתוני אשראי. 67 ט. דו"ח רשם שירותי נתוני אשראי ומידע על עוסקים שינוי בבעלות, דירקטורים ומנהל שירות במהלך 2011 חלו שינויים בבעלות, דירקטורים ומנהל השירות של חברת דן אנד ברדסטריט ישראל בע"מ. כמו כן, חלו שינויים בדירקטורים ומנהל השירות של חברת די אנד בי החברה לנתוני אשראי בע"מ. שינויים אלה נבדקו בהתאם להוראות החוק והתקנות ואושרו. דיווחים על פגם לפי תקנה 80 בשנת 2011 קיבל הרשם ארבעה דיווחים מבעלת רישיון שירות נתוני אשראי די אנד בי על פגם בפעילות בעל רישיון כנדרש בתקנה 80 לתקנות שירות נתוני אשראי, התשס"ד- 2004 . הפגמים שדווחו נבעו הן מתקלות בהעברת מידע ממקורות מידע שונים לבעלת הרישיון, והן מתקלות בקבלת מידע אצל בעלת הרישיון. במסגרת הטיפול בכל פגם הוציאה בעלת הרישיון דוחות אשראי מעודכנים, לכל מי שקיבל דוח אשראי על לקוח שנכלל ברשומות הפגומות. כל דיווח פורסם על ידי בעלת הרישיון בשני עיתונים יומיים וכן על ידי הרשם באתר האינטרנט של רמו"ט. פיקוח על בעלי רשיונות בתחום נתוני אשראי שלו שה סוגי ם של הליכי פיקוח – א. תיקי פ יקוח הנפתחים בעקבות פניה של אדם המתלונן על פגיעה בו על ידי בעל רשיון או מקור מידע. ב. תיקי פיקוח הנפתחים בעקבות פעילות יזומה של רמו"ט; ג. תיקי פיקוח הנפתחים בשל בקשות של בעלי הרישיונות לשינויים שונים במתאר עבודתם. נתונים בתחום נתוני אשראי הוגשו בשנת 2011 55 תלונות המהוות כ- 24% מכלל התלונות שהגיעו לרמו"ט. ביחס לשנת 2010, עלתה כמות הפניות בתחום נתוני אשראי ב כ- 10% , ונתח הפניות בתחום נתוני אשראי מכלל הפניות שהגיעו ל רמו"ט , עלה ב כ- 40% . במהלך השנה נפתחו ברמו"ט 20 תיקי פיקוח בנושא נתוני אשראי, המהווים כ- 23% מכלל תיקי הפיקוח שנפתחו בשנה זו. כמו כן, המשיך הטיפול ב- 5 תיקי פיקוח בתחום זה שנפתחו קודם לשנת 2011 . 68 ט. דו"ח רשם שירותי נתוני אשראי ומידע על עוסקים חלוקת התיקים בתחום נתוני אשראי שנפתחו ב- 2011 לפי סוגיהם היא כדלקמן – סוג התיק כמות תיקי פיקוח בשל מהלך ייזום 11 תיקי פיקוח בעקבות תלונה 6 תיקי פיקוח לצרכי אישור רשם 3 סה"כ 20 תיקי פיקוח נבחרים פרטנר - בי.די.איי הפונה התלונן על כך שהוזמן על אודותיו דו" ח אשראי מבעלת רישיון שירות נתוני אשראי בי.די.איי על ידי חברת פרטנר, אצלה לטענתו הוא היה בסטטוס "רדום" מזה מספר שנים. לאחר בחינת התלונה מול בעלת הרישיון וחברת פרטנר, התברר כי לפונה חשבון נוסף אצל פרטנר בו הוא פעיל. במסגרת בדיקה תקופתית של כלל לקוחות פרטנר, לצורך מתן אשראי, הוזמן על אודות הפונה דוח אשראי, בהתאם לאמור בסעיף 28(א) לחוק שירות נתוני אשראי , התשס"ב- 2002 . נמצא, כי במקרה זה בו הוזמן דוח אשראי המתייחס ללקוחות פרטנר (כל עוד חשבון הלקוח איננו מבוטל בחברה,) לא ניתן לבסס הפרה של סעיף 28(א) לחוק. הפצת קבצי מושל"כ לבתי תוכנה במסגרת שיתוף פעולה עם בנק ישראל בחנה רמו"ט בקשות של גופים עסקיים וציבוריים לקבלה מבנק ישראל של הקבצים המכילים רשימת מושכי שיקים ללא כיסוי (מושל"כ), הנדרשים להם לצורך סליקת שיקים במסגרת פעילותם העסקית. זאת, לאחר שביוזמת רמו"ט הפסיק בנק ישראל להציג באתר האינטרנט שלו את קובץ המושל"כ המלא. במסגרת זו הוגשו גם בקשות של חברות המספקות שירותי תוכנה, חומרה ואחסון ללקוחות (למשל בתי עסק) לצורך בדיקת שיקים המתקבלים אצלם. מאחר שחברות אלה הבהירו כי בכוונתן להעביר את הקבצים או מידע מתוכם ללקוחותיהם, הודיעה רמו"ט כי תיאלץ לסרב לבקשות משום שהעברת המידע ללקוחות נכנסת לגדר שירות נתוני אשראי"" – "איסוף ניהול והחזקה של נתוני אשראי .. לצורך מסירה לאחר, כדרך עיסוק" – כמשמעותה בחוק שירות נתוני אשראי פעילות הטעונה רישיון בו המבקשות לא אוחזות., 69 ט. דו"ח רשם שירותי נתוני אשראי ומידע על עוסקים עם זאת, הודיעה רמו"ט למבקשות שלא תתנגד להמשך שימוש שלהן בקובץ המושל"כ כקבלניות עבור מי מלקוחותיהן שיחתמו על התחייבות עצמאית להשתמש בקובץ רק למטרה הלגיטימית ולתקופה המותרת, ויציינו את בית התוכנה כמחזיק במידע מטעמם, כמשמעות המונח בסעיף 3 לחוק הגנת הפרטיות. מקצת מבתי התוכנה נהגו על פי מתווה זה והמשיכו לקבל את הקבצים עבור לקוחותיהם ולמטרותיהם. תיקוני חקיקה ביום 29.12.11 פורסמו ברשומות תקנות שירות נתוני אשראי (תיקון), התשע"ב- 2011 . זהו תיקון ראשון ומשמעותי לתקנות שירות נתוני אשראי מאז התקנתן בשנת 2004, ונכללו בהן מספר שינויים עיקריים שמטרתם שיפור האפקטיביות של חוק שירות נתוני אשראי כמאיץ של שיפור התחרות בתחום האשראי. להלן עיקרי השינויים: א. הוספת הנתון "רמת חוב" למידע השלילי הנאסף ונמסר; ב. שינוי הכללים באשר לסף ממנו יימסר מידע שלילי, באופן המאפשר בחינת מכלול המידע הקיים על הלקוח לצורך מסירת המידע ולא לפי קטגוריית נתוני האשראי שבדוח. השינוי ירחיב את המקרים בהם יימסר מידע שלילי; ג. הוספת נתונים למידע השלילי כגון הוצאת צו מניעה ביחס להגבלה לפי חוק שיקים ללא כיסוי, התשמ"א- 1981 , הצהרה של חייב בפני ראש הוצאה לפועל כי אינו יכול לשלם את חובותיו וכד;' ד. הוספת חברות כרטיסי אשראי כמקורות למידע חיובי. תקנות אלה אמורות להכנס לתוקף במהלך שנת 2012, והן מחייבות שינויים במערכות המידע ונוהלי העבודה של בעלי הרשיונות ומקורות המידע. רשם שירות נתוני אשראי צופה כי תדרש עבודת פיקוח רבה לוידוא עמידת בעלי הרשיונות בהוראת התקנות. 70 נספח א' – הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב- 2011 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 נספח ב' – מסכים של תוכנת אגרון 98 נספח ב' – מסכים של ת וכנ ת האגרון המסך הראשי של התוכנה – ניתן לעיין ולדפדף בפרטי 9.2 מליון האזרחים המתועדים במאגר ולצפות, לגבי כל אדם, במספר זהותו, שם משפחתו, שמו הפרטי, תאריך לידתו (הלועזי והעברי), גילו, מינו, מצבו האישי, מספר ילדיו שמו הקודם, שמות הוריו ומספרי זהותם., 99 נספח ב' – מסכים של ת וכנ ת האגרון לגבי כל אדם המתועד ב"אגרון" ניתן לפתוח מסך מידע אישי המפרט את פרטי המידע הבאים: מספר זהותו, שם משפחתו, שמו הפרטי, שמו הקודם, כתובתו המדוייקת, מיקוד, טלפון ראשי וטלפונים נוספים, מינו, מצבו האישי, מספר ילדיו, תאריך לידתו (עברי ולועזי) וגילו, ארץ לידתו, תאריך עלייתו לישראל (אם עלה), תאריך פטירתו (אם נפטר), תאריך עדכון פרטיו במרשם, שמות הוריו ומספרי זהותם ואת הפרטים המנויים בדוגמה הקודמת לילדיו, הוריו, אחיו ואחיותיו. 100 נספח ב' – מסכים של ת וכנ ת האגרון ניתן לנווט מכל קרוב משפחה של אדם (בן זוג, ילד, אח, הורה) אל אותם פרטים על אודות קרוב המשפחה בהקשה כפולה (Double-Click) על הרשומה שלו. 101 נספח ב' – מסכים של ת וכנ ת האגרון ניתן ללקט פרטי אישיים של אישים שונים ל"מאגר זמני" ללא מגבלה 102 נספח ב' – מסכים של ת וכנ ת האגרון זהו מסך איתור המידע העיקרי של "אגרון" המאפשר לחתוך מתוך בסיס הנתונים רשומות לפי הפרמטרים המפורטים לעיל (וכל שילוב שלהם), כגון: "כל הנערות בנות הגילאים 11-15 הגרות ברחוב מסוים בעיר מסוימת" או "כל הדיירים בכתובת מסויימת" או "כל מי שנולד בארץ מסוימת, והוא בגיל 40-50 והוא נשוי" וכד' 103 נספח ב' – מסכים של ת וכנ ת האגרון נספח ג' – הנחית 2/2011 של רשם מאגרי מידע – שימוש בשירותי מיקור חוץ לעיבוד מידע אישי (OUTSOURCING) 104 הנחית רשםמאגרימידע מס'2/2011 (outsourcing) שימוש בשירותי מיקורחוץ לעיבוד מידעאישי 1. מטרה 1.1 . העזרות בשירותי מיקור חוץ (outsourcing) מהווה מרכיב משמעותי בפעילותם של ארגונים במשק מודרני. במקרים רבים, שירותי מיקור החוץ כרוכים בניהול מידע אישיהמעובד בארגון באופן ממוחשב. 1.2 . מטרת הנחיה זו היא להבהיר את עמדתו של רשם מאגרי המידע בדבר הפעולות הראויות לקיום חובותיהם של בעל מאגר המידע, מנהל מאגר המידע והמחזיק בו לגבי עיבוד מידע אישי אגב מיקור חוץ מכוח הוראות חוק הגנת הפרטיות,התשמ"א- 1981 (להלן -החוק )והתקנותלפיו4. 1.3 . יובהר, כי נוסף על הנחיה זו, בעת שימוש בשירות מיקור החוץ הכולל גם העברת מידע אישי אל מחוץ לגבולות ישראל, יש לוודא קיום הוראות תקנות הגנת הפרטיות העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה,)( ה תשס"א- .5 2001 2. רקע 2.1 . השימוש בשירותי מיקור חוץ משמעו הוצאה מחוץ לארגון, או ביצוע על ידי מי שאינם עובדי ארגון, של פעולות ותהליכים המבוצעים בדרך כלל על ידי הארגון, במטרה לקדם יעילות, להוזיל עלויות ולהתמקד בליבת העיסוק של הארגון. 2.2 . כתוצאה מכך נדרשת הסדרה משפטית וארגונית כדי להבטיח מימוש יעדי הארגון בביצוע השירות, שלא באמצעות עובדיו. במסגרת זונדרשת מניעת ה סיכוניםהנובעים מכךשהשירותמבוצעבמיקור חוץ6. 2.3 . חוק הגנת הפרטיות ובפרט העקרונות הקבועים בפרק ב' בו, מסדיר את השימוש החוקי במידע אודות אדם כהגדרתו בחוק וקובע את מס גרות ההגנה כנגד שימוש לרעה באותו מידע על מנת להשיג תכלית זו, מטיל פרק ב'. בחוק אחריות למניעת שימוש לרעה במידע, דליפה או גניבה של המידע על מי שאוסף ומעבד מידע עבור עצמו ועל מי שמספק לו שירותים. 4 במחלקת יעוץ וחקיקה במשרד המשפטים נמצאת בשלבים מתקדמים הכנה של הנחיית יועץמשפטי לממשלה בנושאמיקורחוץבידי גופים ציבורים. ככל שיידרש, הנחייה זו תתוקן לאחר פרסוםהנחיית היועץ. 5 בכוונת הרשם לפרסם הנחיה אשרתעסוקבנו שא השימושבשירותי"מחשוב ענן" (cloudcomputing), שתהיהמשלימה להנחיה זו. 6 בגוף ציבורינדרשתבחינה של עצם ההחלטה על שימושבמיקורחוץ, בשים לב למספר היבטים ייחודיים לגופיםאלה: הדינים החלים על הגוף ה ציבורי, היקף המידע המוחזק עלידווהיות איסוף המידע מכוח סמכות חוקית לעומת על בסיס הסכמה שלהאזרח נ ושא המידע. 105 2.4 .בשירותי מיקור חוץ יש חשיבות רבה לרמת רגישות המידע המוצא למיקור חוץ. בחינת רמת הרגישות של המידע נגזרת הן מפרמטרים כמותיים (כגון מספר נושאי המידע, היקף המידע, מספר בעלי הרשאת הגישה למידע), והן מפרמטרים מהותיים (כגון סוגהמידע.) 2.5 .בעת השימוש בשירותי מיקור חוץ החובות והאחריות המוטלים מכוח החוק על בעל מאגר מידע, מנהל מאגר מידע והמחזיק בו ממשיכים לחול על כל אחד מהם כאילו הוא מבצע את הפעילות בעצמו, כולל, בין היתר, עקרון "הגבלת המטרה" לפי הוראות פרקים ב' ו- ד' לחוק הגנת הפרטיות, ובמיוחד בסעיפים 2(9) ו- 8(ב) לחוק, חובת אבטחת המידע והבטחת מימוש זכויות נושאהמידע. 3. הנחיה 3.1 . לאור האמור לעיל, עמדת רשם מאגרי המידע בדבר הפעולות הראויות לקיום חובותיהם של בעל מאגר המידע, מנהל מאגרהמידע והמחזיק בו לגביעיבוד מידע אישי אגב מיקורחוץ מכוח הוראות החוק והתקנות שמכוחוהינה כדלקמן: 3.1.1 . הוצאתפעילותלמיקור חוץ – בדיקה מקדמית, היקף ומודל אספקת שירות 3.1.1.1 . על ארגון המבקש להוציא פעילות למיקור חוץ (להלן - המזמין) לבחון האם הוא רשאי להוציא את המידע שהוא מבקש לעבד במיקור חוץ אל מחוץ לשליטתו בתהליך של מיקור חוץ, שכן עשויות להיות מגבלות חוקיות או אתיות, אשר מונעות העברה כאמור. אף אם אין מגבלה פורמלית כאמור, מומלץ לקיים הליך בחינה האם ראוי, לאור אופי המידע האישי שהשירות יתבקש לגביו ורגישותו, להעביר אתהמידע או את העיבוד שלולמיקורחוץ. 3.1.1.2 . על המזמין להגדיר בפירוט מהו סוג השירות המבוקש על ידו, וכפועל יוצא מכך - מהו היקף המידע האישי הנדרש לצורך אספקת השירות על ידי נותן שירות מיקור החוץ (להלן - הקבלן). הגדרה זאת ראוי שתיכלל במסגרת אפיון כולל של הש ירות המבוקש המוצג בשלב ההזמנה להציע הצעות או כנספחלמכרז או לחוזה. לעניין זה קיימים שלושה מודלים: 3.1.1.2.1 . שירות המחייב טיפול במידע אישי החל משלב איסוף המידע מנושאי המידע בשם המזמיןועיבוד המידע על ידיהקבלן, לרבות ההקמה מאגרהמידע; 3.1.1.2.2 . שירות המחייבהעבר ה או העתקה של מאגר מידע שלם, או חלק מהותי ממנו, מהמזמין לקבלן; 3.1.1.2.3 . שירות המחייב טיפול במידע אישי בדרך של מתן הרשאות גישה או עדכון למידע במאגר המידע אצל המזמין, בהיקף הנדרש לצורך מתן שירות ספציפי, ללא העברת מאגרהמידעבמלואו. 106 כנקודת מוצאישלהעדיף אתחלופה 3.1.1.2.3 לעיל, שכןהעברת עותק שלם של מאגר מידע לקבלן או מתן גישהבלתי- מוגבלת למערכותהמזמין, מציבים סיכון ממשי שלהעברת מידעעודף, שאינו דרוש במישרין למילוי תפקידוהחוזי של הקבלן. בנוסף,בחלופות 3.1.1.2.1 ו- 3.1.1.2.2 מאבדהמזמין אתיכולת השליטה בשימוש במאגר המידע. למעלה מכך, הניסיון מלמד כי הרשאות גישהנדיבות מדי מזמנות סיכוני אבטחת מידע שניתן להימנע מהם. בחירה בחלופה 3.1.1.2.3 לעיל,יחד עםשימוש באמצעיםאשר יבטיחו הגבלה של מתן הרשאות גישהלמידע ובקרה עלשימושים חריגים בהרשאות,יצמצמו במידה ניכרתאת הסיכונים הנובעיםמעיבודמידע. כתוצאה מכךניתן יהיה להקל בדרישות הקשורות בהסדרת נושאזה במסגרת ה תפעול ו ה פיקוחהשוטפים. ככל שנבחרת חלופה אחרת,ישלתעד אתההצדקהלבחירה בחלופה זו נוכח הנאמר לעיל. 3.1.2 . בחירתהקבלן 3.1.2.1 . בבחירת הקבלן המבצעאת מיקורהחוץ על המזמין ל בחוןאתההיבטים הבאים: 3.1.2.1.1 . ניסיון קודם של הקבלן בעיבוד מידע אישי; 3.1.2.1.2 . רקעומוניטין שלהקבלן; 3.1.2.1.3 . קיום חשש לניגוד עניינים מובנה או סיכון אחר לשימוש פסול במידע על ידי הקבלן או מי מטעמו. 3.1.2.2 . ככל שהמידעהמועברלקבלןהוא רגיש יותר, כךיש לנקוט במשנה זהירות בבחירת הקבלן. 107 3.1.3 . ניסוח חוזה ההתקשרות 3.1.3.1 . צמידות מטרה - על המזמין להגדיר מפורשות את המטרות המותרות לשימוש ואת סוג בעלי התפקידים המועסקים על ידי ה קבלן שיהיו מורשים בגישה אל המידע, וזאת על מנת להקפיד שהקבלן ישתמש במידע אך ורק לשם ביצוע המטרה המקורית של הפעילות שביצועה הועבר אליו. יש לוודא שהחוזה מנוסח בבהירות הן בהגדרת המטרה והן בדרכים למימוש מטרה זו. יש לדרוש כיהקבלןידריך את עובדיו במטרותהשימוש במידע, ויוכיחאת קיום ההדרכותלמזמין. 3.1.3.2 . במקרה בו הקבלן אוסף מידע ישירות מ נושא המידע , על המזמין לוודא כי הקבלן יקיים ויקפיד הקפדה יתירה על קיום חובת ההודעה הקבועה בסעיף 11 לחוק. נוסח ההודעה ואופן קיומה צריכיםלהיקבע עלידיהמזמין, אולהיות מאושרים על ידו. 3.1.3.3 . על המזמין לאסור במפורש על הקבלן לאסוף מידע בדרכים בלתי-חוקיות, או לעשות שימוש במאגרי מידע בלתי-חוקיים. 3.1.3.4 . על חוזה ההתקשרות עם הקבלן להכיל בטוחות, לרבות חיוב עריכת ביטוח אחריות מקצועית, סעדים וכלי בקרה אפקטיבי ים יש אפשר ו תגובה מהירה ויעילה של המזמין להפרות של הוראות החוק והחוזה. יצוין, כי ככל שהגדרת מטרות השימוש המותרות במידע ודרישות אבטחת המידע ברורות (כמפורט להלן), כך יקל להפעילסעדים אפקטיביים. 3.1.3.5 . במקרים המתאימים, על המזמין לדרוש ייחוד עיסוק של הקבלן, הפרדה תאגידית בין הקבלן לגופים אחרים העוסקים במידע או הפרדה מבנית בתוך התאגיד הקבלן, על מנת לצמצם ככל הניתן סיכון לשימוש במידע ממאגרהמידע של המזמין לצרכים אחרים של הקבלן אולקוחותיו. 3.1.4 . אבטחת מידעובקרהעלפעילות במיקור חוץ 3.1.4.1 . קיום חובת אבטחת המידע חייבת להיות תנאי יסודי בכל התקשרות לצורך ביצוע שירות מיקור חוץ. 3.1.4.2 . במסגרת אפיון השירות, עוד בטרם התקשרות, על המזמין לבחון ולהגדיר את האיומים והסיכונים הנובעים מסוג המי דע המועבר לקבלן, ולקבוע את אמצעי אבטחת המידע להתמודדות עימם . ככל שרמת רגישות המידע גבוהה יותר והנזק הצפוי להיגרם לנושא המידע עם חשיפתו יהיה גדול יותר, ישליישםאמצעי אבטחת מידע יותרקפדניים. 3.1.4.3 . בהתאם לכך על המזמין להגדיר מסמך אבטחה מחייב, שיתייחס לכל הנושאים המפורטים בנספח א' להנחיה זו. מסמך זה יהיה חלק בלתי נפרד מתנאי ההתקשרות עם הקבלן, ובמקרים המתאימים אף יהיה תנאי סף להתקשרות. לעניין זה ניתן להיעזר בת"י 27001 ISO וכן בנייר 108 העמדה שפרסמה רמו"ט בנושא אבטחת מידע לצורך הגנת הפרטיות7 . בעיבוד מידע בעל רגישות גבוהה יותר, מוצע לדרוש מהקבלן עמידה בתקן האמור או בתקן חלופי הולם. 3.1.4.4 . על המזמין לוודא הסדרה ברורה של מימוש חובת הסודיות המפורטת בסעיף11 לחוק לגבי מורשי הגישהלמידע מטעמו של הקבלן. 3.1.4.5 . על המזמין לאסור על הקבלן להעביר לצד שלישי כלשהו מידע שקיבל במסגרת ההתקשרות, או להשתמש במידע שאליו נחשף אגב ביצוע ההתקשרות, לכל מטרה אחרת שלא קשורה ישירות לביצועההתקשרות. 3.1.4.6 . ישלוודא, כיקבלן המספק שירותיםלמספר רב של מזמינים, מקייםאת חובותיו מכוח סעיף11 א לחוק . לעניין זה, חובה לוודא קיום הדרישה בחוק כי הקבלן יפריד את הפעילות המתבצעת עבור המזמיןמפעילויות עיבוד אחרותהמבוצעות עלידו. 3.1.4.7 . מומלץ, כי בכל שירות מיקור חוץ ימונה ממונה אבטחת מידע כאמור בסעיף 17 ב לחוק, הן אצל הקבלן והן אצל המזמין. בהתאם לקבוע בחוק, אם הקבלן משמש מחזיק עבור יותר מחמישה מזמינים, חובהעליו לקיים זאת. 3.1.4.8 . על המזמין לבצע מעקב ובקרה שוטפים על קיום הוראות החוק והוראות החוזה בידי הקבלן. ככל הניתן, יש ליישם אמצעים טכנולוגי ים מקובלים, כגון מערכות ניטור ובקרה, כדי לאפשר פיקוח על פעילותהקבלן ועובדיו. 3.1.4.9 . על המזמין לדרוש מהקבלן דיווחים שוטפים בכל הנוגע לאופן ניהול מאגר המידע ועיבוד המידע. כמו כן, על המזמין לדרוש לקבל דיווח מידי בכל מקרה של חשש לדליפת מידע מהמאגר או שימוש החורג מההרשאה שניתנה. 3.1.4.10 . על המזמין לשמור לעצמו את זכויות הפיקוח הדרושות, בהתאם לרגישות המידע וטיב פעילותו של הקבלן, לערוך ביקורות באתר הקבלן, במיוחד כשעולות תלונות נגד הקבלן או לקראת סיום ההתקשרות עמו. על המזמין לוודא כי לקבלן ברורות גם חובותיו כלפי הרשם, לרבות סמכויות הפיקוח של הרשם אצלהקבלן בהקשר שלפעילות מיקורהחוץ שלו עבור המזמין. - 7 95F7 - 4269 - 225B - http://www.justice.gov.il/NR/rdonlyres/8D081CC2 F6860654DA4/18194/tyutat_takanot_avtachat_meida_100112.pdf B במסגרתנייר העמדהיש הסדר מוצע לענייןהיבטי אבטחת המידע במיקור חוץ לפיו, מסמךהאבטחה, שמומלץ שיהיה חלק נפרד מחוזה ההתקשרות,יכלול הוראות לעניין נהלי סיווגוהרשאה של עובדיהקבלןומערכותיו, כלליהפרדת מערכותבין המערכות המקבלות גישה למידע, לבין מערכותאחרותבשימושו שלהקבלןבמהלך עסקיו,הוראות לעניין אבטחה פיזיתולוגית של המידע, הוראות לעניין מדיניותהשבתה שלמדיה מגנטית לרבותכוננים קשיחיםוחתימה על הסכמי שמירת סודיות ע"יעובדי הקבלן. 109 3.1.4.11 . במקרים המתאימים, ובהתאם לרגישות המידע, יש לוודא כי ממונה אבטחת המידע מטעם המזמין יוסמך לבצע ביקורת, לרבות ביקורת פתע, על אופן התנהלות הקבלן בסוגיות של השימוש במידע ואבטחתו. לשם הקלה על הפיקוח, מומלץ לקבל מהקבלן הסכמה מראש כי נציגים מוסמכים של הגוף המזמין יוכלו לחדור לחומר המחשב שבשליטתו או באחזקתו, ככל הנדרש לצורכי פיקוח ובקרה על פעולותיו. אפשרות אחרת היא להסתמך על ביצוע ביקורות מסוג זה בידי צד שלישי בלתי תלוי המקובלעל הקבלןוהמזמין כאחד. 3.1.5 . זכויות נושא המידע - על המזמין לקבוע מראש הוראות ונהלים ביחס למימוש זכויות העיון והתיקון על ידי נושא המידע, כולל התייחסות לעניין זמני תגובה, עלויות , והכל בשים לב לסעיפים 13 ו- 14 לחוק ותקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדיןבערעור על סירובלבקשת עיון),התשמ"א- 1981 . 3.1.6 . הפעלה שוטפת של שירות מיקורהחוץ 3.1.6.1 . על המזמין לקבוע מנגנוני הטמעה והדרכה של הוראות החוזה אצל עובדי הקבלן, על מנת לוודא שעקרונותהגנתהמידע האישייופנמו בכל רובדי ארגונו שלהקבלן הרלבנטיי ם לביצוע השירות. 3.1.6.2 . יש לקבוע איש קשר מטעם הקבלן, אשר יעמוד בקשר עם מקביל לו מטעם המזמין. אנשי הקשר יתאמו ביניהם את כל הטעון בירור בקשר להדרכה והטמעה של השירות, תוך הסבר מפורש על אודות השימוש המותר במידע. 3.1.7 . משך שמירת המידע, ביעור המידע 3.1.7.1 . יש להתיר לקבלן לשמור מידע שהתקבל מהמזמין, או מידע שהקבלן צבר בעצמו אגב מתן השירות, רקלמשךפרק הזמן הנדרש במישרין לביצועתפקידו לפיהחוזה. 3.1.7.2 . עם סיום ההתקשרות עם הקבלן, על המזמין לוודא כי כל המידע שהגיע לקבלן במסגרת שירות מיקור החוץ נמחק מכל אמצעי המדיה שברשותו, לרבות כוננים קשיחים, אמצעי גיבוי וכל מדיה מגנטית או אופטית אחרת. ככל שקיימת הוראה בדין המחייבת שמירת המידע אצל הקבלן, יש לוודא כי אמצעי האבטחה והבקרה שהוגדרו בחוזה עם המזמין יישאר ו אפקטיביים לכל אורך תקופת השמירה. 3.1.7.3 . ככל שנדרשת על ידי הקבלן זכות גישה למידע לאחר סיום ההתקשרות לצורך התגוננות בפני תביעות בקשר עם תפקידיו לפי החוזה, ניתן לשמור עותק של המידע באמצעי גיבוי מקובל אצל צד ג'נאמן אשר יהיה רשאי להתיראת הגישה למידע רק למטרות הנ"ל. 3.1.7.4 . על המזמין לדרוש מן הקבלן תצהיר המאמת ביצוע פעולות מחיקה, ביעור והשמדה של כל המידע שהגיע אליו במסגרת ההתקשרותעמו. 3.1.8 . תיעוד - מומלץ כי לתהליך קבלת ההחלטות לגבי כל האמור לעיל ייערך תיעוד מסודר על מנת לאפשר לרשם או לצדדים שלישים אחרים לבחון אתהאופן בו מ תבצע מיקור החוץ. 110 3.2 . כליעזר ליישוםהאמור בהנחיה זו מצוי ב נספח ב'. 3.3 . הנחיה זו אינה גורעת מהוראות חוק הגנת הפרטיות והתקנות שמכוחו, או מכוחם של חיקוקים, הוראות והנחיות רגולטורים אחרים. לעניין גופים הנתונים לפיקוח של המפקח על הבנקים בבנק ישראל או של הממונה על שוק ההון במשרדהאוצר , ראו נספח ג'. 3.4 . הנחיה זו תיכנס לתוקף ביום 19/5/12 . לאחר מועד זה יפעיל רשם מאגרי מידע את מכלול הסמכויות הקבועות לו בדין עלפיהעמדההמפורטתבהנחיה זו. 111 נספח א' -נושאיםלהתייחסותבמסמך האבטחה של מזמיןשירותמיקור חוץ 1. אבטחה פיסית - קיום הגנה פיסית על מערכת המידע ועל ה תשתית של ה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית, מפני סיכונים סביבתיים ופגיעות התואמיםאת רגישות המידע שיעובד; 2. אבטחה לוגית - נקיטת אמצעי אבטחה הולמים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת או אל קוויהתקשורת בין המזמיןלקבלן; 3. הפרדת מאגרי מידע - כללי הפרדת מערכות בין המערכות המקבלות גישה למידע, לבין מערכות אחרות בשימושו של הקבלן במהלך עסקיו; 4. מדיניות הוצאה משירות של מדיה מגנטית ואופטית לרבות כוננים קשיחים, אמצעי אחסון ניידים או נתיקים, מצעי גיבויוכד;' 5. נהלים - קביעת סדרי ניהול של מאגר מידע, סיווג והרשאות גישה למידע, והוראות לאיסוף, לסימון, לאימות, לעיבוד ולהפצה שלהמידע, בהתאם להוראותהחוק והתקנות שמכוחו; 6. ניהול הרשאות: 6.1 . קביעת אופן מתן הרשאת גישהלמאגר המידע והטלתהגבלות על מורשיהגישה; 6.2 . עריכת רישוםמעודכ ן של מורשיהגישהלמאגרהמידע לפי הרשאותהכניסה השונות. 7. תפעול - קיום הוראות תפעול שלהמערכת תוך אבטחת המידע ושמירהעל שלמות המידע; 8. סודיות - החתמת מורשי הגישה על התחייבות לשמירה על סודיות ועל ההוראות שנקבעו לפי הנהלים ומסמך האבטחה; 9. בקרה - קביעת סדרי בקרה לגילוי פגיעות בשלימות המידעותיקון ליקויים. 10 . קבלת עובדים – קביעת תנאים לגבי אמינות עובדים ועבר של עבירות הקשורות בשימוש במידע בהתאם לרגישות המידע. 112 נספח ב' - רשימת בדיקה לקיום הוראות ההנחיה בהתקשרותלשירותי מיקורחוץ נושא סעיף תוכן הבדיקה הערות בהנחיה האם רשאיוראוילהוציא אתהפעילות 3.1.1.1 למיקורח וץ בדיקה ראשונית 3.1.1.2 הגדרת סוג השירות והיקף המידע הנדרשים במסגרתההתקשרותובחירת החלופה המועדפתלאספקת השירות בחירת קבלן 3.1.2 בחירתהקבלן על פיעמידה בפרמטרים שונים הגדרה ברורה של מטרות שימוש 3.1.3.1 מותרות עלידיהקבלן ומורשי גישה למידע מטעםהקבלן 3.1.3.2 וידוא של קיום חובתההודעה מצד הקבלן לפי סעיף 11 לחוק תנאי התקשרות 3.1.3.3 קביעת איסור עלהקבלן לאיסוף או שימוש במידעלא חוקי 3.1.3.4 קביעת בטוחות,סעדים וכלי בקרה אפקטיביים שישמשו אתהמזמיןבעת הפרת החוק אוהחוזה עלידיהקבלן 113 נושא סעיף תוכן הבדיקה הערות בהנחיה 3.1.3.5 דרישתייחוד עיסוק של הקבלןו/או הפרדה תאגידית/מבנית אצלהקבלן, במקריםהמתאימים 3.1.4.1 קביעת חובת אבטחתהמידע כתנאי יסוד להתקשרות 3.1.4.2 הגדרתהאיומיםוהסיכונים הנובעים מסוגהמידע המועברלקבלן,ואמצעי אבטחתהמידע להתמודדות עימם 3.1.4.3 הגדרת מסמך אבטחה מחייב,כחלק בעיבוד מידע ברמתרגישות בלתי נפרדוכתנאי סף בהתקשרות עם גבוהה, ישלחייב אתהקבלן הקבלן ISO לעמוד בת"י 27001 אבטחת מידע 3.1.4.4 וידואהסדרה ברורה של מימושחובת ובקרה הסודיות עלידי מורשיגישהמטעם הקבלן 3.1.4.5 קביעת איסור עלהקבלן להעביר מידע שקיבל בהתקשרות לצד ג' אולהשתמש במידעלמטרה שלא קשורה בביצוע ההתקשרות 3.1.4.6 וידוא קיום חובות קבלןהמספק במיוחד, יש לוודא כיהקבלן שירותים למספר מזמינים רב מכוח סעיף מפריד בין הפעילות עבור המזמין 17אלחוק לבין פעילות עבור מזמינים 114 נושא סעיף תוכן הבדיקה הערות בהנחיה אחרים אוע בור עצמו 3.1.4.7 בחינת אפשרות מינוי ממונה אבטחת אצלקבלן המספק שירותים מידע הן אצל הקבלן והן אצלהמזמין לחמישה מזמינים ומעלה זוהי חובה, לפי סעיף 17ב לחוק 3.1.4.8 ביצוע מעקבובקרה שוטפים אחר רצוילעשות שימושגם באמצעים פעילותהקבלן לפי החוקוהחוזה טכנ ולוגיים 3.1.4.9 דרישת דיווחים שוטפים מהקבלן על ניהולמאגרהמידע ועיבוד המידע, ודרישת דיווח מידיבמקרה של חשש לדליפת מידע 3.1.4.10 שמירהעל זכויות המזמיןלבצע ביקורת באתרהקבלןולפקח על פעילות, כולל סמכויותהפיקוח של הרשם 3.1.4.11 הסדרהמראש של אפשרות ממונה במקריםהמתאימים, בהתאם אבטחתהמידע או צד ג' מטעםהמזמין לרמתרגישותהמידע לבצע ביקורתפתע אצלהקבלן, כולל הסכמה מראש שלהקבלן לחדירה עלידו לחומר מחשב זכויותנושא 3.1.5 קביעה מראש של הוראות ונהלים ביחס כולל התייחסותלזמני תגובה, המידע למימוש זכויותהעיון והתיקון שיוגדרו עלויות בהתאםלרמת הזיקה של הקבלןלמידע 115 נושא סעיף תוכן הבדיקה הערות בהנחיה קביעת מנגנוניהטמעה והדרכה של 3.1.6.1 הוראותהחוזה אצל עובדי הקבלן הפעלה שוטפת 3.1.6.2 קביעת איש קשרמטעם הקבלןומקביל לומטעם המזמיןלתיאום הפעילות עלפי החוזה קביעתפרקהזמןהמותרלקבלן לשמור ישלהגביל את פרקהזמן 3.1.7.1 אתהמידע לתקופההנדרשתלביצוע ההתקשרות בלבד 3.1.7.2 וידואמחיקת כל המידע אצלהקבלן,על ככל שיש הוראה אחרת בדין,יש כלאמצעי מדיה שברשותו לוודא המשך קיום אמצעים משך שמירת האבטחה והבקרה שבחוזה המידע ובי עורו 3.1.7.3 העברת עותק של המידעלנאמן צדג' במידת הצורך לצורךהתגוננות עתידית מתביעות 3.1.7.4 קבלת תצהיר מהקבלןעל ביצועפעולות מחיקת, ביעור והשמדת כל המידע תיעוד 3.1.8 עריכת תיעוד מסודר של קבלת ההחלטות ביחסלביצוע מיקורחוץ שניתן יהיה להציג לרשםולצדדים שלישיים 116 נספח ג' - תחולת ההנחיה על גופיםהנתונים לפיקוח של המפקחעל הבנקים או של הממונה על שוק ההון 1. מטרת נספח זה היא לקבוע את אופן התחולה של ההנחיה בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי (להלן - ההנחיה) , על רקע האמור בסעיפים 1 ו-2 להנחיה, לגבי גורמים המפוקחים על ידי המפקח על הבנקים בבנק ישראל (להלן - המפקח על הבנקים) ועל ידי הממונה על שוק ההון, ביטוח וחיסכו ן במשרד האוצר (להלן -הממונה על שוק ההון) (להלן ביחד -הגורמים). 2. לפי ידיעת הרשם, על הגורמיםחלות ההוראות הבאות (להלן ביחד -הה וראות:) 2.1 . עלהמפוקחיםעל ידי המפקחעל הבנקים חלההוראתניהול בנקאי תקין מספר 357 ; 2.2 . על גופים המפוקחים על ידי הממונה על שוק ההון חל ים חוזר גופים מוסדיים 2006-9-6 , הוראה לניהול סיכוני אבטחת מידע של הגופיםהמוסדיים וחוזר גופים מוסדיים 2010-9-4 , ניהול טכנולוגיות מידע בגופים מוסדיים. 3. בהתאם לכך, יראה הרשם את דרישות המינימום המפורטות בהנחיה כמתקיימות לעניין הגורמים בתנאי שבידיהם הוכחות שהם עומדים בהוראותהחלות עליהם, ביישום השינויים והתוספותהמפורטיםלהלן: 3.1 . עלהגורמים לקיים את ההוראות באופן שהן חלות באופן מלא גםעל מי דעאישי. 3.2 . על הגורמים לקיים את ההוראות, תוך יישום קונקרטי, במסגרת דרישות ההוראות, של הנושאים הספציפיי ם המממשים את עקרונות החוקהמפורטים בסעיפיםהבאים: 3.2.1 . הוראותבענייןהגבלת מטרה, כמפורט בסעיף 3.1.3 ל הנחיה. 3.2.2 . הוראותבעניין זכויות נושא המידע, כמפורט בסעיף 3.1.5 להנחיה. 3.2.3 . הוראותבעניין משך שמירת המידע, כמפורט בסעיף 3.1.7 להנחיה. 3.3 . על הגורמים להתייחס באופן מתועד, במסגרת הפעלת שיקול דעת בהתאם לעקרונות ההוראות, לעקרונות הקונקרטיים המפורטים מטה: 3.3.1 . מודל שירות כפונקציה של הסיכון, כמפורט בסעי פים להנחיה. 3.3.2 . בחינת העדר חשש לניגוד ענייני ם של הקבלן לעניי ן מידע אישי כמפורט בסעיפים 3.1.2.1.3 ו- 3.1.3.5 להנחיה. 4. במקרה של ספק או אי בהירות מוצע להתייעץעם הרשם. 117 מידעלגבי ההנחיה 1. מס'ההנחיה: 2/2011 2. נושא ההנחיה: שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי 3. תאריך פרסום: 21/11/11 4. בתוקףמתאריך: 19/5/12 5. חוקיםשאוזכרו: א.חוק הגנת הפרטיות,התשמ"א- 1981 . ב. תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א- 2001 . ג. תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון,) התשמ"א- 1981 . 6. פס קי דיןשאוזכרו אין.: 7. מאמריםשאוזכרו אין.: 8. הנחיותהיועץהמשפטי לממשלהשאוזכרו אין.: 9. הנחיותרשםמאגרי מידע שאוזכרו אין.: 10 . מילות מפתח: אבטחת מידע, בעל מאגר מידע, בקרה, דליפת מידע, הדרכה, הטמעה, המפקח על הבנקים, הפרדה תאגידית, הרשאות, מזמין, מחזיק מאגר מידע, מיקור חוץ, ממונה שוק ההון, ביטוח וחסכון, מנהל מאגר מידע, ניגוד עניינים, סעדים,ערבות, קבלן, Outsourcing . 11 .עדכונים גרסה פרטים תאריך 1.1 תיקוןטעות סופר בסעיפים 3.2.2 ו- 3.3.2 לנספח 07.06.12 ג' 118