דיווח על-פי חוק

PDF 74,242 תווים המסמך המקורי ↗
הרשות למשפט, טכנולוגיה ומידע (רמו"ט) רשם מאגרי מידע דו"ח לשנת 2014 מדינת ישראל משרד המשפטים רמו״ט | רשםמאגרימידע | דו"חלשנת2014 םיטפשמה דרשמ תיל"כנמ רבד משרד המשפטים המנהלת הכללית דברמנכ"ליתמשרדהמשפטים הדו"ח השנתי של רשם מאגרי מידע ברשות למשפט, טכנולוגיה ומידע (רמו"ט) מספק הזדמנות להתוודע לתהליכים להם שותפה רמו"ט ולהישגיה בתחום הגנת הפרטיות והפעילות במרחב הטכנולוגי. הזכות לפרטיות היא זכות יסוד בדמוקרטיה הישראלית. הרשות למשפט, טכנולוגיה ומידע (רמו"ט) היאהרגולטורבתחוםהגנתהמידעהאישיבישראל,וקידוםהזכותלפרטיותנמצאבליבתפעילותה. תחום הגנת הפרטיות אף קשור קשר ישיר ליסוד מרכזי בחזונו של משרד המשפטים וביעדיו – ההגנה על זכויות האדם. בהתאם, הזכות לפרטיות מקודמת גם בפרויקטים כלל משרדיים, כאשר לאחרונה הוביל משרד המשפטים פעילות חינוכית ומשפטית שתכליתה התמודדות עם תופעות בריונות והפצת תכנים פוגעניים ברשתות החברתיות. הדו"ח השנתי של רמו"ט לשנת 2014 מציג את עשייתה המשמעותית והחשובה בערוצי הפעילות השונים. ראשית, לצד פעילותה השוטפת לרישום מאגרי מידע ופיקוח עליהם, יוזמת רמו"ט פעילות אכיפה בתחום הגנת הפרטיות, ובהקשר זה ראוי לציין גם את השתלבותה בניהול חקירות בעבירות הקשורות בפגיעה בפרטיות. שנית, בולטת עשייתה הפנים ממשלתית של רמו"ט בליווי פרויקטים ממשלתיים, המבוססים על פתרונות טכנולוגיים, בכל הקשור להיבטי הגנת הפרטיות. שלישית, ראוי להדגיש את חשיבות פעילותה של רמו"ט בקידום החקיקה בתחום הגנת הפרטיות והתאמתה לסטנדרטים הבינלאומיים הנדרשים לשם יצירת קשרי מסחר, הנסמכים על העברת מידע בין מדינות. קידום החקיקה נעשה, כמובן, לצד יעוץ משפטי שוטף בסוגיות שונות המתעוררות בתחום הגנת הפרטיות. לבסוף, בולטת גם השתתפותה של רמו"ט בפורומים בינלאומיים ותרומתה לגיבוש ההבנות הבין מדינתיות המתגבשות בתחום זה.- ככל יחידות המשרד, נדרשת רמו"ט להתאים עצמה לחזונו של המשרד וליעדיו בתחומים השונים, ביניהם שיפור השירות לציבור. כיחידה האמונה על מתן השירות בתחום רישום מאגרי המידע, יזמה רמו"ט, במהלך השנה החולפת, תהליכים לשיפור השירות בתחום זה, העולים בקנה אחד עם יעדיו של משרד המשפטים. תהליכים אלה אף הביאו לחיסכון במשאבים ולהתייעלות. נוכח התפתחויות טכנולוגיות ומשפטיות דרמטיות בתחום הגנת הפרטיות, ובשל האיומים הגוברים עלהזכותלפרטיותבישראלובזירההבינלאומית,קיימתחשיבותרבהבהתאמתפעילותהשלרמו"ט לקראת התמודדות עם האתגרים הקיימים והצפויים לה. על רקע האמור, שוקד משרד המשפטים על הבניית תהליכי תכנון ומגבש אסטרטגיה להמשך פעילות היחידה, בליווי הנהלת המשרד. אנימברכתעלהעשייהבשנההחולפת,ומאחלתלעובדיהרשותהצלחהבהתמודדותעםהאתגרים העומדים לפתחם. אני מודה לעו"ד אלון בכר על ניהול היחידה בשנה החולפת, ומאחלת לו הצלחה רבה בגיבוש תכנית פעילותה של הרשות ובקידומה כגורם מרכזי בתחום הגנת הפרטיות. בברכה, אמי פלמור 2 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 םיניינעהןכות תוכןהעניינים א. דבר ראש הרשות למשפט, טכנולוגיה ומידע. . . . . . . . . . . . . . . . . . . . . . . . . . . 5 ב. עיקרי הדו"ח . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 ג. דין וחשבון של רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א1981- על פעולות האכיפה והפיקוח בשנת 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 מבוא. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 פניות ציבור. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 רקע . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 דרכי המצאת הפניות לרמו"ט . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 נתונים . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 אסדרה באמצעות תהליך רישום מאגרי מידע. . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 מבוא. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 שיפור רמת השירות לעניין ניהול פנקס מאגרי המידע . . . . . . . . . . . . . . . . . . . . . . 15 נתונים לשנת 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 אכיפה מנהלית ופיקוח . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 מבוא. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 נתונים לשנת 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 דוגמאות לתיקי פיקוח. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 פיקוח על פרויקט ממשלתי – תעודת הזהות החכמה והמאגר הביומטרי . . . . . . . . . . . . . 22 פעילות החקירות והאכיפה הפלילית . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 מבוא. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 תיק דף חלק . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 פרשת ההאקר הסעודי )0XOMAR( . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 תיק פספורט . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 םיניינעהןכות המעבדה הפורנזית. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 פעילות משפטית. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 תיקון ועדכון חוק הגנת הפרטיות ותקנותיו. . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 ליווי הפעילויות השונות הנעשות ברשות וסיוע להן. . . . . . . . . . . . . . . . . . . . . . . . 27 סיוע משפטי של רמו"ט לגופים חיצוניים, גיבוש עמדתה בנושאים שונים ומעורבותה בפרויקטים ציבוריים בשנת 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 פעילות לקראת הבחירות לכנסת ה20- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 פעילות במישור הבינלאומי . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 חברות בפורומים בינלאומיים . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 הכנס הבינלאומי ה36- של נציבי הגנת מידע ופרטיות. . . . . . . . . . . . . . . . . . . . . . 34 כנס שיתוף פעולה בינלאומי באכיפה . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימו היגולונכט ,טפשמלתושרה שאר רבד.א א.דברראשהרשותלמשפט,טכנולוגיהומידע אני מתכבד להגיש לעיונכם את דו"ח רשם מאגרי מידע ברשות למשפט, טכנולוגיה ומידע (רמו"ט) על פעולות האכיפה והפיקוח בשנת 2014 עלפיסעיף10אלחוקהגנתהפרטיות,התשמ"א1981-,עלהמועצהלהגנתהפרטיותלהגישאחת לשנהלוועדתהחוקהחוקומשפטשלהכנסתדו"חשהכיןרשםמאגריהמידעעלפעולותהאכיפה והפיקוח של הרשות, בצירוף הערותיה. הלכה למעשה לא הייתה המועצה פעילה מסוף שנת 2012 פעילות המועצה חשובה לאין שיעור, והיא עשויה לתרום רבות, הן להגנת הפרטיות בישראל והן לקידוםפעילותרמו"ט.בימיםאלהמחדשתהמועצהאתפעילותה,וברצונילברךעלכך,ולאחללה ולרשות פעילות משותפת ופורה לקידום טובתו של הציבור כולו והזכות לפרטיות בישראל. הזכות לפרטיות היא בעלת מעמד חוקתי, היא זכות אדם בסיסית לחיי רווחה, והיא חיונית לפיתוח האני הפנימי ולמימוש העצמי. אדם זקוק לדל"ת אמותיו, למרחב אישי וחופשי מהתערבות, על מנת שיוכל לקרוא תיגר על מוסכמות, ליצור את עולמו הפרטי ולתת ביטוי ייחודי לאישיותו. הצורך בפרטיותמלווהאותנובכלמעגליהחיים–בבית,בעבודה,במערכותהיחסיםשלנו,בהידברותנועם הממשל – לאורך כל חיינו. האדם זקוק לחיץ בין הספֵרה הפרטית שלו לבין החברה. עינה הפקוחה של המדינה ועינו של הזולת עלולות לפגוע ביכולתו להתנהל מתוך תחושת חופש, וללא מעורבות והשפעה של גורם חיצוני. מאפיין ייחודי של תחום ההגנה על הזכות לפרטיות הוא קצב השינויים המהיר בטכנולוגיה, לרבות במערכות המידע הממוחשבות; העולם הטכנולוגי בכלל ותחום המידע בפרט מתקדמים ומשתנים בצעדיענק.כךגםהיקףמאגריהמידעשבהםמנוהלמידעאישיבישראלגדלמדישנהבמכפלות, ואף הפרות החוק ו"פשיעת המידע" הולכות וגוברות. כלי הפרות החוק משתנים תדיר, ועקב כך חלה עלייה בסיכונים ובפוטנציאל הנזק. המציאות מלמדת שדליפת מידע רגיש, גישה לא מורשית למאגרים ושימוש במידע מתוכם למטרות זרות הופכים שכיחים יותר ויותר. זאת ואף זאת, בעידן הנוכחי רבות מהפעילויות שלנו מקוונות, ומטבע הדברים ההסתברות שיהיו גלויות גבוהה יותר. במרחב הפעילות של רמו"ט התרחשו לאחרונה שינויים, הן בזירה המקומית והן בזירה הבינלאומית. בזירה הבינלאומית נמצא האיחוד האירופי בישורת האחרונה של חקיקת רפורמה במשטר פרטיות המידע. עם כניסתה לתוקף של הרפורמה (שנתיים מיום פרסומה הרשמי), ייכון במדינות האיחוד משטרפרטיותמחמיריותר,שיטילעליהןחובותגדולותיותרהמותאמותלאתגריםהחדשיםשלעידן המידע. ברפורמה ניתן דגש לחיזוק מעמדה של הרשות הלאומית להגנת מידע אישי בכל מדינה- חֲבֵרָה,ובמיוחדלדרישהשתובטחלרשותעצמאותמוחלטתבהפעלתסמכויותיה.הסטנדרטהחדש שמציבההרפורמההאירופיתיהיההתשתיתלמסחרבינלאומיוליזמותהכרוכיםבעיבודמידעאישי, ולכן הקפדה על הגנה הולמת על מידע אישי היא אינטרס לאומי, הן מההיבט הכלכלי והן מההיבט התדמיתי. לפעילות רמו"ט, רשות הגנת המידע האישי בישראל, חשיבות מכרעת בהקשר זה. במישורהמקומי,בשניםהאחרונות,ובשנההאחרונהבמיוחד,נמצאקידוםההגנההלאומיתבמרחב הסייבר על סדר יומה של הממשלה בכלל ושל ראש הממשלה בפרט. בקרב מקבלי ההחלטות, הן ברמה הלאומית והן ברמת הגופים הממשלתיים הרלוונטיים, יש הכרה ברורה בצורך להעצים משמעותית את כלל הגורמים המטפלים בהגנה על מרחב הסייבר ובמידע האצור העובר ברשת. מדינת ישראל, כמעצמת סייבר, עתידה ועלולה לטשטש את הגבולות בין מרחב אזרחי למרחב ביטחוני, ועל כן יש להגדיר בצורה ברורה, חד משמעית ומראש את הכלים הנכונים כדי לשמור על האיזונים הנכונים למשימת ההגנה הלאומית. בהקשר זה ממלאת רמו"ט תפקיד חיוני בשמירה 5 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימו היגולונכט ,טפשמלתושרה שאר רבד.א על פרטיותם של האזרחים ובעיצוב הסייגים על יכולתם של הגופים הרלוונטיים להשתמש במידע הפרטי של האזרחים. לתפקיד זה נודעת חשיבות גם מבחינת דעת הקהל הציבורית ומעמדה של מדינת ישראל בעולם, והוא מקבל משנה תוקף בעת הזאת, שבה מדינות העולם בוחנות בזכוכית מגדלת את מעשינו בפריזמה של שמירה על חירויות האזרח. רמו"טועובדיהמתמודדיםיוםיוםעםאתגריםחדשיםהעומדיםלפתחנו,ועלרקעהשינוייםהעצומים מסביב,אנובוחניםמעתלעתמהיהדרךהמיטביתלהגשיםאתייעודנוולמלאאתתפקידנובעולם מידע המשתנה תדיר. בדו"חזהמפורטתפעילותהפיקוחוהאכיפההמגוונתשלהרשותבשנת2014.בשנת2015המשיכה הרשות בפעילות נרחבת, ובכלל זה טיפלה בתופעה של סחר ושימוש בלתי חוקי במידע אישי (הכולל, בין היתר, מידע רפואי, כלכלי, ביומטרי או גנטי, מידע על הרגלי צריכה ועוד) כדי למגרה. כמוכןבחנההרשותעשרותהצעותחוקוטיוטותתקנותהעוסקותבסוגיותאיסוףועיבודמידעאישי והעירהלהןהערות.היאסיפקהמענהלעשרותפניותשלמשרדיממשלהורשויותציבוריותשביקשו לקבל את חוות דעתה על היבטים של פרטיות וטכנולוגיה בפעילותם השוטפת או ביוזמות ייחודיות. עובדי הרשות היו חברים בוועדות ציבוריות ובצוותים בין משרדיים (לדוגמה המועצה הלאומית לבריאות דיגיטלית וחדשנות בשירותי הרפואה והוועדה המייעצת, המפקחת על התנהלות תקופת המבחן של פרויקט התיעוד החכם, ובוחנת, בין היתר, את נחיצות המאגר הביומטרי ואת תכולתו). הם השתתפו בתריסר פרויקטים ממשלתיים מורכבים ורחבי היקף, ובהם פרויקט ישראל דיגיטלית. בשנת 2016 הרשות מתעתדת להגביר את פעילויות האכיפה ולהמשיך לפעול ביתר שאת למיגור תופעות שליליות והפרות חוק בתחום המידע האישי. נפעל גם ללא לאות לפרסום הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), אשר מטרתה המרכזית היא עדכון ושיפור יכולות הפיקוח והאכיפה של רמו"ט, כדי לתת מענה הולם לסיכונים הגוברים האורבים לזכות לפרטיות בעידן המידע. הצעת החוק עברה בקריאה ראשונה בכנסת ה18-, אולם הדיון בה לא נסתיים גם במהלך כהונתה של הכנסת ה19-, ולכן לא ניתן היה להחיל עליה דין רציפות. הדרישה בהצעה היא לסט כלים בסיסיים, שיאפשרו לרשות אכיפה אפקטיבית ומודרנית כדי שתוכל למלא את תפקידיה ואת ייעודה; ההצעה חיונית אפוא לעבודה תקינה של הרשות. רמו"ט היא הגוף היחיד המומחה בטיפול בתחום הגנת מידע אישי במאגרי מידע ממוחשבים, וזו משימתה החשובה, הייחודית והעיקרית. רק בידיה הראייה הרחבה ומבט העל בכל הנוגע להפרות החוק הנעשות במאגרי מידע, ולהיבטים השונים של החובה לשמור על הזכות לפרטיות. רמו"ט פועלתכדישההגנהעלהפרטיותתקבלמקוםמרכזיבמארגהאכיפהשלהזכויותוהחובותשבספר החוקים. אני מבקש להודות אישית לכל עובדות ועובדי רמו"ט על מסירותם הגדולה, על מקצועיותם, על עבודתם הנאמנה ועל מחויבותם לשמירה על ערך הפרטיות. אלון בכר, ראש הרשות למשפט, טכנולוגיה ומידע רשם מאגרי מידע 6 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ח"ודה ירקיע.ב ב.עיקריהדו"ח הרשות למשפט, טכנולוגיה ומידע (רמו"ט) היא הרשות להגנת המידע האישי בישראל. הרשות אמונה על הגנת מידע אישי במערכות ממוחשבות מכוח חוק הגנת הפרטיות, התשמ"א1981- (להלן חוק הגנת הפרטיות) ועל ביצורה של הזכות החוקתית לפרטיות. לתכלית זו היא מפעילה משטררגולציה,לרבותאכיפהמנהליתופלילית,על כללהגופיםבישראל,פרטייםוציבורייםכאחד, המחזיקים או המעבדים מידע אישי (מאות אלפי גופים, המחזיקים מידע על כלל אזרחי ישראל). רמו"ט היא גם רגולטור וגוף מפקח ואוכף על פי חוק שירות נתוני אשראי, התשס"ב2002- וחוק חתימה אלקטרונית, התשס"א2001- הרשות פועלת במספר אפיקים מרכזיים: רישוי, פיקוח, פעילות משפטית ואכיפה מנהלית ופלילית. מלבדזאתהרשותמעורבתבפעילותנרחבתבמישורהבינלאומי,נותנתמענהלפניותציבור,עורכת כנסים והרצאות לקהלים שונים בתחום הגנת המידע האישי, ועובדיה חברים במספר רב של ועדות וצוותי עבודה ציבוריים. דו"חזהסוקראתהפעילותהענפהוהמגוונתשלרמו"טבתחוםהגנתהמידעהאישי(ליבתהפעילות שלהרשות)לשנת2014.מעברלעבודתההשוטפתפעלהרמו"טבשנהזולהבנייתםולמיסודםשל שיתופי הפעולה עם גופים שונים, ביניהם רגולטורים מגזריים, גורמי ביטחון ואכיפה ומטה הסייבר הלאומי, כדי לפעול מול הגורמים השונים במשק בהרמוניה ובסינרגיה. בהיותה מוקד ידע לשירות הציבורי בכללו, ליוותה הרשות מספר פרויקטים ממשלתיים מורכבים ורחבי היקף, וייעצה להם; בשנים האחרונות תופסים תאוצה פרויקטים ממשלתיים מבוססי יישומים טכנולוגיים. למעשה, כיום כמעט כל פרויקט ממשלתי כרוך בהיבטים טכנולוגיים המעלים שאלות של פרטיות ועיבוד מידע אישי, אותן חיוני לבדוק כבר בשלב הייזום. לפיכך, מעורבותה של רמו"ט בשלב זה היא הכרחית, כדי להנחות, לקדם ולאשר את המתווה למימוש הפרויקט. לדוגמה: בשנת 2014 ליוותה רמו"ט את פרויקט המסלקה הפנסיונית של אגף שוק ההון, ביטוח וחיסכון במשרד האוצר.במסגרתזוהיאפיקחהעלהפרויקטבהיבטשלגיבושהאפיוןשלוכפרויקטהמיישםמראש עקרונות תכנון לפרטיות ובהיבט של יישום אמצעי אבטחת מידע. רמו"ט המשיכה לטפל בפרויקט כמענה לפניות האגף לקבל מראש את אישורה, לשנות או להוסיף שירותים ואמצעים אשר עתידים להיותמיושמיםבפרויקט,ואשרעשוייםלהשליךעלרמתעמידתובחובותמכוחחוקהגנתהפרטיות, הן מבחינת השימושים במידע והן מבחינת אבטחת המידע. דוגמה אחרת היא פיקוח על הפרויקט הממשלתי של תעודת הזהות החכמה והמאגר הביומטרי. ראש רמו"ט מונה בידי שר הפנים כחבר בוועדה המייעצת, המפקחת על תקופת המבחן, שנועדה לבחון את נחיצות קיומו של מאגר מידע ביומטרי בישראל, כחלק מניהול מרשם האוכלוסין, את מטרותיו, את היקף המידע שיש לשמור בו ואתאופןהשימושבו.הוועדההמייעצתמונתה,ביןהיתר,בשלהמחאההציבוריתנגדהקמתהמאגר, משיקולים של פגיעה בפרטיות אזרחי ישראל. במסגרת הליך הפיקוח נערכו דיונים, שבמהלכם הופיעו לפני הוועדה נציגי רשות האוכלוסין, ההגירה ומעברי הגבול, נציגי הרשות לניהול המאגר הביומטרי, נציגים משרדי ממשלה שונים, מומחים, יועצים, אנשי אקדמיה וגורמים רלוונטיים אחרים. הוועדה ערכה מספר סיורים באתרים שבהם הוחל פרויקט התיעוד הלאומי החכם, הונחו לפניה מסמכים רבים העוסקים בו, והיא קיבלה מספר החלטות בנוגע לסוגיות ליבה הכרוכות בפרויקט זה ובתקופת המבחן. תקופת המבחן נמשכה גם בשנת 2015. המלצות הוועדה שהוגשו לשר הפנים על סמך כל הנתונים שנאספו משקפות את עמדת ראש רמו"ט וחברי הוועדה, ולפיה יש צורך במאגר הביומטרי, אך ניתן להשיג את המטרה של מניעת זיוף הזהויות בעזרת מאגר המכיל תמונת פנים בלבד, ללא טביעות אצבע, וכך לצמצם את הסיכונים לפרטיות האנשים שהמידע עליהם כלול במאגר. ראש רמו"ט וחברי הוועדה סבורים, שהמלצה זו מציעה פתרון מאוזן, מידתי וסביר. 7 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ח"ודה ירקיע.ב בתחום הפיקוח והאכיפה המנהלית נוהלו עשרות תיקי פיקוח; ב40%- מהם נבדק תחום אבטחת המידע,הזוכהבעתהאחרונהלתהודהלאומיתועולמיתבשלהעיסוקבהגנתמידעבמרחבהסייבר. ב47%- מהתיקים עסקה רמו"ט באכיפת הזכות של האזרח שהשימוש במידע אודותיו יהיה רק למטרה שלשמה נאסף. במסגרת זו טיפלה רמו"ט בשימושים הלא חוקיים לצורך הפקת רווח, באפליקציית מרשם האוכלוסין הגנוב ובעותקים של פנקסי בוחרים לבחירות הארציות ולרשויות המקומיות. פעילות זו נוהלה, הן מול המפלגות, הרשימות והמועמדים והן מול סוחרים במידע, המשתמשים במידע זה שלא כדין. כך למשל נוהל הליך פיקוח כנגד אחת החברות המרכזיות העוסקות בדיוור ישיר, עקב החשד שמקורות המידע שהיא משתמשת בהם אינם חוקיים. בסיום הליךהפיקוחנמצאוהוכח,שבניגודלדיןביססההחברהאתעסקיהעלמרשםהאוכלוסיןהגנוב,על עותקיםשלפנקסיבוחריםועלכרייתמידעמאתרימודיעין.נוכחהממצאיםהודיעהרמו"טלחברה, שרישום המאגרים שלה מותלה לאלתר, ועל כן נאסר עליה להמשיך להשתמש בהם, וכן שבכוונתה לבטל את רישום המאגרים, בכפוף למתן זכות שימוע, ולהטיל על החברה קנסות מנהליים. בשנת 2015 נמשך הליך הפיקוח, ובסופו בוטל רישומם של המאגרים, הוטלו על החברה קנסות מנהליים, והחברה הפסיקה את פעילותה. פעילות מול המפלגות בנושא פנקסי הבוחרים התנהלה גם באפיק המשפטי; לקראת הבחירות לכנסתה20-הפיצהרמו"טלמפלגותהנחיהבענייןהחובותהחלותעליהןבאשרלשמירהעלפרטיות המידע המתקבל והנאסף אצלן, הן המידע מפנקס הבוחרים והן המידע אודות חברי המפלגות. על פי הנחיית רמו"ט, מתן גישה למאגר המידע המכיל את רשימת חברי המפלגה ופרטי הקשר שלהם והפצתו צריך להיעשות תוך מודעות והתחשבות בזכותם לפרטיות בנוגע לדעותיהם הפוליטיות, ובפרט תוך צמצום החשש שמידע אודות חברותם במפלגה יועבר למי שאינו נדרש לכך או ייעשה בו שימוש שאינו קשור במטרות הלגיטימיות שהגדירה המפלגה, במגבלות הדין. הנהלת המפלגה, עובדיה וכל אלה שפעלו מטעמה נדרשו אפוא לפעול בהתאם להוראות חוק הגנת הפרטיות, כדי לשמור על פרטיות הבוחרים וחברי המפלגה ולמנוע סיכונים מיותרים לפרטיותם. תפקידמרכזיבעבודתהמחלקההמשפטיתברמו"טהואיזוםעדכוןחקיקתהגנתהפרטיותוהתאמתה למציאות הטכנולוגית הנוכחית והעתידית ולצורכי הרשות הנובעים ממשימותיה. במסגרת זו עסקה המחלקה,ביןהיתר,בהמשךגיבושתקנותהגנתהפרטיות(אבטחתמידע),התשע"ה2015-ובהשלמת תקנותהגנתהפרטיות(אגרות)(תיקון),התשע"ה2014-ופרסומןברשומות(התקנותקבעושינוימהותי ופישטו את אופן חישוב האגרה התקופתית המוטלת על בעלי מאגרים הרשומים בפנקס). המחלקה המשפטית גם סייעה לגופים חיצוניים בסוגיות של פרטיות וטכנולוגיה, חיוותה דעתה במענה לפניות הציבור בסוגיות משפטיות, הציגה את עמדת רמו"ט בנוגע ליוזמות חקיקה ולפרויקטים ציבוריים אחרים, הכרוכים בעיבוד מידע אישי ובשימוש בו, וליוותה הליכים משפטיים הנוגעים לעבודת הרשות ולתחומי פעילותה. לדוגמה: רמו"ט ליוותה את הצעת החוק להסדרת השימושבכרטיסחכםבתחבורההציבוריתואתהצעתחוקהגנתהפרטיות(תיקון–הזכותלהישכח), התשע"ד2014-. המחלקה המשפטית, בשיתוף מחלקת רישוי ופיקוח, סייעה באופן נרחב בגיבוש העמדה שהוגשה מטעם היועץ המשפטי לממשלה לבית הדין הארצי לעבודה בעניין השימוש בשעוני נוכחות ביומטריים במקומות העבודה. במקרה אחר סייעה רמו"ט בגיבוש עמדת היועץ בתיקתובענהייצוגיתשהסתמכהביןהשארעלהנחייתרשםמאגריהמידעבנושאמצלמותמעקב. עוד עניין שהמחלקה המשפטית הייתה מעורבת בו היה הרשומה הרפואית הלאומית ומערכת אופק; מזה כעשור פועל משרד הבריאות להקמתה ולהטמעתה של מערכת ממוחשבת שתאפשר למגוון הגורמים המטפלים בבתי החולים, המרפאות והמוסדות הרפואיים השונים גישה מקוונת לתיקו הרפואי של מטופל. בשנת 2014 נטלה המחלקה המשפטית ברמו"ט חלק פעיל ונכבד בפעילות הצוות שעסק בהכנת החקיקה המסמיכה את הקמת הפרויקט, תוך גיבוש העקרונות לפעולתו. בין השאר נדונו בישיבות הצוות סוגיות מהותיות אלה: סוג המידע שניתן יהיה לשתף והיקפו; הסכמת המטופלים; הרשאות גישה למערכת; תכליות השימוש במידע; מתכונת הפיקוח 8 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ח"ודה ירקיע.ב והבקרה על המערכת; ארגוני הבריאות שישתתפו במערכת כצרכנים וכמקורות; אפיון והמערכת והארכיטקטורה שלה בדגש על תכנון לפרטיות ונושא אבטחת המידע. בשנת 2014 הוענק לצוות החקירות ברמו"ט, שחקר את פרשת ההאקר הסעודי 0XOMAR() פרס צוות מצטיין של משרד המשפטים על חקירה מקצועית. בהמשך זכה צוות החקירה אף בפרס צוות מצטיין ממשלתי על חקירה פורצת דרך זו. זאת ואף זאת, במסגרת פעילות האכיפה הפלילית נחקר תיק דף חלק, שעיקרו חשדות לביצוע מניפולציות אסורות במידע אישי בדרך של מחיקות מידע כלכלי רגיש ממאגרי המידע של חברת BDI קופאס בע"מ. לחברה זו רישיון לניהול שירות נתוני אשראי, שניתן לה מרשם שירות נתוני אשראי (ראש רמו"ט), והיא נמצאת תחת פיקוח שוטף של רמו"ט. החברה מחזיקה ומשתמשת לצורך עיסוקה במאגרי מידע רחבי היקף המכילים מידע כלכלי אודות תושבי מדינת ישראל. מחיקת המידע האישי שביצע לכאורה החשוד המרכזי (עובד בכיר בחברה) נועדה לאפשר לאנשים שלא היו מצליחים לקבל הלוואות ליצור מצג שקרי ותמונת מציאות כלכלית מסולפת שיאפשרו להם לקבל הלוואות או לקבל הלוואות בתנאי החזר משופרים. החקירה חשפה את זהות העובד הבכיר שמחק לכאורה ממערכות המידע של החברה את המידע אודות האנשים במהלך התקופה שקדמה לגילוי הפרשה ואת הדרך שבה עשה זאת. עוד נחשפו זהותםשלמתווכיםשוניםשעבדומולהחשוד,העבֵרותשביצעוומהלכיהתיווךביןהאנשיםשהמידע עליהם נמחק לבין החשוד. כמו כן הונחה התשתית הראייתית לנסיבות שבהן נזקקו אותם אנשים למחיקת המידע ולטובת ההנאה שצמחה להם מכך – הלוואות שהצליחו לקבל במרמה מבנקים ומגופי הלוואה חוץ בנקאיים שלא היו ניתנות להם, אלמלא המחיקה. ההתנהגות העבריינית הקימה חשדותגםלעברותנוספותמתחוםהמרמה,השוחדוהזיוף,ועלכןנערכהחקירתהמתווכיםהשונים והאנשים שהמידע אודותיהם נמחק בשיתוף פעולה עם היחידה הארצית לחקירות הונאה בלה"ב 433 של משטרת ישראל. בשנת 2015 הועבר התיק לפרקליטות מחוז תל אביב (מיסוי וכלכלה) לטיפול בהגשת כתב אישום. כדי לשמר את מעמדה הבינלאומי של מדינת ישראל בנושא ההגנה על המידע וכדי לקדם את האינטרסים הכלכליים שלה, פעלה רמו"ט ופועלת רבות בזירה הבינלאומית. בשנת 2014 היא השתתפהבפעילותאכיפהמשותפתל26-רשויותהגנתמידעאישיופרטיותברחביהעולם,החברות ברשת שיתוף פעולה באכיפת הגנת הפרטיות GPEN(). הפעילות התמקדה באיסוף מידע אישי דרך אפליקציות סלולריות, ובמסגרתה נערכה בדיקה של 1211 אפליקציות מגוונות ברחבי העולם בנוגע לאופן שבו הן משקפות לציבור איזה מידע אישי ייאסף לאחר התקנת האפליקציה ומה ייעשה בו. ממצאי הבדיקה פורסמו בדו"ח לציבור, שמטרתו לעודד ארגונים לפעול על פי עקרונות הגנת הפרטיות ולהרחיב את שיתוף הפעולה בין רשויות אכיפת הפרטיות בעולם. במסגרת סריקת האפליקציות הסלולריות בישראל נבחן מדגם של אפליקציות פופולריות, הנוגעות לתחומים האלה: הבידור והתקשורת, התחבורה, הצרכנות והבריאות. רמו"ט פרסמה את ממצאי הבדיקה בלוויית המלצות לציבור, כיצד לנהוג בבטחה בעת השימוש בהן. כמו כן נשלח לשבע חנויות אפליקציות מובילות stores( app), כולל גוגל פליי ואפל סטור, מכתב, שחתומות עליו מספר רשויות הגנת פרטיותבעולםובהןישראל,הקוראלהןלחייבמפתחיאפליקציותלהפנותאתהמשתמשיםלמדיניות הפרטיותעודבטרםיתקינואותן.במכתבהובהרשההפניההכרחית,כדיליידעאתהמשתמשאיזה מידע אישי נאסף ממנו ולאילו מטרות, ולאפשר לו להחליט אם הוא מסכים לכך אם לאו. 9 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימירגאמ םשר לש ןובשחו ןיד.ג ג.דיןוחשבוןשלרשםמאגרימידע ג. דין וחשבון של רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א1981- על פעולות האכיפה והפיקוח בשנת 2014 מבוא רמו"ט היא הרשות להגנת המידע האישי בישראל1. הרשות אמונה על הגנת מידע אישי במערכות ממוחשבות מכוח חוק הגנת הפרטיות, התשמ"א1981- (להלן חוק הגנת הפרטיות) ועל ביצורה של הזכות החוקתית לפרטיות. לתכלית זו היא מפעילה משטר רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל, פרטיים וציבוריים כאחד, המחזיקים או המעבדים מידע אישי (מאות אלפי גופים, המחזיקים מידע על כלל אזרחי ישראל). משימה מרכזית של רמו"ט היא להביא לכך שכל הגורמים הרלוונטיים יפעלו לניהול המידע שברשותם באופן תקין בהתאם לחוק הגנתהפרטיותולתקנותיו,כדילצמצםאתהסיכוניםהמוגבריםלפגיעהבפרטיות,הגלומיםבניהול מידע ממוחשב. מצבת כוח האדם המלאה של הרשות עומדת על 28 תקנים, ופעילות הרגולציה שלה נעשית בשלושה אפיקים מרכזיים: 1() רישוי, פיקוח ואכיפה מנהלית – ביקורת ופיקוח, ליווי פרויקטים ממשלתיים מורכבים, בחינת בקשות לרישום מאגרי מידע בפנקס המאגרים ומתן רישיונות; 2() אכיפהפלילית–ביצועוניהולחקירותפליליות;3()פעילותמשפטית–ליווימשפטישלהפעילויות השונות (לעיל), ניסוח הנחיות שוק והוראות רגולציה שונות וייעוץ לשירות הציבורי בסוגיות שונות של משפט וטכנולוגיה (בדגש על מידע אישי, עיבודו והשימושים בו), בין היתר, בפן החקיקתי. כמו כן נעשית ברשות פעילות ענפה במישור הבינלאומי. תכליתה לקדם את ההגנה הבינלאומית על המידע, לייצר שיתופי פעולה בנושאי מדיניות ואכיפה ולהבטיח את השתלבות מדינת ישראל בקהילתהמידעהבינלאומית.מלבדזאתנערכיםכנסיםוהרצאותלקהליםשוניםבנושאחוקהגנת הפרטיות, תקנותיו והנחיות רשם מאגרי המידע, כדי לקדם את מודעות הציבור לזכויותיו, להוראות החוק ולערך הפרטיות ואת הטמעת הציות להוראות החוק והרגולציה. בשנת 2014 הייתה רמו"ט חברה/נציגה במספר ועדות וצוותים ציבוריים2, ביניהם הוועדה המייעצת, המפקחת על התנהלות תקופת המבחן של פרויקט התיעוד החכם והבוחנת, בין היתר, את נחיצות המאגר הביומטרי ואת תכולתו3. היא הייתה חברה גם בצוות שמונה לבקשת ראש הממשלה, ואשר את פעילותו ריכז פרופ' בן ישראל, במטרה להסדיר את ההגנה הלאומית במרחב הסייבר האזרחי בישראל. הצוות היהרבתחומיוכללאתנציגיהגופיםהמרכזייםבמערךההגנההלאומיתבסייבר,והמלצותיוהוצגו לראש הממשלה. כמו כן רמו"ט היא רגולטור וגוף מפקח ואוכף על פי חוק שירות נתוני אשראי, התשס"ב2002- וחוק חתימה אלקטרונית, 1 התשס"א2001- משרדהבריאות, המועצה הלאומית לבריאותדיגיטלית וחדשנותבשירותי הרפואה + צוות עבודה של הוועדה (ועדת משנה 2 של שימושים במידע בריאות), משרד האוצר, התקשוב הממשלתי, היחידה לשיפור השירות הממשלתי לציבור, הוועדה לצמצום הנטל הבירוקרטי ושיפור השירות לציבור + צוות עבודה של הוועדה, הוועדה המייעצת המפקחת על התנהלות תקופת המבחן לפרויקט התיעוד החכם ובחינת תוצאותיה, משרד ראש הממשלה, הממונה על יישומים ביומטריים, צוות עבודהלגיבושמדיניותהזדהותמקוונתלשירותיממשל,משרדראשהממשלה,מטההסייברהלאומי,ועדתהיגויהגנהעל מערכות מידע ממוחשבות, משרד ראש הממשלה, המטה הקיברנטי הלאומי, צוות עבודה להסדרת מאגרי העל במדינת ישראל, ועדת אנגלרד – "הוועדה לבחינת שאלות הנוגעות לפרסום פרטים מזהים בפסקי דין ובהחלטות של בתי המשפט ולעיון בתיקי בתי המשפט", ועדת ההיגוי הבין משרדית לשיפור מסד הנתונים אודות שוק הנדל"ן, ועדה בראשות פרופ' צבי אקשטיין להסדרת עקרונות מחקר בלמ"ס, משרד ראש הממשלה, המטה הקיברנטי הלאומי, הוועדה הלאומית למו"פ סייבראזרחי,מכוןהתקנים,מכוןהתקניםועדהטכנית2114אבטחתמידע,משרדראשהממשלה,צוותביןמשרדילניסוח הצעת חוק להסדרת השימוש בכרטיס חכם בתחבורה הציבורית, התשע"ד2014- והוועדה לשיפור השיתוף בנתוני אשראי (משקיפים פעילים ומייעצים). 3 ראו הרחבה להלן בפרק הדן בפעילות האכיפה המנהלית והפיקוח. 10 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ח"ודה ירקיע.ב במקביל לעבודתה השוטפת פועלת רמו"ט להבנייתם ולמיסודם של שיתופי הפעולה עם גופים שונים, ביניהם רגולטורים מגזריים, גורמי ביטחון ואכיפה ומטה הסייבר הלאומי, כדי לפעול מול הגורמים השונים במשק בהרמוניה ובסינרגיה. כמו כן מקדמת רמו"ט תיקוני חקיקה, החיוניים להמשך פעילותה היעילה ולהגשמת ייעודה ותפקידיה. 11 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 רוביצתוינפ להלן תוצג פעילות רמו"ט במישור של הגנת מידע אישי לשנת :2014 פניותציבור רקע מדי שנה מתקבלות ברמו"ט מאות פניות ותלונות מהציבור (להלן פניות) בנושאים שהיא אמונה עליהם.כלפנייהנבחנתבאופןפרטניבידיהממונהעלפניותהציבור,והפונהמקבלמענהמהגורם המקצועיהרלוונטי:הממונהעלפניותהציבור,המחלקההמשפטית,מחלקתרישויופיקוחומחלקת אכיפהוחקירות.הפניותנקלטותונשמרותברמו"טכאשרעיבודכללהפניותמאפשרלזהותליקויים רוחביים בתחומי הפעילות שבהסדרת רמו"ט ולאתר הפרות חוזרות ונשנות של נילונים ספציפיים. דרך הטיפול בפנייה נקבעת, בין היתר, על פי הגורמים האלה: היקף הפניות בנושא מסוים, חומרת המעשים המתוארים בפנייה, יעדי האכיפה שנקבעו ומשאבי כוח האדם בזמן נתון. המידע המובא בפניות הוא חלק ממערך השיקולים שעל פיהם קובעים תכנית עבודה שנתית, מחליטים בדבר פרסוםהנחיותרשםלהבהרתסוגיותהעולותמהפניותומאתריםנושאיםהמצריכיםאסדרהבתיאום עם רגולטורים אחרים. דרכי המצאת הפניות לרמו"ט דואר אלקטרוני: [email protected]; טופס מקוון באמצעות ממשל זמין: https://forms.gov.il/globalData/GetSequence/ ,getsequence.aspx?formType=Ashrai3%40justice.gov.il פקס: 02-6467064; דואר: קריית הממשלה, דרך בגין 125 תל אביב, ת.ד., 7360, מיקוד 6107202 מענהטלפוני03-7634050()ניתןבשאלותכלליותאולצורךהנחייתהפונהאיךעליולפעולבמקרה הספציפי שלו. לפניות בנושא רישום מאגרי מידע יש לכתוב ל [email protected] או בטלפון 03-7634085 נתונים מספר הפניות ונושאיהן במהלך החודשים ינואר-דצמבר 2014 התקבלו ברמו"ט מעל 500 פניות בתחום הגנת הפרטיות. הפניותעסקובמגווןסוגיות,ובכללןזכותהעיוןבחוותדעתשגיבשומכונימיוןעלמועמדיםלעבודה, הצבת מצלמות אבטחה במרחב הציבורי ובמרחב הפרטי, איסוף מספרי זהות והשימוש בהם, עיון בפנקס מאגרי המידע, איסוף נתונים ביומטריים, קבלת הודעות שיווקיות על בסיס מידע ממאגרי מידע, הזכות להישכח, איסוף מידע רפואי אנונימי והשימוש בו ועוד. ממספר הפניות ומתוכנן עולה שהציבור מודע ורגיש לסוגיות בתחום הגנת הפרטיות, בין היתר בעקבות פעולותיה של רמו"ט, ובהן הליכי פיקוח, הליכי אכיפה, הרצאות וכנסים ופרסום הנחיות4. 4 לעיון בהנחיות שפרסמה רמו"ט אנא ראו קישור זה: http://index.justice.gov.il/Units/ilita/LawInfo/Hanchayot/HanchayotBetokef/Pages/hanchayot.aspx 12 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 רוביצתוינפ להלן תרשים המציג את התפלגות הפניות בנושאים הקשורים להנחיות שפרסמה רמו"ט5: פניותבנושאיםהקשוריםלהנחיותרשםמאגרימידע 2% 2% 3% n מכוני מיון n מצלמות מעקב 31% n כרטיס חכם 62% n מדריך עובדים n עיקולים סיווג הפונים בין הפונים לרמו"ט מצויים גורמים פרטיים (הפונים בשם עצמם), המבקשים להתלונן או להתייעץ, גורמים מקצועיים, כגון יועצים משפטיים וממוני אבטחת מידע, גופים ציבוריים, רשויות מקומיות ומשרדי ממשלה. 55% מכלל הפונים הם אנשים פרטיים, הפונים בסוגיות הנוגעות להם אישית, ו14%- הם גורמים ממשלתיים, כמו משרדי ממשלה, מוסדות רפואיים ורשויות סטטוטוריות. להלן תרשים המציג את התפלגות הפונים על פי סוגיהם: סיווגפונים 8% n יחיד 14% n תאגיד 55% n גורם ממשלתי n גוף ציבורי 23% 5 סך הכול 42 פניות. 13 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימ ירגאמ םושיר ךילהת תועצמאבהרדסא אסדרהבאמצעותתהליךרישוםמאגרימידע מבוא משימתו המרכזית של רשם מאגרי המידע על פי חוק הגנת הפרטיות היא לפקח על מילוי הוראות החוק. כמו כן עליו לנהל את פנקס מאגרי המידע ולהעמידו לעיון הציבור. לרשם סמכויות לאשר בקשה לרישום מאגר מידע בפנקס או לדחותה, וכן הוא רשאי, בין היתר, לרשום מטרה שונה מזו שפורטה בבקשה, כדי שפרטי הרישום יהלמו, הלכה למעשה, את פעילות המאגר של המבקש. החלטה על סירוב לרשום מאגר מידע מבוססת על יסוד סביר להניח, שהמאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן או שהמידע הכלול בו נתקבל, נצבר או נאסף בניגוד לחוק הגנת הפרטיות או בניגוד להוראות כל דין. על כן לרשם סמכויות בדיקה ובירור של בקשת הרישוםוהמידעהמפורט בה וכלמידענוסףהדרוש לולצורךגיבושהחלטתו.לרשם יש גם סמכות להתלותאתתוקפושלהרישוםאולבטלו,אםהפרמחזיקאובעלשלמאגרמידעהוראותשלחוק הגנת הפרטיות או התקנות לפיו, או לא מילא אחר דרישה שהפנה אליו הרשם. במסגרת הליך הטיפול בבקשת הרישום נבדק האם מאגר המידע שמבקשים לרשום עומד בתנאי הסף של הרישום בחוק, ובמקרים הרלוונטיים נבחנים, בין היתר, קיומה של אבטחת מידע הולמת, התאמהביןמטרתהמאגרהמוצהרתלפעילותהארגון,נחיצותסוגיהמידעשהארגוןאוסףלמטרותיו המוצהרות,טיבהשקיפותלנושאיהמידע,טיבמדיניותהפרטיותאוטופסההצטרפותוטיבההסכמה של נושא המידע לשימושים שייעשו במידע על אודותיו. במסגרת הבחינה נדרשים בעלי המאגרים לספק מידע נוסף ומסמכים, ובקשת רישום עשויה להידחות או להיות מותנית, על מנת לוודא שהליקוייםהפוטנציאלייםבאופןהפעילותשלהמאגרמתוקניםופעילותהמאגרהמתוכננתתבוצע בהתאם להוראות הדין. מלבד זאת מוגשות לרשם, בהתאם לחובה בחוק, בקשות לעדכון רישום מאגר. בחלקן אלה בקשות עדכון מהותיות (למשל העברת בעלות על המאגר, הוספת סוג מידע ביומטרי, שינוי מטרה), והן נבדקות לגופן בתהליך הדומה בהיקפו לבדיקת בקשת רישום חדשה. דרך ההליך הפורמלי של הרישום, המצריך משאבים יקרים, משיגה רמו"ט עוד יעדים: 1() הטמעת הליך ניהול תקין של מידע על ידי בעל המאגר, וזאת במסגרת השיח והשיג מול הרגולטור (בחלק מבקשות הרישום מוזמן המבקש לפגישת הכוונה וסיוע ברמו"ט או לבקשתו או כאשר נציגי הרשם סבורים כי תהיה בכך הזדמנות להשפיע על פעילות משמעותית במידע אישי.) 2() התוודעות לפעילויותמגוונותבמשקהנוגעותלמידעאישיולשחקניםהשוניםהנוטליםבהחלק.3()הנעתבעלי מאגרים לציית לחוק ולחדול מפעילות המנוגדת לו באמצעות הכלי של התליית הרישום או ביטולו, אובאמצעותהכלישלמתןהנחיותלתיקוןליקוייםלגורמיםשביקשולרשוםמאגרמידע,עודבטרם אישורהרישום.4()עצםהמחויבותלהליךהרישוםוהפוטנציאללהיותמושאלביקורתבמסגרתהליך זה מהווים כלי להגברת המודעות של גופים שונים לחשיבות הגנת המידע האישי במאגרי מידע. 5() בעקבות הקשר הישיר שנוצר עם הרגולטור בשלב הרישום פונים הגופים כדי לקבל הנחיות והכוונה גם בהמשך הדרך, לקראת פעילויות ופרויקטים המערבים שימוש במידע אישי. 14 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימ ירגאמ םושיר ךילהת תועצמאבהרדסא שיפור רמת השירות לעניין ניהול פנקס מאגרי המידע בשנת 2014 עבר ניהול הפנקס התייעלות משמעותית ורחבת היקף ששיפרה את רמת השירות הניתן לציבור המבקשים לרשום מאגר, לציבור המעיין בפנקס ולמפקחי הרשם בעבודת הפיקוח. פרויקט ההתייעלות כלל את אלה: מעבר לביצוע כלל הפעולות הכרוכות בתהליך הרישום בידי עובדי הרשות6 (מחלקת רישוי ופיקוח), לאחרשבמשךשניםרבותנעשהחלקהארישלהתהליךבמיקורחוץ.יכולתהרשותלשלוטבתהליכי העבודה מקצה אל קצה הובילה לאחידות ולמקצועיות המענה שניתן לציבור; • חיסכוןשלכ500,000-ש"חבשנהבעקבותסיוםההתקשרותעםגורםמיקורהחוץ(דוארישראל;) • הסבה למערכת מידע חדשה שפותחה במשרד המשפטים לפי צורכי רמו"ט; • טיוב נתונים באלפי רשומות, ששיפר את רמת העדכניות של המרשם; • גיבוש תהליכי עבודה אחידים וברורים ושיקופם לציבור באתר רמו"ט; • העלאת ממשק הגשה מקוון של בקשת רישום דרך אתר רמו"ט, ללא צורך במשלוח מסמכים באמצעות הדואר; • שיפור תהליכי גביית האגרות וניהול הכספים לרבות תיקון תקנות האגרות, כך שאופן חישוב האגרה יהיה פשוט יותר, ותשתפר הוודאות בגבייה בשנת ;2015 • שיפור המענה הטלפוני לציבור באמצעות השירות המקצועי ובעל הזמינות הגבוהה של מוקד השירות הטלפוני של משרד המשפטים. נתונים לשנת 2014 • הוגשו 580 בקשות רישום חדשות. • הוגשו 1,080 בקשות עדכון. • התקבלו 1,407 פניות ציבור בנושא רישום למוקד ולצוות רישום. • התקבלו 2,600,000 ש"ח הכנסות מאגרות. • אושרו 330 בקשות לרישום מאגרי מידע. ברוב הבקשות ניתנו לגורמים שביקשו לרשום מאגר מידע הנחיות לתיקון ליקויים עוד בטרם אישור הרישום (ההנחיות נגעו לאלה: שינוי אופן קבלת ההסכמהמנושאהמידע;חיובבאפשרותשלהסרהפשוטהמרשימותדיוור;ציותלדרישותהנחיית רשםמאגרימידעבנושאמצלמותאבטחה;שימושבמידעביומטרי;לשכותעובדיםזריםלסיעוד; שימוש בשירותי מיקור חוץ; הליכי מיון לעבודה במכונים; כרטיס חכם בתחבורה הציבורית). • התקבלו 660 החלטות בבקשות עדכון. • הסתיים הטיפול ב956- פניות ציבור בנושא רישום. 6 ליחידהלאהוקצהכוחאדםייעודילניהולהפנקסבתוךהרשות,והמשימותנעשותעלחשבוןמשאביםשהיומצוייםברשות לצורכי פיקוח. 15 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 עדימ ירגאמ םושיר ךילהת תועצמאבהרדסא • נערכה פעילות הדרכה והסברה בנושא רישום וניהול תקין של מאגרי מידע למשרדי ממשלה, לרשויות מקומיות לחברות ביטוח ולסוכנויות ביטוח. • נכון לסוף שנת 2014 רשומים בפנקס מאגרי המידע 13,878 מאגרים: כ66%- מתוכם בבעלות תאגידים פרטיים, 25% בבעלות גופים ציבוריים, 8% בבעלות עוסקים פרטיים ו1%- חסרי מספר זיהוי תקין. להלן תרשים המתאר את התפלגות מאגרי המידע הרשומים בפנקס לפי בעליהם, נכון לסוף שנת :2014 התפלגותמאגרימידע 152 1152 n תאגיד פרטי n תאגיד ממשלתי 3492 n עוסק פרטי 9082 n לא ידוע 16 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא אכיפהמנהליתופיקוח מבוא פעילויות האכיפה המנהלית והפיקוח נועדו להטמיע בקרב הציבור את הוראות החוק ואת חשיבותן, להגביר את הציות להן (בין היתר בדרך של הרתעה), להעלות את תחושת המוגנות הציבורית ולהסדיר את התנהלות המשק. הפנמת הגופים הרלוונטיים במשק את ערך הפרטיות ואמונו הגדל של הציבור בהם עקב כך תורמים לפיתוח הצמיחה הכלכלית במשק ועל כן חשובים לאין שיעור. למפקחים ברמו"ט סמכות לדרוש ידיעות ומסמכים. הם גם רשאים להיכנס לכל מקום שיש יסוד להניח שמופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ בהתאם להוראות פקודת סדר הדין הפלילי(מעצרוחיפוש),אםשוכנעוכיהדברדרושלשםהבטחתביצועהחוקוכדילמנועעבֵרהעל הוראותיו. עוד הם רשאים לבצע חקירות מחשב, כאשר לצורך כך ולצורך כניסה למקום המשמש למגורים בלבד, נדרש צו של שופט בית משפט שלום. רמו"טפועלתלחשיפתמקריםשלהפרתהוראותהדיןבאמצעותפעולותפיקוחיזומותובאמצעות מידע שהיא מקבלת ממודיעין סמוי וגלוי (רגולטורים וגופים ציבוריים, תקשורת, אזרחים מודעים, תלונות של נפגעים/מתחרים וכלים מודיעיניים). מטרת פעילות הפיקוח היא לגבש תמונת מצב עובדתית על התנהלות הגוף המפוקח ולגבש מסקנה בדבר עמידתו בדרישות החוק. כאשר נמצאת אי התאמה לנדרש בחוק, כאשר אין המפוקח עומד בסטנדרט ההתנהגות הנדרש לצורך שמירה על הזכות לפרטיות של נושאי המידע שבמאגר המידע שלו, ידרוש ממנו המפקח לתקן את הליקויים ולדווח לו על כך. זאת מקום בו התרחש אירוע ההפרה ורצוננו למנוע הישנות אירועים מסוג זה בעתיד, וכן, ואולי אף חשוב מכך, כדי למנוע מראש אירוע שעלול להוביל לנזק עתידי; למשל בתחום אבטחת המידע7, שבו יש משנה תוקף למניעת הנזק מבעוד מועד, ועל כן חשוב ביותר להנחות מראש מה הסטנדרט הנדרש וכיצד לתקן ליקויים8. בהמשך לתיק הפיקוח מבצע המפקח מעקב אחר תיקון ליקויים במשך פרק זמן העשוי להשתנות מתיקלתיקעלפישיקוליםשלחומרתההפרות,זהותהגוף,רמתשיתוףהפעולהשהפגין,המשאבים שעומדים לרשות רמו"ט והיקף המשימות שיש למלא בעת נתונה. בגין חלק מההפרות של חוק הגנת הפרטיות, כמפורט בסעיף 31א(א) לחוק הגנת הפרטיות, ניתן להטיל קנס מנהלי. קנס מנהלי מוטל בהתאם לחוק העבֵרות המנהליות ולהנחיית היועץ המשפטי בנושא, כאשר ההפרה היא כזו שבגינה ניתן להטיל קנס וכאשר רף הראיות בתיק הוא מעל לספק סביר, מאחר שמדובר בסנקציה שהיא חלופה להגשת כתב אישום פלילי. במחלקת הפיקוח נצבר ידע רב וחשוב על מגוון רחב של גופים ציבוריים וגופים פרטיים ממגזרים שונים במשק ועל הדרך שבה הם מנהלים את מאגרי המידע שבהחזקתם. כמו כן נצבר ידע על הפרויקטים השונים, על סוגי המידע שנאספים ועל דרכי האיסוף, על מטרות השימוש במידע, על מגוון השימושים שנעשים בפועל, על העברות מידע בין גופים ומטרותיהן, על אמצעי אבטחת בימים אלה צפויה להישלח לאישור שרת המשפטים טיוטת תקנות חדשות ומפורטות בנושא אבטחת מידע. נוסח התקנות 7 החדשות יאפשר להטיל עיצום כספי על הפרה של הוראות אבטחת מידע, כאשר תוסמך הרשות להטיל עיצומים כספיים. 8 כמו כן ניתן לאסור ניהולו של מאגר שמפר את ההוראות לעניין אבטחת מידע בדרך של אי רישום המאגר, התליית תוקפו של הרישום או ביטולו (ראו לעניין זה לעיל בפרק העוסק באסדרה באמצעות תהליך רישום מאגר מידע.) 17 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא המידע שננקטים או לא ננקטים ועוד. הידע הזה משמש למיפוי תופעות כלל מגזריות או כלל משקיות, ומהווה בסיס לגיבוש הנחיות שוק של הרשם וקביעת מדיניות בתחומים שונים (בין היתר בנושא של אכיפה), הנוגעים לניהול התקין של מידע אישי. נתונים לשנת 2014 • במסגרת חובתו של רשם מאגרי המידע לפקח על מילוי הוראות החוק טופלו 55 תיקי פיקוח והנחיה. בתיקים אלה נבדקה עמידתם של בעלי מאגרי מידע, ציבוריים ופרטיים, בדרישות החוק. • ב47%-מתיקיהפיקוחעסקהרמו"טבאכיפתהזכותשלהאזרחשהשימושבמידעעלאודותיויהיה רק למטרה שלשמה נאסף. בהקשר זה טיפלה רמו"ט בשימושים הלא חוקיים לצורך הפקת רווח, באפליקציית מרשם האוכלוסין הגנוב (אגרון9) ובעותקים של פנקסי בוחרים לבחירות הארציות ולרשויות המקומיות. פעילות זו נוהלה מול המפלגות, הרשימות והמועמדים, על מנת לשפר את ההגנה על פנקסי הבוחרים שהם מקבלים לצורך הקשר עם הבוחר ולצמצם את התופעה של הגעת המידע לידיים בלתי מורשות, ומול סוחרים במידע, המשתמשים במידע זה שלא כדין. כמו כן נוהלו תיקי פיקוח לבירור האפשרות של שימושים שלא למטרה על ידי ארגונים במסגרת פעילותם העסקית, או על ידי גורמים שאינם מורשים בתוך הארגון. • ב40%- מתיקי הפיקוח עסקה רמו"ט בתחום אבטחת המידע, הזוכה בעת האחרונה לתהודה עולמית ולאומית על רקע העיסוק בהגנת מידע במרחב הסייבר. בתיקים אלה נבדקה מראש עמידתו של בעל המאגר בחובות אבטחת המידע, כדי למנוע אירועי זליגת מידע למי שאינו מורשה לעשות בו שימוש, וכן נחקרו אירועי אבטחת מידע חמורים שכבר התרחשו. • ב13%- מתיקי הפיקוח נוהלו הליכי הנחיה ופיקוח על גורמים במגזר הציבורי, המנהלים מידע אישי לטובת מילוי משימתם הציבורית, כדי להבטיח את עמידתם בדרישות החוק. תיקים אלה מקורם בפעולה יזומה של רמו"ט, בחקיקה ובבקשה של גורמים מסוימים לקבל הנחיות מרמו"ט. התרשים שלהלן מתאר את התפלגות תיקי הפיקוח לפי הנושאים השונים שנבדקו במסגרת התיק: חלוקתסוגיתיקיהפיקוח 13% n שימוש במידע למטרה n רמת אבטחת מידע 18% 47% n אירוע אבטחת מידע n הנחיית גוף ציבורי 22% 9 ראו לעניין זה את דו"ח הרשות למשפט, טכנולוגיה ומידע לשנת 2011 18 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא • נסגרו34תיקיפיקוח,כאשרב62%-מתוכםניתנוהנחיותלתיקוןליקויים.התרשיםשלהלןמתאר את תוצאות התיקים שנסגרו: התפלגותתיקיםלפיתוצאתהטיפול 3% 6% 9% n הנחייה n לא הוכחה הפרה n קביעת הפרה 62% 20% n אישור בקשת רישום n קנס מנהלי • נקבעו שתי הפרות של אבטחת מידע והוטל קנס מנהלי אחד. להלןטבלתהאכיפה: מועדקביעת שם מגזר סעיף תיאורההפרה סנקציה ההפרה המפר שהוטלה 2/4/2014 אייאיג'י חברת ,11 AIGביצעהפניותשיווקיותבדיוורישירבהצעה קנס ישראל ביטוח 17ו(א) לרכישתמוצרביטוחי,עלבסיסהמידעשאגרהאגב מנהלי חברה פנייתעברשלהמליןלצורךקבלתהצעהלביטוח לביטוח רכב.נמצאשהחברההפרהאתסעיף11ואתסעיף בע"מ)AIG( 17ו(א)לחוק.הוטלקנסמנהליבגיןהפרתסעיף11 לחוק. 29/7/2014 טלטל חברה 17 בעקבותאירועפריצהלאחדמאתריהאינטרנטשל קביעת ערוצי פרטית וואלה,נבדקהרמתאבטחתהמידעבארגון,ונמצא הפרה תקשוב שנכוןלמועדהפריצהלאמילאהמפראתהחובות בע"מ המוטלותעליומכוחסעיף לחוק.17 17/11/2014 אוניברסיטת חינוך 17 בעקבותאירועפריצהלאתרהאינטרנטשל קביעת חיפה אוניברסיטתחיפה,נבדקהרמתאבטחתהמידע הפרה הננקטתבמערכותשלהאוניברסיטה,ונמצאשבמועד הפריצהלאמילאההאוניברסיטהאתהחובות המוטלותעליהמכוחסעיף לחוק.17 דוגמאות לתיקי פיקוח • אכיפה מנהלית כנגד סוחרים במידע העושים בו שימוש לא חוקי – הליך הפיקוח התנהל כנגד אחת החברות המרכזיות המספקות שירותי דיוור ישיר, עקב החשד שמקורות המידע שהיא משתמשת בהם אינם חוקיים. החשד עלה בעקבות ממצאים בתיקי פיקוח אחרים כנגד גורמים מסחרייםשונים(שהוגשונגדםתלונותעלפגיעהבפרטיותםשלאזרחים),ולפיהםהמידעהאישי שברשותם נרכש מחברות המספקות שירותי דיוור ישיר והפועלות בגלוי במשק, וחברה זו הייתה הדומיננטית שבהן. 19 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא בשנת 2005 נגנב, כזכור, מרשם האוכלוסין של מדינת ישראל, הועלה לאינטרנט באפליקציה שכונתה אגרון10, ומאז הוא היה נגיש לכול באמצעות תוכנות לשיתוף קבצים. תופעה נוספת שהתגלתה היא, שפנקסי הבוחרים, שמשרד הפנים מפיץ לצורך קשר עם הבוחר ומימוש ההליך הדמוקרטי, מוצאים את דרכם לידיים שאינן מורשות להשתמש בהם, ומעשירים את מרשם האוכלוסין הגנוב, שעדכניותו מוגבלת לשנת 2005 במסגרת הליך הפיקוח הגיעו מפקחי רמו"ט למספר דירות פרטיות שמהן עבדו בעלי החברה, ותפסו חומרי מחשב רבים ומסמכים. בעקבות חקירת מחשב נרחבת שנערכה על החומרים שנתפסו נמצא והוכח, שהחברה ביססה את עסקיה על מרשם האוכלוסין הגנוב, על עותקים של פנקסי בוחרים ועל כריית מידע מאתרי מודיעין בניגוד לדין. נוכח הממצאים הודיעה רמו"ט לחברה, שרישום המאגרים שלה מותלה לאלתר, ולפיכך חל עליה איסור להמשיך ולהשתמש בהם. כמו כן הודיעה רמו"ט לחברה, שבכוונתה לבטל את רישום המאגרים, בכפוף למתן זכות שימוע, ולהטיל על החברה קנסות מנהליים11. • שימוש בפנקסי בוחרים לבחירות הארציות ולרשויות המקומיות – במערכת בחירות ארצית או בבחירות לרשויות המקומיות מקבלים המפלגות, הרשימות והמועמדים, עותקים של פנקס הבוחרים (ארצי או חלקי לפי אזורי בחירה), הכוללים מידע אישי על הבוחרים, כדי שיוכלו ליצור קשר עמם. בכל מערכת בחירות ארצית ,2008( ,2013 2015) מפקחת רמו"ט על ההפצה של פנקס הבוחרים והשימוש בו, ובודקת אם הם מתנהלים בהתאם להוראות חוק הגנת הפרטיות והוראות חוק הבחירות לכנסת [נוסח משולב], התשכ"ט1969-. רמו"ט מפקחת גם על השימושים בפנקסי בוחרים במסגרת הבחירות לרשויות המקומיות. מטרות הפיקוח הן לבדוק את אלה: את טיב השימושים שעושים בפנקס הבוחרים אלה המורשים להשתמש בו, את רמת אבטחת המידע במערך המחשוב והתקשורת של המפלגות, את זהות מקורות המידע של המפלגות לצורך טיובהנתונים בפנקסהבוחרים ואת זהותהגורמים שאליהם הועבר מידע מפנקס הבוחרים. בכל מערכת בחירות מקבלת רמו"ט מהמפקח על הבחירות דיווח על כלל המסירות של פנקס הבוחרים. מלבד זאת דורשת רמו"ט מהמפלגות ומהרשימות מידע על אופן ההחזקה והשימוש בפנקס של בעלי התפקידים ונותני השירותים במיקור חוץ. דיווחים אלה נבדקים ונבחנים, ובחלק מהמקרים נעשים פיקוחים ממוקדים בהתאם למדיניות האכיפה של רמו"ט. במסגרת תיקי הפיקוח שניהלה רמו"ט בשנת 2014 בנושא זה (לעניין מערכת הבחירות הארצית ומערכתהבחירותלרשויותהמקומיותשנערכובשנת2013)השיבוארבעמפלגות,שעליהןהושת פיקוח מעמיק, על שאלות המפקחים ומסרו ידיעות ומסמכים בנוגע לשימושים הנעשים בפנקס הבוחרים, למצב אבטחת המידע במפלגה, לגורמים שאליהם הועבר המידע מפנקס הבוחרים ולשירותי מיקור החוץ שבהם נעזרו המפלגות. כלל המידע שנמסר למפקחים נבדק, ובהתאם לממצאים נשלח למפלגות פירוט הליקויים שנמצאו וכן הנחיות לתיקון הליקויים הללו. הממצאים של תיקי הפיקוח הללו מעלים שני נושאים מרכזיים: • חובת רישום מאגרי מידע בפנקס מאגרי המידע – ככלל למפלגות יש מאגרי מידע רשומים בפנקס מאגרי המידע. כמו כן דאגה רמו"ט לכך שבמהלך הפיקוח יעודכן פנקס מאגרי המידע ביחס לרישומי המאגרים של המפלגות והרשימות. 10 ראו ה"ש 9 11 העבודה על תיק הפיקוח המשיכה בשנת 2015, ובסופה בוטלו רישומם של המאגרים, הוטלו על החברה קנסות מנהליים והחברה הפסיקה את פעילותה. 20 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא • חובותאבטחתמידע–פעילותאבטחתהמידעוניהולהמבוצעתעלידיחלקמהמפלגותבאופן לקוי המצריך תיקונים, ובכלל זה, אופן שמירת תקליטור פנקס הבוחרים שקיבלו לידן, הגבלת הגישה אליו ולמחשב שעליו הותקן, ניהול סיסמאות גישה מאובטחת, התקנת אנטי וירוס והגנת wallFire,שימושבמיקורחוץלצורךטיובהנתוניםהמצוייםבפנקסוגישהמאובטחתדרךרשת האינטרנט לפעילי המפלגה. יש לציין, שהמפלגות שיתפו פעולה באופן מלא עם רמו"ט, פעלו לתיקון הליקויים כפי שנדרשו ודיווחו לרמו"ט על מחיקת המידע מפנקס הבוחרים לאחר סיום הבחירות. המפלגותוהרשימותמחויבותבהחזרתפנקסהבוחריםלמפקחעלהבחירותבתוםתקופתהבחירות. כשזה לא נעשה, המפקח על הבחירות מדווח על כך לרמו"ט, וזו מפעילה סמכויותיה כדי לאכוף חובה זו על המפלגות. פרטלתיקיהפיקוחהללונבחנוגםתלונותשהגישהציבורעלשימושבמידעעליובתקופתהבחירות. • תחקור אירוע אבטחת מידע בחברת טלטל ערוצי תקשוב בע"מ (וואלה) – במהלך 2013 נחשפו ופורסמו מאות אלפי כתובות דוא"ל וסיסמאות של משתמשים באתר האינטרנט שמפעילה אחת הספקיות המרכזיות בישראל של שירותי דוא"ל ושירותים אחרים (וואלה), לאחר שהייתה פריצה למערכות הממוחשבות של החברה. רמו"ט פתחה בהליך פיקוח, שבמסגרתו דרשה מהחברה לנקוט מספר פעולות מידיות: הודעה המעדכנת את כלל לקוחותיה על האירוע וקוראת להם להגן על עצמם באמצעות שינוי שמות משתמש וסיסמאות; תחקיר אירוע מלא באמצעות גורמי מקצוע מומחים; יישום אמצעי אבטחת מידע ראשוניים. על פי ממצאי הפיקוח, בזמן אירוע הפריצה לא מילאה החברה את האחריות המוטלת עליה לאבטחת המידע, ועל כן קבעה רמו"ט הפרה של סעיף 17 לחוק הגנת הפרטיות ותקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו1986- וכן דרשה רמו"ט מהחברה להגיש לה לאישור תכנית עבודה מפורטת, הכוללת לוחות זמנים לביצועה, שעניינה הטמעת מדיניות אבטחת מידע בארגון ויישום עקרונות אבטחת מידע, כך שרמת אבטחת המידע תהלום את פעילות הארגון ואת המידע שהיא מנהלת. יצוין שלאורך כל הליך הפיקוח שיתפה החברה פעולה עם מפקחי רמו"ט. • תחקור אירוע אבטחת מידע באוניברסיטת חיפה – במהלך שנת 2013 התפרסמו אירועי פריצה למערכות ולשרתים של אוניברסיטת חיפה, שבהם נגנב והועלה לרשת האינטרנט מידע אישי אודות אלפי אנשי סגל וסטודנטים באוניברסיטה. רמו"ט פתחה בהליך פיקוח שבמסגרתו נמצא שהאוניברסיטה לא מילאה את חובתה כבעלת מאגר מידע לנקוט אמצעי אבטחת מידע נאותים לפי החוק והתקנות. האוניברסיטה השיבה שהפיקה לקחים מאירועים אלה ותפעל להתאמת אמצעי האבטחה כך שתעמוד בהוראות החוק. • פיקוחעלפרויקטהמסלקההפנסיונית(פרויקטממשלתי)–רמו"טפיקחהעלפרויקטהמסלקה הפנסיונית של אגף שוק ההון, ביטוח וחיסכון במשרד האוצר מכוח תקנות הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיוניים) (אבטחת מידע במערכת סליקה פנסיונית מרכזית),התשע"ב2012-.הפיקוחהוחלעלגיבושהאפיוןשלהפרויקט,כפרויקטהמיישםמראש עקרונות תכנון לפרטיות12, ועל יישום אמצעי אבטחת מידע. רמו"ט המשיכה לפקח על הפרויקט במסגרת פניות האגף לקבל מראש את אישורה לשנות או להוסיף שירותים ואמצעים שעתידים להיכלל בפרויקט, ואשר עשויים להשליך על רמת עמידתו בחובות מכוח החוק, הן מבחינת השימוש במידע והן מבחינת אבטחתו. 12 ראו הרחבה בה"ש 19 21 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא • מתן הנחיות לממשל זמין (גורם ממשלתי) – יחד עם יחידת ממשל זמין ולבקשתה גיבשה רמו"ט מסמך מדיניות פרטיות, המתווה את הטיפול הנאות במידע אישי במסגרת שרת הטפסים הממשלתי, המשמש מאות שירותים ממשלתיים. מדיניות פרטיות זו הוטמעה בקרב כל לקוחות ממשל זמין בממשלה. כמו כן עזרה רמו"ט לשפר את אבטחת המידע בשירותים הניתנים על ידי ממשל זמין באמצעות שרת הטפסים הממשלתי. • פיקוח על גורמים פרטיים באמצעות הרגולטור הממשלתי – באמצעות משרד החינוך הנחתה רמו"טספקיאפליקציותבמרחבהחינוכיבישראל,כיצדליישםעקרונותהגנתמידעאישי.תחילה גובש נוהל אבטחת מידע עבור ספקי האפליקציות ונערכו כנסים ייעודיים שבהם הוצגו לספקים עקרונות הנוהל וחובות הגנת הפרטיות החלות על מי שמנהל מידע אישי על תלמידים, הורים ומחנכים. לאחר שהושלם הנוהל הטמיע אותו משרד החינוך וכן התנה באישור מראש הכנסת אפליקציה חדשה לשימוש בבתי הספר. מקרים שבהם נתגלעו מחלוקות משפטיות ועובדתיות הובאו לבדיקת רמו"ט ולהכרעתה. פיקוח על פרויקט ממשלתי – תעודת הזהות החכמה והמאגר הביומטרי מכוחצוהכללתאמצעיזיהויביומטרייםונתוניזיהויביומטרייםבמסמכיזיהויובמאגרמידע(תקופת מבחן), התשע"א2011- מינה שר הפנים את ראש רמו"ט כחבר בוועדה המייעצת, המפקחת על תקופת המבחן, שנועדה לבחון את נחיצות קיומו של מאגר מידע ביומטרי בישראל, כחלק מניהול מרשם האוכלוסין, את מטרותיו, את היקף המידע שיש לשמור בו ואת אופן השימוש בו. הועדההמייעצתמונתה,ביןהיתר,בשלהמחאההציבוריתנגדהקמתהמאגר,משיקוליםשלפגיעה בפרטיות אזרחי ישראל. לפגיעה זו היבטים שונים: נטילת טביעות האצבע ותמונות הפנים של כלל האזרחים ושמירתן במאגר מדינתי; הסיכון שגורמים שונים יבקשו להשתמש במידע בדרכים שונות לאחר הקמת המאגר; סיכוני אבטחת מידע המתהווים מהרגע שמידע נשמר בצורה ממוחשבת, והמתרבים בעידן זה של מתקפות סייבר הולכות וגוברות. תקופתהמבחןשנקבעהכפשרהביןמתנגדיהקמתהמאגרלתומכיו,וכדילספקמידעלצורךקבלת החלטת מדיניות בנושא, בוצעה על ידי רשות האוכלוסין, ההגירה ומעברי הגבול והרשות לניהול המאגר הביומטרי, שתיהן יחידות במשרד הפנים (להלן הרשויות). בתקופת המבחן נבחנו שמונה חלופות לביצוע אימות זהותו של אדם בעת הנפקת תעודת זהות, נאספו נתונים אודותיהן ונערכו ניתוחים סטטיסטיים של מדדים ומשקלים לכל אחת מהחלופות. עלפעילותהרשויותלאורךתקופתהמבחןמפקחיםהממונהעליישומיםביומטרייםוהוועדההמייעצת שבה חבר ראש רמו"ט. במסגרת הליך הפיקוח נערכו דיונים, שבמהלכם הופיעו לפני הוועדה נציגי רשות האוכלוסין, ההגירה ומעברי הגבול, נציגי הרשות לניהול המאגר הביומטרי, נציגים ממשרדי ממשלה שונים, מומחים, יועצים, אנשי אקדמיה וגורמים רלוונטיים אחרים. הוועדה ערכה מספר סיוריםבאתריםשבהםמתנהלפרויקטהתיעודהלאומיהחכם,הונחולפניהמסמכיםרביםהעוסקים בו, והיא קיבלה מספר החלטות בנוגע לסוגיות ליבה הכרוכות בפרויקט זה ובתקופת המבחן13. 13 תקופת המבחן נמשכה גם בשנת 2015. בהתאם לחוק הגישו הרשויות לשר הפנים ולראש הממשלה דוחות המפרטים את תוצאות המבחן מטעמן. הרשויות הוסיפו את המלצתן להקמתו של מאגר מידע ביומטרי מלא, הכולל תמונת תווי פנים ושתי טביעות אצבע מורה. המלצות הוועדה שהוגשו לשר הפנים ולכנסת שונות מהמלצות הרשויות, וקוראות לשר הפנים לקבל החלטה שונה מזו שממליצים לו לקבל הגורמים המקצועיים הכפופים אליו. ראש רמו"ט וחברי הועדה סבורים, שיש נימוקיםהמבססים אתנחיצותו שלהמאגרהביומטרי, אךשניתן להשיג אתהמטרה שלמניעתזיוףהזהויותבעזרתמאגר המכיל תמונת פנים בלבד, ללא טביעות אצבע, וכך לצמצם את הסיכונים לפרטיות האנשים שמידע עליהם כלול במאגר. ראש רמו"ט וחברי הועדה סבורים, שהמלצה זו מגלמת פתרון מאוזן, מידתי וסביר יותר מהמלצת הרשויות. 22 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 חוקיפו תילהנמהפיכא בהתאםלחוק,לשרהפניםסמכותלהוציאצושיכריעבנושא,לאחרהתייעצותעםשרתהמשפטים, אישור שר האוצר ואישור ועדת השרים ליישומים ביומטריים בכנסת והוועדה המשותפת ליישומים ביומטריים בכנסת. 23 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תילילפה הפיכאהותוריקחה תוליעפ פעילותהחקירותוהאכיפההפלילית מבוא התשתית הטכנולוגית של עיבוד מידע אישי ממוחשב כמו גם התהליכים הכלכליים והעסקיים הגלובלייםהמניעיםאתעולםהמידעהופכיםמורכביםמשנהלשנה.גםההפרדההמוחלטתברמה הפיסיתביןהעבריין,כליהעבֵרהומושאהעבֵרההופכתאתתהליךזיהויהעברייןש"מאחוריהמכונה" למאתגר יותר ויותר, לא כל שכן כאשר השימוש בענן ובאפליקציות מבוססות רשת נעשה עניין שבשגרה ורוקן כמעט לחלוטין את כלי העבֵרה – המחשב – מ"טביעות אצבע". ההתמודדותעםעבֵרותבתחוםייחודיזהמצריכהאפוא,לצדכליחקירהותשאולמסורתיים,תחכום והבנה מעמיקה בטכנולוגיה וכן היכרות עם פרופיל העבריין הספציפי לתחום. האכיפה הפלילית ברמו"ט נועדה לתת מענה לתופעות חמורות בתחום המידע האישי והפרטיות, המתרחשות במרחב הדיגיטלי, והיא מחייבת ידע טכנולוגי מעמיק בקשת של תחומים ופיתוח מתמיד בתחום הראיות הדיגיטליות.מטרתהאכיפההפליליתהיאלייצראתההרתעההראויה,כדילהגןעלהזכותהחוקתית לפרטיות. הרתעה כזאת תושג, כאשר תינתן תשומת לב ייעודית לעבֵרות בתחום זה והן תטופלנה באופן מקצועי והולם. להלן פעילות האכיפה הפלילית שננקטה בשנת (או שהיו לה השלכות מהותיות בשנה זו):2014 תיק דף חלק עיקרו של תיק דף חלק הוא חשדות לביצוע מניפולציות אסורות במידע אישי בדרך מחיקת מידע כלכלי רגיש ממאגרי המידע של חברת BDI קופאס בע"מ. המחיקות נעשו לכאורה בידי עובד החברה, שהועסק בה כמתכנת מחשבים בכיר, תמורת תשלום שקיבל ממתווכים שונים. לחברת BDI רישיון לניהול שירות נתוני אשראי, שניתן לה מרשם שירות נתוני אשראי (ראש רמו"ט), והיא נמצאת תחת פיקוח שוטף של רמו"ט. החברה מחזיקה ומשתמשת לצורך עיסוקה במאגרי מידערחביהיקףהמכיליםמידעכלכליאודותתושבימדינתישראל.ביןהיתרמדוברבנתוניםעלאי תשלום חובות ("מידע שלילי"). מידע זה משקף את היסטוריית החזר ההלוואות של אדם, ובכלל זה חובות לבנקים ולחברות סליקה, שיקים חוזרים, תיקי הוצאה לפועל או שטרות ועוד. מידע זה זורם למאגרי המידע של החברה באופן שוטף ומקוון מבנק ישראל, מכלל הבנקים וממקורות אחרים. מידע שלילי – היקפו, מועדי תוקפו וסוגיו השונים – משפיע על סיכויָו של מבקש הלוואה לקבלה ועל תנאי קבלתה. הנתונים הללו מופיעים בדו"ח אשראי, שגופי הלוואה בנקאיים וחוץ בנקאיים (ניכיון שיקים, ליסינג רכב ועוד) יכולים לרכוש אותו. הדו"ח מציג את המידע השלילי כפי שהוגדר בחוק, ומשמש את גורמי מתן האשראי ככלי בסיסי ומרכזי להחלטה. מחיקת המידע האישי שביצע לכאורה החשוד המרכזי נועדה לאפשר לאנשים שלא היו מצליחים לקבל הלוואות, ליצור מצג שקרי ותמונת מציאות כלכלית מסולפת, כך שיוכלו לקבל הלוואה או לקבלהלוואהבתנאיהחזרמשופרים.מאחרשדו"חהאשראי,המשקףאתהנתוניםהללו,הואתנאי בסיסי לכל הלוואה במשק, מדובר בשירות חיוני לציבור. על כן החשד לפיו קיבל עובד החברה כסף תמורת מחיקת המידע הקים חשד אף לעבֵרות שוחד. 24 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תילילפה הפיכאהותוריקחה תוליעפ החקירה חשפה את זהות העובד הבכיר שמחק לכאורה ממערכות המידע של החברה את המידע אודות האנשים (העובד פוטר לאלתר) ואת הדרך שבה עשה זאת. נחשפה גם זהותם של מתווכים שונים שעבדו מול החשוד, העבֵרות שביצעו ומהלכי התיווך בין האנשים שנמחק המידע אודותיהם לבין החשוד. כמו כן הונחה התשתית הראייתית של הנסיבות שבהן נזקקו אותם אנשים למחיקת המידעושלטובתההנאהשצמחהלהםממחיקתהמידע:הלוואותשהצליחולקבלבמרמהמבנקים ומגופי הלוואה חוץ בנקאיים שלא היו ניתנות, אלמלא המחיקה. במסגרת התיק נעשתה חקירה פורנזית של רשת המחשבים של החברה, שהצריכה לימוד מדוקדק של מערכות המידע של החברה ושל הארכיטקטורה של רשת המחשבים שלה, ונאספו ממצאים פורנזיים,עלאףמאמציההסוואהשלעובדהחברההמומחהלמחשבים.החקירההביאהלידיביטוי את המורכבות ואת החשיבות של תחום מורשי הגישה ואבטחת המידע, בייחוד כשמדובר במאגרי מידע רגישים של מידע כלכלי שהמשק מסתמך עליהם14. ההתנהגותהעברייניתהקימהחשדותלעבֵרותנוספותמתחוםהמרמה,השוחדוהזיוף,ועלכןנערכה חקירת המתווכים השונים והאנשים שעל אודותיהם נמחק המידע בשיתוף פעולה עם היחידה הארצית לחקירות הונאה בלה"ב של משטרת ישראל.433 פרשת ההאקר הסעודי )0XOMAR( פרשת ההאקר הסעודי היא תקדימית, מסועפת ובעלת היבטים בינלאומיים. להלן יובאו עיקריה בקליפת אגוז15. בשנת 2012 הביאה מתקפת סייבר על אתרי אינטרנט במדינת ישראל לחשיפתם הפומבית של פרטי מידע רגישים אודות מאות אלפי ישראלים. הגורם התוקף הצביע בבירור על מניעיו האנטי ישראליים והאנטי ציוניים. על פי דבריו, שהועלו לרשת האינטרנט, הייתה המטרה המוצהרת לפגוע בפרטיותםשלאזרחיישראלוביציבותהשלהמערכתהפיננסיתהמקומית,ולזרועבציבורהישראלי זרעיםשלפחד,בהלהוכאוס.הואלכדבהצלחהמלאהאתתשומתלבהשלהתקשורתהישראלית. ברמו"טנפתחהמידחקירהשנועדהלהתחקותאחרזהותהגורםהתוקף.הנחתהעבודההייתהשיש קושימובנהבהצבעהחד-חדערכיתעלזהותושלגורםוירטואלימקצועי,בעלמומחיותטכנולוגית, המנצלאתמסךהאנונימיותוגונבבכוונתמכווןמידעאומבצעעבֵרותבמרחבהסייבר,ואינומשאיר עקבות שיאפשרו להתחקות אחר זהותו בעולם הממשי. צוותהחקירהנדרשלתתמענהליכולתלתקוףאתישראלדרךפריצהלמאגרימידע,המכיליםמידע רב ורגיש אודות ישראלים, ולנצל פרצות אבטחה, כדי לפגוע במדינה ובמוסדותיה. החקירה הייתה תקדימית, הובילה לשינוי פרדיגמת החקירה במקרים מסוג זה, ונעשתה תוך עירוב ויידוע גורמים ביטחוניים במדינה. היו לפרשה היבטים בינלאומיים נכבדים, ולכן יזם צוות החקירה שיתופי פעולה עם גורמי חקירה מקבילים בעולם. הצוות הוביל לפיצוחה המלא של הפרשה; הזהות הווירטואלית של התוקף "קולפה", והוא נחשף יחד עם שיטת פעולתו. ניהולחקירהזוהעניקלרמו"טניסיוןייחודיבחקירתמתקפתסייבר,ותוצריההובילולתובנותחדשות מהותיות בתחום זה. גילוי הזהות האמיתית של התוקף, העומד מאחורי מבצעים מתוקשרים ברחבי העולם, הוא הישג נכבד בקנה מידה עולמי. 14 בשנת 2015 הועבר התיק לפרקליטות מחוז תל אביב (מיסוי וכלכלה) לצורך טיפול בהגשת כתב אישום. 15 לא כל הנתונים מותרים לפרסום. 25 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תילילפה הפיכאהותוריקחה תוליעפ בשנת 2014 הוענק לצוות החקירה פרס צוות מצטיין של משרד המשפטים על חקירה מקצועית. בהמשך זכה הצוות על עבודתו זו בפרס צוות מצטיין ממשלתי. תיק פספורט החקירה החלה כשהגיע מידע שקבצים המכילים צילומי דרכונים של ישראלים נמצאים בידיים זרות מחוץ לישראל, ונעשה בהם שימוש לא חוקי. החקירה נועדה לברר מהו המסלול שעשו עותקי הדרכונים עד הגיעם לידיים לא חוקיות, וכיצד התאפשר הדבר. במסגרת החקירה התברר, שהדרכונים שצולמו דיגיטלית שייכים לעובדי חברה ישראלית השוהים, לעתים,מחוץלישראללצורכיעבודתם.ממצאיהחקירההעלו,שהשימושבעותקיםהדיגיטלייםשל הדרכונים נעשה ללא ידיעתם של בעליהם הישראלים, ואותר האירוע שאפשר את גנֵבת צילומי הדרכונים. ממצאי החקירה, כולל המלצות לפעילות מונעת בעתיד, הועברו לגורמים הרלוונטיים. המעבדה הפורנזית ברשותפועלתמעבדהפורנזיתהתומכתבפעילותהאכיפה.המעבדהמספקתאתהתשתיתלאיסוף ולחקירה של החומר הדיגיטלי, הנתפס במהלך פיקוחים וחקירות. מחזור הטיפול המלא בראיות דיגיטליות, לרבות התפיסה, ההעתקה, העיבוד והחיפוש בתוך המידע עצמו, מנוהל באמצעות תשתיות המעבדה. המוטיב המרכזי בעבודתה של המעבדה הפורנזית הוא יכולותיה הטכנולוגיות בכל הנוגע לעיבוד מידע דיגיטלי ולהערכת טיבו, היקפו ושימושיו. המעבדה היא גוף דינמי, הנותן מענה לחקירות טכנולוגיות, תוך שמירה על עדכנות טכנולוגית, נוכח השינויים הרבים המתחוללים בעולם המידע. העבודהבמעבדההיאשילובשלמאפייניהחקירההדיגיטליתהמסורתיתאלמולמערכותהמידעעם צורכיחקירהעכשווייםמודרניים.העבודהעלתיקיחקירהמצריכהניתוחמקבילשלמידעממקורות שונים ובתצורות שונות. כלי החקירה המקובלים בעולם הדיגיטלי מהונדסים כדי להתאימם לעבודה עםהיקפימידעוראיותגדליםוהולכים.להתקדמותהדיגיטליתהשלכות,הןעלהצורךבשינוישיטות חקירה נוהגות והן על הצורך ביצירתם של תהליכים חדשים. התפתחות רוחב הפס, ובמקביל עושר השירותים הניתנים ברשת והיקפם, מרחיבים בהדרגה את מרחב החקירה לאזורים של אינטרנט, רשתות ואובייקטים מרוחקים (חומרה או תוכנה). ההתפתחויות הטכנולוגיות בתחום הענן והשימוש הרחב במכשירים ניידים הם אתגרים מתפתחים, המחייבים את המעבדה להעשיר באופן שוטף את הידע ואת הכלים העומדים לרשותה. בהמשך להתפתחות הווירטואליזציה בעשור האחרון, שיטות הפעולה של עברייני המידע משתנות, ונידוף הראיות בלחיצת כפתור נעשה קל מתמיד. מכיוון שהעיסוק בתחום המידע האישי בראייה פלילית ומנהלית מציף פערים בין המצב המשפטי לקצבהתפתחותהטכנולוגיה,אחדהאתגריםהגדוליםביותרשלמעבדההעוסקתבחקירותובניתוח ראיות הוא יצירת תוואי פעולה, המשלב בין פעולות חקירה מקוונות ושאינן מקוונות לבין תיעוד ראיות והצגתן המיטבית בבית המשפט. בשנת 2014 הושלמו מספר תהליכים משמעותיים, שנועדו לשמור על עדכנותה הטכנולוגית של המעבדה, לשפר את תהליכי עיבוד חומרי הגלם הדיגיטליים ולקצר את הזמן הנדרש לשם כך. בין היתר שודרגו תשתיות הגיבוי והוגדל שטח האחסון המיועד לעבודה השוטפת של המעבדה. כמו כן הופנו עוד משאבי כוח אדם לפעילויות השוטפות של המעבדה. 26 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תיטפשמתוליעפ פעילותמשפטית תיקון ועדכון חוק הגנת הפרטיות ותקנותיו תפקיד מרכזי בעבודת המחלקה המשפטית הוא יזום עדכון חקיקת הגנת הפרטיות והתאמתה למציאות הטכנולוגית הנוכחית והעתידית ולצורכי רמו"ט הנובעים ממשימותיה. עבודה זו נעשית בשיתוף הדוק עם מחלקת ייעוץ וחקיקה (חקיקה) במשרד המשפטים, האחראית לפרסום תזכירי חוק ולהעברת טיוטות תקנות לשרת המשפטים. במסגרת זו עסקה המחלקה בשנת במשימות אלה:2014 • היא המשיכה לגבש את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ה2015- תקנות אלה,; שטיוטות מוקדמות שלהן פורסמו להערות הציבור בשנת 2010 ובשנת 2012, חיוניות להעלאת סטנדרט ההגנה על מידע אישי בכל סוגי מאגרי המידע במשק ולהגברת יכולת האכיפה של חובת אבטחת המידע הקבועה בחוק. • היא קידמה את הדיון בהצעת חוק הגנת הפרטיות (תיקון מס' 12 (סמכויות אכיפה), התשע"ב-) 16,2011 אשר עברה בקריאה ראשונה במהלך כהונתה של הכנסת ה18-17 • היאהמשיכהללמודאתהערותהמגיביםעלהניסוחשלתזכירחוקהגנתהפרטיות(תיקוןמס'דדד) (צמצום חובת הרישום וקביעת חובה לקיום סדרי ניהול וכללי עבודה ולתיעודם במסמכים), התשע"ב18,2012- אשר פורסם באוגוסט 2012 • היאהשלימהאתתקנותהגנתהפרטיות(אגרות)(תיקון),התשע"ה2014- ופרסמהאותןברשומות., התקנותקבעושינוימהותיופישטואתאופןחישובהאגרההתקופתיתהמוטלתעלבעלימאגרים הרשומים בפנקס. ליווי הפעילויות השונות הנעשות ברשות וסיוע להן במהלך שנת ליוותה המחלקה המשפטית גם את פעילות המחלקות השונות וסייעה להן:2014 • ליווי משפטי של פעולות הפיקוח – המחלקה מספקת ייעוץ וליווי צמוד לפיקוחים של מחלקת רישויופיקוחולסמכויות שהיאמפעילה תוך כדיביצועם, ובכלל זה דרישתידיעותומסמכים, מתן הנחיות לתיקון ליקויים ומילוי צווים שיפוטיים לערוך חיפוש ולחדור לחומר מחשב אצל מפוקחים. דוגמאות לסוגיות שהצריכו חוות דעת המחלקה המשפטית: אופן החיפוש במחשב והצורך בצו האזנת סתר; התיישנות הפרות; טענות חיסיון של מפוקחים; מידתיות וסבירות של הנחיות לתיקון ליקויים; מתן זכות עיון בתיקי הפיקוח למפוקח או לגורמים אחרים. • ליווי משפטי של פעילות הרישום – סוגיות משפטיות המתעוררות בהליכי רישום או עדכון של מאגרי מידע מופנות לטיפול ולבדיקה של המחלקה המשפטית. דוגמאות לסוגיות שהופנו 16 מטרתההמרכזיתשלההצעההיאעדכוןושיפוריכולותהפיקוחוהאכיפהשלרמו"ט,כדילתתמענההולםלסיכוניםהגוברים לזכות לפרטיות בעידן הסייבר ועיבוד המידע הדיגיטלי. הדרישה בהצעה היא לסט כלים בסיסיים שיאפשרו לרשות אכיפה אפקטיבית ומימוש תפקידיה וייעודה. 17 הצעת החוק עברה בקריאה ראשונה בכנסת ה18- אולם הדיון בה לא נסתיים גם במהלך כהונתה של הכנסת ה19-., ולכן לאניתןהיהלהחילעליהשובדיןרציפות.הצעתהחוקנועדהלעדכןאתכליהאכיפהואתמנגנוניהפיקוחהנתוניםלרשם מאגרי המידע, ולכן היא חיונית לעבודה תקינה של הרשות. 18 התזכיר המוצע מצמצם מאוד את חובת הרישום של מאגרי מידע, ובה בעת קובע חובות של ניהול תקין של מידע אישי, החלות על בעלי מאגרי מידע. 27 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תיטפשמתוליעפ להתייחסות המחלקה המשפטית: אופן מתן העיון בפנקס מאגרי המידע בפורמט של קובץ; בחינת תוקף הסכמת נושאי מידע לאיסוף מידע עליהם בידי בעל המאגר; החלפת בעלות על מאגר;חוקיותמטרותהמאגרלפידיניםנוספיםמלבדחוקהגנתהפרטיות;יישוםתקנותהאגרות וחובת תשלום אגרת הרישום והאגרה התקופתית בידי בעלי מאגרים רשומים. • ליווימשפטישלמחלקתאכיפהוחקירות–פעולותהתשאול,החיפושוהחקירההשונותהנערכות במחלקת אכיפה וחקירות מעלות שאלות משפטיות רבות, ומצריכות ליווי משפטי צמוד של המחלקה המשפטית, כמו גם חוות דעת משפטיות מטעמה. • מענהלפניותהציבור–במקריםהרלוונטייםהמחלקההמשפטיתמספקתמענהלפניותהמגיעות מהציבור הרחב, כמו גם ממשרדי ממשלה ומגופים ציבוריים, במגוון רחב של נושאים הנוגעים לתחומי עיסוקה של הרשות. סיוע משפטי של רמו"ט לגופים חיצוניים, גיבוש עמדתה בנושאים שונים ומעורבותה בפרויקטים ציבוריים בשנת 201419 • גיבוש עמדת רמו"ט בנוגע ליוזמות חקיקה – במהלך השנה גיבשה הרשות את עמדתה באשר ליוזמות חקיקה ממשלתיות ופרטיות ולטיוטות תקנות שמכינים משרדי הממשלה בפריזמה של הגנת מידע אישי. לדוגמה: בשנת 2014 ליוותה רמו"ט את הצעת החוק להסדרת השימוש בכרטיס חכם בתחבורה הציבורית, את הצעת חוק הגנת הפרטיות (תיקון – הזכות להישכח), התשע"ד2014- חוקההוצאהלפועל(תיקוןמס',43 התשע"ד2014-),ואתטיוטתתקנותהספרייה הלאומית (גישה לציבור לארכיון של אתרי אינטרנט), התשע"ד2014-. בשנת 2014 גם התפרסמו תקנות המפלגות (עדכון ואימות פרטים מזהים של חברי מפלגה ממרשם האוכלוסין בבחירות מקדימות), התשע"ה2014-, שרמו"ט הייתה מעורבת בשלבי התקנתן, הן בניסוחן והן בכתיבת נוהלי אבטחת המידע שקבע משרד הפנים בהתאם לתקנות. עוד טרם התקנת התקנות הייתה רמו"ט מעורבת בגיבוש הסעיף המסמיך בחוק המפלגות (תיקון מס' 18 התשע"ב2012-),, שקבע את ההסדר הראשי לעדכון ולאימות פרטי חברי מפלגות מול מרשם האוכלוסין לקראת עריכת פריימריז; ההסדר נקבע בהתאם לעקרונות תפיסת "תכנון לפרטיות", בכך שהציג מנגנון השוואה אוטומטי, המצמצם במידה רבה את הסיכון לזליגה, הן של פרטי מרשם האוכלוסין והן של פרטי חברי המפלגות והשימוש לרעה בהם. • סיועבייצוגרמו"טבהליכיםמשפטייםשהיאצדלהםובהכנתעמדותהיועץהמשפטילממשלה בהליכיםמשפטייםאחרים–המחלקההמשפטיתמגבשתעמדהמשפטית,אוספתחומרומסייעת לפרקליטותככלהנדרשלהכנתכתביביתדיןולייצוגהרשות,אוערךהפרטיותשהיאאמונהעליו, בדיונים בערכאות משפטיות. כך, למשל, במהלך שנת 2014 הופיע היועץ המשפטי בפועל של רמו"ט,יחדעםנציגתהיועץהמשפטילממשלה,בדיוניםלפניביתהדיןלחוזיםאחידיםבסעיפים הנוגעים לפרטיות ולשימוש במידע אישי בחוזה אחיד של חברת טלפוניה סלולרית. כך גם סייעה המחלקההמשפטיתבאופןמשמעותיבגיבושעמדתהיועץהמשפטילממשלהבתובענהאזרחית ובהתגוננות מפני עתירה לבג"ץ, שעסקו באופן הפצת מאגרי פסקי הדין מהנהלת בתי המשפט לחברותהמאגריםהמשפטיים,ובהחלטתהנהלתבתיהמשפטלחייבאתהחברותלמנועמִפתּוח 19 ליווי פרויקטים ממשלתיים הוא חיוני, שכן הוא מאפשר את הקונספט של תכנון לפרטיות Design( by Privacy) – שיטה להגנה על הפרטיות על ידי הטבעתה כבר בעיצוב של האפליקציה או של הטכנולוגיה החדשה. מדובר בגישה יוזמת להבדיל מגישה מגיבה. בדרך זו אנחנו מונעים פגיעה בפרטיות, בלי לוותר על קידמה, חיסכון והתייעלות באמצעות שימוש בטכנולוגיות ובשירותים מתקדמים. בשנים האחרונות תופסים תאוצה פרויקטים ממשלתיים מבוססי יישומים טכנולוגיים. למעשה, כמעט כל פרויקט טכנולוגי משלב נושאים של פרטיות ומידע אישי, שחיוני לבדוק אותם כבר בשלב הייזום, ולכן מעורבותה של רמו"ט בשלב זה הכרחית, כדי להנחות, לקדם ולאשר את המתווה למימוש הפרויקט. 28 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תיטפשמתוליעפ של המאגרים למנועי חיפוש באינטרנט20. כמו כן סייעה המחלקה המשפטית, בשיתוף מחלקת פיקוח,באופןנרחבבגיבושהעמדהשהוגשהמטעםהיועץהמשפטילממשלהלביתהדיןהארצי לעבודה בעניין השימוש בשעוני נוכחות ביומטריים במקומות העבודה21. במקרה אחר סייעה רמו"ט בגיבוש עמדתהיועץ בתיקתובענה ייצוגית שהסתמכה בין השאר עלהנחיית רשםמאגרי המידע בנוגע למצלמות מעקב22. • השתתפותבגיבושהחלטותהממשלהבתחוםהסייבר–בשניםהאחרונותהולכתההגנההלאומית במרחב הסייבר והופכת אחת המשימות החשובות שעל המדינה לבצען. בהתאם לכך קיבלה הממשלה החלטות שונות בנושא זה, והמחלקה המשפטית נטלה חלק פעיל ונכבד בגיבושן, זאת כדי ליצור את האיזונים הנכונים תוך שמירה על הזכות לפרטיות של האזרחים, אשר עלולה להיפגע מהכלים ומהאמצעים השונים לקידום ההגנה במרחב הסייבר. • השתתפות בגיבוש ההחלטה בעניין העברת שטח הפעולה של התקשוב הממשלתי ממשרד האוצר למשרד ראש הממשלה23 – רמו"ט הייתה מעורבת בגיבוש החלטה זו, שעסקה בנושאים המשיקים לתחומי פעילותה ולסמכויותיה, לרבות סיוע למיזמי חדשנות במגזר הציבורי, קביעת מדיניותבענייןהנגשתמידעומאגרימידעלציבורושיפורהעברתמידעביןמשרדיםממשלתיים. • שיתוףמידערפואי:הרשומההרפואיתהלאומיתומערכתאופק–מזהכעשורפועלמשרדהבריאות להקמתה ולהטמעתה של מערכת ממוחשבת שתאפשר גישה מקוונת לתיקו הרפואי של המטופל למגוון הגורמים המטפלים בו בבתי החולים, במרפאות ובמוסדות הרפואיים השונים24.בין היתרונות בשיתוףהמידעהרפואיביןהמטפליםבמוסדותהרפואייםהשוניםניתןלמנותאתאלה:קיצורודיוק התהליך האבחוני; מניעת בדיקות כפולות ויצירת רציפות בטיפול; אפשרות למתן טיפול, גם כשלא ניתןלתקשרעםהחולה.ואולםמערכתמסוגזהמעלה,מטבעהדברים,גםחששותלפגיעהבזכות המטופלים לפרטיות ולסודיות ואפשרות לסיכוני אבטחה למידע האישי אותו מבקשים לשתף. ועדות ציבוריות שישבו על המדוכה במהלך השנים ניסו לגבש מתווה להפעלת מערכת שיתוף מידע שתאזן במידה הנכונה בין ייעול הטיפול הרפואי לבין פרטיות המטופלים וההגנה על סודיותם הרפואית. אף שהדיון הציבורי לא התגבש להסכמה, ולמרות עמדת משרד המשפטים לפיה יש להסדיר בחקיקה ראשית פרויקט כה רחב היקף ובעל השפעה כה מקיפה ומכרעת על הזכות לפרטיותשלהציבורבישראל,החלמשרדהבריאותלפעולבהדרגהמשנת2011ליישוםבפועלשל מערכת הרשומה הרפואית, בהתבסס על פלטפורמה טכנולוגית קיימת – מערכת אופק רמו"טחזרהוהדגישהלפנימשרדהבריאותאתהצורךבהסדרתהבסיסהמשפטילהפעלתמערכת אופק. במקביל היא הציגה לפני משרד הבריאות את עמדתה בנוגע לעיצוב המערכת כך שהסיכון לפרטיותיהיהמזעריככלהאפשר25.בהקשרזההיאהנחתהאתהמשרדלבססאתאפיוןהמערכת על תוצאות תסקיר השפעה על הפרטיות26. 20 ת"צ (ת"א) 34134-01-12 שווימר נ' חשבים ה.פ.ס. מידע עסקי בע"מ; בג"ץ 5870/40 חשבים ה.פ.ס מידע עסקי בע"מ נ' הנהלת בתי המשפט. ביום 151112 קיבל בית המשפט העליון בשבתו כבג"ץ את העתירה וביטל את החלטת הנהלת בתי המשפט המחייבת למנוע מפתוח - http://elyon1.court.gov.il/files/14/700/058/t17/14058700.t17.htm 21 עס"ק הסתדרות המעו"ף נ' עיריית קלנסואה.7541-04-14 22 ת"צ 5034510/13 דוד אנגור נ' בנק לאומי לישראל בע"מ. 23 החלטה מספר 2097 (חכ)41/ 20141010 24 להרחבהבנושא,אנאראומסמךמיום2014217שהוכןבנושאבמרכזהמחקרוהמידעשלהכנסת:http://knesset.gov. .il/committees/heb/material/data/mada2014-05-20.pdf 25 ראו לעיל ה"ש 19 לעניין תכנון לפרטיות. 26 התסקיר הוא הליך שמבוצע על ידי הארגון בשלב מוקדם של תכנון מערכת המידע, כדי לזהות סיכונים לפגיעה בפרטיות ובהגנת המידע האישי במערכת, למזער אותם ואף למנעם. תסקיר אפקטיבי נערך כבר בשלב התכנון והיישום הראשוני שלהמערכת כחלק מתהליך"תכנוןלפרטיות". הרחבהבעניין זה ראו באתררמו"ט: http://index.justice.gov.il/Units/ ilita/news/Documents תסקיר20%/השפעה20%על20%הפרטיותpdf. 29 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תיטפשמתוליעפ עלאףהעדרהסמכהחוקיתואסדרהראויהשלמגווןסוגיותהאתיקהוהפרטיותהרלוונטיות,פרסם בינואר 2014 מנכ"ל משרד הבריאות חוזר שכותרתו שיתוף מידע רפואי במדינת ישראל, ובו הורה לארגוני הבריאות בישראל להתחבר למערכת אופק. לאור התנגדות היועץ המשפטי לממשלה ורמו"ט הקפיא המנכ"ל את החוזר, כדי להשלים את האסדרה המהותית והנורמטיבית של הפרויקט ולעגנו בחקיקה מתאימה. משלב זה נטלה רמו"ט חלק נכבד בפעילות הצוות שעסק בהכנת החקיקה המסמיכה את הקמת הפרויקטוגיבשאתעקרונותפעולתו.ביןהשארנדונובישיבותהצוותהסוגיותהמהותיותהאלה:סוג המידע שניתן יהיה לשתף והיקפו; הסכמת המטופלים; הרשאות גישה למערכת; תכליות השימוש במידע; מתכונת הפיקוח והבקרה על המערכת; ארגוני הבריאות שישתתפו במערכת כצרכנים וכמקורות; אפיון וארכיטקטורת המערכת בדגש על תכנון לפרטיות ועל נושא אבטחת המידע. רמו"ט רואה חשיבות רבה בהשלמת החקיקה המסמיכה והמסדירה את השימוש במערכת אופק, המשמשתכיוםבפועלאתרובארגוניהבריאותבישראל,ומתעתדתלהמשיךולקחתחלקמשמעותי בגיבוש החקיקה. • הצעת חוק מידע גנטי – חוק מידע גנטי מסדיר את הכללים החלים על עריכת בדיקות גנטיות ומתן ייעוץ גנטי במדינת ישראל וקובע הגנות על הזכות לפרטיות לגבי המידע הגנטי. מטרת החוק היא להסדיר תחום חשוב זה, בלי לפגוע באיכות הטיפול הרפואי, במחקר הרפואי והגנטי, בקידום הרפואה ובהגנה על שלום הציבור. מאז חקיקתו של החוק לפני כ14- שנה חלו תמורות משמעותיות בתחום הגנטיקה, והניסיון הרב שהצטבר במהלך השנים, הן במישור המדעי והן במישורהמשפטיוהאתי,הולידאתהצורךלבצעהתאמותבחוק.רמו"טליוותהאתהליךהחקיקה של הצעת חוק מידע גנטי27. פעילות לקראת הבחירות לכנסת ה20- לקראת הבחירות לכנסת ה20- הפיצה רמו"ט למפלגות הנחיה בעניין החובות החלות עליהן בנוגע לשמירה על פרטיות המידע המתקבל והנאסף אצלן, הן המידע מפנקס הבוחרים והן המידע אודות חברי המפלגות. פנקס הבוחרים הוא רשימה שמית שמפיקה יחידת הפיקוח הארצי על הבחירות, הכוללתאתכלבעליזכותהבחירהלכנסת.המפלגותמקבלותעותקמהפנקס,והןרשאיותלהשתמש במידעהכלולבואךורקלצורךההתמודדותבבחירותלכנסתולצורךיצירתקשרעםציבורהבוחרים. אסור להן לעשות במידע שימוש אחר, לרבות העברתו לצד שלישי, ועם סיום הליך הבחירות על כל מפלגה להחזיר את פנקס הבוחרים ולמחוק את המידע באופן שלא יאפשר את אִחזּורו. רמו"ט הנחתה את המפלגות גם בנוגע לחובתן לשמור על מאגר המידע הכולל את רשימת חברי המפלגהופרטיהקשרשלהם.עלפיהנחייתהישלאפשרגישהלמאגרזהואתהפצתו,תוךמודעות והתחשבותבזכותםשלחבריהמפלגהלשמורלעצמםאתדעותיהםהפוליטיות,ובפרטתוךצמצום החשש שמידע אודות חברותם במפלגה יועבר למי שאינו נדרש לכך או ייעשה בו שימוש שאינו קשור למטרות הלגיטימיות שהגדירה המפלגה במגבלות הדין. על כן נדרשו הנהלת המפלגה, עובדיהוכלמישפעלמטעמהלפעולבהתאםלהוראותחוקהגנתהפרטיות,כדילשמורעלפרטיות הבוחרים וחברי המפלגה ולמנוע סיכונים מיותרים לפרטיותם. 27 בסופו של יום לא אושרה הצעת החוק, משום שהכנסת התפרקה, ולא הוחל עליה דין רציפות. 30 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 תיטפשמתוליעפ בפיקוחים שערכה רמו"ט במהלך הבחירות לכנסת ה18- וה19-28 ולאחר סיומן התברר שמפלגות נהגו שלא בהתאם להוראות החוק ולא הגנו כיאות על המידע. לדוגמה: בהפירן את הדרישה על פי חוק להחזיר את המידע מהפנקס בתום מערכת הבחירות, הטמיעו אותו המפלגות במערכות המחשבשלהן.זאתועוד,עותקמהפנקסנמסרלגורמיםשלאהיומורשיםלקבלווכןנמצאוליקויים באבטחת המידע. 28 ראו הרחבה של עניין זה בפרק הדן בפעולות הפיקוח. 31 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ימואלניבהרושימבתוליעפ פעילותבמישורהבינלאומי בשלההתפתחויותהטכנולוגיותברשתותהתקשורתוהמידע,עובריםברחביהעולםהיקפיםאדירים שלמידע,ומכאןשלדיניהגנתהמידעישהיבטיםבינלאומייםרבים.לשיתוףפעולהבינלאומיבאכיפת פרטיותהמידעחשיבותגבוהה,שכןרובפעולותאיסוףהמידעהאישיוהשימושבונעשיםבאמצעות תשתיתהאינטרנטובידיחברותבינלאומיותאוחברותלאומיותהפועלותבמרחבהווירטואלי.אתגרי האכיפה של פרטיות המידע דומים ברוב המדינות הדמוקרטיות, המקנות לפרטיות מעמד של זכות יסוד חוקתית. שיתופי פעולה בין רגולטורים מאפשרים הפריה ולמידה הדדית בתחומי האכיפה והמדיניות, ולפיכך תורמים לחיזוק ההגנה על המידע, הן במישור הלאומי והן במישור הגלובלי. פעילותענפהבמישורהבינלאומיחיוניתלשימורמעמדההבינלאומישלמדינתישראלבנושאההגנה עלהמידע29,וכדילקדםאתהאינטרסיםהכלכלייםשלה.בשלכךרמו"טחברהבפורומיםבינלאומיים רבים שמטרתם לקדם את ההגנה על המידע ולייצר שיתופי פעולה בנושאי מדיניות ואכיפה. להלן עיקרי פעילות רמו"ט במישור הבינלאומי בשנת :2014 חברות בפורומים בינלאומיים • ועדתCDEPוPolicy(EconomyDigitalonCommittee –רמו"ט(בשיתוףעםמשרדהתקשורת)) משמשתכנציגתישראלבוועדהזוומשתתפתבדיוניםבסוגיותשונותשלפרטיותואבטחתמידע בכלכלה הדיגיטלית. הוועדה עוסקת בניסוח הנחיות ובהכנת מסמכי עבודה בנושאים שונים, שתכליתם לפתח את הכלכלה הדיגיטלית, שגלומים בה יתרונות כלכליים וחברתיים עצומים, בין היתרבאמצעותהגברתאמוןהציבורבה,למשלעלידיחיזוקההגנהעלהמשתמשיםבה,לרבות שמירה על פרטיותם ועל אבטחת המידע שלהם. • קבוצת העבודה SPDEוEconomy( Digital the in Security and Privacy) של הארגון לשיתוף פעולה כלכלי OECD() – ראש רמו"ט משמש נציג ישראל בקבוצת עבודה זו, העוסקת בנושאים הנמצאים בליבת דיני ההגנה על הפרטיות והמידע. קבוצת העבודה פועלת תחת ועדת CDEP, ומייעצת לה בנושאים הקשורים לפרטיות ולאבטחת מידע. קבוצת העבודה מכינה לדיון בוועדת CDEP ולאישורה ניירות עבודה, המלצות והנחיות, הנוגעים להיבטים של פרטיות ואבטחת מידע בכלכלה הדיגיטלית. במהלך שנת 2014 עסקה קבוצת העבודה בנושאים מגוונים, ובכלל זה מדיניות סייבר ופרטיות, ניהול זהויות דיגיטליות, ניהול סיכונים לפרטיות, שימוש משני במידע רפואי, שיתוף פעולה באכיפת דיני ההגנה על המידע ועוד. עוד היא בחנה את ההמלצות משנת 2002 בנושא אבטחת מידע ותיקנה אותן. • רשת שיתוף פעולה באכיפת הגנת הפרטיות במידע GPENםEnforcement( privacy Global Network – הרשת הוקמה ב2010-) בהמלצת הארגון לשיתוף פעולה ופיתוח כלכלי OECD(). מדוברברשתלאפורמליתהכוללת53רשויותאכיפתפרטיותב39-מדינותבעולם.מטרתהרשת היא לכונן שיתופי פעולה חוצי גבול בין רגולטורים של פרטיות בשוק גלובלי גדל, שמתנהלים בו מסחר ופעילות צרכנית, המבוססים על העברת מידע אישי בין הגבולות. חברי הGPEN- חברו יחדיולחיזוקהגנתהפרטיותהאישיתבהקשרהבינלאומי.רמו"טחברהבGPEN-ואףחברהבוועד 29 בשנת2011הכירהאיחודהאירופיבישראלכבעלת"רמתהגנהנאותה"בתחוםשלהגנתהפרטיותבמידעאישי,)ADEQUACY( והתיר להעביר אליה מידע ללא מגבלות בירוקרטיות. 32 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ימואלניבהרושימבתוליעפ המנהל יחד עם רשויות הגנת הפרטיות של ניו זילנד, קנדה ואנגליה וה- FTCםTrade( Federal Commission) בארצות הברית. פעולות הארגון מגוונות, וביניהן שיחות ועידה חודשיות בנושא אכיפת דיני הגנת הפרטיות והמידע, אתר אינטרנט שניתן להפיץ בו שאילתות ולדון בנושאים מקצועיים, מפגש דו שנתי (המפגשים מוצמדים לכנס הנציבים ולמפגש השנתי לתיאום אכיפה להלן]) ופרויקט ה (להלן).Sweep-[ • פרויקט הSweep- – פרויקט אשר במסגרתו מבצעות רשויות האכיפה החברות בארגון פעולות אכיפה בנושא שהוסכם עליו מראש. הארגון מסכם את תוצאות הפעילות, ומפרסם את הנתונים לציבור. יתרונות הפרויקט רבים: הרשויות מחליפות ביניהן תובנות בנוגע לשיטות פיקוח ואכיפה, ופעולות האכיפה מקבלות חשיפה תקשורתית מקומית ובינלאומית, המגבירה את ההגנה על הפרטיות ואת המודעות לחשיבות הנושא. ב2014- השתתפה רמו"ט בפעילות אכיפה משותפת ל26- רשויות הגנת מידע אישי ופרטיות מרחבי העולם החברות בGPEN-. הפעילות התמקדה באיסוף מידע אישי באמצעות אפליקציות סלולריות 2014( Sweep Application), ובמסגרתה נערכה בדיקה של 1211 אפליקציות מגוונות30 ברחבי העולם, בנוגע לאופן שבו הן משקפות לציבור איזה מידע אישי ייאסף עליו לאחר התקנת האפליקציה ומה ייעשה בו. במסגרת סריקת האפליקציות הסלולריות בישראל נבחן מדגם של אפליקציות פופולריות, הנוגעות לתחומי הבידור והתקשורת, התחבורה, הצרכנות והבריאות. ממצאי הבדיקה פורסמו לציבור בדו"ח שמטרתו לעודד ארגונים לפעול בהתאם לעקרונות הגנת הפרטיות ולהרחיב את שיתוף הפעולה בין רשויות אכיפת הפרטיות בעולם. המדינותהמשתתפות,ובהןישראל,בדקואתסוגיההרשאותשדרשוהאפליקציות,ובחנואםהןחרגו מהתחום הסביר הנדרש לצורך שימוש באפליקציה, ובפרט נבחן אופן מסירת ההסבר למשתמשים, או היעדרו של הסבר, בכל הנוגע לסיבות שבגינן האפליקציות דורשות את המידע האישי ולשימוש שייעשה במידע האישי שנמסר. הדו"ח מראה שככל שהפופולריות של האפליקציות עולה, רבות מהן מחייבות גישה למידע אישי רב, ללא מתן הסבר מספק על אופן השימוש במידע. הממצאיםמתוךריכוזהנתוניםהכללעולמימצביעים,ביןהיתר,עלאלה:ב75%-מכללהאפליקציות שנבדקו נדרשה הרשאה אחת או יותר, כאשר ההרשאות הנפוצות ביותר היו מיקום, זיהוי המכשיר, גישה לחשבונות אחרים, מצלמה ואנשי קשר; 59% מהאפליקציות לא כללו התייחסות לפרטיות בשלב שקדם להורדת האפליקציה; אפליקציות רבות לא כללו מידע מספיק בנוגע לסיבה שבגינה נדרש המידע שנאסף או בנוגע לשימושים הנעשים בו לפני הורדת האפליקציה, או כללו קישורים לאתריאינטרנטשבהםהופיעהמדיניותפרטיותשלאהתייחסהלאפליקציהעצמה;במקריםאחרים הובילו הקישורים לדפי מדיה חברתית שלא עבדו או דרשו מהמשתמש להיכנס לאתר תוך שימוש בשם משתמש. מהבדיקה שערכה רמו"ט בישראל עולה, בין היתר, ש70%- מהאפליקציות אינן מפרטות מדיניות פרטיות בטרם התקנה; במקרים בודדים צוינה מדיניות הפרטיות באפליקציה בצמצום, אך הרוב מפנות לאתר האינטרנט או אינן מתייחסות כלל לנושא הגנת הפרטיות; קיימות שאלות בנוגע לנחיצות ההרשאות המתבקשות ביחס לפעילות האפליקציה. רמו"ט פרסמה את ממצאי הבדיקה בצירוף המלצות לציבור משתמשי האפליקציות, כיצד לנהוג בבטחה בעת השימוש בהן31. כמו כן נשלח לשבע חנויות אפליקציות מובילות stores( app), ובהן גוגל פליי ואפל סטור, מכתב שחתומות עליו מספר רשויות הגנת פרטיות בעולם וישראל בתוכן, 30 האפליקציות נבחנו במכשירי אפל, מכשירי אנדרואיד, אפליקציות חינמיות ובתשלום, כמו גם אפליקציות מהמגזר הציבורי ומהמגזר הפרטי. מנעד האפליקציות כלל בין היתר משחקים, בריאות/כושר, חדשות ובנקאות. http://index.justice.gov.il/Units/ilita/news/Pages/HodaatDovrot.aspx 31 33 רמו״ט | רשםמאגרימידע | דו"חלשנת2014 ימואלניבהרושימבתוליעפ הקורא להן לחייב מפתחי אפליקציות להפנות למדיניות הפרטיות עוד בטרם התקנת האפליקציות בידי המשתמש. במכתב נטען שההפניה הכרחית, כדי ליידע את המשתמש איזה מידע אישי נאסף ממנו ולאילו מטרות, ולאפשר לו להחליט אם הוא מסכים לכך אם לאו. הכנס הבינלאומי ה36- של נציבי הגנת מידע ופרטיות רמו"טנוטלתחלקבכנסהבינלאומישלנציביהגנתמידעופרטיות.חבריהכנסמתכנסיםאחתלשנה, דנים בנושאים שונים ומקבלים החלטות. באוקטובר 2014 השתתף נציג רמו"ט בכנס הבינלאומי ה36- של נציבי הגנת מידע אישי ופרטיות. במסגרת הכנס נדונו נושאים רבים, ובהם חינוך דיגיטלי, Data Big וThings- of Internet. התקבלו בו שתי החלטות: לחזק את שיתופי הפעולה בתחום האכיפה; להשתתף בדיאלוגים בינלאומיים בנושא תכניות מעקב אלקטרוניות והתאמתן לעקרונות ההגנה על הפרטיות. כנס שיתוף פעולה בינלאומי באכיפה ENFORCEMENT COORDINATION ANNUAL EVENT רמו"ט חברה בפורום העוסק בתיאום אכיפה בינלאומית, ותכליתו לממש החלטה של כנס נציבי ההגנה על הפרטיות ולפיה מדינות ישתפו פעולה בנושא אכיפת הגנת המידע והפרטיות. בחודש אפריל2014השתתפהנציגתרמו"טבכנסשארגנהרשותהמידעהבריטיתICO()בשיתוףעםרשות הגנת המידע הקנדית. בכנס נערך דיון, בין היתר, על הבניית מסגרות שיתוף הפעולה בין הרשויות בתחום האכיפה. כמו כן נדון מסמך הבנות שמטרתו לגבש את המסגרת ואת הכללים לשיתוף במידע, על מנת לקדם אכיפה במדינות השונות, כל אחת לפי שיקול דעתה וצרכיה, ללא פעילות אכיפה משותפת. עוד השתתפו הנציגים בסדנאות ניהול הליכי אכיפה בתחומים שונים. 34