דיווח על-פי חוק

PDF 67,510 תווים המסמך המקורי ↗
רמו״ט|רשםמאגרימידע|דו"חלשנת2015 1 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 מדינתישראל דברשרתהמשפטים משרד המשפטים דבר שרת המשפטים אני שמחה לפתוח את דו"ח רשם מאגרי מידע לשנת 2015. דו"ח זה סוקר את הפעילות החשובה של הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים. כידוע לנו, התפתחות הקדמה והטכנולוגיה הביאה עמה רוחות חדשות ומרעננות וחידושים טכנולוגיים שערכם לא יסולא בפז. עם זאת, השינויים הדרמטיים טומנים בחובם גם סיכונים רבים, בין היתר בכל הנוגע לנושא הפרטיות. לפיכך, תפקידה של הרשות כרגולטור של נושא הפרטיות והגנת המידע האישי במדינת ישראל הינו משמעותי וחשוב ביותר לחברה הישראלית. רמו"ט,מתוקףסמכויותיהואחריותהלתחוםהגנתהמידעהאישי,וכפישניתןלראותבדו"ח,פועלתופעלה רבות בנושא הגנת המידע האישי ובנושא אכיפת הוראות חוק הגנת הפרטיות. כך לדוגמה פעלה רמו"ט, ביןשללפעילותיה,להפסקתפעילותםשלסוחריםבלתיחוקייםבמידעאישיגנוב,חקרהחשדותלסחר בלתי חוקי ושימוש אסור במידע רפואי והשתתפה בפעילות אכיפה משותפת לעשרים ותשע רשויות להגנת מידע אישי ופרטיות מרחבי העולם, אשר התמקדה באיסוף מידע אישי באמצעות אפליקציות המיועדות לילדים. אנימברכתאתהעוסקיםבמלאכהעלעבודתםהחשובהבהגנהעלזכותיסודחוקתיתומרכזיתבמדינת ישראלומאחלתלהםולראשהרשותהמשךעשייהמשמעותית,משפיעהומגוונתוהמשךהצלחהושגשוג. 3 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 דבר מנכ"לית משרד המשפטים משרד המשפטים המנהלת הכללית דבר מנכ"לית משרד המשפטים הדו"ח השנתי של רשם מאגרי מידע ברשות למשפט, טכנולוגיה ומידע (רמו"ט) מציג בפני ועדת החוקה חוקומשפטובפניהציבוראתפעילותההחשובהשלרמו"טהענפהבתחוםשלההגנהעלהמידעהאישי ועל פרטיותם של אזרחי ישראל. בעת הזו, בה מידע אישי הופך מתועד, מנוטר וחשוף מאי פעם, שמירה על הזכות לפרטיות והגנה על המידעהאישיהןמרכיבחשובבהגנהעלזכויותוחירויותהפרטבמדינהדמוקרטית.סוגיותאלומקבלות משנה תוקף במדינת ישראל, המתמודדת תדיר עם סוגיות ביטחוניות מורכבות, ועוסקת עיסוק מתמיד בשאלת האיזון הראוי בין שמירה על הביטחון לבין הגנה על פרטיות האזרחים וזכויותיהם. במצבדבריםזה,פעילותהשלרמו"ט,הרגולטורהאמוןעלהגנתהמידעהאישיבישראלוהגורםהמשפטי המרכזי העוסק בסוגיות אלה, הינה מרכיב מרכזי וייחודי במכלול העשייה בתחום ההגנה על מידע ופרטיות.בתוךכך,במהלךהשנההחולפת,גיבשוהנהלתהמשרדוראשרמו"טתכניתאסטרטגיתלחיזוק ומיקוד פעילותה של הרשות, מתוך כוונה לקדם את הרשות לקראת האתגרים הניצבים בפניה. הדו"ח השנתי של רמו"ט לשנת 2015 מציג עשייה מגוונת ומשמעותית של הרשות. בין היתר, פעלה רמו"טבתחוםהאכיפהמנהליתוהפלילית;סייעהלמשרדיהממשלהבכלהקשורלפרויקטיםטכנולוגיים גדולים המערבים היבטים של הגנת מידע אישי (ביניהם: ליווי הליך החקיקה והמהלכים המקדמיים של הפרויקטלהקמתתשתיתשיתוףמידעבתחום נתוני האשראיבבנקישראלוהשלמתניסוחתקנותהגנת הפרטיות (אבטחת מידע), התשע"ו2016-) וכן קידמה פעילות בינלאומית אשר מקדמת את האינטרסים הכלכליים של מדינת ישראל ותורמת לחיזוק ההגנה על המידע האישי במישור הגלובאלי. אני מודה לצוות העובדות והעובדים ברמו"ט ולעומד בראשה, עו"ד אלון בכר, על העשייה במהלך השנה החולפת, ומאחלת לעובדות ולעובדים הצלחה רבה בשנת העבודה הקרובה, בייחוד על רקע השינויים הרבים בתחום הגנת המידע האישי והפרטיות. בברכה, אמי פלמור 4 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 תוכן עניינים תוכן העניינים 4 דבר ראש הרשות למשפט, טכנולוגיה ומידע א. 6 עיקרי הדו"ח ב. דין וחשבון של רשם מאגרי מידע לפי חוק הגנת הפרטיות, התשמ"א1981- ג. 9 על פעולות האכיפה והפיקוח בשנת 2015 9 מבוא 11 פניות ציבור 11 רקע 11 דרכי המצאת הפניות לרמו"ט 11 נתונים. 13 אסדרה באמצעות תהליך רישום מאגרי מידע 13 מבוא 14 נתונים לשנת 2015 15 שיפור רמת השירות בניהול רישום מאגרי המידע 16 אכיפה מנהלית ופיקוח 16 מבוא 17 נתונים משנת 2015 21 דוגמאות לתיקי פיקוח 24 פרויקטים ממשלתיים בהנחיית רמו"ט 24 מבוא 24 דוגמאות לפרויקטים ממשלתיים בהנחיית רמו"ט 26 פעילות החקירות והאכיפה הפלילית 26 מבוא 27 תיק 973 27 תיק 1027 28 תיק 1064 29 המעבדה הפורנזית 30 פעילות משפטית 30 תיקון ועדכון חוק הגנת הפרטיות ותקנותיו הטמעת עקרונות ההגנה על מידע אישי בחקיקה, בהליכי משפט 30 ובהסכמים בינלאומיים 32 פעילות במישור הבינלאומי היערכות להשלכותיו של ביטול הסדר Harbor Safe 32 בין האיחוד האירופי לארצות הברית 33 חברות בפורומים בינלאומיים 36 כנס שיתוף פעולה בינלאומי באכיפה:EventAnnualCoordinationEnforcement 5 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 א. דבר ראש הרשות למשפט, טכנולוגיה ומידע א.דבר ראש הרשות למשפט, טכנולוגיה ומידע "מדינהכזוקטנה,מההיאתעשהעםמחשבכזהגדול" מתוך דבריו של אלברט אינשטיין על 'ויצק'[ ), המחשב הראשון במדינת ישראל]WEIZAC( כידוע,בשניםהאחרונות,אנשיםמנהליםאתחייהםמכףידם,באמצעותמכשיריםדיגיטלייםרביעוצמה, שבהם מתנהלות מרבית פעילויות חייהם ובהם נמצא חלק ניכר מהמידע האישי שלהם. ההתקן שפעם היה נהוג לכנותו מחשב ובימיו הראשונים אכלס חדר שלם, נכנס כיום לתוך כיס, מחובר תמידית לרשת אינטרנט מהיר ומנוהל בחלקים ניכרים ומשמעותיים על ידי גורמים חיצוניים, הזוכים ליכולת גישה ולשליטה פוטנציאלית במידע האישי שלנו. בעידןהמידע,בורבותמפעילויותינומקוונותומתועדות,ולפיכך,חשופותיותר,ההגנהעלהזכותלפרטיות מקבלת משנה תוקף. אחסון המידע נגיש, נוח וזול, כמויות המידע הנצברות הן עצומות וניתן בפשטות יחסיתלעבדאתהמידע,לנתחוולהפיקו,וגדלההסכנהשנהפוךל'חברהשקופה'בהכלאחדיכוללדעת פרטים רבים מאד על השני, והחיץ בין 'הפרטי' ו'הציבורי' נשחק כליל. הטכנולוגיה שמתפתחת בקצב מסחרר טומנת בחובה סכנות רבות לפרטיות ולמאפיינים שלנו כחברה אנושית במתכונת דומה לזו שעל ברכיההתחנכנו.השליטהעלהמידעהאישישלנוחייבתלהישמרבראשובראשונהבידיכלאחדמאתנו, ולא בידי בעלי אינטרסים שונים. מכאן שבמיוחד בעת הזו, יותר מכל, קיומו של גוף משמעותי, שישמש כמגן מפני הסיכונים הרבים האורבים לנו ולפרטיותנו במרחב הדיגיטלי, הוא חיוני. הרשותלמשפטטכנולוגיהומידע(רמו"ט)שבמשרדהמשפטיםהינההרגולטורהמופקדעלהגנתהמידע האישי בישראל מכוח חוק הגנת הפרטיות, התשמ"א1981- ולתכלית זו היא מפעילה משטר רגולציה, לרבות אכיפה מנהלית ופלילית, כלפי כלל הגופים בישראל המחזיקים במאגרי המידע במשק, פרטיים וציבוריים גם יחד. למרבה הדאגה, אנו עדים לתופעה שאנשים מוותרים מרצונם על פרטיותם, לעיתים מבלי להבין את ההשלכות של הדבר וחמור מכך, לעיתים אף מבלי לדעת כלל כי הם עושים זאת. תפקיד מרכזי של רמו"ט הוא להבטיח כי יכולת הבחירה של הפרט, בכל הנוגע לרמת חשיפת המידע האישי אודותיו, תהא בידיו, תוך פיקוח על הסביבה הדיגיטלית בה אנו חיים. כמו כן, רמו"ט רואה עצמה שומר הסף על האינטרסים של האזרח, שאין בכוחו להתמודד מול גופים גדולים וחזקים, שמשתמשים במידע האישי שלו לצורכיהם השונים, לרבות כאלו שאינם בידיעתו ובהסכמתו. האיחוד האירופי וארגון הOECD- גיבשו סטנדרטים גבוהים להסדרה של תחום הגנת הפרטיות, בנוסף לאלוהרווחיםבתחוםאבטחתהמידעוהגנתהסייבר.רמו"טרואהבכךמשימהעליונהלהביאאתמדינת ישראל לעמידה באותו רף גבוה. 6 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 א. דבר ראש הרשות למשפט, טכנולוגיה ומידע החיזוק החקיקתי שזוכה לו הזכות להגנת הפרטיות בעולם, כמו גם הצורך ביצירת דין ישראלי עדכני, המותאם לעידן המידע הדיגיטלי המתפתח, מחייבים תיקוני חקיקה נרחבים ומהירים גם בישראל, אשר רמו"ט נחושה לקדמם, על מנת שהכוחות הטכנולוגיים והמסחריים החזקים, שבצידם קדמה ושגשוג, יקבלו את האיזון המתאים וההולם. בעולםכולומשתלביםדיגיטציה,מסחרוכלכלהלמרחבשבומתנהליםחלקיםגדוליםמחיינו.עלינולזהות ולטפל מראש בסיכונים, במטרה ליצור תשתית שתאפשר ליהנות מיתרונותיה של הכלכלה הגלובאלית. רמו"ט, כרשות הגנת הפרטיות בישראל, מהווה את הגוף המומחה בטיפול בתחום הגנת מידע אישי במאגרי מידע דיגיטליים ופועלת גם להעלות את המודעות הציבורית לזכות לפרטיות ולסכנות הקיימות בפגיעה בזכות חשובה זו, כמו גם לכך שההגנה על הפרטיות תקבל מקום מרכזי ועדכני במארג האכיפה של הזכויות והחובות שבספר החוקים. אני מתכבד להגיש לעיונכם את דו"ח רשם מאגרי מידע ברשות למשפט, טכנולוגיה ומידע על פעולות האכיפה והפיקוח לשנת .2015 זוהזדמנותעבורילהודותלכלעובדותועובדירמו"טעלעבודתםהמקצועית,נאמנותםומסירותםלקידום זכות יסוד חיונית במדינת ישראל הפרטיות.- אלון בכר, ראש הרשות למשפט, טכנולוגיה ומידע רשם מאגרי מידע 7 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 ב. עיקרי הדו"ח ב. עיקרי הדו"ח הרשות למשפט, טכנולוגיה ומידע (רמו"ט) היא הרשות להגנת מידע אישי בישראל. הרשות אמונה על הגנת מידע אישי במערכות ממוחשבות מכוח חוק הגנת הפרטיות, התשמ"א1981- (להלן חוק הגנת הפרטיות) ועל ביצורה של הזכות החוקתית לפרטיות. לתכלית זו היא מפעילה משטר רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל, פרטיים וציבוריים כאחד, המחזיקים או המעבדים מידע אישי. רמו"ט היא גם רגולטור וגוף מפקח ואוכף על פי חוק שירות נתוני אשראי, התשס"ב2002- וחוק חתימה אלקטרונית, התשס"א.2001- הרשות פועלת במספר אפיקים מרכזיים: רישום, פיקוח, פעילות משפטית ואכיפה מנהלית ופלילית. בנוסף, הרשות מעורבת בפעילות נרחבת במישור הבינלאומי, נותנת מענה לפניות ציבור, עורכת כנסים והרצאותלקהליםשוניםבתחוםהגנתהמידעהאישי,ועובדיהחבריםבמספררבשלועדותוצוותיעבודה ציבוריים העוסקים בנושאים בעלי היבטים של הגנת מידע אישי. דו"חזהסוקראתהפעילותהענפהוהמגוונתשלרמו"טבתחוםהגנתהמידעהאישי(ליבתהפעילותשל הרשות) לשנת 2015. מעבר לעבודתה השוטפת, פעלה רמו"ט בשנה זו, להבנייתם ולמיסודם של שיתופי פעולה עם גופים שונים שביניהם רגולטורים מגזריים, גורמי ביטחון ואכיפה ומטה הסייבר הלאומי וזאת כדי לפעול מול הגורמים השונים במשק בהרמוניה ובסינרגיה. בהיותה רגולטור, הנחתה הרשות גופים מספר שהקימו פרויקטים ממשלתיים מורכבים ורחבי היקף; בשנים האחרונות פרויקטים ממשלתיים מבוססי יישומים טכנולוגיים תופסים תאוצה. כיום כמעט כל פרויקט ממשלתי כרוך בהיבטים טכנולוגיים המעלים שאלות של פרטיות ועיבוד מידע אישי, אותן חיוני לבדוקכברבשלבהייזום.לפיכך,מעורבותהשלרמו"טבשלבזההיאהכרחיתכדילהנחות,לקדםולאשר את המתווה למימוש הפרויקט. לדוגמה: בשנת 2015 ליוותה רמו"ט את תהליך החקיקה ואת המהלכים המקדמייםלהקמתפרויקטשלבנייתתשתיתלשיתוףמידעבתחוםנתוניהאשראיבבנקישראל.מטרת הפרויקט הנה קידום התחרות בשוק האשראי הקמעונאי לטובת ציבור משקי הבית. פרויקט זה משקף את התועלות הרבות שניתן להפיק מדיגיטציה של מידע לצד הסיכונים לפגיעה בפרטיות, שיש לתת להם מענה בתהליך הייזום וההקמה של הפרויקט. רמו"ט הנחתה את בנק ישראל כיצד ליישם עקרונות הגנה על הפרטיות Design( by 1)Privacy בתהליך הקמת הפרויקט, הן מבחינת השימושים במידע והן מבחינת הגנת המידע וכיצד לפעול כך שההגנה על הפרטיות תימשך לכל אורך חיי הפרויקט. דוגמה אחרת היא הטמעה של אפליקציית MDM Management( Device )Mobile - מערכת מרכזית לניהול מרחוק של טלפונים חכמים וחפיצים חכמים (גאדג'טים) אחרים המוחזקים בידי העובדים במשרדי הממשלה; בראשית שנת 2015 פרסם הממונה על התקשוב הממשלתי הנחיה, המחייבת את משרדי הממשלה להטמיע מערכות MDM. המערכת מיועדת לצמצם את סיכוני אבטחת המידע הנוצרים בזמן סנכרון המכשירים הניידים לשרת הדואר המשרדי, הן למידע הנשמר ברשת המשרד והן למידע הנשמר במכשירים הניידים. בשל יכולות הניטור, האיכון והמעקב המובנות במערכת, קיים בה פוטנציאל ממשי לחשיפת מידע אישי ורגיש של העובד, כגון מיקומו הפיזי בכל נקודת זמן וסוגי האפליקציות המותקנות על מכשירו. כדי למזער את החשש לפגיעה בפרטיות העובדים וכדי להגביל את השימוש במערכת רק לצרכים החיוניים למימוש תכליתה, הנחתה רמו"ט את רשות התקשוב בשלב כתיבת ההנחיה. רמו"ט אף דרשה כי עובד יחובר למערכת רק לאחר קבלת הסכמה חופשית ומדעת שלו, וכתב הסכמה מפורט 1ראולהלןבפרקהדןבליוויפרויקטיםממשלתיים. 8 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 ב. עיקרי הדו"ח שניסחה רמו"ט צורף כנספח להנחיה. עם הפעלת המערכת במתכונת ניסויית במשרד המשפטים, סייעה הרשות בכתיבת נוהל הפעלה משרדי מפורט ועמדה על ביצועו של סקר למיפוי הסיכונים הכרוכים במערכת. בתחוםהפיקוחוהאכיפההמנהליתנוהלועשרותתיקי פיקוח; ב23%-מתיקיהפיקוחנוהלוהליכיהנחיה ופיקוח על גורמים במגזר הציבורי, המנהלים מידע אישי לטובת מילוי משימתם הציבורית, כדי להבטיח את עמידתם בדרישות החוק. ב60%- מהתיקים עסקה רמו"ט באכיפת זכותו של האזרח שהשימוש במידע על אודותיו יהיה רק למטרה שלשמה נאסף. במסגרת זו טיפלה רמו"ט בשימושים הלא חוקיים לצורךהפקתרווח,באפליקצייתמרשםהאוכלוסיןהגנובובעותקיםשלפנקסיבוחריםלבחירותהארציות ולרשויות המקומיות. פעילות זו נוהלה מול סוחרים במידע המשתמשים במידע זה שלא כדין ומול לקוחותיהם. כך למשל נוהל הליך פיקוח כנגד אחת החברות המרכזיות המציגות עצמן כעוסקות בדיוור ישיר ובטיוב נתונים, עקב החשד שמקורות המידע שהיא משתמשת בהם אינם חוקיים. בסיום הליך הפיקוח נמצא והוכח, שבניגוד לדין ביססה החברה את עסקיה על מרשם האוכלוסין הגנוב, על עותקים שלפנקסיבוחרים,עלמידעשהועברלהעלידילקוחותאחריםועלכרייתמידעמאתריאינטרנטבניגוד לדין. רמו"ט הטילה על החברה קנסות מנהליים וביטלה את רישומם של מאגרי המידע שלה, והחברה הפסיקה את פעילותה. תפקיד מרכזי במישור הפעילות המשפטית ברמו"ט הוא ייזום, עדכון ושיפור של חקיקת הגנת הפרטיות והתאמתה למציאות הטכנולוגית הנוכחית והעתידית ולצורכי הרשות הנובעים ממשימותיה. במסגרת זו עסקה רמו"ט, בין היתר, בהשלמת ניסוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו2016- ובקידום הדיון המחודש בהצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב – 2011, אשר עברה קריאה ראשונה במהלך כהונתה של הכנסת ה- 18, ופקע תוקפה לאחר שהליכי חקיקתה לא הושלמוגםבמהלךכהונתהכנסתה19-.מטרתההמרכזיתשלההצעההיאעדכוןושיפוריכולותהפיקוח והאכיפה של רמו"ט, כדי לתת מענה הולם לסיכונים הגוברים לזכות לפרטיות בעידן הסייבר ועיבוד המידעהדיגיטאלי.הדרישהבהצעההיאלסטכליםבסיסייםשיאפשרולרשותאכיפהאפקטיביתומימוש תפקידיה וייעודה. רמו"ט גם סייעה לגופים חיצוניים בסוגיות של פרטיות וטכנולוגיה, חיוותה דעתה במענה לפניות הציבור בסוגיות שונות, הציגה את עמדת רמו"ט בנוגע ליוזמות חקיקה ולפרויקטים ציבוריים אחרים הכרוכים בעיבוד מידע אישי ובשימוש בו, וליוותה הליכים משפטיים הנוגעים לעבודת הרשות ולתחומי סמכותה. לדוגמה: רמו"ט ליוותה את טיוטת תקנות התעבורה (הפעלת מצלמות בידי רשות מקומית לשם תיעוד שימוששלאכדיןבנתיבתחבורהציבורית),התשע"ו2016–.כמוכן,נטלההרשותחלקמשמעותיבגיבוש העמדה שהוגשה מטעם היועץ המשפטי לממשלה לבית הדין הארצי לעבודה בעניין השימוש בשעוני נוכחות ביומטריים במקומות העבודה. התייחסות רמו"ט נדרשה גם לעתירה לבג"צ כנגד שר הפנים ורשויות מקומיות, שביקשה לאסור על השימוש במצלמות מעקב לשם אכיפת עבירות חניה, בשים לב, בין השאר, להנחיית הרשם בעניין מצלמות המעקב. במקרה אחר סייעה רמו"ט בגיבוש עמדת היועץ בתיק תובענה ייצוגית שהסתמכה בין השאר על הנחיית רשם מאגרי המידע בנושא מצלמות מעקב. השתתפות רמו"ט נדרשה גם בגיבוש עמדת היועץ המשפטי לממשלה ובהגשת תגובות לבתי המשפט בשורה ארוכה של עתירות, המרצות פתיחה וערעורים שנסובו סביב הפעלת אפליקציה של שירות חניה ארצי. ההליכים בהם היו מעורבים החברה למשק וכלכלה של השלטון המקומי, מילגם חניה סלולארית בע"מ (הפועלת תחת שם המותג "פנגו") וגורמים נוספים, העלו מגוון שאלות ביחס לעיבוד מידע אישי, לרבות אופן רישום מאגרי המידע; חלוקת החובות, הזכויות והסמכויות בין בעל המאגר לבין המחזיק בו; תוכן ומתכונת הסכמת נושאי המידע להעברת מידע בין בעל המאגר לבין המחזיק בו בפועל ולמחזיקים 9 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 ב. עיקרי הדו"ח פוטנציאליים אחרים והצורך בהסמכה בחקיקה לשם ניהול מאגר מידע בידי רשויות המדינה. במסגרת שימת דגש על שמירת מידע רגיש ושימושים בלתי חוקיים, התקיימה בשנת 2015 חקירה שעניינהחשדותלסחרבמידערפואי;העברתשמותיהם,מספריהטלפוןופרטיםמזהיםרביםנוספיםשל חולים בבתי חולים, ללא ידיעתם, לידי חברות פרטיות לצורך שיווק ומכירת שירותים רלוונטיים למצבם הרפואי. עם השלמת החקירה יועבר התיק להמשך טיפול בפרקליטות המדינה. כדילשמורעלמעמדההבינלאומישלמדינתישראלבנושאההגנהעלהמידעוכדילקדםאתהאינטרסים הכלכליים שלה, פעלה רמו"ט ופועלת רבות בזירה הבינלאומית. רמו"ט פעילה מרכזית ברשת שיתוף פעולהבאכיפתהגנתהפרטיותGPEN()ודואגתלשמירתמקומהשלמדינתישראלבשורההראשונהשל המדינותהמגנותעלהמידעהאישישלאזרחיה.בשנת2015השתתפהרמו"טבפעילותאכיפהמשותפת ל29- רשויות להגנת מידע אישי ופרטיות מרחבי העולם החברות ברשת GPEN. הפעילות התמקדה באיסוף מידע אישי באמצעות אפליקציות המיועדות לילדים, ובמסגרתה נערכה בדיקה של 1494 אתרי אינטרנט ואפליקציות ברחבי העולם. בישראלהתבצעההסריקהבמהלךחודשמאי2015ובמהלכהנבחנואתריםפופולרייםישראלייםלילדים ולנוער. נמצא, כי רוב האתרים מאפשרים התערבות הורים וכמחציתם אף מספקים ממשק בקרה מיוחד להורים. באופן כללי נציין כי 79% מהאתרים קיבלו ציון חיובי על שמירת הפרטיות של הילד. 10 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 ג. דין וחשבון של רשם מאגרי מידע ג.דיןוחשבוןשלרשםמאגרימידעלפיחוקהגנתהפרטיות, התשמ"א1981-עלפעולותהאכיפהוהפיקוחבשנת 2015 מבוא רמו"טהיאהרשותלהגנתמידעאישיבישראל2.הרשותאמונהעלהגנתמידעאישיבמערכותממוחשבות מכוח חוק הגנת הפרטיות, התשמ"א1981- (להלן חוק הגנת הפרטיות) ועל ביצורה של הזכות החוקתית לפרטיות. לתכלית זו היא מפעילה משטר רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל, פרטיים וציבוריים כאחד, המחזיקים או המעבדים מידע אישי. משימה מרכזית של רמו"ט היא להביא לכך שכל הגורמים הרלוונטיים יפעלו לניהול המידע שברשותם באופן תקין בהתאם לחוק הגנתהפרטיותולתקנותיו, כדי לצמצם אתהסיכוניםהמוגברים לפגיעהבפרטיות,הגלומיםבניהול מידע ממוחשב. פעילות הרגולציה של הרשות נעשית בשלושה אפיקים מרכזיים3: 1() רישום, פיקוח ואכיפה מנהלית – ביקורת ופיקוח, הנחיית גופים המקימים פרויקטים ממשלתיים מורכבים ובחינת בקשות לרישום מאגרי מידע בפנקס המאגרים; 2( אכיפה פלילית – ביצוע וניהול חקירות פליליות;) 3() פעילות משפטית – ליווי משפטי של הפעילויות השונות (לעיל), קידום תיקוני חקיקה על מנת לשפר את ההגנה על המידע האישי בישראל והדרכים לאכיפתה, ניסוח הנחיות שוק והוראות רגולציה שונות וסיוע לשירות הציבורי בסוגיות שונות של משפט וטכנולוגיה (תוך שימת דגש על מידע אישי, עיבודו והשימושים בו), בין היתר, בפן החקיקתי. כמו כן נעשית ברשות פעילות ענפה במישור הבינלאומי. תכליתה לקדם את ההגנה הבינלאומית על המידע, לייצר שיתופי פעולה בנושאי מדיניות ואכיפה ולהבטיח את השתלבותה של מדינת ישראל בקהילת המידע הבינלאומית. מלבד זאת נערכים כנסים והרצאות לקהלים שונים בנושא חוק הגנת הפרטיות, תקנותיו והנחיות רשם מאגרי המידע, כדי לקדם את מודעות הציבור לזכויותיו, להוראות החוק ולערך הפרטיות ואת הטמעת הציות להוראות החוק והרגולציה. בשנת2015הייתהרמו"טחברה/נציגהבמספרועדותוצוותיםציבוריים4,ביניהםהוועדהלהנגשתמאגרי מידע לציבור; התחום של חשיפת מאגרי המידע הממשלתיים לציבור תפס, בשנים האחרונות, תאוצה בעולםוזאת,כתוצאהמהתפתחויותטכנולוגיותומדיניותשל'ממשלפתוח'.הנושאהנוהזדמנותייחודית 2 כמוכןרמו"טהיארגולטורוגוףמפקחואוכףעלפיחוקשירותנתוניאשראי,התשס"ב2002-וחוקחתימהאלקטרונית,התשס"א.2001- 3 מצבתכוחהאדםהמלאהשלהרשותעומדתעל28תקנים. 4 משרדהבריאות,המועצההלאומיתלבריאותדיגיטליתוחדשנותבשירותיהרפואה+צוותעבודהשלהוועדה(ועדתמשנהשלשימושיםבמ�י דעבריאות),משרדראשהממשלה,התקשובהממשלתי,היחידהלשיפורהשירותהממשלתילציבור,הוועדהלצמצוםהנטלהבירוקרטיושיפור השירותלציבור+צוותעבודהשלהוועדה,הוועדההמייעצתהמפקחתעלהתנהלותתקופתהמבחןלפרויקטהתיעודהחכםובחינתתוצאותיה, משרדראשהממשלה,הממונהעליישומיםביומטריים,צוותעבודהלגיבושמדיניותהזדהותמקוונתלשירותיממשל,משרדראשהממשלה,מטה הסייברהלאומי,ועדתהיגויהגנהעלמערכותמידעממוחשבות,משרדראשהממשלה,המטההקיברנטיהלאומי,צוותעבודהלהסדרתמאגריהעל במדינתישראל,ועדתאנגלרד–"הוועדהלבחינתשאלותהנוגעותלפרסוםפרטיםמזהיםבפסקידיןובהחלטותשלבתיהמשפטולעיוןבתיקיבתי המשפט",ועדהבראשותפרופ'צביאקשטייןלהסדרתעקרונותמחקרבלמ"ס,משרדראשהממשלה,המטההקיברנטיהלאומי,הוועדההלאומית למו"פסייבראזרחי,מכוןהתקנים,מכוןהתקניםועדהטכנית2114אבטחתמידע,משרדראשהממשלה,צוותביןמשרדילניסוחהצעתחוק להסדרתהשימושבכרטיסחכםבתחבורההציבורית,התשע"ד2014-,משרדראשהממשלה,המועצההלאומיתלכלכלה,הוועדהלשיפורהשיתוף בנתוניאשראי(משקיפיםפעיליםומייעצים),משרדראשהממשלה,המטהלביטחוןלאומי,צוותההיגוילבחינתהצורךוהאפשרותלהקמתמאגר לקבלתמידעאישיAPI(ו-PNR)עלאודותנוסעיםבטיסותהנכנסות,היוצאותאוהעוברותבמדינתישראל. 11 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 ג.דין וחשבון של רשם מאגרי מידע לשיתופי פעולה בין המגזרים הממשלתי, העסקי והשלישי תוך כדי שימוש נכון במשאבים וביכולות החזקים בכל אחד מן המגזרים: מחד גיסא, הממשלה מחזיקה במידע ובידע רבים שביכולתה להפנותם לתועלת הציבור, ומאידך גיסא למגזרים העסקי והשלישי ישנן יוזמות מקוריות, יכולות טכנולוגיות מתקדמות והתמקצעות בפיתוח שירותים חדשניים למטרות רווח או כשירות לציבור. שילוב בין יכולות אלו הנו הזדמנות אסטרטגית למינוף התחום ושיפור השירות לציבור תוך קידום מנוע צמיחה משמעותי למשק. על כן החליטה ממשלת ישראל בהחלטת ממשלה 2097 משנת 2014 להמשיך ולקדם את תחום הנגשת מאגרי המידע כדי לסייע לפיתוח מיזמים חדשים שיעניקו שירות יעיל ונוח לאזרחים ויסייעו בהורדת יוקר המחייה. במסגרת החלטת הממשלה, הוחלט על הקמת צוות בין משרדי בראשות ראש רשות התקשוב הממשלתי. חלק ממאגרי המידע הממשלתיים כוללים גם מידע אישי, לכן רמו"ט חברה בצוותומסייעתלגיבושמדיניותאשרתגשיםאתמטרותהחלטתהממשלהבלילפגועבפרטיותהציבור. רמו"ט גם הייתה חברה בוועדת הרגולציה בנושא שימושים במידע רפואי; העולם המערבי כולו מתקדם לעברעידןדיגיטלישלמתןשירותירפואהמתוךהבנהכיטכנולוגייתמידערפואיהיאכליחיונילשםמתן טיפול רפואי מטבי, יעיל, בטוח ונוח למטופל. בנוסף, מידע רפואי הנאסף באופן שיטתי על ידי מוסדות הבריאות השונים, מהווה נכס משמעותי אשר עשוי לשמש כתשתית לפעילויות מחקר, חיפוש והפקת תובנות וליצירת תוצרי מידע שונים כמו מערכות תומכות החלטה היכולים לקדם את השירות הרפואי לציבור ואת רמתו הרפואית. לצד היתרונות הברורים בשימוש במידע רפואי לצרכים לעיל, מתעוררים חששות כבדים לפגיעה בפרטיות המטופלים, ורמו"ט לקחה על עצמה לוודא כי בכל פעילות עתידית בנושא ייושמו מנגנונים למניעת פגיעה בפרטיות. הוועדה פועלת תחת המועצה הלאומית לבריאות דיגיטלית וחדשנות בשירותי הבריאות, בה חבר ראש רמו"ט, לצורך גיבוש המלצות ביחס לשימושים במידע הרפואי. במקביל לעבודתה השוטפת פועלת רמו"ט להבנייתם ולמיסודם של שיתופי פעולה עם גופים שונים וביניהם רגולטורים מגזריים, גורמי ביטחון ואכיפה ומטה הסייבר הלאומי, וזאת כדי לפעול מול הגורמים השונים במשק בהרמוניה ובסינרגיה. כמו כן מקדמת רמו"ט תיקוני חקיקה, החיוניים להמשך פעילותה היעילה ולהגשמת ייעודה ותפקידיה. 12 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פניות ציבור להלן תוצג פעילות רמו"ט במישור של הגנת מידע אישי לשנת :2015 פניות ציבור רקע מדי שנה מתקבלות ברמו"ט מאות פניות ותלונות מהציבור (להלן פניות) בנושאים עליהם היא אמונה. כל פנייה נבחנת באופן פרטני בידי הממונה על פניות הציבור והפונה מקבל מענה מהגורם המקצועי הרלוונטי ברשות. הפניות נקלטות ונשמרות ברמו"ט כאשר עיבוד כלל הפניות מאפשר לזהות ליקויים רוחביים בתחומי הפעילות שבאסדרת רמו"ט ולאתר הפרות חוזרות ונשנות של נילונים ספציפיים. החלטה בדבר דרך הטיפול בפנייה תתבסס, בין היתר, על השיקולים הבאים: היקף הפניות וההפרות המתגלות בנושא מסוים, חומרת המעשים המתוארים בפנייה, יעדי האכיפה ותכנית העבודה הרשותית שנקבעו ומשאבי כוח האדם בזמן נתון. המידע המובא בפניות הוא חלק ממערך השיקולים שעל פיהם נקבעת תכנית העבודה השנתית, מחליטים בדבר פרסום הנחיות רשם להבהרת סוגיות העולות מהפניות ומאובחנים נושאים שבהם נדרשת אסדרה ספציפית לרבות כזו המצריכה תיאום עם רגולטורים אחרים. דרכי המצאת הפניות לרמו"ט דואר אלקטרוני: ; טופס מקוון באמצעות ממשל זמין:[email protected] https://forms.gov.il/globalData/GetSequence/getsequence. ,spx?formType=Ashrai3%40justice.gov.il פקס: 02-6467064; דואר: קריית הממשלה, דרך בגין 125 תל אביב, ת.ד., 7360, מיקוד .6107202 מענה טלפוני 03-7634050() ניתן בשאלות כלליות או לצורך הנחיית הפונה איך עליו לפעול במקרה הספציפי שלו. לפניות בנושא רישום מאגרי מידע יש לכתוב ל [email protected] או בטלפון .03-7634085 נתונים מספר הפניות ונושאיהן במהלך החודשים ינואר-דצמבר 2015 התקבלו ברמו"ט מעל 500 פניות בתחום הגנת הפרטיות. הפניות עסקובמגווןסוגיותובכללןקבלתפניותמחברותתקשורתלאחרסיוםההתקשרותעמןבהצעותחוזרות ונשנותלהצטרףכלקוחותהחברה,קבלתהודעותשיווקיותעלבסיסמידעממאגרימידע,חובותאבטחת המידעהחלותעלבעלהמאגרועלמחזיקים,עיוןבמידעאישיאודותנפטרים,העברותמידעביןמחלקות שונות באותו גוף ציבורי, שימוש במידע אודות ניצולי שואה לקראת הבחירות לכנסת, פניות ממפלגות במסגרתהבחירותלכנסתה-20,זכותהעיוןבחוותדעתשערכומכונימיוןעלמועמדיםלעבודה,הצבת מצלמות אבטחה במרחב הציבורי ובמרחב הפרטי, ועוד. 13 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פניות ציבור כמו כן התקבלו תשע בקשות על פי חוק חופש המידע, תשנ"ח1998- שעסקו בנושאים מגוונים. מתוכן הפניות עולה שהציבור מודע ורגיש לסוגיות בתחום הגנת הפרטיות, בין היתר בעקבות פעולותיה של רמו"ט, ובהן הליכי פיקוח, הליכי אכיפה, הרצאות וכנסים ופרסום הנחיות5. סיווג הפונים בין הפונים לרמו"ט מצויים גורמים פרטיים (הפונים בשם עצמם), המבקשים להתלונן או להתייעץ, גורמיםמקצועייםכגוןיועציםמשפטייםוממוניאבטחתמידע,גופיםציבוריים,רשויותמקומיותומשרדי ממשלה. 61%מכללהפוניםהםאנשיםפרטייםהפוניםבסוגיותשנוגעותלהםאישיתו11%-הםגורמיםממשלתיים, כמו משרדי ממשלה, מוסדות רפואיים ורשויות סטטוטוריות. להלן תרשים המציג את התפלגות הפונים על פי סוגיהם: סיווג פונים יצוין, כי בשנת 2015 הופנו 113 פניות ציבור לבחינת טיפול במישור של אכיפה מנהלית, כאשר 15.9% מתוכן הניבו פעילות פיקוח מעמיקה. 5לעיוןבהנחיותשפרסמהרמו"טאנאראוקישורזה:http://index.justice.gov.il/Units/ilita/LawInfo/Hanchayot/ HanchayotBetokef/Pages/hanchayot.aspx 14 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אסדרה באמצעות תהליך רישום מאגרי מידע אסדרה באמצעות תהליך רישום מאגרי מידע מבוא משימתוהמרכזיתשלרשםמאגריהמידעעלפיחוקהגנתהפרטיותהיאלפקחעלמילויהוראותהחוק. כמו כן מנהל הרשם את פנקס מאגרי המידע ומעמידו לעיון הציבור. הרשם מוסמך לאשר או לדחות בקשה לרישום מאגר מידע בפנקס וכן הוא רשאי, בין היתר, לרשום מטרה שונה מזו שפורטה בבקשה כדישפרטיהרישוםיהלמו,הלכהלמעשה,אתפעילותהמאגרשלהמבקש.החלטתסירובלרישוםמאגר מידע,מבוססתעליסודסבירלהניחשהמאגרמשמשאועלוללשמשלפעולותבלתיחוקיותאוכמסווה להןאושהמידעהכלולבונתקבל,נצבראונאסףבניגודלחוקהגנתהפרטיותאובניגודלהוראותכלדין. על כן, יש לרשם סמכויות בדיקה ובירור של בקשת הרישום והמידע המפורט בה וכל מידע נוסף הדרוש לולצורךגיבושהחלטתו.לרשםישגםסמכותלהתלותאתתוקפושלהרישוםאולבטלו,אםהפרמחזיק או בעלים של מאגר מידע את הוראות חוק הגנת הפרטיות או התקנות לפיו, או לא מילא אחר דרישה שהפנה אליו הרשם. במסגרת הליך הטיפול בבקשת הרישום, נבדק האם מאגר המידע שמבקשים לרשום עומד בתנאי הסף של הרישום בחוק ובמקרים הרלוונטיים נבחנים, בין היתר, קיומה של אבטחת מידע הולמת, התאמה בין מטרתו המוצהרת של המאגר לבין פעילות הארגון, נחיצות סוגי המידע שהארגון אוסף למטרותיו המוצהרות, טיב השקיפות לנושאי המידע, טיב מדיניות הפרטיות או טופס ההצטרפות וטיב ההסכמה של נושא המידע לשימושים שייעשו במידע על אודותיו. במסגרת הבחינה נדרשים בעלי המאגרים לספק מידע נוסף ומסמכים, ובקשת רישום עשויה להידחות או להיות מותנית, כדי לוודא שהליקויים הפוטנציאלייםבאופןהפעילותשלהמאגרמתוקניםופעילותהמאגרהמתוכננתתבוצעבהתאםלהוראות הדין. מלבדזאתמוגשותלרשם,בהתאםלחובהבחוק,בקשותלעדכוןרישוםמאגר.בחלקןאלהבקשותעדכון מהותיות (למשל העברת בעלות על המאגר, הוספת סוג מידע ביומטרי, שינוי מטרה) והן נבדקות לגופן בתהליך הדומה בהיקפו לבדיקת בקשת רישום חדשה. דרך ההליך הפורמלי של הרישום, המצריך משאבים יקרים, משיגה רמו"ט יעדים נוספים: 1() הטמעת הליך ניהול תקין של מידע על ידי בעל המאגר וזאת במסגרת השיח והשיג מול הרגולטור (בחלק מבקשות הרישום מוזמן המבקש לפגישת הכוונה וסיוע ברמו"ט, כאשר נציגי הרשם סבורים כי תהיה בכך הזדמנות להשפיע על פעילות משמעותית במידע אישי;) 2() התוודעות לפעילויות מגוונות במשק הנוגעות למידע אישי ולשחקנים השונים הנוטלים בה חלק; 3() הנעת בעלי מאגרים לציית לחוק ולחדול מפעילותהמנוגדתלובאמצעותהכלישלהתלייתהרישוםאוביטולו,אובאמצעותהכלישלמתןהנחיות לתיקון ליקויים לגורמים שביקשו לרשום מאגר מידע, עוד בטרם אישור הרישום; 4() עצם המחויבות להליךהרישוםוהפוטנציאללהיותמושאלביקורתבמסגרתהליךזהמהווים,במקריםרבים,כלילהגברת המודעותשלגופיםשוניםלחשיבותהגנתהמידעהאישיבמאגרימידע;5()בעקבותהקשרהישירשנוצר עםהרגולטורבשלבהרישוםפוניםהגופיםכדילקבלהנחיותוהכוונהגםבהמשךהדרך,לקראתפעילויות ופרויקטים המערבים שימוש במידע אישי. 15 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אסדרה באמצעות תהליך רישום מאגרי מידע נתונים לשנת 2015 • הוגשו 650 בקשות רישום חדשות. עלייה של לעומת הנתון המקביל אשתקד.12% • הוגשו 1,898 בקשות עדכון. עלייה של לעומת הנתון המקביל אשתקד.75% • התקבלו פניות ציבור בנושא רישום למוקד ולצוות רישום.1,265 • אושרו 485 בקשות לרישום מאגרי מידע. עלייה של 47% לעומת הנתון המקביל אשתקד. ברוב הבקשות ניתנו לגורמים שביקשו לרשום מאגר מידע הנחיות לתיקון ליקויים עוד בטרם אישור הרישום (ההנחיות נגעו לאלה: שינוי אופן קבלת ההסכמה מנושא המידע; חיוב באפשרות של הסרה פשוטה מרשימות דיוור; ציות לדרישות הנחיית רשם מאגרי מידע בנושא מצלמות אבטחה; שימוש במידע ביומטרי; לשכות עובדים זרים לסיעוד; שימוש בשירותי מיקור חוץ; הוספת אמצעי אבטחת מידע). • הרשם סירב לרשום שלושה מאגרי מידע מכוח סמכותו בסעיף 10(א) לחוק, כיוון שנמצא כי המידע הכלול במאגרים נתקבל, נצבר או נאסף בניגוד לחוק. • התקבלו 1,778 החלטות בבקשות עדכון. • הסתיים הטיפול ב1,433- פניות ציבור בנושא רישום. • נערכה פעילות הדרכה והסברה בנושא רישום מאגרי מידע לעמותות בכנס של ארגון הג'וינט. • התקבלו ש"ח הכנסות מאגרות.2,548,000 • נכוןלסוףשנת2015רשומיםבפנקסמאגריהמידע14,708מאגרים:כ67%-מתוכםבבעלותתאגידים פרטיים, 25% בבעלות גופים ציבוריים, ו- בבעלות עוסקים פרטיים.8% להלן תרשים המתאר את התפלגות מאגרי המידע הרשומים בפנקס לפי בעליהם, נכון לסוף שנת :2015 16 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אסדרה באמצעות תהליך רישום מאגרי מידע שיפור רמת השירות בניהול רישום מאגרי המידע בשנת 2015 המשיכה רמו"ט במגמת ההתייעלות ושיפור רמת השירות הניתן לציבור המבקשים לרשום מאגר, ולציבור המעיין בפנקס. ההתייעלות כללה את אלה: • פיתוח שירות עיון בפנקס מאגרי המידע באתר האינטרנט של רמו"ט; • פיתוח שירות דיווח מקוון לביצוע דיווח של גוף ציבורי, המקבל מידע דרך קבע מגוף ציבורי אחר, בהתאם לחובה הקבועה בסעיף 23ד(ג) לחוק; • פיתוחשירותדיווחמקווןלביצועדיווחשלמחזיקשברשותולפחותחמישהמאגרימידעשלבעלים שונים, בהתאם לחובה הקבועה בסעיף א(ב) לחוק;17 • פרסום הוראות לציבור בנושא אגרות; • המשך פעילות טיוב הנתונים ששיפרה את רמת העדכניות של המרשם. 17 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח אכיפה מנהלית ופיקוח מבוא פעילויות האכיפה המנהלית והפיקוח, אשר מתבצעות על ידי המפקחים המוסמכים ברשות, נועדו להטמיע את הוראות החוק ואת חשיבותן בקרב הציבור, להגביר את הציות להן (בין היתר בדרך של הרתעה באמצעות הטלת קנסות מנהליים ושלילת האפשרות לעשות שימוש במידע במקרים של הפרת הוראות החוק), להעלות את תחושת המוגנות הציבורית ולהסדיר את התנהלות המשק. הפנמת הגופים הרלוונטיים במשק את ערך הפרטיות ואמונו הגדל של הציבור בהם, עקב כך, תורמים לפיתוח הצמיחה הכלכלית במשק ועל כן חשובים לאין שיעור. למפקחים ברמו"ט סמכות לדרוש ידיעות ומסמכים. הם גם רשאים להיכנס לכל מקום שיש יסוד להניח שמופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ בהתאם להוראות פקודת סדר הדין הפלילי מעצר וחיפוש)[נוסח חדש], התשכ”ט1969-(, אם שוכנעו כי הדבר דרוש לשם הבטחת ביצוע החוק וכדי למנוע עבֵרה על הוראותיו. עוד הם רשאים לבצע חקירות מחשב, כאשר לצורך כך ולצורך כניסה למקום המשמשלמגוריםבלבד,נדרשצושלשופטביתמשפטשלום.מפקחירמו"טהםחוקרימחשבמיומנים מוסמכים. רמו"טפועלתלחשיפתמקריםשלהפרתהוראותהדיןבאמצעותפעולותפיקוחיזומותובאמצעותמידע שהיא מקבלת ממודיעין סמוי וגלוי (רגולטורים וגופים ציבוריים, תקשורת, אזרחים מודעים, תלונות של נפגעים או מתחרים וכלים מודיעיניים ואיסופיים). כאשרמתגלההפרהשלהחוק,בידיהרשותמספרכליםלהתמודדותעםההפרה.הכליםיופעלובהתאם לחומרתההפרהולאופייהוהםכולליםאתהאפשרויותלדרושתיקוןמבוקרשלהליקויים6,לאסורשימוש במידע בדרך של התליית תוקפו של הרישום או ביטולו, והטלת קנס מנהלי בגין חלק מההפרות של חוק הגנת הפרטיות. קנס מנהלי מוטל בהתאם לחוק העבירות המנהליות, התשמ”ו1985- ולהנחיית היועץ המשפטי בנושא, כאשר ההפרה היא כזו שבגינה ניתן להטיל קנס וכאשר רף הראיות בתיק הוא מעל לספק סביר, מאחר שמדובר בסנקציה שהיא חלופה להגשת כתב אישום פלילי. ברמו"טנצברידערבוחשובעלמגווןרחבשלגופיםציבורייםוגופיםפרטייםממגזריםשוניםבמשקועל הדרךשבההםמנהליםאתמאגריהמידעשבהחזקתם.כמוכןנצברידעעלהפרויקטיםהשונים,עלסוגי המידע שנאספים ועל דרכי האיסוף, על מטרות השימוש במידע, על מגוון השימושים שנעשים בפועל, על העברות מידע בין גופים ומטרותיהן, על אמצעי אבטחת המידע שננקטים או לא ננקטים ועוד. הידע הזה משמש למיפוי תופעות כלל מגזריות או כלל משקיות ומהווה בסיס לגיבוש הנחיות שוק של הרשם וקביעת מדיניות בתחומים שונים (בין היתר בנושא של אכיפה), הנוגעים לניהול התקין של מידע אישי. 6 למשלבתחוםאבטחתהמידע,שבוישמשנהתוקףלמניעתהנזקמבעודמועד,ועלכןחשובביותרלהנחותמראשמההסטנדרטהנדרש וכיצדלתקןליקויים. 18 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח נתונים משנת 2015 במסגרת סמכותו של רשם מאגרי המידע לפקח על מילוי הוראות החוק טופלו 88 תיקי פיקוח והנחיה. בתיקים אלה נבדקה עמידתם של בעלי מאגרי מידע, ציבוריים ופרטיים, בדרישות החוק, נבחנו נושאים רוחביים וניתנו הנחיות לגופים ציבוריים בפרויקטים המשלבים אספקטים של שימוש במידע אישי. בנוסף,במהלךהשנההופנולבחינתטיפולבמישורהאכיפההמנהלית113פניותציבור:תלונות,בירורים, התייחסותלטיוטותוהנחיותהרשםובקשותלהנחיה,כאשר מתוכןהניבופעילותפיקוחמעמיקה.15.9% ב 60% מתיקי הפיקוח עסקה רמו"ט באכיפת זכותו של האזרח שהשימוש במידע על אודותיו יהיה רק למטרהשלשמהנאסף.בהקשרזהטיפלהרמו"טבשימושיםבמידעאישישמקורובלתיחוקי,בשימושים במידעעלידיגופיםציבורייםבניגודלהסמכהשבחוקובשימושיםשלאלמטרהלשמהנאסףהמידעעל ידי ארגונים במסגרת פעילותם העסקית, או על ידי גורמים שאינם מורשים בתוך הארגון. ב17%-מתיקיהפיקוחעסקהרמו"טבתחוםאבטחתהמידע,תחוםהזוכהבעתהאחרונהלתהודהעולמית ולאומית על רקע העיסוק הגובר בהגנת מידע במרחב הסייבר. בתיקים אלה נבדקה מראש עמידתו של בעלהמאגרבחובותאבטחתהמידע,כדילמנועאירועיזליגתמידעלמישאינומורשהלעשותבושימוש, וכן נחקרו אירועי אבטחת מידע חמורים שכבר התרחשו. ב23%- מתיקי הפיקוח נוהלו הליכי הנחיה ופיקוח על גורמים במגזר הציבורי, המנהלים מידע אישי לטובתמילוימשימתםהציבורית,כדילהבטיחאתעמידתםבדרישותהחוק.תיקיםאלהמקורםבפעולה יזומה של רמו"ט, בחקיקה ובבקשות למתן הנחיות מרמו”ט במקרים נקודתיים. התרשים שלהלן מתאר את התפלגות תיקי הפיקוח לפי הנושאים השונים שנבדקו במסגרת התיק: הסתיים הטיפול ב- 36 תיקי פיקוח, כאשר ב- 47% מהם ניתנו הנחיות לתיקון ליקויים וב14%- מהם נקבעה הפרה של החוק (כאשר ב21%- מתוכם הוטל גם קנס מנהלי או הותלה רישומו של המאגר, היינו נאסר לעשות שימוש במידע). 19 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח התרשים שלהלן מתאר את תוצאות התיקים שנסגרו: התפלגותתיקיפיקוחלפיתוצאותהטיפול להלן תרשים המתאר את התפלגות תוצאות התיקים לפי סוגם: התפלגותתוצאותטיפולבתיקלפיסוגהתיק בתיקי הפיקוח שהסתיימו נקבעו, בין היתר, הפרות של אבטחת מידע והפרות של שימוש במידע שלא למטרה לשמה הוקם המאגר. כמו כן, באחד התיקים הוטלו קנסות מנהליים על החברה ועל שלושת מנהליה, בוטל רישום מאגר מידע ולא אושרה בקשת רישום למאגר חדש. 20 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח להלן טבלת האכיפה בה מפורטות קביעות על הפרות הוראות חוק הגנת הפרטיות והסנקציה שהוטלה בגינן7: מועד שם המפר מגזר סעיף תיאור ההפרה הסנקציה קביעת שהוטלה ההפרה 01-02-16 קו מנחה – אינטרנט 17 בעקבות אירוע פריצה לאתר קביעת הפרה תפוז בע"מ האינטרנט תפוז אנשים, נבדקה רמת אבטחת המידע הננקטת במערכות של האתר ונמצא כי במועד הפריצה לא קוימו החובות המוטלות מכורח סעיף לחוק.17 22-11-15 משרד החוץ גופים 17 בעקבות אירוע פריצה לאחד קביעת הפרה ציבוריים מאתרי הקונסוליות, נבדקה רמת אבטחת המידע ונמצא כי נכון למועד הפריצה לא קוימו החובות המוטלות מכוח סעיף לחוק.17 22-07-15 דאטה רינגס שירותי 8 ב,)( 17א(ב), שימוש במידע המצוי במאגר קביעות - איסוף דיוור 9 המידע של מרשם האוכלוסין הפרות נתונים ישיר בניגוד למטרה שלשמה הוקם והטלת קנס בע"מ וטיוב המאגר; מינהלי נתונים שימוש במידע המצוי בפנקס הבוחרים בניגוד למטרה שלשמה הוקם המאגר; החזקה בחמישה מאגרי מידע ויותר החייבים ברישום, ללא מסירת דיווח לרשם; החברה לא הודיעה לרשם על שינויים בפרטי הרישום של מאגר המידע. 22-07-15 בעל/מנהל טיוב 17א(ב,) 8(ב), החזקה בחמישה מאגרי מידע קביעות מאגר נתונים 10 א)1()( ויותר החייבים ברישום, ללא הפרה, הטלת ושירותי מסירת דיווח לרשם; קנס מינהלי דיוור שימוש במידע המצוי במאגר וסירוב לרשום ישיר המידע של מרשם האוכלוסין מאגר מידע בניגוד למטרה שלשמה הוקם המאגר; שימוש במידע המצוי בפנקס הבוחרים בניגוד למטרה שלשמה הוקם המאגר. 7יצוין,כיבסךהכולנסגרו36תיקיםבשנת2015 כאשרבכמעטבמחציתמהםניתנולגופיםהמפוקחיםהנחיותלתיקוןליקויים., 21 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח 22-07-15 בעל/מנהל טיוב (ב),8 מאגר המידע הרשום שימש ביטול רישום מאגר נתונים ,9 לפעולות בלתי חוקיות, וכלל בפנקס מאגרי ושירותי 10 א)( ,)1( מידע שנתקבל ונאסף בניגוד מידע, קביעת דיוור 10 ו,)( לחוק; הפרות ומתן ישיר 17א(ב) לא ניתנה הודעה לרשם על הוראה לבער שינויים בפרטי הרישום של את המידע מאגר המידע; החזקה בחמישה מאגרי מידע ויותר החייבים ברישום, ללא מסירת דיווח לרשם; שימוש במידע המצוי במאגר המידע של מרשם האוכלוסין בניגוד למטרה שלשמה הוקם המאגר; שימוש במידע המצוי בפנקס הבוחרים בניגוד למטרה שלשמה הוקם המאגר; הגשת בקשה לרישום מאגר הכוללת פרטים שאינם נכונים לעניין איסוף המידע הפומבי, שמירתו והשימוש בו. 22-07-15 בעל/מנהל טיוב 17א(ב,) (ב)8 החזקה בחמישה מאגרי מידע קביעות הפרה מאגר נתונים ויותר החייבים ברישום, ללא והטלת קנס ושירותי מסירת דיווח לרשם; מינהלי דיוור שימוש במידע המצוי במאגר ישיר המידע של מרשם האוכלוסין בניגוד למטרה שלשמה הוקם המאגר; שימוש במידע המצוי בפנקס הבוחרים בניגוד למטרה שלשמה הוקם המאגר. 28-05-15 א.ר. נולדג' שיווק א(ב)17 החזקה בחמישה מאגרי מידע קביעת הפרה פור אול ויותר החייבים ברישום, ללא ודרישה בע"מ מסירת דיווח לרשם. לתיקון ליקויים 22 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח דוגמאות לתיקי פיקוח אכיפה מנהלית כלפי סוחרים במידע העושים בו שימוש לא חוקי - הליך הפיקוח התנהל כנגד אחת החברות המרכזיות במשק אשר מספקות שירותי דיוור ישיר לחברות מסחריות, לגופים ציבוריים ואף למשרדי ממשלה, עקב החשד שמקורות המידע בהם היא משתמשת אינם חוקיים לשימוש. החשד עלה בעקבות תלונות וממצאים בתיקי פיקוח אחרים כנגד גורמים מסחריים שונים (שהוגשו נגדם תלונות על פגיעהבפרטיותםשלאזרחים)ולפיהםהמידעהאישישברשותםנרכשמחברותהמספקותשירותידיוור ישיר והפועלות בגלוי במשק, וחברה זו הייתה הדומיננטית שבהן. בשנת 2005 נגנב, כזכור, מרשם האוכלוסין של מדינת ישראל, הועלה לאינטרנט באפליקציה שכונתה אגרון8, ומאז הוא היה נגיש באמצעות תוכנות לשיתוף קבצים. בנוסף, פנקסי הבוחרים שמשרד הפנים מפיץ לצורך קשר עם הבוחר ומימוש ההליך הדמוקרטי, מוצאים את דרכם לידיים שאינן מורשות להשתמש בהם ומעשירים את מרשם האוכלוסין הגנוב שעדכנותו הבסיסית מוגבלת לשנת 2005. במסגרת הליך הפיקוח הגיעו מפקחי רמו”ט לאתרי החברה, תפסו מסמכים וחומרי מחשב רבים וביצעו חקירת מחשב נרחבת על החומרים שנתפסו כדי לבדוק האם ביססה החברה את עסקיה על מידע בלתי חוקי. הממצאים הוכיחו שהחברה סיפקה שירותי טיוב נתונים, השבחת מידע והספקת מידע מפולח לפי פרמטרים דמוגרפיים וסוציו אקונומיים, על בסיס מרשם האוכלוסין הגנוב, עותקים של פנקסי בוחרים, מידע שהועבר לה על ידי לקוחות אחרים לשם טיוב וכריית מידע מאתרי אינטרנט בניגוד לדין. לאחר הליך שימוע, נקבע כי החברה הפרה את הוראות החוק, הוטלו עליה ועל מנהליה קנסות מנהליים, בוטל רישום המאגר בפנקס מאגרי המידע וסורבה בקשת רישום של מאגר נוסף של החברה. לאחר תשלום הקנסות הודיעה החברה על הפסקת פעילותה. תחקוראירועאבטחתמידעבחברתארכיב2000מקבוצתממן–מדוברבחברההמספקתשירותיארכיב, גניזה ואחזור מידע למשרדי ממשלה ויחידות סמך (כספקית מכרז חשכ”ל), לחברות ביטוח ובנקים, לבתי חולים וקופות חולים, למשרדי עורכי דין, לרואי חשבון ולחברות מובילות במשק. החברה מחזיקה מרכזיםלוגיסטייםגדולים,מאובטחיםוממוחשביםשבהםמאוחסניםכשלושהמיליוןמכליניירתלטווחי זמן שונים. מערכות המחשוב של החברה מאפשרות את ניהול מאגר המידע אודות תוכן ומיקום מיכלי הארכוב וכוללת מידע רגיש. מידע זה היה נגיש ללקוחות החברה דרך האינטרנט, בניגוד לדין. בתאריך 1.2.2015 נודע לחברה, על ידי אחד מלקוחותיה, כי בוצעה מתקפת סייבר על ידי גורם עוין פרו- פלסטינאיכנגדמערכותהמידעשלה.בדיקהראשוניתשלהחברההראתהכיאףשלמערכותהמידעשל החברה לא נגרם נזק, הועתקו קובצי המידע שבמסדי הנתונים על ידי הגורם העוין ודבר הפריצה פורסם באתר iPaste, תוך ציון כי המידע המלא יפורסם במהלך פעילות .9#OpIsrael 8 ראולענייןזהאתדו"חהרשותלמשפט,טכנולוגיהומידעלשנת.2011 9 #OpisraelאוIsrael(Operation)הינהמתקפתסייברשנתיתשלפעיליםפרו–פלסטינייםהמזדהיםכחלקמקבוצתאנונימוס,עלאתרים ממשלתייםוציבורייםבישראל.המתקפהמתרחשתמדישנהב6-או7באפרילוכוללת,בעיקר,שימושבמתקפתמניעתשרותמבוזרת,)DDOS( השחתהוהחלפתתוכןבאתריםישראליים ),פרסוםמידעשנגנבוכד'.Defacement( 23 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח רמו”ט קיבלה דיווח לעניין האירוע, ביצעה לאחריו איסוף מידע ראשוני וערכה פיקוחים בחוות השרתים של החברה לבירור עובדות האירוע, אופי והיקף המידע שנגנב רמת אבטחת המידע בחברה. כמו כן, הועתקושרתהאינטרנטובסיסיהנתוניםשמהםנלקחהמידעלשםבחינתרגישותהמידעשנגנבוהלוגים, נותחו תחקירי גופים מקצועיים ומופתה התנהלות החברה מול לקוחותיה לצורך בחינת אפשרויות להקטנת הנזק. בעקבות תחקור המידע שנתפס במסגרת הפיקוח, נשללה הטענה הראשונית של החברה לפיה היקף הפריצה היה מזערי ונתגלו חריגות משמעותיות נוספות אשר מאפשרות זליגה של כמות מידע לא מבוטלת ממערכות החברה. רמו”ט נתנה הנחיות מידיות לתיקון ליקויים במישור של אבטחת המידע ונקבע כי עד למועד האירוע, לא עמדה רמת אבטחת המידע בשרתי החברה בסטנדרט אבטחת המידע הנדרש בחוק וכי החברה שמרה מידע רגיש עודף במסדי נתוניה. הפוטנציאל של השלכות אירוע הפריצה חייבו ביצוע תהליך של היערכות כוללת והקטנת נזק לקראת פרסוםאפשרישלהמידעבמסגרתפעילותOpIsrael#.רמו”טבשיתוףפעולהעםמטההסייברהלאומי קיימה פגישה רוחבית עם כלל הרגולטורים הענפיים במשק, בה הוצג המקרה ותוארו הנזק הפוטנציאלי לקראת פרסום אפשרי וההיערכות הנדרשת. כמו כן, נקבעו מעגלי שיתוף ידע וניתנו הנחיות והמלצות ארגוניותוטכניותלרגולטוריםהענפיים.במקבילביצעהרמו”טמיפוישללקוחותהחברההמהוויםנפגעים פוטנציאליים, הרגולטורים הענפיים יודעו לגביהם והחברה הונחתה לפנות אליהם לבחינת פוטנציאל הנזקולנקיטתצעדימניעהלצמצומו.כמוכן,הגדירהרמו”טצעדימניעה,בקרהוצמצוםהנזקונבנהתיק דברור עם חדר המצב במטה הסייבר ועם דוברות המשרד מול אמצעי התקשורת, למקרה של פרסום האירוע. תחקורשלאירועאבטחתמידעבאתרתפוזאנשיםהמופעלעלידיחברתקומנחהתפוזבע”מ–במהלך ניטור שוטף של הרשת בדבר דליפות מידע רגיש, איתרה רמו”ט פרסום בדבר פריצה לבסיס הנתונים של אתר תפוז שבה נגנב והועלה לרשת האינטרנט מידע אישי אודות משתמשי האתר, ופתחה בהליך פיקוח. במסגרת ההליך מצאה רמו”ט כי חברת קו מנחה לא מילאה את חובתה כבעלת מאגר מידע לנקוטאמצעיאבטחתמידענאותיםלפיהחוקוהתקנותולאעמדהבסטנדרטיםהנדרשים.רמו”טקבעה הפרהשלחובתאבטחתהמידעוהמפוקחתהשיבהשהפיקהלקחיםמןהאירועוכישידרגהאתאבטחת מערכותיה לשם צמצום חשיפתה לאירועים עתידיים ולשם קיום הוראות החוק. פיקוח על התקנה ושימוש במצלמות אבטחה ומעקב ביישוב לבון - בעקבות תלונה של אזרח בדבר פגיעה בזכות לפרטיות על ידי היישוב הקהלתי לבון שבמשגב, בשל שימוש במערכת מצלמות אבטחה ומעקב שהתקין היישוב, פתחה רמו”ט הליך פיקוח בנושא ובדקה אם המערכת עומדת בקנה אחד עם הנחיית רשם מאגרי המידע מס’ 4/2012 “שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן” מיום 10.21.10.2012 במסגרת הפיקוח נבדקו תהליכי קבלת ההחלטה להקמת המערכת במועצה ובקהילת לבון, אופן יידוע התושבים והמצולמים בדבר המערכת, תנאי אבטחת המידע של השמירה והגישה לנתונים המוקלטים, כיווני המצלמות במרחב הציבורי והפרטי, רזולוציית המערכת ויכולות ניטור המידע. נקבע כי לא הייתה הפרה של הנחיית הרשם, וניתנו הנחיות לגבי השימוש הנכון במערכת. .http://www.justice.gov.il/Units/ilita/subjects/HaganatHapratiyut/MeidaMerasham/Hanchayot/42013.pdf10 24 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 אכיפה מנהלית ופיקוח פיקוח על פעילות חברת אי.אר.אן בע”מ בדבר איסוף מידע אישי של לקוחות בתי עסק המשלמים באמצעות המחאה - החברה נותנת שרותי פירעון המחאות לבתי עסק, באמצעות איסוף מידע על לקוחותיהם המשלמים בהמחאה. בעקבות תלונה על איסוף מידע זה ללא הסכמת הלקוח, נפתח הליך פיקוח ברמו”ט. ממצאי הפיקוח העלו כי החברה אינה מפעילה מנגנון שיוודא כי הלקוח מיודע ומסכים לאיסוף המידע על אודותיו. בעקבות פגישות ודיונים עם רמו”ט נתנה הרשות הנחיות לחברה – אופיין ואושר פתרון טכנולוגי המוודא כי הלקוח אכן הסכים לאיסוף המידע וחתם על כך וכן אושר תהליך של פתרון ביניים עד ליישום הפתרון הטכנולוגי, נקבעו לוחות זמנים ליישום המערכת הטכנולוגית והתבצעה בקרה על תהליך הטמעת המערכת. תחקור אירוע אבטחת מידע וגניבת דיסק גיבוי ממאגר המידע הסטטיסטי בענף רכב מנועי – פקודת רכב מנועי [נוסח חדש], התש”ל1970-” והתקנות שהותקנו על פיה מסמיכות את משרד האוצר לנהל שני מאגרי מידע לצורך ביטוח רכוש וביטוח חובה: 1( מאגר שנועד למנוע הונאות בביטוח;) 2() מאגר סטטיסטי המכיל מידע מחברות הביטוח וממשרד התחבורה ונועד לנתח ולהוזיל את מחירי פוליסות ביטוחהחובה.חברתרוןבינהאקטואריתבע”מזכתהבמכרזבנוגעלהחזקתהמאגרהסטטיסטיוניהולו. מרגע הדיווח של אגף שוק ההון במשרד האוצר, על גניבת דיסק הגיבוי של המאגר, פתחה רמו”ט בהליך פיקוחי שבמסגרתו נאסף מידע ממשרד האוצר ומהחברה על היקפי המידע ורגישותו, אופן פעילות החברה והתנהלותה מול הרשויות, ספקים וחברות הביטוח, רמת אבטחת המידע שהיא מנהלת ופרטי האירוע. ממצאי הפיקוח העלו שהחברה לא הגדירה נוהלי אבטחה פיזית ולוגית מספקים למערך גיבוי המידע ולמערך המחשוב והתקשורת שבחברה, אשר לא צוידו במערכות אבטחה מספקות לניטור, לחסימה ולהתראה על אירועי אבטחת מידע ולרישומי גישה, ולכן לא עמדה החברה בסטנדרט אבטחת המידע הנדרש על פי החוק והתקנות. רמו”ט העבירה הנחיות לתיקון ליקויים לחברה ולאגף שוק ההון במשרד האוצר באשר לרישום הנכון של הבעלות וההחזקה במאגר, אופן ניהולו ורמת אבטחת המידע הנדרשת. כמו כן נפתח הליך פיקוחי משלים של מאגר ההונאות בביטוח המנוהל על ידי זוכה אחרת במכרז משרד האוצר, כדי למצות את הבדיקה ולהגדיר את השינויים הנדרשים גם בניהול מאגר מידע רגיש זה. 25 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פרויקטים ממשלתיים בהנחיית רמו”ט פרויקטים ממשלתיים בהנחיית רמו”ט מבוא הנחיית גופים המקימים פרויקטים ממשלתיים מאפשרת הטמעה של עקרונות הגנה על מידע אישי. הטמעה זו הנה חיונית שכן היא מאפשרת את הקונספט של תכנון לפרטיות Design( by Privacy) – שיטה להגנה על הפרטיות על ידי הטבעתה כבר בעיצוב האפליקציה או הטכנולוגיה החדשה. מדובר בגישה יוזמת להבדיל מגישה מגיבה. בדרך זו אנו מונעים פגיעה בפרטיות בלי לוותר על קידמה, חיסכון והתייעלות באמצעות שימוש בטכנולוגיות ובשירותים מתקדמים. בשנים האחרונות תופסים תאוצה פרויקטיםממשלתייםמבוססייישומיםטכנולוגיים.למעשה,כמעטכלפרויקטטכנולוגיממשלתימשלב נושאים של פרטיות ומידע אישי שחיוני לבדוק אותם כבר בשלב הייזום ולכן מעורבותה של רמו”ט הכרחית בשלב זה כדי להנחות, לקדם ולאשר את המתווה הנכון למימוש הפרויקט. דוגמאות לפרויקטים ממשלתיים בהנחיית רמו”ט תשתית שיתוף מידע בתחום נתוני האשראי – במהלך 2015 השתתפה רמו”ט בוועדה לשיפור המערכת לשיתוף בנתוני אשראי שבראשות המועצה הלאומית לכלכלה במשרד ראש הממשלה. הוועדה דנה בצורך להקמת תשתית שיתוף מידע בתחום נתוני האשראי, על מנת לקדם את התחרות בשוק האשראי הקמעונאי לטובת ציבור משקי הבית. לאחר שהמלצות הוועדה התקבלו ע”י הממשלה, ליוותה רמו”ט את תהליך החקיקה ואת המהלכים המקדמיים להקמת הפרויקט בבנק ישראל. פרויקט זה משקף את התועלות הרבות שניתן להפיק מדיגיטציה של מידע לצד הסיכונים לפגיעה בפרטיות שיש לתת להם מענה בתהליך הייזום וההקמה של הפרויקט. רמו”ט הנחתה את בנק ישראל כיצד ליישם עקרונות הגנה עלהפרטיותDesign(byPrivacy)בתהליךהקמתהפרויקט,הןמבחינתהשימושיםבמידעוהןמבחינת הגנת המידע וכיצד לפעול כך שההגנה על הפרטיות תימשך לכל אורך חיי הפרויקט. בהצעת החוק ובאפיוןהראשונישלהפרויקטהוטמעועקרונותרביםשלהגנהעלהפרטיותובראשםמינוי‘ממונההגנה על הפרטיות בבנק ישראל.11’ הטמעת אפליקציית MDM Management( Device )Mobile - מערכת מרכזית לניהול מרחוק של טלפונים חכמים וחפיצים חכמים אחרים המוחזקים בידי העובדים - בראשית שנת 2015 פרסם הממונה על התקשוב הממשלתי הנחיה12, המחייבת את משרדי הממשלה להטמיע מערכות MDM. המערכת מיועדת לצמצם את סיכוני אבטחת המידע הנוצרים בזמן סנכרון המכשירים הניידים לשרת הדואר המשרדי, הן למידע הנשמר ברשת המשרד והן למידע הנשמר במכשירים הניידים. בשל יכולות הניטור, האיכון והמעקב המובנות במערכת, קיים בה פוטנציאל ממשי לחשיפת מידע אישי ורגיש של העובד, כגון מיקומו הפיזי בכל נקודת זמן וסוגי האפליקציות המותקנות על מכשירו. כדי למזער את החשש לפגיעה בפרטיות העובדים וכדי להגביל את השימוש במערכת רק לצרכים החיוניים למימוש תכליתה, 11 ממונההגנהעלהפרטיותהינופונקציהפניםארגונית,שמטרתהלפעוללהפנמהקבועהשלעקרונותהגנתפרטיותבתהליכיהעבודהשל הארגון,ולפקחעלכךבאופןשוטףכדישהארגוןיממשאתחובותיוואתאחריותולפידיניהגנתהפרטיות. 12 הנחייתמת"מ6.2.2 26 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פרויקטים ממשלתיים בהנחיית רמו”ט הנחתה רמו”ט את רשות התקשוב לעניין תוכן ההנחיה. רמו”ט אף דרשה כי עובד יחובר למערכת רק לאחר קבלת הסכמה חופשית ומדעת שלו וכתב הסכמה מפורט שניסחה רמו”ט, צורף כנספח להנחיה. עם הפעלת המערכת במתכונת ניסויית במשרד המשפטים סייעה הרשות בכתיבת נוהל הפעלה משרדי מפורט ועמדה על ביצועו של סקר למיפוי הסיכונים הכרוכים במערכת. גיבוש מדיניות שימוש בשירותי מחשוב ענן בממשלה - בשנת 2015 פעלה הרשות בשיתוף עם רשות התקשוב הממשלתי לגיבוש מדיניות של הגנת המידע הממשלתי, בעת שימוש של משרדי הממשלה בשירותי ענן ציבורי הממוקם מחוץ לגבולות ישראל. מטרת המדיניות היא להגדיר את התהליך הנדרש לצורך קבלת החלטה של משרד ממשלתי אם להעביר או להקים מערכת מידע בענן ציבורי, ולפרט את השיקולים שיש לשקול במסגרת תהליך קבלת החלטה כזו, החל משיקולים של צמצום סיכונים לפגיעה בפרטיות ועד היכולת ליישם אמצעי אבטחת מידע אפקטיביים. קהל היעד של המדיניות הינו: מנהלי משרדי הממשלה ויחידות הסמך, ממוני הגנת הסייבר במשרדי הממשלה וביחידות הסמך והיועצים המשפטיים שלהם. הנורמות החלות במקרה זה הינן תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידעשמחוץלגבולותהמדינה),תשס”א2001-והנחייתרשםמאגרימידע2-2011שימושבשירותימיקור חוץ Outsourcing() לעיבוד מידע אישי. כחלק מהמדיניות שנקבעה לעניין זה, הוקמה ועדה שמטרתה בחינתתכניותמעברלשימושבשירותיענןבממשלהובמיוחדבחינתמקריםבהםמבוקשלהעבירמידע אישי. מאז כניסת המדיניות לתוקף, נתבקשה הוועדה להמליץ ביחס לתכניות מעבר לשימוש בשירותי ענן של משרד הכלכלה, משרד התיירות, רשות מקרקעי ישראל ומשרד האוצר. 27 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות החקירות והאכיפה הפלילית פעילות החקירות והאכיפה הפלילית מבוא גידול מסיבי בהיקפי המידע החשוף לפגיעה המנוהל כיום באמצעות תשתיות BigData, כמו גם שפע של מידע אישי הניתן לאיתור באמצעות כלים שונים במרחבי הרשת, מאפשרים ואף מקלים על ביצוע עבירותבתחוםהמידעהאישי.מנגד,כליאבטחתהמידעמתקשיםלעמודבקצבההתפתחויותהללו.כמו כן, ההתחקות אחר פעילותו של עבריין המידע האישי, זהותו והתועלת שהפיק ממעשיו, נעשית מורכבת ומאתגרתיותר,משנהלשנה.זאת,ביןהיתר,בשלההתפתחותהמואצתשלהטכנולוגיותהקיימותבשוק. כךלדוגמה,השימוששלעברייניםבטכנולוגיותמבוססותענןההופכותאתטביעותהאצבעשלהעבריינים לנדיפות, העובדה כי ישנו גידול משמעותי בשימוש בטלפונים ניידים מסוגים שונים שמקשה על איתור פעילות המשתמשים בהם והשימוש של העבריינים בשירותים ברשת תוך כדי הסוואת פעילותם. בנוסף, לא ניתן עוד לדבר על מונחים כגון ‘מיקום המידע’ ואף ‘תצורת המידע’ בשל ההתנהלות הדינמית של מידע ברשת, היינו הניידות הרבה של המידע והשינויים באופן שימורו. האכיפה הפלילית ברמו”ט13 נועדה לתת מענה לתופעות חמורות בתחום המידע האישי והפרטיות, המתרחשותבמרחבהדיגיטלי,והיאמשמשתלהגנהאפקטיביתעלהזכותהחוקתיתלפרטיות.מטרתה,בין השאר, להגביר את ההרתעה מפני הפגיעה בפרטיות באמצעות ענישה משמעותית במקרים המתאימים. האכיפה הפלילית אף מגבירה את תחושת המוגנות של הציבור ומזינה את השיח הציבורי ובכך תורמת להעלאת חשיבותה של הגנת המידע האישי בעיני הציבור, בעיני העושים בו שימוש ובעיני האמונים על שמירתו. תלונותמגיעותלרמו”טממקורותשונים:גורמיםמסחריים,אנשיםשסבוריםכיפרטיותםנפגעה,מקורות תקשורתיים וגופי אכיפה אחרים כגון משטרה או רשויות חקירה אחרות אשר מביאים מידעים לפתחה של הרשות. כמו כן, חקירות יכולות להיפתח כתוצאה מפעילות מודיעינית של הרשות. החשדות אף הם מתפרשים על פני קשת רחבה של התנהגויות: עובדים מבפנים והאקרים מבחוץ, מתחרים עסקיים וסוחרים בלתי חוקיים של מידע. במסגרת פעילות האכיפה הפלילית מתבצעות חקירות תחת אזהרה, נתפסים חומרי מחשב לרבות במכשירים סלולריים ומתבצע ניתוח של מידע דיגיטלי מורכב באמצעים מתקדמים. לעתים במהלך החקירה, מתבצעות עבירות של שיבוש חקירה אשר נותנות משנה תוקף לחשיבות שבחקירה ממוקדת ומהירה שתקטין את האפשרות של דריסתן והיעלמותן של הראיות הדיגיטליות מ’הזירה’. תיקי החקירה של רמו”ט מועברים לפרקליטות המדינה לצורך הגשת כתב אישום וניהול משפט פלילי נגד הנאשמים. רמו”טפועלתבהצלחהלחשיפהולטיפולבעבירותבתחוםהמידעהאישיולגילויהעברייניםהמסתתרים לעתים מאחורי אמצעים טכנולוגיים ועושים בהם שימוש. חוקרי רמו”ט הינם חוקרי מחשב מיומנים. 13עבירותבגיןפגיעהבפרטיותהינןעבירותמסוגפשעשעונשמאסרבןחמששניםבצדן. 28 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות החקירות והאכיפה הפלילית להלן עיקרי פעילות האכיפה הפלילית שננקטה בשנת :2015 תיק 973 מדובר בחקירה מורכבת, בין היתר בשל חלוף הזמן עד לגילוי הפעילות העבריינית. תיק זה משקף היטב אתהרגישותוהבעייתיותשבנדיפותושלמידע,בנתיביהפצתוהשוניםוהמתרביםבסיועהטכנולוגיהוכן את הקושי הטמון בהחזרת המצב לקדמותו לאחר שהמידע הוצא מהמקום בו היה שמור. האפוטרופוס הכללי והכונס הרשמי (להלן האפ”כ) מנהל את רכושם של נעדרים ונפקדים הכולל, בין היתר, נכסי נדל”ן וחשבונות בנק. במסגרת תפקידו, מנהל האפ”כ מאגר מידע ובו פרטים על אלפי נכסי מקרקעין(מגרשים,דירותומבנים)ברחביהארץ,בשוויהנעביןכמהעשרותאלפישקליםלכמהעשרות מיליוני שקלים לנכס וזאת עד למציאת בעליו או יורשיו החוקיים (להלן המאגר המלא). חלק ממידע זה מופיע כרשימה באתר האינטרנט שמפעיל האפ”כ; במאגר המלא מופיע מידע נוסף אודות אותם נכסים, מידע שנסתר מהציבור הרחב. פרטים אלו משמשים, בין היתר, לזיהוי היורשים הבאים לטעון לבעלותם על הנכס או לזיקתם אליו. ברמו”ט התנהלה חקירה אשר חשפה כי עותק מהמאגר המלא הודפס בחודש ספטמבר 2000 (להלן התדפיס) והועבר לגורמים שונים, חלקם עברייניים, אשר פעלו על מנת להפיק רווח כלכלי מהמידע המצוי במאגר. המידע מתוך התדפיס עבר עיבוד ממוחשב לצורך ביצוע סריקה איכותית שמאפשרת עיבודי מידע על גביהמסמךהסרוק.עותקמהמאגרהמלאאףנסרקוהועלהעלגביתקליטורשכללכ250-קובציתמונה שמייצגים עמודים שונים של המאגר המלא. החקירה הובילה לאיתור מספר חשודים: החשוד אשר המאגר הגיע לידיו, החשודים שביצעו את העיבוד של התדפיס וביקשו את סריקתו תוך כדי ש”ניסו לממש את הפוטנציאל שבו”, כדבריהם. חשודים אלה אף פעלו לשיבוש מהלכי החקירה. עלפיממצאיהחקירה,המידעשבמאגרהמלאעודנומידעאישירגיש,כלכליורלוונטיוזאתעלאףחלוף הזמןממועדהוצאתהמאגרהמלאממשרדיהכנ”ר.כמוכן,בעתהאחרונהנעשהניסיוןנוסףלהפיקרווח כלכלי מהמידע המצוי בו. התיקהועברלפרקליטותכשהואכוללראיותלכאורהלביצועעבירותעלפיחוקהגנתהפרטיותועבירות נוספות לפי חוק העונשין, התשל”ז- 1987. תיק 1027 אחדמתפקידיהשלרמו”טהינוהגברתהמודעותהציבוריתלחובותהשמירהעלמידעאישיולשימושים המותרים בו. דוגמה טובה למודעות זו הפגינו עובדי רשות ציבורית (להלן הגוף) בתיק 1027. תחילתה של החקירה בפנייתו של העובד האחראי על המחשוב באותו גוף אל היועץ המשפטי, בטענה כי מנהל בכיר בגוף 29 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות החקירות והאכיפה הפלילית (להלן החשוד) דרש ממנו את ססמת המנהל admin() והוא נאלץ למוסרה לו. היועץ המשפטי של אותו גוף פנה לרמו”ט בעניין. בירור ראשוני העלה כי הסיסמה, אשר על פי החשד דרש החשוד מאחראי המחשוב, אפשרה גישה למאגרי המידע המתנהלים באותו גוף. מאגרים אלו מכילים, בין היתר, מידע רב אודות אנשים ובכלל זה מידע כלכלי, מידע אודות קטינים ועוד. כמו כן אפשרה הסיסמה גישה לקובצי האימייל ולמסמכי העבודה של העובדים באותו גוף. לפיכך, נפתחה חקירה פלילית ברמו”ט. על פי ממצאי החקירה, בעקבות לחץ שהפעיל החשוד על אחראי המחשוב, מסר לו האחרון את סיסמת המנהל בניגוד לעמדתו המקצועית. בעקבות אירוע זה פנה אחראי המחשוב אל היועץ המשפטי ואל החשב של הגוף ויידע אותם על האירוע. כעבור שעות ספורות שינה אחראי המחשוב את הסיסמה. עקב מעשיו אלה הוא הורחק מהעבודה לזמן קצר על ידי החשוד. החקירה בחנה בין היתר את השאלה האם המנהל הבכיר ביצע פעולות הכנה שיאפשרו לו להשתמש בסיסמהולהיכנסבאמצעותהלמאגריהמידעהמתנהליםבאותוגוף.כמובןנבדקהגםהאפשרותשנעשה ניסיון להיכנס או בוצעה כניסה למאגרי המידע האמורים. במסגרתהחקירה14,בוצעהחקירהפורנזיתמעמיקהאשרכללהאיסוףוניתוחמידעמתנועותומרישומים שנעשו ברשתות המחשבים השונות, ניתוח מערכת ההרשאות והשינויים שהתרחשו בהן, הצלבה מול מצלמות אבטחה ועוד. במקביל בוצעה חקירה פרונטלית של החשוד ושל עדים אחרים, כאשר עמדה מול החוקרים העובדה כי בין המעורבים בתיק לבין עצמם (ביניהם: אחראי המחשוב, החשוד ועובדים נוספים) הייתה קיימת מערכת יחסים עכורה. איסוף המידע וניתוחו הובילו למציאת אינדיקציות שונות בדבר האפשרות שנעשה שימוש לא חוקי בסיסמה על ידי אדם אחר מאשר אחראי המחשוב, בסמוך למסירתה. עם זאת, בסופה של החקירה לא נמצאו ראיות מספיקות להמלצה להעמיד לדין. כתוצאה מתובנות שעלו במהלך החקירה, נשקל פרסום הנחיה בנושא חובות הזהירות של מנהלי מאגר מידע והיחסים בינם לבין בעלי תפקידים בכירים נוספים בארגונים בהם מנוהל המידע. תיק 1064 במרכזו של התיק15 חשדות לסחר במידע רפואי; העברת שמותיהם, מספרי הטלפון ופרטים מזהים רבים נוספים של חולים בבתי חולים, ללא ידיעתם, לידי חברות פרטיות לצורך שיווק ומכירת שירותים הרלוונטיים למצבם הרפואי. 14 במהלךחקירהמסוגזהנאספותראיותדיגיטליותשיפריכואויחזקואתהגרסאותהשונותשמסרוהמעורבים. 15 התיקעדייןבחקירהפעילהולכןלאניתןלצייןפרטיםנוספיםלגביו.ככלשניתןיהיהלחשוףלגביופרטיםמשמעותייםוהשתלשלותעניינים, יתווספואלהלנוסחהסופישלהדו"חלאחרקבלתהערותהמועצה. 30 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 המעבדה הפורנזית המעבדה הפורנזית ברשות פועלת מעבדה פורנזית התומכת בפעילות האכיפה. המעבדה מספקת את התשתית לאיסוף, לעיבוד ולניתוח של החומר הדיגיטלי שנתפס במהלך פיקוחים וחקירות. מחזור הטיפול המלא בראיות דיגיטליות, לרבות התפיסה, ההעתקה, העיבוד והחיפוש בתוך המידע עצמו, מנוהל באמצעות תשתיות המעבדה. המוטיב המרכזי בעבודתה של המעבדה הפורנזית הוא היכולות הטכנולוגיות שהיא מאפשרת בכל הנוגע לעיבוד מידע דיגיטלי ולהערכת טיבו, היקפו ושימושיו. המעבדה היא גוף דינמי הנותן מענה לחקירותטכנולוגיותתוךשמירהעלעדכנותטכנולוגית,נוכחהשינוייםהרביםהמתחולליםבעולםהמידע. עבודת המעבדה מתאפיינת בשילוב של מאפייני החקירה הדיגיטלית המסורתית אל מול מערכות המידע ושל צורכי חקירה עכשוויים מודרניים. העבודה על תיקי חקירה מצריכה ניתוח מקביל של מידע ממקורות שונים ובתצורות שונות. כלי החקירה המקובלים בעולם הדיגיטלי מהונדסים כדי להתאימם לעבודה עם ראיות והיקפי מידע גדלים והולכים. להתקדמות הדיגיטלית השלכות הן על הצורך בשינוי שיטותחקירהנהוגותוהןעלהצורךביצירתםשלתהליכיםחדשים.התפתחותרוחבהפסובמקבילעושר השירותים הניתנים ברשת והיקפם, מרחיבים בהדרגה את מרחב החקירה לאזורים של אינטרנט, של רשתות ושל אובייקטים מרוחקים (חומרה או תוכנה). ההתפתחויות הטכנולוגיות בתחום הענן והשימוש הרחב במכשירים ניידים הם אתגרים מתפתחים המחייבים את עובדי המעבדה להעשיר, באופן שוטף, את הידע ואת הכלים העומדים לרשותם. בהמשך להתפתחות הווירטואליזציה בעשור האחרון, שיטות הפעולה של עברייני המידע משתנות ונידוף הראיות בלחיצת כפתור נעשה קל מתמיד. כיוון שהעיסוק בתחום המידע האישי בראייה פלילית ומנהלית מציף פערים בין המצב המשפטי לקצב התפתחות הטכנולוגיה, הרי שאחד האתגרים הגדולים ביותר של מעבדה העוסקת בחקירות ובניתוח ראיותהוא-יצירתתוואיפעולהשמשלבביןפעולותחקירהמקוונותושאינןמקוונותלביןתיעודראיות והצגתן המיטבית בבית המשפט. גם השנה, עברה המעבדה הפורנזית שדרוג טכנולוגי כדי להתאימה לצורכי העבודה הגדלים והמשתנים. במהלך שנת 2015 הורחבו הכלים הפורנזיים המשמשים את חקירות המחשב והוקמה תשתית תומכת לעבודת המודיעין שנדרשת לאכיפה הרשותית. בהמשך מתוכנן שדרוג תשתיתי נוסף למעבדה והוספת יכולות חקירה מתקדמות להתקנים סלולריים. 31 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות משפטית פעילות משפטית תיקון ועדכון חוק הגנת הפרטיות ותקנותיו תפקידמרכזיבמישורהפעילותהמשפטיתשלרמו”טהואייזוםעדכוןחקיקתהגנתהפרטיותוהתאמתה למציאותהטכנולוגיתהנוכחיתוהעתידיתולצורכירמו”טהנובעיםממשימותיה.עבודהזונעשיתבשיתוף הדוק עם מחלקת ייעוץ וחקיקה (חקיקה) במשרד המשפטים שאחראית לפרסום תזכירי חוק ולהעברת טיוטות תקנות לשרת המשפטים. במסגרת זו עסקה רמו”ט בשנת 2015 במשימות אלה: • הושלםניסוחתקנותהגנתהפרטיות(אבטחתמידע),התשע”ו–;2016תקנותאלה,שטיוטותמוקדמות שלהן פורסמו להערות הציבור בשנת 2010 ובשנת 2012 וגרסה מתקדמת הופצה לסבב הערות נוסף בשנת 2015, חיוניות להבאת סטנדרט ההגנה על מידע אישי בכל סוגי מאגרי המידע במשק, לרמה נאותה ולהגברת יכולת האכיפה של חובת אבטחת המידע הקבועה בחוק. במאי 2016 אישרה שרת המשפטים את נוסח התקנות ואת העברתן לאישור וועדת החוקה חוק ומשפט של הכנסת. • פעילות לקידום הדיון בהצעת חוק הגנת הפרטיות (תיקון מס’ 12 (סמכויות אכיפה), התשע”ב-) 16,2011 אשר עברה בקריאה ראשונה במהלך כהונתה של הכנסת ה17.18- הטמעת עקרונות ההגנה על מידע אישי בחקיקה, בהליכי משפט ובהסכמים בינלאומיים גיבוש עמדת רמו”ט בנוגע ליוזמות חקיקה – במהלך השנה גיבשה הרשות את עמדתה באשר ליוזמות חקיקהממשלתיותופרטיותולטיוטותתקנותשמכיניםמשרדיהממשלהבפריזמהשלהגנתמידעאישי. לדוגמה:בשנת2015ליוותהרמו”טאתהצעתהחוקלהסדרתהשימושבכרטיסחכםבתחבורההציבורית; הצעתחוקהגנתהפרטיות(תיקון–הזכותלהישכח),התשע”ד2014-;טיוטתהתקנותשהוכנולביצועחוק ההוצאהלפועל(תיקוןמס’43 התשע”ד2014-),;טיוטתתקנותהספרייההלאומית(גישהלציבורלארכיון של אתרי אינטרנט); הצעת חוק אומנה לילדים, התשע”ו2016–; טיוטת תקנות מס הכנסה (חובות זיהוי, דיווח וניהול רישומים של חלפני כספים, וכללים לניהול ואבטחת מאגר המידע), תשע”ד – 2015; הצעת חוק עסקאות גופים ציבוריים (תיקון-חובת שימוש במסמכים ממוחשבים), התשע”ה2015-; חוק לתיקון פקודת התעבורה (מס’ 113) התשע”ה 2015- וטיוטת תקנות התעבורה (הפעלת מצלמות בידי רשות מקומית לשם תיעוד שימוש שלא כדין בנתיב תחבורה ציבורית), התשע”ו2016–; תקנות לטיפול סביבתי בציוד חשמלי ואלקטרוני ובסוללות (אופן פרסום בדבר הטלת עיצום כספי), התשע”ו2015-. סיועבייצוגרמו”טבהליכיםמשפטייםשהיאצדלהםובהכנתעמדותהיועץהמשפטילממשלהבהליכים משפטיים אחרים – רמו”ט מגבשת עמדה משפטית, אוספת חומר ומסייעת לפרקליטות בכל הנדרש להכנת כתבי בי-דין ולייצוג הרשות או עמדתה בדיונים בערכאות משפטיות. 16 מטרתההמרכזיתשלההצעההיאעדכוןושיפוריכולותהפיקוחוהאכיפהשלרמו"ט,כדילתתמענההולםלסיכוניםהגובריםלזכות לפרטיותבעידןהסייברועיבודהמידעהדיגיטלי.הדרישהבהצעההיאלסטכליםבסיסייםשיאפשרולרשותאכיפהאפקטיביתומימושתפקידיה וייעודה. 17 הצעתהחוקעברהבקריאהראשונהבכנסתה18- אולםהדיוןבהלאנסתייםגםבמהלךכהונתהשלהכנסתה19-,ולכןלאניתןהיהלהחיל עליהשובדיןרציפות.הצעתהחוקנועדהלעדכןאתכליהאכיפהואתמנגנוניהפיקוחהנתוניםלרשםמאגריהמידעולכןהיאחיוניתלעבודה תקינהשלהרשות. 32 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות משפטית כךלמשלבשנת2015סייעהרמו”טבאופןמשמעותיבגיבושעמדתהיועץהמשפטילממשלהבתובענה אזרחיתובתשובהלעתירהלבג”ץשעסקובאופןהפצתמאגריפסקיהדיןמהנהלתבתיהמשפטלחברות המאגרים המשפטיים ובהחלטת הנהלת בתי המשפט לחייב את החברות למנוע מִפתּוח של המאגרים למנועי חיפוש באינטרנט18. כמו כן נטלה רמו”ט חלק משמעותי בגיבוש העמדה שהוגשה מטעם היועץ המשפטי לממשלה לבית הדין הארצי לעבודה, בעניין השימוש בשעוני נוכחות ביומטריים במקומות העבודה19. במקרה אחר סייעה רמו”ט בגיבוש עמדת היועץ בתובענה ייצוגית שהסתמכה, בין השאר, על הנחיית רשם מאגרי המידע בנוגע למצלמות מעקב ובתובענה ייצוגית שעסקה20, בין היתר, בהנחיית הרשםבנושאפעילותמכוניהמיון21.התייחסותרמו”טנדרשהגםלעתירהלבג”צכנגדשרהפניםורשויות מקומיותשביקשהלאסורעלהשימושבמצלמותמעקבלשםאכיפתעבירותחנייה,בשיםלב,ביןהשאר, להנחיית הרשם בעניין מצלמות המעקב כנזכר לעיל22. רמו”טסייעהגםבגיבושעמדתהיועץהמשפטילממשלהובהגשתתגובותלבתיהמשפטבשורהארוכה שלעתירות,המרצותפתיחהוערעוריםשנסובוסביבהפעלתאפליקציהשלשירותחנייהארצי.ההליכים בהם היו מעורבים החברה למשק וכלכלה של השלטון המקומי, מילגם חניה סלולרית בע”מ (הפועלת תחת שם המותג “פנגו”) וגורמים נוספים, העלו מגוון שאלות ביחס לעיבוד מידע אישי, לרבות: אופן רישוםמאגריהמידע;חלוקתהחובות,הזכויותוהסמכויותביןבעלהמאגרלביןהמחזיקבו;תוכןומתכונת הסכמת נושאי המידע להעברת מידע בין בעל המאגר לבין המחזיק בו בפועל ולמחזיקים פוטנציאליים אחרים; הצורך בהסמכה בחקיקה לשם ניהול מאגר מידע בידי רשויות המדינה. עתירה נוספת שהצריכה מעורבות וייעוץ של הרשות עסקה בפעילות רמו”ט בכובעה כממונה על חוק שירותנתוניהאשראיוהעלתהשאלה בדברהאיזוניםהראוייםביןהזכותלפרטיותלביןמימושהתכליות העומדות בבסיס חוק שירות נתוני אשראי, התשס”ב2002- ותקנותיו23. הסכמים בינלאומיים – איסוף, החזקה ועיבוד של מידע אישי הפכו זה מכבר לרכיב מרכזי ואינהרנטי בחיי המסחר הבינלאומי וביחסי הגומלין ושיתוף הפעולה בין רשויות ציבוריות בישראל לבין המקבילות להןבעולם.בשנת2015,כמוגםבשניםקודמות,ליוותהרמו”טהליכימשאומתןלקראתגיבושהסכמים בינלאומיים שונים, בילטרליים ומולטילטרליים כאחד, בתחום הסחר ובתחום שיתוף הפעולה בין משרדי ממשלה בישראל לבין רשויות זרות. כדי לוודא כי התחייבויות בינלאומיות שהמדינה שוקלת לקבל על עצמה אינן סותרות את הדין הפנימי בישראל בתחום הפרטיות והגנת המידע האישי, חיוותה רמו”ט את עמדתההמשפטית–מקצועית בפניהמחלקהלהסכמיםבינלאומייםבמשרדהמשפטים,מינהל סחרחוץ במשרדהכלכלהומשרדיהממשלההאחריםהנוגעיםבדברוהעירההערותיהעלטיוטותמגווןההסכמים שעמדו על הפרק. לדוגמאTiSA–AgreementServicesinTrade:מו”מלהסכםרבצדדילסחרבענפיהשירותיםשיזמה קבוצה של 53 כלכלות ומדינות לנוכח אי התקדמות מספקת במו”מ המתקיים במסגרת ארגון הסחר העולמי ).WTO( 18 ת"צ(ת"אבתיהמשפט(פורסםבנבו,))12.11.201534134-01-12שווימרנ'חשביםה.פ.ס.מידעעסקיבע"מ;בג"ץ5870/14חשבים ה.פ.סמידעעסקיבע"מנ'הנהלתבתיהמשפט.ביום12.11.15קיבלביתהמשפטהעליוןבשבתוכבג"ץאתהעתירהוביטלאתהחלטתהנהלת בתיהמשפטהמחייבתלמנועמפתוח-http://elyon1.court.gov.il/files/14/700/058/t15/14058700.t17.htm 19 עס"קארצי.בתיהמשפט(פורסםבנבו,)12.11.20157541-04-14הסתדרותהמעו"ףנ'עירייתקלנסואה.הדיוןהדיוןבביתהדיןהארצי לעבודההתקייםביום6.5.2015וההחלטהבערעורעלהחלטתביתהדיןהאזורי,נכוןלעתפירסומושלדו"חזה. 20 ת"צמחוזית"א5034510/13דודאנגורנ'בנקלאומילישראלבע"מ 21 ת"צמחוזית"א52961-03-12אלשלוםנ'אדםמילאבע"מ 22 בג"צ867/15אורהכהןנ'שרהפניםואח' 23 עת"מ(מנהלייםי-ם61149-11-15נסיםאילןנ'רשםשירותינותניאשראי 33 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות במישור הבינלאומי פעילות במישור הבינלאומי בשל ההתפתחויות הטכנולוגיות ברשתות התקשורת והמידע, עוברים ברחבי העולם היקפים אדירים של מידע ומכאן שלדיני הגנת המידע יש היבטים בינלאומיים רבים. לשיתוף פעולה בינלאומי באכיפת דיני הגנת הפרטיות והמידע ישנה חשיבות רבה שכן רוב פעולות איסוף המידע האישי והשימוש בו נעשותבאמצעותתשתיתהאינטרנטובידיחברותבינלאומיותאובידיחברותלאומיותהפועלותבמרחב הווירטואלי.אתגריהאכיפהשלדיניהגנתהפרטיותוהמידעדומיםברובהמדינותהדמוקרטיותשמקנות לפרטיות מעמד של זכות יסוד חוקתית. שיתופי פעולה בין רגולטורים מאפשרים הפריה ולמידה הדדית בתחומי האכיפה והמדיניות ולפיכך תורמים לחיזוק ההגנה על המידע, הן במישור הלאומי והן במישור הגלובלי. פעילות ענפה במישור הבינלאומי חיונית כדי לשמור על מעמדה הבינלאומי של מדינת ישראל בנושא ההגנה על המידע24, וכדי לקדם את האינטרסים הכלכליים שלה. בשל כך רמו”ט חברה בפורומים בינלאומיים שמטרתם לקדם את ההגנה על המידע ולייצר שיתופי פעולה בנושאי מדיניות ואכיפה. להלן עיקרי פעילות רמו”ט במישור הבינלאומי בשנת 2015: היערכות להשלכותיו של ביטול הסדר Harbor Safe בין האיחוד האירופי לארצות הברית ביום 6.10.2015 פרסם בית הדין לצדק של האיחוד האירופי EUCJ() פסק דין תקדימי בעניין Schrems Commissioner Protection Data v. שבו בוטלה ההכרה האירופית בהסדר Harbor“ Safe” משנת 2000 בין האיחוד האירופי לבין ארצות הברית. עד למועד ביטולו, אִפשר ההסדר העברת מידע אישי ממדינותהחברותבאיחודהאירופיאלארגוניםבארצותהבריתשהתחייבולעמודבתנאיו,ללאהמגבלות הביורוקרטיות החלות על ייצוא מידע מאירופה למדינות שאינן חברות באיחוד. בעקבותפסקהדין,פרסמהרמו”טלידיעתהציבורהודעותעדכוןבענייןההשלכותשלפסיקתביתהדין האירופי על הדין בישראל. בפרסומי הרשות הוסבר שתקנה 2()8(2) לתקנות הגנת הפרטיות (העברת מידעאלמאגרימידעשמחוץלגבולותהמדינה),התשס”א2001-(להלןהתקנות)תולהאתהיתרההעברה של מידע אישי למאגרי מידע מחוץ לישראל, בכך שבדין האירופי קיים היתר לייצא מידע אישי למדינה הנעברת. לכן, ביטול תוקפו של הסדר Harbor Safe בין ארצות הברית לבין האיחוד האירופי חסם, למעשה,אתהאפשרותהחוקיתלהשתמשבתקנה2()8(2)כבסיסלהעברתמידעאישימישראללארצות הברית. עם זאת, שבה רמו”ט והבהירה בהודעותיה שבתקנות ישנם מסלולים נוספים להעברת מידע אישי מחוץ לגבולות ישראל, לרבות לארצות הברית. בהמשך, עם היוודע דבר התארכותם של המגעים בין האיחוד האירופי לבין ארצות הברית, לקראת הסכם הדוק יותר שיחליף את הסדר Harbor Safe, פרסמה רמו”ט כיבתקופתבינייםזואינהיוזמתפעולותאכיפהבענייןהעברותמידעלארצותהבריתלפיתקנה2()8(2) לתקנות, ובמקביל הבהירה שפניות ותלונות פרטניות בעניינן ייבדקו לגופן. 24 בשנת2011הכירהאיחודהאירופיבישראלכבעלת"רמתהגנהנאותה"בתחוםשלהגנתהפרטיותבמידעאישיADEQUACY()והתיר להעביראליהמידעללאמגבלותבירוקרטיות. 34 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות במישור הבינלאומי חברות בפורומים בינלאומיים • ועדת CDEP Policy( Economy Digital on Committee) של הארגון לשיתוף פעולה כלכלי –)OECD( רמו”ט, בשיתוף עם משרד התקשורת, משמשת כנציגת ישראל בוועדה זו ומשתתפת בדיונים בסוגיות שונות של פרטיות ואבטחת מידע בכלכלה הדיגיטלית. הוועדה עוסקת בניסוח הנחיות ובהכנת מסמכי עבודה בנושאים שונים שתכליתם לפתח את הכלכלה הדיגיטלית שמגלמת יתרונות כלכליים וחברתיים עצומים, בין היתר באמצעות הגברת אמון הציבור בה - למשל על ידי חיזוק ההגנה על המשתמשים בה, לרבות שמירה על פרטיותם ועל אבטחת המידע שלהם. • קבוצת העבודה SPDE Economy( Digital the in Security and Privacy) של הארגון לשיתוף פעולה כלכלי )OECD( – ראש רמו”ט משמש נציג ישראל בקבוצת עבודה זו שעוסקת בנושאים הנמצאים בליבת דיני ההגנה על הפרטיות והמידע. קבוצת העבודה פועלת תחת ועדת CDEP ומייעצת לה בנושאים הקשורים לפרטיות ולאבטחת מידע. קבוצת העבודה מכינה לדיון בוועדת CDEP ולאישורה ניירות עבודה, המלצות והנחיות הנוגעים להיבטים של פרטיות ואבטחת מידע בכלכלה הדיגיטלית. במהלך שנת 2015 עסקה קבוצת העבודה בנושאים מגוונים ובכלל זה מדיניות סייבר ופרטיות, ניהול זהויות דיגיטליות, ניהול סיכונים לפרטיות, שימוש משני במידע רפואי, שיתוף פעולה באכיפת דיני ההגנה על המידע ועוד. • הכנסהבינלאומיה37-שלנציביהגנתמידעופרטיות-רמו”טנוטלתחלקבכנסהבינלאומישלנציבי הגנת מידע ופרטיות. חברי הכנס מתכנסים אחת לשנה, דנים בנושאים שונים ומקבלים החלטות. באוקטובר 2015 השתתף ראש רמו”ט בכנס הבינלאומי ה37- של נציבי הגנת מידע אישי ופרטיות. במסגרתהכנסנדונונושאיםרבים,ובהםמידערפואי,פרטיותאלמולשיקוליבטחוןומודיעין,יישום הבנות בנושאי אכיפה בינלאומית, פרטיות בעידן הדיגיטלי, ועוד. • קבוצת ברלין - בנובמבר 2015 הצטרפה רמו”ט לData- on Group Working International Telecommunications in Protection המכונה Group .Berlin בקבוצת העבודה חברים נציגי רשויות להגנת מידע אישי ופרטיות והיא פועלת בכפיפות לכנס הנציבים. קבוצת העבודה מכינה ניירותעמדהמשמעותייםבנושאיםשוניםהקשוריםלהגנתמידעבתחוםהטלקומוניקציהוהמשמשים בסיס לדיונים והחלטות בכנס הנציבים. • רשתשיתוףפעולהבאכיפתהגנתהפרטיותבמידע- Network(EnforcementPrivacy)Global GPEN הרשת הוקמה ב2010- בהמלצת הארגון לשיתוף פעולה ופיתוח כלכלי OECD(). מדובר ברשת לא פורמלית הכוללת 59 רשויות להגנת מידע אישי ופרטיות מ43- מדינות בעולם. מטרת הרשת היא לכונןשיתופיפעולהחוציגבולותביןרגולטוריםשלפרטיותבשוקגלובליגדלשמתנהליםבומסחר ופעילות צרכנית, המבוססים על העברת מידע אישי בין הגבולות. חברי הGPEN- חברו יחדיו לחיזוק הגנתהפרטיותהאישיתבהקשרהבינלאומי.רמו”טפעילהמרכזיתבGPEN-ואףחברהבוועדהמנהל לצדהרשויותלהגנתמידעופרטיותאישישלקנדה,אנגליה,ארצותהבריתוהונגקונג.פעולותהארגון מגוונות וביניהן שיחות ועידה חודשיות בנושא אכיפת דיני הגנת הפרטיות והמידע, אתר אינטרנט שניתן להפיץ בו שאילתות וניתן לדון בו בנושאים מקצועיים, מפגש דו שנתי (המפגשים מוצמדים לכנס הנציבים ולמפגש השנתי לתיאום אכיפה (להלן)) ופרויקט הSweep- (להלן). 35 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות במישור הבינלאומי • פרויקטהSweep-–פרויקטאשרבמסגרתומבצעותרשויותהאכיפההחברותבארגוןפעולותאכיפה בנושא שהוסכם עליו מראש. הארגון מסכם את תוצאות הפעילות ומפרסם את הנתונים לציבור. יתרונות הפרויקט רבים: הרשויות מחליפות ביניהן תובנות בנוגע לשיטות פיקוח ואכיפה ופעולות האכיפה מקבלות חשיפה תקשורתית מקומית ובינלאומית, המגבירה את ההגנה על הפרטיות ואת המודעות לחשיבות הנושא. ב2015-השתתפהרמו”טבפעילותאכיפהמשותפתל29-רשויותלהגנתמידעאישיופרטיותמרחבי העולם החברות בGPEN-. הפעילות התמקדה באיסוף מידע אישי באמצעות אפליקציות המיועדות לילדים ובמסגרתה נערכה בדיקה של אתרי אינטרנט ואפליקציות ברחבי העולם.1494 הממצאים מתוך ריכוז הנתונים הכלל עולמי, מצביעים בין היתר, על אלה: 67% מהאפליקציות אשר נבדקו אוספות מידע על ילדים; רק 31% מהאפליקציות מיישמות מנגנונים להגבלת מסירת מידע אישי על ידי ילדים. חמור מכך, נמצא כי חלק מהשירותים שבהם ילדים אוהבים להשתמש פוטרים עצמםמאחריותעלידיכךשבתנאיהשימוששלהםנכתבכיהשירותאינומיועדלילדים.בכךנמנעים שירותיםאלהמליישםמנגנוניםלהגבלתאיסוףמידעמילדים;50%מהשירותיםמשתפיםאתהמידע האישי שאספו עם צדדים שלישיים; 22% מהשירותים מבקשים מספרי טלפון ומאפשרים העברות סרטוני וידיאו ותמונות; 58% מהשירותים מאפשרים לילדים לעבור לשירותים חיצוניים לשירות המקורי; רק 24% מהשירותים מעודדים מעורבות הורית; 71% מהשירותים אינם מעניקים אפשרות נגישה למחיקת המידע. יצוין, כי נמצאו גם מנגנונים חיוביים להגנה על ילדים ובהם לוח מחוונים להורים, מנגנונים מובנים למניעת שיתוף המידע עם צדדים שלישיים וכן אזהרות בזמן אמת שלא למסור מידע אישי. כמו כן, נמצאה אפליקציה של צ’אטים המאפשרת לילדים לתקשר אך ורק באמצעות משפטים הכלולים ברשימה סגורה אשר אושרה מראש. בישראל ההתבצעה הסריקה על ידי רמו”ט במהלך חודש מאי 2015 על ידי רמו”ט. במהלך הסריקה נבחרו אתרים ישראליים פופולריים לילדים ולנוער ולגביהם נבדק סוג האתר (אתרים חינוכיים, אתרי משחק,אתריםחברתיים,ערוצימדיה),האםמדוברבאתרהמיועדלילדיםאורקפופולריבקרבילדים, מהי מדיניות הפרטיות באתר, האם האתר כולל פרסומות, האם האתר אוסף מידע מהמשתמשים (באופן ידני על ידי המשתמש או באופן אוטומטי), האם האתר מעביר מידע זה לצדדים שלישיים ומהן יכולות השליטה והבקרה של ההורים על פעילות הילד. 36 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 פעילות במישור הבינלאומי מבדיקת 20 האתרים הפופולריים בישראל עלה: כי רוב האתרים 74%( כוללים מסמכי מדיניות ברורים.) עם זאת, רוב האתרים 74%( אוספים מידע על ילדים ובני נוער (כש-) 63% מהאתרים אוספים מידע באופן אוטומטי, היינו איסוף על ידי עוגיות, מזהה מחשב או IP, זאת בנוסף להקלדת מידע ידנית על ידי המשתמש) ו- 63% מעבירות מידע זה לגורמים שלישיים. רוב האתרים מאפשרים התערבות הורים וכמחציתם אף מספקים ממשק בקרה מיוחד להורים. באופן כללי נציין כי 79% מהאתרים קיבלו ציון חיובי על שמירת הפרטיות של הילד. 37 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 כנס שיתוף פעולה בינלאומי באכיפה Enforcement Coordination Annual Event רמו”ט חברה בפורום העוסק בתיאום אכיפה בינלאומית ושתכליתו לממש החלטה של כנס נציבי ההגנה עלהפרטיות,לפיהמדינותהחברותבפורוםישתפופעולהבנושאאכיפתהגנתהמידעוהפרטיות.בחודש יוני 2015 השתתפה נציגת רמו”ט בכנס שארגנה רשות הגנת המידע הקנדית OPC(). בכנס נערך דיון שנסב על גיבוש מדיניות וכללים לשיתוף פעולה בין מדינות חברות בGPEN- (לעיל), כולל הצגת פיילוט לבניית תשתית לשיתוף מידע בין המדינות החברות בפורום וביצוע פעולות אכיפה משותפות. כמו כן נדונו היבטי הפגיעה בזכות הפרטיות עקב שימוש של המדינה בתעודת זהות ביומטרית. 38 רמו״ט|רשםמאגרימידע|דו"חלשנת2015 40