הרשות להגנת הפרטיות פרסמה דו"ח שנתי לסיכום פעילותה ב-2021
מאת:
מערכת Telecom News, 22.5.22, 13:09
בדו"ח ניתן להתרשם מפעילותה הענפה של הרשות, לרבות פעולות האכיפה בהם נקטה, מידע על פניות הציבור שהתקבלו ופעולות להנגשת מידע בנושאי פרטיות לציבור הרחב.
הדו"ח המלא 49 עמודים -
כאן.
להלן תקציר הדו"ח:
פעילות אכיפה בתקופת משבר הקורונה
מחלקת האכיפה ברשות המשיכה בביצוע פעולות אכיפה בהתחשב בשימוש הרב במידע רפואי, שנעשה ע"י משרדי הממשלה, גופים ציבוריים וגופים פרטיים בתקופת הקורונה. בין היתר, נסובו פעולות האכיפה על העברת מידע אישי ממשרד הבריאות לרשויות המקומיות השונות ולידי עיריות. בפרט, הושם דגש על השימוש, שעושות העיריות במידע, אופן שמירתו, ורמת אבטחת המידע של המידע המועבר אליהם אודות חולים ומבודדים ממשרד הבריאות.
כ"כ, התמקדה הרשות באירועי אבטחת מידע, שאירעו בגופים האוספים מידע מלקוחותיהם ביחס למצבם הבריאותי, באפליקציות המספקות מידע ביחס לחולי קורונה, ובטיפול במידע, שהועבר לרשויות המדינה השונות ולא אובטח כראוי.
פעילות האכיפה אף התמקדה בהתנהלות גורמי ממשל, ארגונים וחברות, שבמהלך תקופת משבר הקורונה עסקו בתהליכים, שכללו איסוף מידע אישי בצורה לא מאובטחת וניהולו ברמה לא נאותה.
פעילות הרשות בנושא איתור מגעים של חולי קורונה באמצעות שירות הביטחון הכללי
במהלך 2021 הגישה הרשות חוות דעת מקצועיות לצוות השרים, שדן בשימוש באיכוני השב"כ לשם התמודדות עם מניעת התפשטות המגיפה. זאת, עד למועד הפסקת ההסתייעות בשב"כ בשלהי מרץ 2021. במסגרת חוות הדעת עמדה הרשות על הצורך לשקול את התועלת השולית של כלי השב"כ לנוכח היקפי ההתחסנות הגדולים של האוכלוסייה באותה עת, ולנוכח גודלו ויעילותו של מערך החקירות האפידמיולוגיות. עוד ציינה הרשות, בהמשך לחוות הדעת, שהוגשו על ידה, שככל שיש כוונה לבצע הפסקה מדורגת של השימוש בכלי ניתן לשקול, למשך תקופת מעבר קצובה, מנגנון לפיו השימוש בכלי השב"כ יוגבל אך ורק למקרים בהם החולה המאומת אינו משתף פעולה כלל בחקירתו (על פי התרשמות המתחקר בחקירה האנושית), או שלא מסר מגעים כלל.
מתווה זה, שהציעה הרשות, אומץ באופן מלא ע"י ביהמ"ש העליון בפסק הדין, שניתן על ידו בהרכב מורחב, בראשית מרץ 2021, שעסק בחוקתיות החוק המסמיך של איכוני השב"כ. ביהמ"ש העליון הורה על צמצום שימוש בכלי באמצעות קביעת קריטריונים ברורים, ובסופו של דבר, הורתה ועדת החוץ והביטחון של הכנסת על הפסקת השימוש בכלי בשלהי מרץ 2021.
קידום חקיקה
לאחר הקמת הממשלה הנוכחית ביוני 2021, ומיד בתום העבודה הממשלתית על חקיקת ההסדרים, שב והניח שר המשפטים את תיקון 14 לחוק הגנת הפרטיות על שולחנה של ועדת השרים.
בנובמבר 2021 אישרה ועדת השרים לחקיקה את הצעת החוק לתיקון 14. הצעת החוק לתיקון 14 כוללת הרחבה משמעותית של סמכויות האכיפה של הרשות, עדכון כלל העבירות במאגרי מידע, עדכון כל ההגדרות המהותיות בחוק וצמצום של חובת רישום מאגרי מידע.
בינואר 2022 הונחה ההצעה על שולחן הכנסת, ואושרה בקריאה ראשונה. בפברואר 2022 קיימה ועדת החוקה, חוק ומשפט של הכנסת דיון ראשון בהכנת הצעת החוק לקריאה שניה ושלישית. בד בבד, נמשכה ב-2021 העבודה האינטנסיבית על רפורמה מקיפה נוספת של הוראות החוק בעניין מאגרי מידע (תיקון 15).
פירוט תוצרי אכיפה שנקבעו על ידי הרשות בשנת 2021 לפי תחומים:
·
29 תיקי אכיפה בנושא שימוש במידע שלא למטרה, איסוף ללא הסכמה, אי מתן זכות עיון.
·
32 אירועי אבטחה חמורים, שטופלו (במסגרתם נפתחו 15 תיקים).
·
5 תיקים בנושא חתימה אלקטרונית.
·
30 החלטות רשם גורמים מאשרים.
·
2 תיקים פליליים בהם הורשעו 6 חשודים.
·
2 תיקים פליליים בהם התקבלו גזרי דין כנגד חשודים.
· תיק פלילי אחד בו הוגש כתב אישום.
·
216 תיקי פיקוח רוחב, 60 פיקוחי מעקב.
יצוין, שב-2021, בעקבות מגפת הקורונה והמעבר של המשק לעבודה מרחוק, השקיעה הרשות משאבים רבים לטיפול בבקשות להנפקת חתימה אלקטרונית על גבי התקן רשתי (
HSM), כדי לאפשר תהליכים של הזדהות מרחוק באמצעות חתימה אלקטרונית. במסגרת זו, הגדירה הרשות נהלים חדשים להגשת בקשות של גורם מאשר להנפקת אמצעי חתימה על גבי התקן רשתי, ופעלה לבחינה טכנולוגית מעמיקה ולטיפול דחוף במאות בקשות בנושא.
בין היתר, נתקבלו 30 החלטות רשם בנושא כדי להעניק לכל הפונים לרשות מענה במסגרת לוחות זמנים ראויים, תוך בחינת כל הפניות והבקשות באופן קפדני, לאור רמת והיקף הסיכונים החדשים אליהם מתייחס האישור להנפקה על גבי התקן רשתי.
הליכי אכיפה מנהליים בעקבות אירועי אבטחה חמורים
ב-2021 התקבלו ברשות 108 דיווחים אודות אירועי אבטחה חמורים, והרשות קבעה תוצרי אכיפה ב-32 מהם ופתחה ב-15 הליכי פיקוח מנהלי בתחום אבטחת המידע. אירועי אבטחה חמורים אירעו בסקטורים שונים, ובהם הסקטור הציבורי, הפיננסי והבריאותי.
פעילות מערך פיקוחי הרוחב
ב-2021 השלימה הרשות 224 תיקי פיקוח רוחב (אודיט). פיקוחי הרוחב בוצעו בארבעה מגזרים, שהוגדרו ע"י הרשות כמגזרים בעלי סיכון גבוה לפגיעה בפרטיות. במסגרת פיקוחי הרוחב שביצעה, פנתה הרשות לגופים במגזרים הבאים: חברות כוח אדם והשמה; חברות קמעונאות מזון ודלק; מרפאות וגופים המעניקים שירותי כירורגיה וקוסמטיקה רפואית, וקרנות ביטוח וגמל.
בנוסף, ביצעה הרשות פיקוחי מעקב, שבחנו את אופן תיקון הליקויים ויישום ההנחיות, שקבעה הרשות ע"י הגופים, שנדרשו לכך במסגרת הליך פיקוח הרוחב, שנערך ב-2019
.
כ"כ, בנוסף על הליכי הפיקוח, שהושלמו בא-4 המגזרים, שפורטו לעיל, החלה הרשות ב-2021 בפיקוחי רוחב בקרב 216 גופים ב-5 מגזרים, לרבות חברות הפועלות במגזר התחבורה הדיגיטלית ואפליקציות תשלום מבוססי מיקום; גופים הפועלים במגזר אפליקציות בריאות דיגיטלית ומתן שירותי רפואה מרחוק; גופים במגזר התקשורת; בתי חולים וגופים המשתייכים למגזר העמותות והמגזר השלישי
.
ניתוח של אחוז שיפור הליקויים בחתך מגזרי מדגים כיצד ברוב המגזרים עליהם פיקחה הרשות היה שיפור משמעותי בתיקון הליקויים לאחר הפיקוח, שערכה הרשות. ממוצע שיפור הליקויים של 14 המגזרים עומד על 57.44%. בנוסף, על הגופים לעדכן את הרשות בדבר לוחות הזמנים וסיום תיקון יתר הליקויים
.
פניות ציבור
ב-2021 התקבלו ברשות כ 1,670 פניות בתחום הגנת הפרטיות, מתוכן 349 סווגו כתלונות (לשם השוואה, ב-2020 התקבלו ברשות 1,591 פניות בתחום הגנת הפרטיות, מתוכן 422 סווגו כתלונות)
.
במהלך 2021 קיימה הרשות כנסים ופורומים לציבור הרחב ולמגזרים ספציפיים. בין היתר, קיימה הרשות את הכנס השנתי בסימן "הגנת הפרטיות: אתגרי היום והמחר", פורום למגזר הציבורי בנושא צמצום מידע עודף במסגרתו אף הוצג תסקיר השפעה על הפרטיות ופורום בנושא הגנת הפרטיות במגזר השלישי, שכלל, בין היתר, הרצאה בנושא "פרטיות בעידן המידע" ובנושא תקנות הגנת הפרטיות (אבטחת מידע)
.