מערך פיקוח הרוחב הוקם בשנת 2018, לצד זרועות האכיפה הפלילית והמנהלית ברשות להגנת הפרטיות. המערך מקיים פיקוחי רוחב מגזריים או נושאיים לבחינת יישום החוק והתקנות במגזרים שונים במשק הישראלי. המערך פועל לאיתור הפרות של החוק, להגברת מודעות המשק להוראות החוק, לאיתור כשלים ענפיים הדורשים התערבות והנחיות מיוחדות ולקבלת תמונת מצב מגזרית לגבי עמידה בהוראות הדין.
במרץ 2021, פרסמו הרשות להגנת הפרטיות ומשרד המשפטים דו"ח המסכם את פיקוחי הרוחב של הרשות להגנת הפרטיות בקרב גופים שונים בין השנים 2018-2021. להלן סיכום הממצאים.
מידע כללי על תהליך הפיקוח
בשנת 2020 ביצעה הרשות 224 הליכי פיקוח רוחב. בימים אלו מסתיים הליך פיקוח הרוחב אשר החל בשנת 2020 ומצוי בשלבי בחינת ממצאי פיקוחי המעקב ובחינת אופן תיקון הליקויים על-ידי הגופים שנדרשו לכך. בנובמבר 2021 יצאה הרשות ל-216 הליכי פיקוח רוחב, הליך הפיקוח צפוי להסתיים במהלך חודש מאי 2022.
עמידה בקריטריון 'בקרה ארגונית וממשל תאגידי'
ברוב מגזרי הפיקוח שנבחנו נמצאו פערים בקריטריון זה אשר בוחן את קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות ואת מינויים של גורמים בעלי אחריות בתחום.
במגזרים הכוללים מידע רפואי (גופי מימוש זכויות רפואיות, מכונים רפואיים ומעבדות, מרפאות בריאות הנפש) נמצא כי נהלי אבטחת המידע אינם מכסים באופן מלא את הדרוש על פי תקנות הגנת הפרטיות לאבטחת המידע כגון הוראות בדבר האבטחה הפיסית והסביבתית של המאגר, הרשאות גישה, תיאור אמצעי הגנה ואופן הפעלתם והוראות למורשי הגישה לצורך שמירתו. אף נמצאו גופים בהם כלל לא קיימים נהלי אבטחת מידע!
בדיקות העלו כי אין בקרה ראויה על מתן הרשאות למידע לעובדים חדשים, והם לא עוברים מיון או סינון באשר למידע שאליו הם מקבלים גישה. במגזר הרשויות המקומיות נמצאו פערים דומים.
ביקורת תקופתיות וסקרי סיכונים לא בוצעו באופן מלא הן במגזר הרשויות המקומיות והן במגזרי הפלטפורמות הלימודיות לקטינים, מכונים ומעבדות רפואיות, וחברות האחסון (בהן הדבר חמור במיוחד, שכן הן מחזיקות ומעבדות מידע עבור צדדים נוספים מלבדן).
עמידה בקריטריון 'ניהול מאגרי מידע'
קריטריון שבוחן את אופן קבלת ההסכמה לשימוש במידע אישי, האם השימוש במידע תואם את המטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר וכו'.
ומעבדות רפואיות נמצאה רמת עמידה בינונית-נמוכה בקריטריון זה.
נמצא פער משמעותי בין רמת עמידתם הגבוהה יחסית של גופים גדולים ממגזרים אלו בהוראות חוק הגנת הפרטיות, לבין גופים קטנים שרמת עמידתם בהוראות החוק נמוכה יחסית. בגופים אלו נמצאו ליקויים שנבעו מטיפול לא הולם בתהליך איסוף המידע והיעדר אפשרות לעיין או לתקן מידע על ידי בעליו. ממצאים דומים נמצאו גם במגזר מועדוני הלקוחות.
במגזרים הכוללים מידע רפואי (גופי מימוש זכויות רפואיות, מגזר בריאות הנפש) נמצאו פערים בנושא מתן הודעה לנושא המידע בעת איסוף המידע, בניגוד לקבוע בחוק כי חובה לציין אם חלה חובה חוקית למסור את המידע, פירוט מטרת איסוף המידע ולמי יימסר, ולאילו מטרות. במהלך הביקורת עלה כי חלק מהגופים השתמשו במאגר לא למטרה לשמה הוקם, וכן נמצא כי חלק מהגופים אינם שומרים/מתעדים את אופן קבלת הסכמת נושאי המידע למסירת המידע וידועם בדבר הזכויות המוקנות להם מכוח החוק. נמצאו גופים אשר לא אפשרו לנושאי המידע לשנות או לתקן את המידע המוחזק אודותיהם כנדרש בחוק.
עמידה בקריטריון 'אבטחת מידע'
קריטריון הבוחן את אופן העמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע).
בקרב מגזר הרשויות המקומיות, מגזר נותני שירותי סיוע במימוש זכויות רפואיות ומגזר מועדוני הלקוחות, המהווים 50% מהגופים שנבדקו, נמצאו ליקויים בניהול הרשאות גישה למאגרים (בין אם בהעדר תהליכים נאותים לניהול ההרשאות ובין אם בהעדר הפרדת תפקידים ומתן ההרשאה לפי עקרון הצורך לדעת בלבד). בנוסף, נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים, בין אם בהעדר הגבלות על שימוש באמצעים אלו, או בהעדר הצפנה נאותה. בקרב גופים רבים אף לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע.
מרבית הגופים שנבדקו מחזיקים את מאגרי המידע בענן ובחוות שרתים שונות, המספקים שירותי אבטחת מידע שונים.
עמידה בקריטריון 'עיבוד מידע אישי במיקור חוץ (outsourcing)'
נושא עיבוד מידע אישי במיקור חוץ הבוחן בין היתר את אופן ההתקשרויות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו, והאופן בו הם מבטיחים הגנה על המידע, נמצא לוקה בחסר באופן מובהק בכלל המגזרים שבוצע בהם פיקוח.
כ-75% מהגופים לא עומדים באופן מלא בהנחיות הרשות בעניין זה. מרבית הליקויים נמצאו בנושאים של היערכות להתקשרות עם ספק מיקור חוץ (outsourcing) לשם מתן שירותי עיבוד מידע אישי, אופן עיבוד המידע האישי במיקור חוץ, ופעולות מספקות בכדי לוודא שספק מיקור החוץ נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע.
מרבית הגופים נמצאו ככאלה שאינם מבצעים התקשרות עם ספק מיקור חוץ לפי הוראת תקנה בצורה מספקת לפי חוק, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ, ולא מבצעים פעולות בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם ביניהם, והתקנות.
קריטריון 'העברת מידע בין גופים ציבוריים'
קריטריון שבודק את קיומן של ועדות הבוחנות את הצורך במידע, אי העברת מידע עודף, והסמכות להעברת וקבלת מידע מגופים ציבוריים ואליהם.
קטגוריה זו נבדקה בקרב בקרב מרפאות בריאות הנפש, וכן בקרב רשויות מקומיות.
במגזר מרפאות בריאות הנפש נמצאה עמידה בקריטריון ברמה גבוהה. עיקר הפערים שנמצאו (ושלא באו לידי ביטוי בציון המשוקלל בקטגוריה זו), נבעו מחוסר ידיעה של הגופים המעבירים מידע בנוגע לחובתם בהקמת ועדה להעברת מידע בין גופים ציבוריים.
ברשויות המקומיות נמצאה רמת עמידה בינונית-נמוכה במרבית הגופים. עיקר הליקויים נבעו מאי-הקמת ועדה להעברת מידע בין גופים ציבוריים בהתאם לנדרש בתקנות. כמו כן, עלה כי הרשויות המקומיות שעמדו בקריטריונים ברמה נמוכה/בינונית כלל אינן מנהלות רישום בדבר העברות המידע.
שיפור ותיקון ליקויים בעקבות הליך הפיקוח בעת ביקורת המעקב לפי מגזרים
בעת הפיקוח נבחן הליך תיקון הליקויים אצל הגופים בעקבות בדיקות משנים קודמות, וכן נבחנת העמידה בלוחות הזמנים שהוגדרו ליישום תכנית תיקון הליקויים שטרם תוקנו. מהממצאים של הפיקוח עולה כי ממוצע תיקון הליקויים של 14 המגזרים, עומד על 57.44%, מתוכם ב-6 מגזרים שיעורי התיקון היו מעל הממוצע.
הגרפים להלן מציגים את היקף הליקויים שתוקנו, ואת הליקויים שטרם תוקנו, הן בהיבט של מספר הליקויים והן בהיבט של אחוזי השיפור שנמדדו בעת ביצוע פיקוח המעקב.
זיהוי ורישום מאגרים בעקבות פיקוח הרוחב
הגופים המפוקחים המנהלים מאגרי מידע הכוללים אפיון של נושאי המידע, נדרשים על פי חוק לבצע מיפוי לכל מאגרי המידע הקיימים אצלם. בחינת קריטריון זה העלתה כי פעילות פיקוח הרוחב הניעה גופים לבצע מיפוי ולזהות מאגרי מידע, לרבות מאגרים בעלי רגישות גבוהה, שלא נוהלו בהתאם להוראות הדין. במסגרת זו, פעלו הגופים לרישום המאגרים בפנקס המאגרים ולמינוי מנהל מאגר בהתאם.
מממצאי פיקוח המעקב עולה כי ב-4 מגזרים בוצע איתור וזיהוי מאגרים בשיעור גבוה (75%-100%) בשני מגזרים זיהוי בשיעור בינוני (10%-33%). ממוצע המינויים שבוצעו בעקבות פיקוח הרוחב עמד על 28%. מבין 11 המגזרים, ב-3 מגזרים מונו מנהלי מאגר בעקבות פיקוח הרוחב (בשיעור של בין 80%-100%) וב-8 מגזרים שיעור המינוי היה נמוך יחסית (3%-33%).
מינוי ממונה הגנת הפרטיות שדווחו בעת פיקוח הרוחב לשנים 2020-2019
בהתבסס על ממצאי 203 גופים מפוקחים ב-7 מגזרים שונים, בין השנים 2020-2019, ניתן לראות עלייה במינוי ממוני הגנת הפרטיות, ככל הנראה כתוצאה מקיום הליך הפיקוח.