בנובמבר 2021 פרסם משרד המשפטים דו"ח בו הוא בוחן באמצעות פיקוח רוחב כיצד מיישמות הרשויות המקומיות את 'החוק להגנת הפרטיות' ותקנות הגנת הפרטיות באזוריהן. זאת משום שפעילותן של רשויות מקומיות עלולה להוביל לפגיעה בפרטיות התושבים המתגוררים באזוריהן (למשל, דרך גישה למרשמי תושבים, רישומי נכסים, רישומי גבייה וכו'). פיקוח הרוחב התמקד בעיקר באופן ניהול המידע ברשויות בנושאי גבייה, חינוך ומצלמות מעקב, ובמהלכו נבדקו 70 רשויות מקומיות. שאלון הבקרה שהרשויות נדרשו למלא בחן חמישה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע (כולל שימוש במצלמות מעקב במרחב הציבורי), אבטחת מידע, העברת מידע בין גופים ציבוריים ועיבוד מידע של הרשות בגופים חיצוניים.
מהליך הפיקוח עלה כי כלל הרשויות המקומיות עומדות לפחות בחלק מהקריטריונים ברמה בינונית-נמוכה.
69 רשויות מתוך 70 הרשויות שנבדקו קיבלו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלן. רשות אחת הועברה להמשך טיפול אכיפתי, וב-24 רשויות מקומיות בוצעו ביקורות מעקב לבדיקת יישום תכנית העבודה ותיקון הליקויים ובחינת העמידה בלוחות הזמנים שנקצבו לכך.
להלן פירוט אודות הממצאים:
בקרה ארגונית
נראה כי בחלק מהרשויות לא מונה ממונה אבטחת מידע, או שהממונה על אבטחת המידע לא עמד בקריטריונים של 'תקנות הגנת הפרטיות'. כמו כן, נמצאו נהלי אבטחת מידע שלא עומדים באופן מלא בדרישות החוק, נוסף על אי עריכת סקרי סיכונים וביקורות תקופתיות בנושא אבטחת מידע, הליך מיון עובדים שלא בהתאם לתקנות והיעדר תכנית עבודה שנתית לבקרה שוטפת בתחום אבטחת המידע והגנת הפרטיות.
העברת מידע בין גופים ציבוריים
בחלק מהרשויות נמצאו ליקויים בתהליך העברת המידע בין גופים, הכוללים בין היתר היעדר ועדה לטיפול בהעברת המידע, ואי רישום/רישום לא יאה של מידע שנמסר או מתקבל מגופים ציבוריים אחרים.
ניהול מאגרי מידע
בחלק מהרשויות נמצא כי אין מדיניות שתואמת בצורה מלאה לדרישות החוק בכל הקשור לנושאי אבטחת מידע. במהלך הביקורת עלו ליקויים בנושאי החלפת סיסמאות, אי ביצועם של סקרי סיכונים ומבדקי חדירה, היעדר בקרות לזיהוי משתמשים ולניהול הרשאות והיעדר תיעוד של אירועי אבטחת מידע. כמו כן, בכל הקשור למאגרי מידע של מצלמות מעקב במרחב הציבורי, נמצא כי רשויות רבות לא מקפידות על אופן יידוע הציבור אודות המצלמות וכי אין נהלים ברורים לשימוש במצלמות, למי יכולה להיות אליהן גישה וכו'.
עיבוד מידע בגופים חיצוניים
במרבית הרשויות המקומיות שעמדו בקריטריון זה ברמה בינונית ונמוכה לא בוצעו כלל הפעולות הנדרשות לפי חוק בעבודה מול גורם חיצוני שמספק שירותי עיבוד מידע אישי לרשות המקומית, ולא ננקטו פעולות על מנת לוודא שהגורם החיצוני נוקט באמצעים הנדרשים להגנה על מאגרי המידע. בנוסף, ההסכמים מול גופי עיבוד המידע החיצוניים לא היו קיימים כלל או חסרו סעיפים הנדרשים על פי התקנות.
