הרשות להגנת הפרטיות היא הגוף המסדיר, המפקח והאוכף על פי חוק הגנת הפרטיות. במסגרת תפקידה היא מופקדת על הגנת המידע האישי במאגרי מידע דיגיטליים שמירה על הזכות לפרטיות. הרשות פועלת להשגת מטרה זו באמצעות אסדרה, סוגי אכיפה שונים, ופיקוחי רוחב על כלל הגופים בישראל -פרטיים, עסקיים וציבוריים, שעיסוקם כולל מידע אישי דיגיטלי.
להלן פרטים הנוגעים לפעילותה של הרשות בכל הקשור למאגרים דיגיטליים ואינטרנט, מתוך דו"ח סיכום פעילות הרשות לשנת 2021.
אכיפה מנהלית
בשנת 2021 התקבלו ברשות 108 דיווחים אודות אירועי אבטחה חמורים, והרשות קבעה תוצרי אכיפה ב-32 מהם ופתחה ב-15 הליכי פיקוח מנהלי בתחום אבטחת המידע. אירועי אבטחה חמורים אירעו בסקטורים שונים, ובהם הסקטור הציבורי, הפיננסי והבריאותי.
תוצרי אכיפה לשנת 2021:
דוגמות להליכי אכיפה מנהלית שניהלה הרשות – 2021
התאחדות הכדורגל בישראל
אירוע אבטחה חמור שהתרחש במאגר המידע של התאחדות הכדורגל בישראל, שהביא לחשיפת מידע אודות שחקנים, שופטים ובעלי תפקידים בקבוצות ובמועדונים.
הרשות להגנת הפרטיות פתחה בהליך פיקוח מנהלי, במסגרתו נבחנו נסיבות האירוע. במהלך הפיקוח התגלו חולשות אבטחה באתר האינטרנט של ההתאחדות, אשר הביאו לחשיפת מידע על אודות שחקנים, שופטים ובעלי תפקידים בקבוצות ובמועדונים. נמצא כי במועד הפיקוח לא קיימה התאחדות הכדורגל את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות,וכן את החובות המוטלות עליה לפי חלק מהסעיפים של תקנות אבטחת המידע בחוק. ניתנו להתאחדות הנחיות לתיקון ליקויים.
חברת לולה-טק בע"מ
אירוע אבטחת מידע במסגרתו התגלתה פרצת אבטחת מידע באפליקציה של חברת לולה-טק בע"מ. חברת לולה-טק מחזיקה במאגרי מידע של רשויות מקומיות ובמסגרת כך מספקת להן שירותי פיתוח מערכות בקרה. פרצת האבטחה איפשרה גישה למידע אישי של לקוחות החברה שכלל פרטים אישיים רבים ובהם שמות פרטיים ומשפחה, כתובת, מספרי וצילומי תעודות זהות, תאריכי רישוי ועוד. על מנת לקבל גישה לפרטי המידע ללא הרשאה גל מה שנדרש הוא הקלדת רצף תווים בהמשך לכתובת האתר.
ממצאי הליך הפיקוח שביצעה הרשות העלו כי המפוקחת לא הפעילה אמצעי הגנה מתאימים, לא נקטה במנגנון אמצעי זיהוי רב-שלבי בעת אירוע האבטחה ולא נקטה בהליך פיתוח מאובטח של האפליקציה, כפי שנדרש בהתאם בתקנות אבטחת מידע. בנוסף, נמצא כי החברה מחזיקה, על פי הצהרתה, במאגרי מידע של למעלה מ- 60 בעלי מאגר שונים שלא דיווחה עליהם לרשם כנדרש בחוק. למפוקחת ניתנו הנחיות לתיקון הליקויים שנמצאו.
דוגמה להליך אכיפה פלילית מטעם הרשות – שימוש במידע רגיש ע"י חברת "רמי לוי"
"רמי לוי" קיבלה רישיון ממשרד התקשורת למתן שירותי טלפון נייד. לשם עבודתה קיבלה "רמי לוי" מחברת "פלאפון" גישה, בין היתר, למערכת המתעדת נתוני תקשורת ומאפשרת להפיק פלטי שיחות ואיכונים (מיקום של הטלפון בעת קיום שיחה). עיון במידע רגיש מסוג זה יכול להיעשות רק באמצעות צו שיפוטי. שימוש במידע ללא צו מהווה הפרה של דיני הגנת הפרטיות, למעט מקרים בהם ספקיות סלולר עושות שימוש במידע לצורך מניעת הונאות.
חקירת הרשות חשפה כי בין השנים 2016-2011 בוצעו ע"י "רמי לוי" מאות בדיקות במערכת זו, לשם צרכים אישיים ועסקיים של הנאשמים. כתב אישום הוגש נגד מנכ"ל החברה, נגד מנהל האבטחה בחברה ונגד החברה, בגין עבירות של פגיעה בפרטיות ועבירות נוספות. בית המשפט גזר על קצין הביטחון של החברה מאסר בן 5 חודשים, שירוצה בעבודות שירות; על מנכ"ל החובה הוטל קנס בסך 75,000 ש"ח ומאסר מותנה; על החברה עצמה הוטל קנס בסך 600,000 ש"ח וכן פיצוי בסך 200,000 שקלים לנפגעים עליהם בוצעו שליפות מידע.
פיקוח רוחב לשנת 2021
במסגרת פעילות פיקוחי הרוחב, השלימה הרשות 224 תיקי פיקוח רוחב שבוצעו ב-4 מגזרים שהוגדרו כמגזרים בעלי סיכון גבוה לפגיעה בפרטיות.
סוגי גופים אליהם פנתה הרשות במסגרת פיקוחי רוחב:
בנוסף, יצאה הרשות לפעילות פיקוח רוחבית, בקרב 216 גופים בחמישה מגזרים, נוסף על הליכי הפיקוח שהושלמו בארבעת המגזרים שפורטו לעיל. המגזרים הללו, שהוגדרו על ידי הרשות כמגזרים בעלי סיכון גבוה לפגיעה בפרטיות, היו: חברות בתחום התחבורה הדיגיטלית ואפליקציות תשלום מבוססות מיקום; גופים בתחום האפליקציות בריאות דיגיטלית ומתן שירותי רפואה מרחוק; גופים בתחום התקשורת; בתי חולים, גופים במגזר העמותות והמגזר השלישי.
בסיום כל הליך פיקוח, הרשות מפיצה לגופים המפוקחים דרישת תיקון ליקויים הכוללת הנחיות פרטניות לתיקונם. על בסיס התובנות והממצאים שעלו מהליך פיקוח הרוחב, מפרסמת הרשות באתר האינטרנט שלה דו"ח מגזרי הכולל ריכוז של הליקויים וההנחיות העיקריות לתיקון הליקויים שנשלחו לגופים המפוקחים. בימים אלו, מבצעת הרשות בכל אחד מהמגזרים הליך בחינה נוסף במסגרתו הם נבדק אופן תיקון הליקויים ויישום ההנחיות שקיבלו מהרשות. לאחר סיום הליך פיקוחי המעקב, צפויה הרשות לפרסם לציבור דו"חות ממצאים מסכמים.
ברוב המגזרים עליהם פיקחה הרשות היה שיפור משמעותי בתיקון הליקויים לאחר הפיקוח שערכה הרשות. ממוצע שיפור הליקויים של 14 המגזרים עומד על 57.44%.
נראה כי פעילות פיקוח הרוחב הניעה את הגופים הנבחנים לבצע מיפוי של כלל מאגרי המידע ברשותם, ולרשום מאגרי מידע שאינם רשומים/לעדכן את מאגרי המידע הקיימים בפנקס מאגרי המידע. כך, יכולים הגופים לאתר ולזהות מאגרי מידע, חלקם בעלי רמת רגישות גבוהה, שלא נוהלו על ידם בהתאם להוראות הדין. ב-4 מגזרים בוצע איתור וזיהוי מאגרים בשיעור של 75%-100%, ב-2 מגזרים הזיהוי היה 33%-75% וב-2 מגזרים הזיהוי היה 10%-33%.
בעקבות פיקוח הרוחב, נראה שיפור משמעותי בהיקף עדכון ההסכמים מול גורמי מיקור חוץ.
פניות הציבור
במסגרת פעילות מחלקת פניות הציבור, הרשות מקבלת תלונות על הפרות החוק או התקנות, פניות ושאלות בשלל סוגיות הקשורות לתחום הגנת הפרטיות, וכן פניות הנוגעות לאופן יישום חוק הגנת הפרטיות והתקנות מכוחו מגורמים מקצועיים שונים.
בשנת 2021 התקבלו ברשות כ- 1670 פניות בתחום הגנת הפרטיות, מתוכן 349 סווגו כתלונות. בשנת 2020 התקבלו ברשות 1591 פניות בתחום הגנת הפרטיות, מתוכן 422 סווגו כתלונות.
