הרשות להגנת הפרטיות ביצעה הליך פיקוח רוחב ב-70 רשויות מקומיות בישראל, המנהלות מידע אישי על למעלה מ-5 מיליון תושבים. הליך זה הוא חלק מסדרת הליכי פיקוח רוחב שמבצעת הרשות בשנים האחרונות בסקטורים שלמים במשק במטרה לבחון את העמידה בחוק הגנת הפרטיות ותקנותיו ולאתר כשלים ענפיים בקרב מגזרים שונים במשק.
בין הרשויות שנבדקו בהליך הפיקוח, נכללות 33 רשויות גדולות בהן למעלה מ-42,000 תושבים, 10 רשויות בינוניות הכוללות בין 30,000 ל-42,000 תושבים ו-27 רשויות קטנות יותר הכוללות בין 3,000 ל-30,000 תושבים. הרשויות נבחרו בהתאם לקריטריונים שונים הרלוונטיים לסיכון לפרטיות, כגון גודל, פיזור גיאוגרפי, מצב סוציו-אקונומי, ועוד.
בסיום ההליך, בכל הרשויות שנבדקו נמצאו ליקויים משמעותיים המצריכים תיקון. יצוין, כי רשות אחת לא שיתפה פעולה עם הליך הפיקוח באופן הולם והעבירה מענה חלקי ביותר ולפיכך פתחה הרשות בהליך אכיפה מנהלי כנגדה.
פוטנציאל הסיכון לפרטיות ברשויות המקומיות, גם בהשוואה למגזרים שונים במשק, גבוה במיוחד. הרשויות מנהלות ומחזיקות במידע רחב היקף ורגיש על תושביהן, לרבות מידע ממרשם האוכלוסין הכולל מידע אישי כגון מספרי תעודת זהות, כתובת מגורים, דרכי יצירת קשר, מצב הנכסים ובעליהם לרבות שווי הנכס, קיומה של משכנתא, נתונים על גביה ואכיפתה, מידע אודות תלמידים, מידע על הטיפול בלשכות הרווחה, ואף מידע אודות יעוץ פסיכולוגי וסוציאלי שמקבלים תושבי הרשויות. בנוסף, הרשויות מחזיקות במאגרי מידע רבים מתחומים שונים כגון רווחה, חינוך, דיור ועוד, המאפשרים הצלבה של פרטי מידע, דבר המגביר את החשש לשימוש במידע הקיים לצרכים החורגים ממטרת איסופו המקורית. העובדה כי הרשויות אף נעזרות לעתים קרובות בנותני שירותים חיצוניים, מאפשרת, במצבים מסוימים, חשיפה של גורמים נוספים למידע רגיש הקיים במאגרי הרשות המקומית.
יודגש, כי הרשויות המקומיות הן גופים ציבוריים, וככאלה הן מוסרות ומקבלות דרך קבע מידע אישי אודות תושבים מגופים ציבוריים אחרים, כגון רשות האוכלוסין. כמו כן, הן מחזיקות במנגנוני מחשוב גדולים שעשויים לייצר גישה למידע למספר רב של מורשי גישה.
הליך הפיקוח שביצעה הרשות בחן חמישה קריטריונים עיקריים בתחומי הגנת הפרטיות ובהם אבטחת מידע, בקרה ארגונית, העברת מידע בין גופים ציבוריים, ניהול מאגרי מידע, עיבוד מידע אישי במיקור חוץ, במקביל לבחינה של ניהול מאגרי מצלמות מעקב במרחב הציבורי על ידי הרשויות. במסגרת הליך הפיקוח הרשויות נדרשו להשיב על שאלונים, להשלים ולאמת ידיעות ומסמכים. בסיום ההליך, הורתה הרשות להגנת הפרטיות לכל אחת מהרשויות לתקן את הליקויים שנתגלו אצלה וכן ביצעה בחלקן ביקורות לבדיקת יישום תכנית העבודה ותיקון הליקויים. דו"ח פיקוח הרוחב שמפרסמת הרשות מרכז את ההנחיות העיקריות לתיקון הליקויים שנשלחו לרשויות המקומיות.
להלן הממצאים העיקריים של הליך הפיקוח:
אבטחת מידע
- קרוב למחצית הרשויות שנבדקו (48%) עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות ותקנותיו בנושא אבטחת מידע. 27% מהרשויות המקומיות עמדו ברמה בינונית בהוראות החוק והתקנות בנושא.
- במבט השוואתי, קיים יחס ישר בין גודל הרשות המקומית לבין רמת עמידתה בהוראות החוק והתקנות בכל הנוגע לאבטחת המידע.
- רמת העמידה של כרבע (25%) מהרשויות המקומיות הגדולות בהוראות החוק והתקנות הייתה נמוכה. ב-60% מהרשויות הבינוניות נמצאה רמת עמידה נמוכה, ובקרב הרשויות הקטנות 63% עמדו ברמה נמוכה. באופן כללי רק 25% מכלל הרשויות המקומיות עמדו ברמה גבוהה בדרישות אבטחת המידע.
בין הליקויים שנמצאו בתחומי אבטחת מידע היו, אי יישומה של מדיניות אשר תואמת את הוראות החוק ותקנותיו באופן מלא. כמו כן, נמצאו מקרים בהם רשויות לא עשו שימוש באמצעי פיזי הנתון לשליטתו של בעל המאגר, עשו שימוש במדיניות סיסמאות לא תקינה, ואף לא ביצעו סקרי סיכונים ומבדקי חדירה בהתאם לדרישת התקנות. כמו כן, ניכר היעדרן של בקרות לזיהוי משתמשים ולניהול הרשאות בהתאם לבעלי תפקידים רלוונטיים, ולצורך שלהם בגישה למידע, וכן היעדר תיעוד של אירועי אבטחת מידע. כמו כן, בכל הקשור למאגרי מידע של מצלמות מעקב במרחב הציבורי, נמצא כי רשויות רבות אינן מקפידות על אופן יידוע הציבור בדבר המצלמות, לא מגדירות מורשי גישה למידע, ולא מחזיקות בנהלים ברורים לשימוש בהם.
הצבה ושימוש במצלמות מעקב במרחב הציבורי
- רק כמחצית (54%) מהרשויות המקומיות אשר עושות שימוש במצלמות מעקב במרחב הציבורי מציבות שלטי יידוע בסמוך למצלמות באופן קריא וברור, בנוסף למיפוי מלא של פריסת המצלמות באתר העירייה, כנדרש על פי הנחיית הרשות הגנת הפרטיות.
- רבע מהרשויות (25%) יידעו את הציבור על קיומן של מצלמות מעקב באמצעות הצבת שלטי יידוע, אך אלה לא היו קריאים וברורים, או שלא פורסמה רשימה מרוכזת של מיקומי המצלמות באתר האינטרנט של הרשות המקומית.
- ב-21% מהרשויות לא הוצגו שלטים בסמוך למקום שבו מותקנת המצלמה. עוד נמצא כי חלק מהרשויות הגדולות והקטנות לא עורכות שימוע ציבורי פומבי לצורך קבלת עמדת הציבור בדבר הצבת המצלמות ואף אינן מתייעצות עם בעלי עניין הנוגעים בדבר, לא קובעות רשימה מוגבלת של מורשי גישה לחומר המצולם ושומרות את הצילומים לאחר שאינם נחוצים עוד. בנוסף, לא היו ברשותן נהלים כתובים לשימוש במצלמות מעקב.
בקרה ארגונית
- 74% מהרשויות עמדו באופן בינוני או נמוך בהוראות החוק בנושא בקרה ארגונית. 26% בלבד מהרשויות עמדו בהוראות אלו ברמה גבוהה.
- הליקויים העיקריים בתחום הבקרה הארגונית נמצאו בקרב רשויות מקומיות בינוניות. מחצית מהן עמדו ברמה נמוכה במילוי אחר הוראות החוק בנושא, כאשר אף רשות מקומית בינונית לא מילאה אחר הוראות החוק והתקנות בנושא ברמה גבוהה.
- בין הליקויים שנמצאו היו נהלי אבטחת מידע שלא תואמים את הוראות החוק בנושא, אי עריכה של סקרי סיכונים וביקורות תקופתיות בנושא אבטחת מידע, הליך מיון עובדים שאינו תואם את דרישות התקנות והיעדר של תכנית עבודה שנתית לבקרה שוטפת בתחום אבטחת המידע והגנת הפרטיות.
העברת מידע בין גופים ציבוריים
- ממצאי הפיקוח מצביעים על רמת עמידה נמוכה עד בינונית של הרשויות בכל הנוגע להוראות החוק בעניין העברת מידע בין גופים ציבוריים, החל מהיעדר ועדה ייעודית לנושא ואי רישום, או רישום שאינו משקף את היקף וסוג המידע שנמסר או מתקבל מגופים ציבוריים אחרים.
ניהול מאגרי מידע ומיקור חוץ
- 71% מהרשויות המקומיות עמדו באופן נמוך-בינוני בהוראות חוק הגנת הפרטיות בנושא ניהול מאגרי מידע. פחות משליש (29%) עמדו ברמה גבוהה בהוראות החוק בנושא עיבוד מידע אישי במיקור חוץ.
הליקויים באו לידי ביטוי, בין היתר, באי ביצוע הפעולות הנדרשות לפי החוק והתקנות של ספק מיקור החוץ המעניק שירותי עיבוד מידע אישי עבור הרשות המקומית, ובאי נקיטת פעולות על ידי הרשות על מנת לוודא שהספק החיצוני המעבד עבורה את המידע נוקט באמצעים הנדרשים בכדי להגן על מאגרי המידע כנדרש. בין היתר, לא מולאו הסכמים עם כלל הספקים כנדרש בתקנות, או שההסכמים נעדרים סעיפים הנדרשים בהוראות התקנות.
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן: "בעת הזו, על רקע התגברותם של תקיפות הסייבר, אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה המעצים את החשיבות הרבה בהקפדה על אבטחת מאגרי מידע ובקידום התיקון לחוק הגנת הפרטיות שאושר לפני כשבוע בוועדת שרים לענייני חקיקה, והינו הפרק הראשון בסדרת תיקונים שיחד ישלימו רפורמה מקיפה בתחום. ממצאי הליך הפיקוח שביצעה הרשות להגנת הפרטיות בקרב 70 רשויות מקומיות בישראל, המנהלות ומחזיקות במידע אישי ורגיש, רחב היקף, בתחומים שונים כמו חינוך, בריאות, דיור, רווחה וכלכלה, על למעלה מ-5 מיליון תושבים, מלמדים על ליקויים בקרב כלל הרשויות שנבדקו. הצעת החוק שהוגשה על ידי סגן ראש הממשלה ושר המשפטים, מר גדעון סער, לוועדת שרים לענייני חקיקה ואושרה על ידה, הינה פרי שיתוף פעולה של הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרד המשפטים. תיקון החוק יגביר את סמכויות האכיפה המנהלית של הרשות, בדומה למקובל בעולם, לשם שיפור ההגנה על הציבור, ימנע אירועי דלף עתידיים וייצור הרתעה ותמריץ בקרב גורמים במשק, ציבוריים ופרטיים כאחד, המחזיקים במידע רגיש, להגן עליו כנדרש בחוק".
עורך הדין רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות מסר כי, "מדובר באחד מפיקוחי הרוחב המורכבים שביצע מערך פיקוח הרוחב ברשות, הן מבחינת היקף הנושאים הנכללים בו והן מבחינת היקף הגופים שנבחנו וכי בהתאם לממצאיו, הפיצה הרשות לכל אחת מהרשויות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלה וכן ביצעה ביקורות מעקב בכדי לעקוב אחר התקדמות תיקונם".