דו"ח המבקר

חוק מיושן, סכסוכים בין משרדים ופגיעה בפרטיות ילדים: מחדלי אבטחת המידע

דו"ח מבקר המדינה מציין כי לרשות להגנת הפרטיות אין את היכולת לאכוף את החוק ביעילות ■ בנוסף, 90% ממוסדות הבריאות לא עומדים בתקן אבטחת המידע

שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
כיתה
הפרטיות של הילדים במערכת החינוך נפגעת. למצולמים אין קשר לכתבהצילום: מוטי מילרוד

בשנים האחרונות אנו עדים לעלייה משמעותית בדיווחים על מחדלי פרטיות של חברות וארגונים במשק, ובהם בנקים, חברות כרטיסי אשראי, מד"א, איתוראן, וגם גוגל ופייסבוק, שהפכו את המידע האישי שלנו לשער חליפין.

דו"ח מבקר המדינה שפורסם היום (ב'), מציג תמונה מדאיגה בקשר להתנהלות משרד המשפטים בנושא חוק הגנת הפרטיות והעובדה שאינו פועל מספיק על מנת להתאים אותו למציאות הטכנולוגית כיום. הדו"ח מתייחס רק לפרטיות במאגרי מידע ואבטחת המידע שבהם, ולא להיקף המידע שנאסף, עיבודו והשימוש בו על ידי חברות מסחריות לצרכים שונים.

מהדו"ח עולה כי המשרד לא פועל לתיקונים בחוק שיחזקו את הרשות להגנת הפרטיות ויספקו לה כלי אכיפה. עוד עולה מדו"ח המבקר כי משרדי החינוך והבריאות לא פועלים מספיק כדי להגן על מידע רגיש הנוגע לילדים וחולים, שנאגר על ידי מוסדות שפועלים תחת פיקוחם. 

מבקר המדינה מציין כי ב-2006 מונה צוות שבחן את הסדרת החקיקה בנושא מאגרי מידע והמליץ למשרד המשפטים על דרכי פעולה בנושא, אולם רוב ההמלצות לא יושמו עד סיום הביקורת. סוגיה נוספת שאליה מתייחס המבקר היא הסדרת פעילותו של מערך הסייבר, שפועל תחת משרד ראש הממשלה.

ד"ר תהילה שוורץ אלטשולר, ראש התוכנית לדמוקרטיה בעידן המידע במכון הישראלי לדמוקרטיה, אומרת כי "המערך נהנה מסמכויות אדירות של מעקב, ניטור, פיקוח ואכיפה בעולם הסייבר הישראלי, לא רק בהקשרים בטחוניים אלא גם בהקשרים אזרחיים ופליליים. אבל הוא פועל מכוח החלטות ממשלה ותזכיר חוק הסייבר תקוע במשך שלוש שנים".  

איילת שקד
שרת המשפטים איילת שקדצילום: אלכס קולומויסקי

קנסות של אלפי שקלים בלבד

המבקר מדגיש כי למרות כניסתן לתוקף של תקנות אבטחת מידע במאי 2018, הצעת חוק הגנת הפרטיות (תיקון מס' 13) שתרחיב את סמכויותיו של רשם מאגרי המידע (הגוף העומד בראש הרשות להגנת הפרטיות) נחוצה ביותר, אולם מאז שהונחה על שולחן הדיונים לפני שש שנים היא לא קודמה.

משרד המשפטים נדרש להסדרת סמכויותיו של רשם מאגרי המידע. כיום, לרשם מספר כלי אכיפה, ובהן סנקציות פליליות וקנסות, אולם מדובר בסכומים בסך עשרות אלפי שקלים בלבד. לכן הקנסות לא יעילות ויש להגדילם. המבקר מוסיף כי יש חשיבות באכיפה מול חברות רב לאומיות שאוגרות מידע פרטי על אזרחי ישראל.

מבקר המדינה מציין כי לאחר שהחליט משרד המשפטים ב-2017 לקדם מחדש את הרחבת סמכויותיו של הרשם, "התגלעו מחלוקות בין משרד המשפטים והרשות להגנת הפרטיות לבין מערך הסייבר הלאומי. הצדדים לא הגיעו להסכמה, אולם הושגה פשרה: הצעת חוק תונח על שולחן הכנסת, ושרת המשפטים תוסמך להביא תיקונים להצעה בכפוף להסכמות שיושגו בין משרד המשפטים למערך הסייבר". בפברואר 2018 פורסמה הצעת חוק שעברה בקריאה ראשונה, אולם לא קודמה לאחר מכן.

הדו"ח גם מפנה אצבעות מאשימות כלפי משרד החינוך, שבו נמצא כי ההגנה על פרטיותם של ילדים לוקה בחסר. המבקר מציין כי לא קיימת התייחסות מיוחדת לילדים בחוק הגנת הפרטיות וניסיונות להסדיר חקיקה בתחום זה לא צלחו. בין היתר מציין את השימוש במצלמות אבטחה במוסדות לימוד שונים והסכנות שבדליפת מידע פרטי על קטינים. גם מרבית המוסדות הרפואיים בישראל לא עומדים בתקנות האבטחה הדרושות. ליקוי חמור שעולה מהדו"ח חושף כי מתוך 1,500 מוסדות רפואיים, ובהם מרפאות שיניים, מוסדות גריאטריים ובתי חולים - רק 150 קיבלו תקן של מנהל אבטחת מידע.  

אלטשולר שוורץ מציינת כי "דו"ח המבקר מלמד על בורות דיגיטלית משמעותית בקרב מקבלי החלטות במשרדי החינוך והבריאות ובקרב גופים המפוקחים על ידם. מקבלי ההחלטות אינם מבינים את חשיבות הזכות לפרטיות בעולם דיגיטלי; את הצורך בלחשוב פעמיים לפני שאוספים מידע בכפיה ובכמויות אדירות; ואת עוצמת הפגיעה שתיצור דליפה של המידע שנאסף על ידי הרשויות. זה מטריד במיוחד כאשר מדובר במידע על קטינים ומידע רפואי. בורות כזאת ב-2019 היא לא פחות משערורייה במדינה שמספרת לעצמה סיפורי אלף לילה ולילה על רמת הקידמה הטכנולוגית שלה".

"הרשות פועלת להגברת ההרתעה"

מהרשות להגנת הפרטיות נמסר: "הרשות מברכת על החשיבות שמוצא משרד מבקר המדינה בנושא הגנת הפרטיות.

"בשנים האחרונות גדל היקף פעילות הרשות להגנת הפרטיות. הרשות, בדומה לעולה מן הדו"ח, רואה חשיבות בקידום הצעת החוק בדבר הרחבת סמכויות האכיפה של הרשות, הן לשם הגנת המידע האישי של הציבור והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה, התואמת את הדין האירופי ואת הסטנדרטים המובילים בעולם. על כן, הרשות פעלה ותמשיך לפעול, ביחד עם כלל הגורמים הרלבנטיים, לקידום הצעת החוק וכן לקידומם של תיקוני חקיקה נוספים.

"הרשות פועלת למיקוד פעולות האכיפה ולהגברת ההרתעה תוך שימוש מושכל במשאבים העומדים לרשותה. וזאת, על מנת לייצר אכיפה איכותית ומשמעותית. בנוסף, הרשות הייתה מעורבת בפרויקטים ממשלתיים משמעותיים ופעלה במספר נושאים בעלי חשיבות לאומית עקרונית. נציין כי בעידן הנוכחי בו השימוש במערכות דיגיטליות הולך וגובר, אין בהכרח הצדקה אסטרטגית למעורבות הרשות בכלל הפרויקטים הממשלתיים.

"בנוגע להעברות מידע בין גופים ציבוריים, האחריות להעברת מידע בהתאם לחוק, לרבות דיווח לרשות, חלה על הגופים הציבוריים. עם זאת, הרשות תפיץ לכלל הגופים ריענון בעניין דרישות החוק ביחס לנושא העברות המידע בין גופים ציבוריים.

"עוד נציין, כי בשנים האחרונות חל גידול משמעותי בהיקף פרסומי הרשות לציבור הכוללים הנחיות, גילויי דעת וניירות עמדה, מדריכים לציבור ועוד".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker

על סדר היום