ביקורת חריפה על הרשות להגנת הפרטיות בדוח מבקר המדינה

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

דו"ח מבקר המדינה שפורסם היום כולל פרק העוסק בהגנת הפרטיות, ובו, בין השאר, ביקורת חריפה על פעולת הרשות להגנת הפרטיות במשרד המשפטים. אלה עיקר הממצאים כפי שדווחו באתר מבקר המדינה -

  • צוות שהוקם במשרד המשפטים לשם בחינת החקיקה בתחום מאגרי המידע הגיש בינואר 2007 דוח על תיקוני חקיקה נחוצים בתחום זה. אף שמשרד המשפטים החל במהלך השנים בתהליכים ליישום המלצותיו של צוות ההסדרה רובן לא יושמו עד מועד סיום הביקורת [law.co.il מעיר שמדובר בצוות ברשות המשנה דאז ליועץ המשפטי לממשלה, יהושע שופמן. למען הגילוי הנאות - הח"מ היה חבר בצוות];
  • בפברואר 2018 פורסמה הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018, שמטרתה להרחיב את סמכויות האכיפה של הרשם, לאחר שתהליך חקיקה קודם בנושא שארך כשש שנים לא הסתיים. בשל מחלוקות שלא יושבו בין משרד המשפטים והרשות להגנת הפרטיות ובין מערך הסייבר הלאומי במשרד ראש הממשלה, הצעת החוק לא קודמה. כל עוד לא תוקן החוק, לא קיימת סנקציה יעילה, בין השאר, בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות.
  • על אף החשיבות שהרשות מייחסת למעורבותה בסוגיות של הגנת הפרטיות במאגרי מידע במגזר הציבורי, פעילותה בנושא חלקית. הרשות אינה מעורבת בפרויקטים ממשלתיים בנושא בצורה אפקטיבית, ודיונים רבים בכנסת נערכים ללא השתתפות הרשות.
  • מכלל הגופים הציבוריים, ארבעה בלבד המקבלים מידע דרך קבע מגוף ציבורי אחר, מדווחים לרשם מאגרי המידע כקבוע בחוק. הרשות אינה מבצעת מעקב או אכיפה יזומה על גופים שאינם מעבירים דיווחים כחוק. 
  • הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל"מאגרי על" שהם, על פי הגדרתם, מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים.
  • קביעת הנחיות ופרסומן מייעלים את פעולת הרשות ותורמים לאחידות, לעקביות ולשוויון בהפעלת סמכויותיה. על אף החשיבות הרבה שהרשות מייחסת לפרסום הנחיות, בשנים 2008 - 2018 היא פרסמה 15 הנחיות בלבד בתחום הגנת הפרטיות, ובשנים 2013 - 2016 לא פרסמה הנחיות כלל. גם בנושאים שהרשות זיהתה כי נכון יהיה לפרסם הנחיות לגביהם, בשל חשיבותם והרלבנטיות שלהם לציבור, היא לא עשתה כן לבסוף.
  • הרשות לא קבעה מדיניות אכיפה סדורה המתחשבת בשיקולים שקבע ראש הרשות, כגון מידת ההשפעה הרוחבית של פעולת האכיפה, אכיפה בנושא הייחודי לרשות, תיעדוף הטיפול בגופים חזקים, ועוד.
  • בעשור האחרון פחתו פעולות האכיפה שהרשות נקטה בהן בהשוואה לתחילתו, ואף שבשלהי העשור חלה עלייה, עדיין מספרן קטן משהיה בשנים 2008 - 2009. זאת, על אף הגידול בהיקפו של שוק המידע האישי בישראל ועל אף שכוח האדם בתחום האכיפה ברשות גדל במשך השנים עד להכפלתו.

בעקבות הממצאים, אלה כמה מהמלצותיו העיקריות של מבקר המדינה -

  • על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם [law.co.il לא מתאפק - we shall live to see the day...];
  • משרד המשפטים, משרד ראש הממשלה ומערך הסייבר הלאומי נדרשים למצוא את האיזונים המתאימים בין הזכות לפרטיות ובין צרכיו של מערך הסייבר בהגנת המידע שיאפשרו את המשך קידומה של הצעת החוק הנוגעת לסמכויות האכיפה של הרשם.
  • לאור רגישותו של המידע הנצבר אצל גופים ציבוריים, על הרשות להקפיד לדרוש ולקבל דיווחים על העברות המידע הנעשות דרך קבע בין גופים ציבוריים, בפרט בנוגע למאגרי על.
  • על הרשות לקבוע מדיניות אכיפה בשים לב ליעדיה ולמפת הסיכונים של הפגיעה בפרטיות.