לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור

היבטים בהגנה על הפרטיות במאגרי מידע // 3

הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
הגנת הפרטיות; מאגרי מידע; אבטחת מידע; סייבר

תקציר

רקע כללי

הזכות לפרטיות היא זכות יסוד ואחת מזכויות האדם החשובות בישראל. הזכות עוגנה בחוק יסוד: כבוד האדם וחירותו, הקובע כי כל אדם זכאי לפרטיות ולצנעת חייו, ובהסדרים בכמה חוקים אחרים. חוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות או החוק) קובע את הכללים להגנה על פרטיותו של אדם. בדומה לזכויות יסוד אחרות, הזכות לפרטיות אינה מוחלטת וכשהיא מתנגשת עם זכויות אחרות או עם אינטרסים ציבוריים אחרים, נדרש איזון בין הזכויות.

בעשורים האחרונים הפך המידע למשאב מרכזי ורב ערך, לרבות ערך כלכלי. גם הנורמות החברתיות המשתנות מרגילות את הציבור למסור מידע אישי, וזה נאגר במאגרי מידע, ברשתות החברתיות ובמאגרים ממשלתיים, הכוללים מידע רב ורגיש הנוגע לכל היבטי חייהם של בני האדם. לפיכך, לצד תועלתה העצומה של ההתפתחות הטכנולוגית לאדם ולחברה, עלולה להיפגע הזכות לפרטיות. 

על פי חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, הגוף המופקד על אסדרתם של מאגרי מידע הוא רשם מאגרי המידע (להלן גם - הרשם), העומד בראש הרשות להגנת הפרטיות שבמשרד המשפטים (להלן - הרשות). הרשות הוקמה בינואר 2006, בתור "רשות משפטית לטכנולוגיות מידע והגנת הפרטיות" ושמה הנוכחי ניתן לה בספטמבר 2017, תוך העברת הדגש לתפקידה בתחום זה. 

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן - תקנות אבטחת מידע), הקובעות דרישות בתחום אבטחת המידע, וחלות על בעלים, מנהלים ומחזיקים של מאגרי מידע. במאי 2018 נכנסה לתוקפה גם "האסדרה הכללית להגנה על מידע" של האיחוד האירופי.

פעולות הביקורת

בחודשים מרץ עד אוגוסט 2018 בדק משרד מבקר המדינה היבטים בסוגיית ההגנה על הפרטיות במאגרי מידע בישראל. הבדיקה נעשתה ברשות להגנת הפרטיות, במשרד החינוך ובמשרד הבריאות, ובדיקות השלמה נעשו במחלקת ייעוץ וחקיקה במשרד המשפטים, במערך הסייבר הלאומי וברשות התקשוב הממשלתי במשרד ראש הממשלה, בשתי קופות חולים ובשני בתי חולים ממשלתיים. בעבר עשה מבקר המדינה כמה ביקורות בתחום אבטחת מידע ופרטיות.

הליקויים העיקריים

הרשות להגנת הפרטיות

צוות שהוקם במשרד המשפטים לשם בחינת החקיקה בתחום מאגרי המידע הגיש בינואר 2007 דוח על תיקוני חקיקה נחוצים בתחום זה. אף שמשרד המשפטים החל במהלך השנים בתהליכים ליישום המלצותיו של צוות ההסדרה רובן לא יושמו עד מועד סיום הביקורת.

בפברואר 2018 פורסמה הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018, שמטרתה להרחיב את סמכויות האכיפה של הרשם, לאחר שתהליך חקיקה קודם בנושא שארך כשש שנים לא הסתיים. בשל מחלוקות שלא יושבו בין משרד המשפטים והרשות להגנת הפרטיות ובין מערך הסייבר הלאומי במשרד ראש הממשלה, הצעת החוק לא קודמה. כל עוד לא תוקן החוק, לא קיימת סנקציה יעילה, בין השאר, בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות.

על אף החשיבות שהרשות מייחסת למעורבותה בסוגיות הגנת הפרטיות במאגרי מידע העולות במגזר הציבורי, פעילותה בנושא חלקית. הרשות אינה מעורבת בפרויקטים ממשלתיים בנושא בצורה אפקטיבית, ודיונים רבים בכנסת נערכים ללא השתתפות הרשות.

מכלל הגופים הציבוריים, ארבעה בלבד המקבלים מידע דרך קבע מגוף ציבורי אחר, מדווחים לרשם מאגרי המידע כקבוע בחוק, והרשות אינה מבצעת מעקב או אכיפה יזומה על גופים שאינם מעבירים דיווחים כחוק. 

הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל"מאגרי על" שהם, על פי הגדרתם, מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים.

קביעת הנחיות ופרסומן מייעלים את פעולת הרשות ותורמים לאחידות, לעקביות ולשוויון בהפעלת סמכויותיה. על אף החשיבות הרבה שהרשות מייחסת לפרסום הנחיות, בשנים 2008 - 2018 היא פרסמה 15 הנחיות בלבד בתחום הגנת הפרטיות, ובשנים 2013 - 2016 לא פרסמה הנחיות כלל. גם בנושאים שהרשות זיהתה כי נכון יהיה לפרסם הנחיות לגביהם, בשל חשיבותם והרלבנטיות שלהם לציבור, היא לא עשתה כן לבסוף.

הרשות לא קבעה מדיניות אכיפה סדורה המתחשבת בשיקולים שקבע ראש הרשות, כגון מידת ההשפעה הרוחבית של פעולת האכיפה, אכיפה בנושא הייחודי לרשות, תיעדוף הטיפול בגופים חזקים, ועוד.

בעשור האחרון פחתו פעולות האכיפה שהרשות נקטה בהן בהשוואה לתחילתו, ואף שבשלהי העשור חלה עלייה, עדיין מספרן קטן משהיה בשנים 2008 - 2009. זאת, על אף הגידול בהיקפו של שוק המידע האישי בישראל ועל אף שכוח האדם בתחום האכיפה ברשות גדל במשך השנים עד להכפלתו.

הגנה על פרטיות ילדים - משרד החינוך

החקיקה בתחום הגנת הפרטיות אינה תואמת את ההתפתחות הטכנולוגית של העשורים האחרונים, ואף אינה כוללת התייחסות מיוחדת לילדים. גם הניסיונות להסדרתה של ההגנה על פרטיות הילדים בחקיקה או בכללים לא צלחו. עבודת העדכון של חוזר מנכ"ל משרד החינוך בנושא העברת מידע בין מוסדות חינוך הנמשכת לפחות מספטמבר 2013 טרם הושלמה. הוראות החוזר עשויות להיות רלוונטיות לכ-1.7 מיליון תלמידים ויסייעו לבתי הספר למנוע את הפגיעה בפרטיותם של תלמידים במעבריהם בין מוסדות חינוך.

נכון למועד סיום הביקורת אין למשרד החינוך מדיניות אבטחת מידע וסייבר מאושרת.

הרשות הארצית להערכה ומדידה בחינוך פועלת למן הקמתה, מזה 12 שנים, בלי שנחקק חוק המסדיר את פעולתה, תפקידיה וסמכויותיה ובלי שנקבעו בחוק כללים לאיסוף, להחזקה ולשמירה של מידע רגיש ומזוהה, ולהעברתו ממאגריה לגורמים אחרים.

על אף הוראותיו המפורטות של חוזר המנכ"ל ממאי 2015 בעניין מצלמות במוסדות חינוך, הבקרה הנעשית כיום על ידי משרד החינוך אינה בודקת את מילוי דרישות החוזר ואינה מספקת תמונה מלאה על אופן הטמעתן של הוראותיו.

משרד החינוך אינו עושה בדיקות מקדמיות כנדרש בתקנות אבטחת מידע ובהנחיית הרשם בנושא מיקור חוץ, לפני פרסום מכרזים לשירותי מיקור חוץ, הכוללים גישה למאגרי מידע או קבלת מידע ממאגרי מידע שבבעלות משרד החינוך; ומשהתקבלו הצעות במכרזים, לא נעשית בדיקה אם הספקים עומדים בדרישותיו של נספח אבטחת המידע שצורף למכרז. בהתקשרויות הפטורות ממכרז אין גורם מקצועי במשרד החינוך המנסח דרישת עמידה בחובות וסטנדרטים של אבטחת מידע. בתקופת ההתקשרות עם ספקים משרד החינוך לא עושה בקרה ופיקוח בתחום אבטחת מידע.

למשרד החינוך אין מיפוי של מאגרי המידע שלו או רשימת מצאי של מערכות המידע. הפעילות למיפוי מאגרי המידע נמצאת רק בראשית דרכה כחלק מהסמכה לתקן אבטחת מידע ארגוני ועתידה להסתיים ביוני 2019; במשרד החינוך אף אין רשימה מרוכזת של ספקים שזכו במכרזים, ולמעשה אין למשרד החינוך תמונה מלאה על אותם ספקים המחזיקים במאגרי מידע, ואין דרך ליישם את התקנות וההנחיות השונות הנוגעות לאבטחת המידע.

הגנת הפרטיות במידע רפואי

מידע רפואי הוא מסוגי המידע הרגישים ביותר ושמירה על סודיותו היא תנאי הכרחי לאמון המטופל ברופא. בהתפתחות הטכנולוגית כרוכים סיכונים ייחודיים בתחום ההגנה על המידע ובכלל זה גניבת מידע רפואי, מניעת שירות ושיבוש המידע הקיים, שעשויים להיות להם השלכות קשות על הפרט ועל אמונו של הציבור במוסדות הרפואיים במדינה.

חוזר מנכ"ל משרד הבריאות בנושא אבטחת מידע קובע כי עמידה בתקן לניהול אבטחת מידע במערכות בריאות הוא תנאי לקבלה ולחידוש רישיון למוסד רפואי ממשרד הבריאות. מכלל כ-1,500 מוסדות רפואיים הטעונים רישיון כ-150 בלבד קיבלו הסמכה לתקן (בעיקר בתי חולים וקופות חולים). שאר המוסדות הטעונים רישיון, ובהם בתי חולים גריאטריים, מרכזים למשתמשים בסמים, מרפאות כירורגיות ומרפאות שיניים, לא קיבלו הסמכה לתקן, ומשרד הבריאות אינו אוכף עליהם חובה זאת. 

משרד הבריאות טרם הנחה את המוסדות הרפואיים בנוגע למקרים שיחייבו דיווח על אירועי אבטחת מידע, לצורך בקיום בקרה ואכיפה של הכללים לאבטחת מידע ועוד, הגם שחלפה שנה מהמלצותיה בנושא של ועדה במשרד הבריאות.

מערכת המידע המקוונת לשיתוף מידע רפואי, המאפשרת לבתי החולים לצפות במידע הרפואי שמחזיקות קופות חולים על המטופל, פועלת מבלי שהוסדרה בחקיקה ראשית או בחקיקת משנה, בניגוד לעמדתו של משרד המשפטים. 

משרד הבריאות טרם קבע כללים ל"התממה" (הסרת מרכיבים מזהים מובהקים ממידע אישי והמרתם בערכים כלליים יותר) ולקידוד של מידע רפואי אישי לצורכי מחקר, לרבות מחקרים בנתוני עתק.

יש סתירה מובנית בין כללי משרד הבריאות, המחייבים התממה מלאה (שאינה מאפשרת כלל שיוך מחדש לנושא המידע) של מידע רפואי המועבר לחוקרים במחקרים רפואיים בנתונים ללא הסכמתם של נושאי המידע, ובין המידע הנדרש לצורך מחקר, שהוא מידע שניתן לזיהוי חוזר בעת הצורך. בשני בתי החולים שנעשתה בהם הביקורת, החוקרים מקבלים מידע רפואי מזוהה, בניגוד לכללי משרד הבריאות, ובאחד מבתי החולים, גם יזם המחקר רשאי לעיין במידע המזוהה, בניגוד לעמדת משרד הבריאות. גם כשמוסד רפואי מעביר לחוקרים מידע שאינו מזוהה, הדבר נעשה באמצעות קידוד בלבד ולא בהתממה מלאה, כאמור בהנחיות משרד הבריאות.

ככלל, במסגרת בקרותיה על המחקרים במוסדות הרפואיים, המחלקה לניסויים קליניים במשרד הבריאות אינה בודקת אם הועבר מידע רפואי אישי על מטופלים לגורמים שאינם מורשים. 

ההמלצות העיקריות

על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם. 

משרד המשפטים, משרד ראש הממשלה ומערך הסייבר הלאומי נדרשים למצוא את האיזונים המתאימים בין הזכות לפרטיות ובין צרכיו של מערך הסייבר בהגנת המידע שיאפשרו את המשך קידומה של הצעת החוק הנוגעת לסמכויות האכיפה של הרשם.

לאור רגישותו של המידע הנצבר אצל גופים ציבוריים, על הרשות להקפיד לדרוש ולקבל דיווחים על העברות המידע הנעשות דרך קבע בין גופים ציבוריים, בפרט בנוגע למאגרי על.

על הרשות לקבוע מדיניות אכיפה בשים לב ליעדיה ולמפת הסיכונים של הפגיעה בפרטיות.

על משרד המשפטים בשיתוף עם גורמים רלוונטיים בתחום ההגנה על זכויות הילד לשקול הסדרת פרטיותם של ילדים, בחקיקה או בכללים, בהתאמה להתפתחויות הטכנולוגיות.

על משרד החינוך לפעול לאלתר להסדרת פעולתה של הרשות הארצית להערכה ומדידה בחינוך בחקיקה.

משרד החינוך מקדם את פרויקט "הסדרת מערך המידע", במסגרתו יתאפשר קישור בין נתונים מכמה מאגרי מידע קיימים. יש לבחון אם מאגר זה עומד בהגדרת 'מאגר מידע' חדש ו'מאגר על', הטעון רמת הגנה גבוהה יותר, וכן ניהול ורישום מיוחדים. על צוות ההיגוי המנהל את הפרויקט לשקול לערב את הרשות להגנת הפרטיות ואת מחלקת ייעוץ וחקיקה במשרד המשפטים בקידומו, על מנת שיוטמעו בו דרישות יסודיות מתחום אבטחת המידע והגנת הפרטיות.

על משרד החינוך לבחון באופן יסודי את מידת הטמעתן של הוראות חוזר המנכ"ל לעניין מצלמות בבתי ספר ולפעול לבקרת יישומן. כמו כן עליו לאכוף את הוראות החוזר ולקבל מהספק החיצוני דיווחים על בתי הספר הכוללים, בין השאר, נתונים על הצבת מצלמות או על הסרתן, ובהתאם לתמונה שתתקבל לשקול פעולות נוספות לאכיפת ההוראות, שיבטיחו את מימוש התכליות המנויות בו.

על הנהלת משרד החינוך להטמיע לפני פרסום מכרזים להתקשרות עם ספקים, שלב מקדמי, הכולל בחינה על פי הדרישות שבתקנות אבטחת מידע ובהנחיית הרשם בנושא מיקור חוץ.

על משרד החינוך לפקח על עמידתם של ספקים בדרישות אבטחת מידע שנכללו בהסכמים עימם נוכח ההשלכות ופוטנציאל הפגיעה בפרטיות התלמידים, כדי להפחית את הסיכון שאירוע של גילוי מידע רגיש על תלמידים באינטרנט יישנה.

על משרד הבריאות למפות את המוסדות הרפואיים הטעונים רישיון שאינם מחזיקים בהסמכה לתקן לניהול אבטחת מידע במערכות בריאות ולהניעם להשיג את ההסמכה הנדרשת. בהמשך עליו לבחון דרכים להניע גם מרפאות שאינן טעונות רישיון להשיג את ההסמכה לתקן.

על משרד הבריאות לבנות תוכנית לפיקוח ובקרה על אבטחת המידע בכל המוסדות הרפואיים בהתאם לסדרי עדיפויות שיקבע.

על משרד הבריאות ומשרד המשפטים להגיע בהקדם להכרעה על ההסדר הנורמטיבי הנדרש להפעלתה של מערכת שיתוף המידע הרפואי ולפעול ליישומו. 

על משרד הבריאות בשיתוף משרד המשפטים לפעול לקביעתם של כללי התממה מתאימים בשים לב לצורכי המחקרים מזה ולחובת ההגנה על פרטיותם של נושאי המידע מזה. כמו כן עליו לפעול להנחות את ועדות הלסינקי והמוסדות הרפואיים העורכים את הניסויים בנושא ולפקח על יישום הכללים שייקבעו. 

על משרד הבריאות לוודא שהמוסדות הרפואיים מבצעים בקרות על מחקרים רפואיים בהתאם לכללים שקבע, לרבות עמידה ברף הבקרה הנדרש; לבחון את דיווחיהם של גופי הבקרה במוסדות; ולוודא כי המוסדות פועלים ליישום הממצאים העולים מהם. עליו לבחון גם דרכים לפיקוח ובקרה על העברת המידע הרפואי במסגרת המחקר לחוקרים וליזמים.

סיכום

הזכות לפרטיות מאפשרת לכל אדם לחיות את חייו ללא התערבות ולממש את רצונותיו והחלטותיו באופן אוטונומי. רשם מאגרי המידע העומד בראש הרשות להגנת הפרטיות הוא הרגולטור המופקד על הגנת המידע האישי במאגרי מידע. דוח זה מציין ליקויים בפעולות הרשות שנמצאו בביקורת, ובכלל זה מעורבות מצומצמת של הרשות בסוגיות הגנת הפרטיות במאגרי מידע העולות במגזר הציבורי והיעדרה של מדיניות אכיפה ברורה.

הביקורת במשרדי הבריאות והחינוך העלתה תמונה מדאיגה, לפיה הם מבצעים פרויקטים מקיפים או פועלים לאיסוף מידע אישי רב מבלי שהוסדרה כראוי המסגרת הנורמטיבית לכך. נוסף על כך נמצאו ליקויים במדיניות אבטחת המידע וביישומה. בניגוד לנדרש בדין, למשרד החינוך אין תמונה מלאה ומפורטת של מאגרי המידע שלו או של הספקים המחזיקים במאגרי המידע שלו; והוא אינו מפקח על הספקים בהיבטים של אבטחת מידע והגנה על פרטיות. משרד הבריאות אינו מקיים פיקוח מיטבי על אבטחת מידע במוסדות הרפואיים. אין למשרד מיפוי של המוסדות הטעונים רישיון שאינם מחזיקים בתקן לניהול אבטחת מידע במערכות בריאות, ורבים מהם אף אינם מוסמכים לתקן זה. המשרד אינו מקיים פיקוח מיטבי על ההגנה על פרטיות המידע של מטופלים שנעשה בו שימוש במחקרים רפואיים.

תנאי הכרחי לשיפור ההגנה על הפרטיות ולהטמעת הזכות לפרטיות הוא מחויבות ארגונית של המערכת הציבורית בישראל. הדברים באים לידי ביטוי גם בכמה החלטות ממשלה, המבססות את תפיסת השקיפות השלטונית ומחייבות שיקולים של הגנת פרטיות במסגרת יישומן. נוכח הממצאים המובאים בדוח זה, הנהלותיהם של משרדי החינוך והבריאות נדרשות להתגייס להכוונה ברורה של הגורמים האחראים לאבטחת המידע המשרדי, ולנקוט פעולה נמרצת לתיקון הליקויים ולהגנה אפקטיבית על הזכות לפרטיות, כנדרש בדין. 

כבר בתחילת שנות האלפיים הכיר משרד המשפטים בצורך בתיקונים בחוק הגנת הפרטיות ובתקנותיו, אך רובם לא קודמו או לא הושלמו. נראה כי בתחום זה של הגנת הפרטיות יש פער מובנה בין החקיקה, הממושכת מטבעה, ובין ההתפתחות הטכנולוגית המהירה. פער זה מגביר את הצורך לפעול בנחישות ובמהירות, על מנת לשמור על רלוונטיות של הוראות הדין במציאות המשתנה. על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם, הן לשם הגנה על זכויותיהם של נושאי המידע בישראל והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה התואמת את הדין האירופי.