רקע כללי
בשנת 1981 נחקק חוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות או החוק). בשנת 1986 פורסמו תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986 (להלן - תקנות הגנת הפרטיות (העברת מידע)), הכוללות בין היתר פירוט הוראות כלליות לניהול מאגר מידע ונהלים להעברת מידע בין גופים ציבוריים. במרץ 2017 אישרה ועדת החוקה חוק ומשפט של הכנסת, לאחר דיונים ממושכים, את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, שביקשה שרת המשפטים להתקין (להלן - תקנות הגנת הפרטיות (אבטחת מידע) או התקנות החדשות). תקנות אלה כוללות הוראות מפורטות ליישום אבטחת מידע במאגרי מידע, והן נכנסו לתוקף במאי 2018. הרשות להגנת הפרטיות הינה הגוף המסדיר, המפקח והאוכף על פי חוק הגנת הפרטיות.
נושא הגנת הסייבר במדינת ישראל קוּדם בשנים האחרונות במידה ניכרת עם ייסודם של מטה הסייבר הלאומי והרשות הלאומית להגנת הסייבר (שאוחדו החל ב-1.1.18 למערך הסייבר הלאומי). בפברואר 2015 קיבלה הממשלה החלטה בדבר "קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר" (להלן - ההחלטה בעניין הגנת הסייבר בממשלה). בעקבות ההחלטה הוקמה, במסגרת רשות התקשוב הממשלתי שבמשרד רה"ם, יחידה להגנת הסייבר בממשלה (להלן גם - יה"ב), שייעודה לשמש גוף להכוונה ולהנחיה מקצועית בתחום הגנת הסייבר במשרדי הממשלה וביחידות הסמך. באותה החלטה הוטל על המנכ"לים של משרדי הממשלה ומנהלי יחידות הסמך לפעול לשיפור רמת הגנת הסייבר במשרדי הממשלה. בין הצעדים שהיה עליהם לנקוט: מינוי של "ממונה הגנת הסייבר" במשרד, הקמת ועדת היגוי משרדית לנושא הסייבר והקצאת תקציב ייעודי להגנת הסייבר.
משרד החקלאות ופיתוח הכפר (להלן - משרד החקלאות או המשרד) מנהל מערכות מידע המכילות נתונים רבים על החקלאות ועל החקלאים בתחומים שונים, ובכלל זה מידע כלכלי לגבי תמיכות ובעניין זכאות לאמצעי ייצור, כגון מים ועובדים זרים. יחידת המחשוב של המשרד מחזיקה מערכות תפעוליות ומחקריות. במערכות הללו ישנם גם מאגרי מידע כהגדרתם בחוק הגנת הפרטיות. חלקם כוללים מידע רגיש כהגדרתו בחוק, הטעונים רישום לפי החוק, ועל חלקם חלות תקנות הגנת הפרטיות (אבטחת מידע).
נוסף על כך, המשרד מפעיל את היחידה המרכזית לאכיפה וחקירות - פיקוח על הצומח והחי (פיצו"ח) - יחידה לפיקוח על תנועת מוצרים מן הצומח והחי וליישום ההסכמים החקלאיים בין הרשות הפלסטינית למדינת ישראל (להלן - יחידת הפיצו"ח). עובדי היחידה הוסמכו כמפקחים לפי חוק יישום ההסכם בדבר רצועת עזה ואזור יריחו (הסדרים כלכליים והוראות שונות) (תיקוני חקיקה), התשנ"ה-1994 (להלן - חוק היישום), ודברי חקיקה נוספים. ביחידת הפיצו"ח מנוהלים מאגרי מידע התומכים בפעולותיה, והיא עושה שימוש גם במידע ממאגרי מידע חיצוניים לסיוע בפעולות החקירה והאכיפה שלה.
פעולות הביקורת
בחודשים אוקטובר 2017 - מרץ 2018 בדק משרד מבקר המדינה היבטים בהגנת הפרטיות ובאבטחת מידע במשרד החקלאות כדלהלן: מיפוי, בחינה והגדרה של מאגרי המידע; ההיערכות הארגונית ליישום חוק הגנת הפרטיות; טיפול המשרד בבקשות לקבלת מידע אישי ממאגרי רשות האוכלוסין וההגירה (להלן - רשות האוכלוסין) ומשרד התחבורה והבטיחות בדרכים (להלן - משרד התחבורה) והבקרה על השימוש שנעשה במידע שהתקבל; יישום תקנות הגנת הפרטיות (אבטחת מידע); יישום ההחלטה בעניין הגנת הסייבר בממשלה. בדיקות השלמה נערכו ברשות האוכלוסין, במשרד התחבורה, בנציבות שירות המדינה (להלן - נש"ם) וביחידה להגנת הסייבר בממשלה. בדיקות השלמה נוספות נערכו במאי 2018.
ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת, בהתייעצות עם מבקר המדינה, החליטה להטיל חיסיון על חלקים מפרק ביקורת זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב].
הליקויים העיקריים
אי-השלמת מיפוי, בחינה והגדרה של מאגרי מידע
משרד החקלאות לא ערך עבודת מטה סדורה שתאפשר למפות ולזהות את המאגרים הטעונים הגדרה כמאגרי מידע לפי חוק הגנת הפרטיות.
ליקויים בהיערכות הארגונית ליישום חוק הגנת הפרטיות במשרד החקלאות
משרד החקלאות לא הגדיר מי ישמשו כמנהלים של מאגרי המידע הרשומים. אי-מינוי מנהלי מאגרי מידע הביא לידי כך שעל בקשות לקבלת מידע חתמו כמנהלי מאגר מידע בעלי תפקידים אחרים מבלי שהוגדרו כמנהל מאגר מידע ובלי שנשאו באחריות לתפקיד המנהל.
במשך כשמונה שנים לא היה במשרד ממונה על אבטחת מידע כנדרש על פי חוק הגנת הפרטיות. רק באוגוסט 2017 מינה המנכ"ל עובד בלשכתו לממונה אבטחת מידע.
במשרד פועלת ועדה להעברת מידע, שהוקמה בהתאם להוראות שנקבעו בתיקון לתקנות הגנת הפרטיות (העברת מידע) משנת 2005, ותפקידה לבחון בקשות למסירת מידע של המשרד וכן בקשות מטעם המשרד לקבל מידע של גוף אחר. נוהל הוועדה לא עסק בתהליך המלא של העברת המידע ובכלל זה: הגשת הבקשה לאישור הוועדה להעברת מידע בגוף הציבורי המוסר את המידע, קבלת התייחסותה והטיפול בה; מעקב ופיקוח על קבלת המידע ועל התקנתם והפעלתם של אמצעי הבקרה והניטור אחר המורשים להשתמש במידע אצל מקבל המידע.
חשש לשימוש שלא כדין במידע ממאגרי מידע חיצוניים ביחידת הפיצו"ח
קיים חשש כי ביחידת הפיצו"ח נעשה שימוש שלא כדין במאגרי המידע שהועמדו לרשותה בשנים 2014 - 2016. בעקבות חקירה שערך אגף החקירות בנש"ם הושעו שלושה מעובדי יחידת הפיצו"ח, ואגף התביעה בנש"ם הגיש נגדם כתבי תובענה לבית הדין למשמעת של עובדי המדינה. על פי כתבי התובענה, הפיקו עובדי הפיצו"ח מאות שאילתות מידע ממאגרים אלו על עובדי המשרד ומנהליו, ידוענים, חוקרי נש"ם ועוד, וזאת לצרכים פרטיים.
בקשות לקבלת מידע שהגישה יחידת הפיצו"ח לרשות האוכלוסין ולמשרד התחבורה ב-2013 לא נדונו ולא אושרו בוועדה להעברת מידע של משרד החקלאות.
הוועדה להעברת מידע במשרד החקלאות אישרה בקשה משנת 2009 לקבלת מידע מרשות האוכלוסין, שחתום עליה אחד המשתמשים כממונה אבטחת מידע, אף שלא מונה לתפקיד. מצב זה אינו עולה בקנה אחד עם כללי מינהל תקין והפרדת סמכויות.
בעלי התפקידים (מנהל המאגר והממונה על אבטחת המידע), החותמים על טופס הבקשה לקבלת מידע לפי חוק הגנת הפרטיות, והוועדה להעברת המידע במשרד החקלאות, שאמורה לבקר ולשקול את עניין קבלת המידע על כל היבטיו, לא הקפידו לוודא כי נערכת בקרה נאותה אחר השימוש שנעשה במאגר, ובפרט לגבי כניסות מורשי הגישה למרשם האוכלוסין והמידע שדלו מתוכו.
הוועדה להעברת מידע ברשות האוכלוסין לא אישרה, כנדרש בתקנות, העברת מידע הכלול במאגרי מרשם האוכלוסין ומרשם כלי הרכב של מערכת "רותם", שהועבר ליחידת הפיצו"ח.
ההחלטה של מינהל מעברי גבול ברשות האוכלוסין להפסיק לאפשר ליחידת הפיצו"ח את השימוש במערכת "רותם" התקבלה מבלי ליידע את הדרגים הבכירים במשרד החקלאות על כך.
בטופס הבקשה לקבלת מידע שהגישה יחידת הפיצו"ח למשרד התחבורה בשנת 2013 לא פורט, אף כי נדרש היה לפרט, אילו אמצעי בקרה וניטור ישמשו לצורך ביצוע בקרה על כניסות מורשי הגישה למאגרי משרד התחבורה.
יישום תקנות הגנת הפרטיות (אבטחת מידע)
המשרד לא נערך באופן מספק ליישום תקנות הגנת הפרטיות החדשות. לא נמצא כי הייתה התארגנות ברמת הנהלת המשרד להגדרת כל המאגרים הרלוונטיים במשרד, לקביעת רמת האבטחה בהם וכן לקביעת יעדי היערכות ולוחות הזמנים ליישום התקנות.
יישום ההחלטה בעניין הגנת הסייבר בממשלה
סקר הסיכונים שבוצע במשרד בנובמבר 2017 לא כלל יחידות סמך חשובות.
ההמלצות של סקר הסיכונים נדונו אצל המנכ"ל רק במרץ 2018, אך טרם גובשה תוכנית עבודה ותקצוב מוסכם ליישום המלצות סקר הסיכונים, ולא הובהר אילו מההמלצות של סקר הסיכונים שנקבעו לביצוע בשנת 2018 יתוקצבו ויבוצעו בשנה זו.
ההמלצות העיקריות
על משרד החקלאות להשלים את מיפוי מאגרי המידע שלו, לזהות את המאגרים הטעונים הגדרה ואבטחה על פי החוק ותקנותיו ולהכין מתווה להגדרתם ולרישומם.
על משרד החקלאות להגדיר לכל המאגרים שימפה מיהם הבעלים והמנהל של כל מאגר. על כל בעלי התפקידים לפעול למימוש חובתם לאבטחת המידע במאגרים שהם מופקדים עליהם.
על הרשות להגנת הפרטיות לפעול, בשיתוף נש"ם וגורמים רלוונטיים נוספים, לקביעת ההכשרה הנדרשת מממונה אבטחת מידע בגופים ציבוריים, ובפרט במשרדי הממשלה.
על משרד החקלאות לתקן את נוהל הוועדה להעברת מידע ולקבוע בו מהי המעורבות הנדרשת ממנה וממנהלי המאגר בתהליכי העבודה מול הגוף הציבורי מוסר המידע או מקבל המידע, וזאת בהתאם לאחריות המוטלת עליהם בהוראות הדין.
על הרשות להגנת הפרטיות לבחון את הדרך המיטבית להשגת המטרה שחובות בעלי התפקידים ימומשו - בין באמצעות הגברת האכיפה ובין על ידי בחינה אם יש מקום לקבוע בצורה ברורה יותר את חלוקת התפקידים - ולחדד את האחריות לניהול הכולל של הגנת הפרטיות בגופים ציבוריים, ובפרט במשרדי ממשלה.
סיכום
חוק הגנת הפרטיות ותקנותיו כוּננו לפני יותר משלושה עשורים, בין היתר, כדי להגן על המידע הרגיש האגור במאגרים ולמנוע את חשיפתו לשימוש שלא על פי דין. הביקורת העלתה כי על אף הזמן הרב שעבר, היערכות משרד החקלאות ליישום החוק לא נעשתה בצורה מספקת: לא זוהו, הוגדרו ונרשמו כל מאגרי המידע הטעונים הגנה על פי חוק הגנת הפרטיות; לא מונו בעלי תפקידים כנדרש לפי החוק ותקנותיו; תהליכי האישור והבקרה על העברת מידע בין המשרד לבין גופים ציבוריים אחרים מבוצעים באופן חלקי ולוקים בתהליך הבקרה. ליקויים אלו בהיערכות המשרד הם הרקע לחשש שהועלה כי ביחידת הפיצו"ח נעשה בשנים 2014-2016 שימוש שלא כדין במאגרי מידע שהועמדו לרשותה. בעקבות חקירה שנפתחה על ידי אגף החקירות בנש"ם הושעו שלושה עובדים ביחידה והוגשו נגדם כתבי תובענה לבית הדין למשמעת של עובדי המדינה.
במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, הכוללות הוראות מפורטות ליישום אבטחת מידע במאגרי מידע. ואולם המשרד לא נערך ליישום התקנות כיאות ובשל כך לא יישם אותן באופן מספק, אף שנקבעה תקופת היערכות של שנה עד לכניסתן של התקנות לתוקף, כדי לאפשר לגופים במשק ליישמן.
על מנכ"ל המשרד לפעול ליישום חוק הגנת הפרטיות ותקנותיו בהקדם האפשרי. במסגרת זו, עליו להפוך את הטיפול בהגנת הפרטיות לשגרה מחייבת במסגרת פעילות המשרד בכלל והפעילות להגנת הסייבר ונכסי המידע של המשרד בפרט.
התנהלות משרד החקלאות המתוארת בדוח שגרמה לכך שההיערכות הארגונית ליישום החוק במשרד היתה חלקית, עלולה להיווצר גם בגופים ציבוריים אחרים. על הרשות להגנת הפרטיות לתת את דעתה לנושא ולבחון אם יש צורך בשינויים בתחום, ובכלל זה הגדרה ברורה יותר של תכולת כל אחד מהתפקידים המוגדרים בחוק הגנת הפרטיות ותקנותיו והגברת האכיפה בתחום.