הרשות להגנת הפרטיות: 32 אירועי אבטחת מידע חמורים טופלו ב-2021

בשנת 2021, הרשות להגנת הפרטיות במשרד המשפטים פתחה 29 תיקי אכיפה בנושא שימוש במידע שלא למטרה, איסוף בלא הסכמה, אי מתן זכות עיון; הרשות טיפלה ב-32 אירועי אבטחה חמורים, שבמסגרתם נפתחו 15 תיקים; 5 תיקים בנושא חתימה אלקטרונית; 30 החלטות רשם גורמים מאשרים; שני תיקים פליליים, שהורשעו בהם שישה חשודים; שני תיקים פליליים שהתקבלו בהם גזרי דין כנגד חשודים; ותיק פלילי אחד, שהוגש בו כתב אישום.

בדו"ח המסכם את פעילותה ב-2021, הרשות ציינה כמה מפעילויותיה: האחד, בנושא איתור מגעים של חולי קורונה באמצעות שב"כ. המתווה אותו היא הציעה, אומץ באופן מלא על ידי בית המשפט העליון בפסק הדין שניתן במרץ 2021, שעסק בחוקתיות החוק המסמיך של איכוני השב"כ. בית המשפט העליון הורה על צמצום שימוש בכלי באמצעות קביעת קריטריונים ברורים, ובסופו של דבר הורתה ועדת החוץ והביטחון של הכנסת על הפסקת השימוש בכלי, בשלהי מרץ 2021.

עוד נכתב בדו"ח כי "בתקופת משבר הקורונה, מחלקת האכיפה ברשות המשיכה בביצוע פעולות אכיפה בהתחשב בשימוש הרב במידע רפואי, שנעשה על ידי משרדי הממשלה, גופים ציבוריים וגופים פרטיים. פעולות האכיפה נגעו להעברת מידע אישי ממשרד הבריאות לרשויות המקומיות השונות ולידי עיריות… עוד התמקדה הרשות באירועי אבטחת מידע, שאירעו בגופים האוספים מידע מלקוחותיהם ביחס למצבם הבריאותי, באפליקציות המספקות מידע ביחס לחולי קורונה ובטיפול במידע שהועבר לרשויות המדינה השונות ולא אובטח כראוי".

פעילות האכיפה אף התמקדה בהתנהלותם של גורמי ממשל, ארגונים וחברות אשר במהלך תקופת משבר הקורונה עסקו בתהליכים שכללו איסוף מידע אישי בצורה לא מאובטחת וניהולו ברמה לא נאותה.

במישור החקיקה, נכתב, "בנובמבר 2021 אישרה ועדת השרים לחקיקה את הצעת החוק לתיקון 14, הכוללת הרחבה משמעותית של סמכויות האכיפה של הרשות, עדכון כלל העבירות במאגרי מידע, עדכון כל ההגדרות המהותיות בחוק וצמצום של חובת רישום מאגרי מידע. בינואר 2022 הונחה ההצעה על שולחן הכנסת, ואושרה בקריאה ראשונה. בפברואר 2022 קיימה ועדת החוקה, חוק ומשפט של הכנסת דיון ראשון בהכנת הצעת החוק לקריאה שניה ושלישית". במקביל, נכתב, "נמשכה העבודה האינטנסיבית על רפורמה מקיפה נוספת של הוראות החוק בעניין מאגרי מידע".

בעקבות מגיפת הקורונה והמעבר של המשק לעבודה מרחוק, נכתב, "הרשות השקיעה משאבים רבים לטיפול בבקשות להנפקת חתימה אלקטרונית על גבי התקן רשתי (HSM), כדי לאפשר תהליכים של הזדהות מרחוק באמצעות חתימה אלקטרונית".

בשנת 2021 התקבלו ברשות 108 דיווחים על אירועי אבטחה חמורים, והרשות קבעה תוצרי אכיפה ב-32 מהם ופתחה ב-15 הליכי פיקוח מינהלי בתחום אבטחת המידע. אירועי אבטחה חמורים אירעו במגזרים שונים, ובהם הציבורי (19%), הפיננסי (15%), העסקי (9%) והבריאותי (5%).

עוד ערכו ברשות בשנה החולפת 224 תיקי פיקוח רוחב (אודיט), בארבעה מגזרים שהוגדרו על ידי הרשות כבעלי סיכון גבוה לפגיעה בפרטיות. בנוסף, הרשות החלה ב-2021 בפיקוחי רוחב בקרב 216 גופים בחמישה מגזרים, לרבות חברות הפועלות במגזר התחבורה הדיגיטלית ואפליקציות תשלום מבוססי מיקום; גופים הפועלים במגזר אפליקציות בריאות דיגיטלית ומתן שירותי רפואה מרחוק; גופים במגזר התקשורת; בתי חולים וגופים המשתייכים למגזר העמותות והמגזר השלישי.

לפי הרשות, "היה שיפור משמעותי בתיקון הליקויים לאחר הפיקוח שערכה הרשות. ממוצע שיפור הליקויים של 14 המגזרים עומד על 57.44%".

בשנת 2021 התקבלו ברשות כ-1,670 פניות בתחום הגנת הפרטיות, מתוכן  349 סווגו כתלונות. 23% מהפניות היו בנושאי אבטחת מידע, ו-14.7% – בתחום רישום מאגרי מידע. זאת לעומת 2020 עם 1,591 פניות בתחום הגנת הפרטיות, שמתוכן 422 סווגו כתלונות.