הרשות להגנת הפרטיות: הרשות לשיקום האסיר הפרה את חוק הגנת הפרטיות

מחלקת האכיפה של הרשות להגנת הפרטיות [לשעבר, רמו”ט (הרשות למשפט, טכנולוגיה ומידע) במשרד המשפטים] קיימה הליך פיקוח לבירור אירוע אבטחת מידע ודליפת מידע אישי רגיש משרתי הרשות לשיקום האסיר [רש”א]. מדובר בגוף סטטוטורי הפועל מכוח חוק הרשות לשיקום האסיר, התשמ”ג-1983 ואמון על שיקום אסירים במדינת ישראל.

במסגרת פעילותה מחזיקה רש”א מידע אישי רגיש רב, הכולל בין היתר מידע אישי של עובדי ומתנדבי רש”א, מידע אישי של אסירים כגון התכתבויות, הערכות התאמה, פרוטוקולים של תוכניות שיקום והחלטות בוועדות שחרור. כמו כן, רש”א מחזיקה מידע בדבר קידום ושיקום בני נוער וקטינים ומידע בדבר פיקוח אלקטרוני על עברייני מין הכולל טבלת מעקב אודות עברייני מין שמכילה מידע רפואי וסוציאלי רב.

כחלק מבדיקות אבטחת המידע של הרשות להגנת הפרטיות נתגלה  כי אלפי קבצים הכוללים מידע רגיש זה היו חשופים לרשת ללא אמצעי אבטחה סבירים למניעת דליפת מידע וללא נהלי אבטחת מידע תקפים.

במסגרת הליך הפיקוח, הורתה הרשות להגנת הפרטיות על חסימה מיידית של דליפת המידע וביצעה בדיקות מקיפות לגבי הנסיבות שהביאו לאירוע, לרבות איסוף מידע ודרישת ידיעות ומסמכים בכתב, בדיקת נהלי שמירת המידע ואבטחתו, וכן תכתובות ושיחות עם מנהלי החברה.

בקביעת ההפרה דובר על חשיבותה של אבטחת המידע בעידן המידע הדיגיטלי. לצד היתרונות הרבים בהשתלבות של יישומים טכנולוגיים בחיינו, הם מחייבים את מי שמנהל את המידע אודותינו, לשמור ולהגן עליו. טענות רש”א בדבר מחסור תקציבי אינן מעלות או מורידות בדבר אחריותה של רש”א להגן על המידע ולאבטחו.

בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, התשמ”א – 1981 ותקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ”ו – 1986, נוכח קיומם של ליקויי אבטחת מידע במועד האירוע. בנוסף לכך, נדרשה רש”א לבצע סקר לבדיקת המצב הקיים ולתיקון הליקויים תוך תקופה שנקבעה.