הרשות להגנת הפרטיות [לשעבר, רמו”ט] קיימה הליך פיקוח לבירור אירוע דלף מידע אישי רגיש משרת מחשב של עמותת טף (עמותה לאימוץ בינארצי, ע”ר); נקבע כי העמותה הפרה סעיפים בחוק הגנת הפרטיות ותקנה מתקנות הגנת הפרטיות

מחלקת האכיפה של הרשות להגנת הפרטיות קיימה הליך פיקוח לבירור אירוע דלף מידע אישי רגיש משרת מחשב של עמותת טף – (עמותה לאימוץ בינארצי, ע”ר).

בהודעת הרשות להגנת הפרטיות מה- 17 באוקטובר 2017 נאמר כי הליך הפיקוח נפתח לאחר שבבדיקה של מומחי אבטחת המידע ברשות להגנת הפרטיות לבחינת רמת אבטחת המידע ויישום הוראות חוק הגנת הפרטיות נתגלה ליקוי אבטחת מידע. הליקוי שנמצא הביא לחשיפתו של מידע אישי רב ורגיש אשר כלל תצלומים, מסמכים ומידע אישי לרבות מידע פיננסי ובריאותי של משפחות מאמצות, ילדים מאומצים ואף עובדי העמותה.

“עם גילוי דליפת המידע פנתה הרשות להגנת הפרטיות לנציגי העמותה בדרישה לטיפול דחוף ומיידי לסגירתה . במסגרת הליך הפיקוח ביצעה הרשות בדיקות מקיפות לגבי הנסיבות שהביאו לאירוע, לרבות פיקוח במשרדי העמותה, איסוף וניתוח מידע ובדיקת נהלי שמירת המידע ואבטחתו. ממצאי הפיקוח העלו כי בעמותה קיימים ליקויי אבטחת מידע רבים וחמורים וכי מודעותה לסוגיית אבטחת המידע נמוכה מאוד. חומרת הממצאים קיבלה משנה תוקף נוכח רגישות התחום בו פועלת העמותה, ורגישות המידע אותו מחזיקה. לעמותה ניתנה הזדמנות להשמיע את טיעוניה העובדתיים והמשפטיים בכתב במסגרת תשובתם למכתב הפרה לכאורה שנישלח אליהם בעקבות ממצאי הפיקוח.

“בהתאם לממצאי ומסקנות הפיקוח, נקבע כי העמותה הפרה את סעיפים 2(7), 2(8) ו-17 לחוק הגנת הפרטיות וכן את תקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ”ו – 1986, וניתנו לעמותה הנחיות לתיקון ליקויים.

“לאור חומרת ליקוי אבטחת המידע ורגישות המידע שדלף, הודיע רשם מאגרי המידע לעמותה על כוונתו לעשות שימוש בסמכותו לפי סעיף 10(ו) לחוק ולהתלות את רישום המאגר “טף עמותה לאימוץ בין –ארצי” מספר 856566 שבבעלות העמותה. ביום 27.9.16 הודיעה הרשות להגנת הפרטיות לעמותה על כניסת התליית רישום המאגר לתוקף וזאת עד לתיקון הליקויים.

“בהמשך להליך הפיקוח הגישה העמותה לרשות להגנת הפרטיות תוכנית מפורטת לתיקון הליקויים”.