הרשות להגנת הפרטיות: קביעת הפרה לחברת קומסיטק מחשוב ומערכות מידע 2003 בע”מ בעקבות אירוע דליפת מידע ממאגר מידע שהיה בהחזקתה

הרשות להגנת הפרטיות (לשעבר, רמו”ט) במשרד המשפטים קיימה הליך פיקוח לבירור אירוע דלף מידע ממאגר מידע של “מינהל – קרן ההשתלמות לפקידים עובדי המינהל והשירותים” ואשר בעקבותיו דלפו לרשת האינטרנט פרטים אישיים ומידע רגיש של עמיתים הכולל עשרות אלפי מסמכים על כ-20,000 עמיתים המועסקים אצל כ-250 חברות מובילות במשק.

במועד האירוע מאגר המידע ממנו אירע הדלף הוחזק על ידי חברת קומסיטק מחשוב ומערכות מידע 2003 בע”מ, אשר סיפקה שירותי מחשוב למינהל.

במסגרת דליפת המידע נמצאו תיקי עמיתים הכוללים צילומי תעודות זהות, טפסי הצטרפות לקרן השתלמות, רשימות של כלל העמיתים המכילות  מידע אישי רגיש ביותר לרבות מספרי תעודת זהות, כתובת, נתונים פיננסיים אודות הפרשות העובד והפרשות המעסיק לקרן ההשתלמות ועוד.

במסגרת הליך הפיקוח הורתה הרשות להגנת הפרטיות על חסימה מיידית של דליפת המידע וביצעה בדיקות מקיפות לגבי הנסיבות שהביאו לאירוע, לרבות איסוף מידע, קבלת מסמכים בכתב, בדיקת נהלי שמירת המידע ואבטחתו, וכן תכתובות ושיחות עם מנהל אבטחת המידע של מינהל ונציג חברת קומסיטק.

מפעולות הפיקוח שנערכו עלה כי מקור הדלף היה בשרת מחשב הנמצא בבעלות ובחזקת קומסיטק ושימש כרכיב גיבוי חיצוני למידע ברשת המקומית של מינהל.

בהתאם לממצאי ומסקנות הפיקוח נקבע כי קומסיטק כמחזיקה (כהגדרתה בחוק) הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, התשמ”א – 1981 ותקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ”ו –  1986, נוכח קיומם של ליקויי אבטחת מידע במועד האירוע.