top image

פרטיות ואבטחת מידע ברשויות המקומיות ובתאגידים העירוניים

פרטיות ואבטחת מידע ברשויות המקומיות,משרד עורכי דין

פרטיות ואבטחת מידע ברשויות המקומיות

ברשויות המקומיות מאגרי מידע רבים המשמשים בסיס לעבודתן, בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, גביה, ביטוח, תכנון ובנייה, פיקוח, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה, תמרור וחניה, ביטחון ובטיחות, תברואה ואיכות הסביבה. בשנים האחרונות אף גדל מספר “הערים החכמות” – ערים המשתמשות בטכנולוגיות מידע ותקשורת לשיפור ניהול נכסיהן ואיכות החיים של תושביהן (דוגמת אפליקציות רשותית, מערך המצלמות העירוניות, שירותים ותשלומים מקוונים, הליכי שיתוף ציבור, ועוד).

 

המידע הנמצא בידי הרשויות המקומיות

המידע הרב שאוגרות הרשויות, וההצטיידות בכלים דיגיטליים ובטכנולוגיות מתקדמות, גורמים לגידול חד בכמות הנתונים שבידי הרשויות המקומיות, במספר מאגרי המידע שבבעלותן. בנוסף, הם מאפשרים גם יכולת גבוהה לאסוף, לעבד ולנתח מידע אישי, פרטי ורגיש, ובהיקפים רבים יותר. אלא שתהליכים וכלים אלה, גם הופכים את הרשות המקומית לפגיעה אף יותר, ואת פרטיותם של תושבי הרשות – לחשופה לפגיעה קשה. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביע מבקר המדינה (דו”ח ביקורת שנתי 62 (2012) “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”, בדו”ח מעקב מורחב בשנת 2017, ושוב בדו”ח שפורסם בשנת 2020, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי אינן ערוכות להתמודד עם איומי סייבר. דו”ח ממצאי הליך פיקוח הרוחב בקרב רשויות מקומיות שערכה הרשות להגנת הפרטיות בחודש נובמבר 2021, העלה ליקויים משמעותיים המצריכים תיקון, בכל הרשויות.

 

פרטיות ואבטחת מידע בתאגידים העירוניים

התאגידים העירוניים, הנם אחד מהגורמים האוספים, מקבלים ומעבדים מידע, במסגרת השירותים שהם מספקים לתושבי הרשות. כך לדוגמה, תחומי החינוך הבלתי פורמאלי, קייטנות, חוגי ספורט ואירועי תרבות למיניהם, השכרת נכסים, העסקת כ”א, מצריכים כולם איסוף נתונים אישיים, מספרי טלפון, כתובות דוא”ל, צילומים, מספרי כרטיסי אשראי וחשבונות בנק, וכיוצ”ב. הסיכונים של התאגידים העירוניים, זהים לאלו של הרשויות המקומיות.

 

הפרת הוראות הגנת הפרטיות

חוק הגנת הפרטיות, התשמ”א – 1981, תקנות הגנת הפרטיות (אבטחת מידע), והנחיות הרשות להגנת הפרטיות, מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע. זאת, על מנת למנוע חשיפה, שימוש, השחתה או העתקה של המידע, על ידי גורמים שאינם מורשים לכך.

כל שימוש במאגר מידע שלא לצרכי התפקיד והעבודה מהווה עבירת משמעת ועלול להוות אף עבירה פלילית. זאת, אף אם למשתמש הרשאות לצפיה במאגר המידע וגם אם המטרה היתה”תמימה” לכאורה, מתוך סקרנות גרידא, ושלא על מנת לפגוע באדם כלשהו או למטרות מסירת
המידע לגורם לא מורשה. אי עמידה בהוראות הדין, מעבר להגדלת הסיכון לאירועי אבטחת מידע ופגיעה בפרטיות – עלולה להביא לחשיפה לתביעות אזרחיות, להגדלת הוצאותיה הישירות והעקיפות של הרשות, להליכי אכיפה מינהלית, לקנסות, ואפשר שאף להליכים אישיים פליליים כנגד נושאי המשרה. ההנהלה, כחלק בלתי נפרד מתפקידה, חייבת להבין את הסיכונים לפרטיות המידע שבידיה, על מנת לממש את אחריותה החוקית והציבורית.

 

תהליכי עבודה עיקריים בתחומי אבטחת מידע והגנת הפרטיות:

  • הגדרה חוקית והסמכה כנדרש של “בעל מאגר המידע”, “מחזיק המאגר”, ו”מנהל המאגר”.
  • איתור המידע הנאסף (ברשות וע”י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.
  • בדיקת מדיניות הרשות בתחום המידע, בדיקת פעולות הרשות בעת איסוף המידע, בדיקת מטרת איסוף המידע.
  • ניסוח מסמכי הסכמה, וקבלת הסכמת האנשים והגופים.
  • מינוי ממונה אבטחת מידע.
  • קביעת תכניות עבודה שנתיות.
  • קביעת נהלי עבודה, הנחיות מחייבות, וכן ביצוע ימי עיון, הדרכות ותרגול.
  • ביצוע סקר סיכונים אבטחת מידע (שנתי): מיפוי נכסי המידע של הרשות המקומית, מיפוי תשתיות והיישומים המרכזיים, ביצוע מבדקי חדירות, לשם סיווגם לסוגי הסיכון ולרמות הסיכון. הצגת הממצאים לרשות המקומית ולמקבלי ההחלטות, ומתן המלצות להתמודדות כנגד הסיכונים שאותרו.
  • ביצוע שינויים והתאמות, כתוצאה מהמלצות סקר הסיכונים: חידוד נהלים, התאמת חוזים והסכמים, ניסוח הסכמי עבודה, עדכון מסמכי מכרזים, עדכון ספקים ונותני שירות חיצוניים, בדיקת ביטוחי הרשות כנגד סיכוני אבטחת מידע וסייבר, הקשחה פיזית של אמצעי מחשוב ומאגרי המידע, גיבויים, אבטחה פיזית, אבטחה לוגית, וכו’.
  • ביצוע דיווח מתאים ונכון, באשר לאירועי אבטחת מידע, אצל רשם מאגרי המידע.

 

עורך דין רשויות מקומיות בתחום אבטחת מידע והגנת הפרטיות

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים