top image

פרטיות ואבטחת מידע ברשויות המקומיות

פרטיות ואבטחת מידע ברשויות המקומיות,משרד עורכי דין

פרטיות ואבטחת מידע ברשויות המקומיות

ברשויות המקומיות מאגרי מידע רבים המשמשים בסיס לעבודתן, בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, גביה, ביטוח, תכנון ובנייה, פיקוח, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה, תמרור וחניה, ביטחון ובטיחות, תברואה ואיכות הסביבה. בשנים האחרונות אף גדל מספר “הערים החכמות” – ערים המשתמשות בטכנולוגיות מידע ותקשורת לשיפור ניהול נכסיהן ואיכות החיים של תושביהן (דוגמת אפליקציות רשותית, מערך המצלמות העירוניות, שירותים ותשלומים מקוונים, הליכי שיתוף ציבור, ועוד). בשנים האחרונות, נוכח התפתחויות טכנולוגיות ומשפטיות, מתרחבות הסוגיות בתחום הפרטיות ואבטחת המידע, של תושבי הרשות ושל עובדי הרשות. סקירה של מספר סוגיות בתחומי פרטיות ואבטחת מידע, בהן עוסקות הרשויות המקומיות.

 

המידע הנמצא בידי הרשויות המקומיות

המידע הרב שאוגרות הרשויות, וההצטיידות בכלים דיגיטליים ובטכנולוגיות מתקדמות, גורמים לגידול חד בכמות הנתונים שבידי הרשויות המקומיות, במספר מאגרי המידע שבבעלותן. בנוסף, הם מאפשרים גם יכולת גבוהה לאסוף, לעבד ולנתח מידע אישי, פרטי ורגיש, ובהיקפים רבים יותר. אלא שתהליכים וכלים אלה, גם הופכים את הרשות המקומית לפגיעה אף יותר, ואת פרטיותם של תושבי הרשות – לחשופה לפגיעה קשה. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביע מבקר המדינה (דו”ח ביקורת שנתי 62 (2012) “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”, בדו”ח מעקב מורחב בשנת 2017, ושוב בדו”ח שפורסם בשנת 2020, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי אינן ערוכות להתמודד עם איומי סייבר. דו”ח ממצאי הליך פיקוח הרוחב בקרב רשויות מקומיות שערכה הרשות להגנת הפרטיות בחודש נובמבר 2021, העלה ליקויים משמעותיים המצריכים תיקון, בכל הרשויות.

 

פרטיות ואבטחת מידע בתאגידים העירוניים

התאגידים העירוניים, הנם אחד מהגורמים האוספים, מקבלים ומעבדים מידע, במסגרת השירותים שהם מספקים לתושבי הרשות. כך לדוגמה, תחומי החינוך הבלתי פורמאלי, קייטנות, חוגי ספורט ואירועי תרבות למיניהם, השכרת נכסים, העסקת כ”א, מצריכים כולם איסוף נתונים אישיים, מספרי טלפון, כתובות דוא”ל, צילומים, מספרי כרטיסי אשראי וחשבונות בנק, וכיוצ”ב. הסיכונים של התאגידים העירוניים, זהים, לכל הפחות, לאלו של הרשויות המקומיות.

עדכון: הרשות להגנת הפרטיות פרסמה בחודש ספטמבר 2023, טיוטת הנחיה בנושא תפקיד הדירקטוריון בקיום חובות החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017. הנחיה זו מבקשת להגדיר את אחריות הדירקטוריון, בכל הקשור לעמידה בהוראות הדין בתחום הגנת הפרטיות ואבטחת מידע. ככל שההנחיה תיושם, היא תטיל אחריות מוגברת על דירקטורים בקשר עם האופן שבו החברה מיישמת את דרישות חוק הגנת הפרטיות, וכן תגדיל את עלויות הביטוחים בחברה.

 

הפרת הוראות הגנת הפרטיות

חוק הגנת הפרטיות, התשמ”א – 1981, תקנות הגנת הפרטיות (אבטחת מידע), והנחיות הרשות להגנת הפרטיות, מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע. זאת, על מנת למנוע חשיפה, שימוש, השחתה או העתקה של המידע, על ידי גורמים שאינם מורשים לכך.

כל שימוש במאגר מידע שלא לצרכי התפקיד והעבודה מהווה עבירת משמעת ועלול להוות אף עבירה פלילית. זאת, אף אם למשתמש הרשאות לצפיה במאגר המידע וגם אם המטרה היתה”תמימה” לכאורה, מתוך סקרנות גרידא, ושלא על מנת לפגוע באדם כלשהו או למטרות מסירת המידע לגורם לא מורשה. אי עמידה בהוראות הדין, מעבר להגדלת הסיכון לאירועי אבטחת מידע ופגיעה בפרטיות – עלולה להביא לחשיפה לתביעות אזרחיות, להגדלת הוצאותיה הישירות והעקיפות של הרשות, להליכי אכיפה מינהלית, לקנסות, ואפשר שאף להליכים אישיים פליליים כנגד נושאי המשרה. ההנהלה, כחלק בלתי נפרד מתפקידה, חייבת להבין את הסיכונים לפרטיות המידע שבידיה, על מנת לממש את אחריותה החוקית והציבורית.

 

תהליכי עבודה עיקריים בתחומי אבטחת מידע והגנת הפרטיות:

  • הגדרה חוקית והסמכה כנדרש של “בעל מאגר המידע”, “מחזיק המאגר”, ו”מנהל המאגר”.
  • איתור המידע הנאסף (ברשות וע”י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.
  • בדיקת מדיניות הרשות בתחום המידע, בדיקת פעולות הרשות בעת איסוף המידע, בדיקת מטרת איסוף המידע.
  • ניסוח מסמכי הסכמה, וקבלת הסכמת האנשים והגופים.
  • מינוי ממונה אבטחת מידע.
  • קביעת תכניות עבודה שנתיות.
  • קביעת נהלי עבודה, הנחיות מחייבות, וכן ביצוע ימי עיון, הדרכות ותרגול.
  • ביצוע סקר סיכונים אבטחת מידע (שנתי): מיפוי נכסי המידע של הרשות המקומית, מיפוי תשתיות והיישומים המרכזיים, ביצוע מבדקי חדירות, לשם סיווגם לסוגי הסיכון ולרמות הסיכון. הצגת הממצאים לרשות המקומית ולמקבלי ההחלטות, ומתן המלצות להתמודדות כנגד הסיכונים שאותרו.
  • ביצוע שינויים והתאמות, כתוצאה מהמלצות סקר הסיכונים: חידוד נהלים, התאמת חוזים והסכמים, ניסוח הסכמי עבודה, עדכון מסמכי מכרזים, עדכון ספקים ונותני שירות חיצוניים, בדיקת ביטוחי הרשות כנגד סיכוני אבטחת מידע וסייבר, הקשחה פיזית של אמצעי מחשוב ומאגרי המידע, גיבויים, אבטחה פיזית, אבטחה לוגית, וכו’.
  • ביצוע דיווח מתאים ונכון, באשר לאירועי אבטחת מידע, אצל רשם מאגרי המידע.

 

סקר סיכונים אבטחת מידע

הרחבה קצרה בנושא: סקר סיכונים אבטחת מידע הנו חלק מניהול הסיכונים של הרשות המקומית. זהו תהליך לאיתור סיכונים/מפגעים, הערכת עוצמת הפגיעה/הנזק, לצורך תעדוף הטיפול בהם על פי העוצמה, הגדרת השיפור הנדרש וההשקעה הנדרשת לשיפור ובקרה על ביצוע פעילויות השיפור. סקר סיכוני אבטחת מידע, הנו חובה רגולטורית, וחלק מהניהול השוטף ברשות (נוסף על כך שמהווה חלק מדרישות הביטוח). הסקר מבקר את מערך האבטחה של הרשות המקומית, בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות באירגון, פיזית ולוגית, אבטחת התשתיות, מערכות הפעלה, רשתות, שרתים, מאגרי מידע, בסיסי נתונים, גיבויים, תהליכים, נהלי עבודה, היערכות למצבי חירום, ועוד.

 

התקשרות עם גורמים חיצוניים 

בשנים האחרונות, גוברת מגמת ההסתייעות של ארגונים רבים, במגזר הפרטי ובמגזר הציבורי, בנותני שירותים חיצוניים, במיקור חוץ. לנותני שירותים אלו ניתנת גישה גם למאגרי המידע האישי של הרשות. הצורך העיקרי בשימוש בנתוני שירות חיצוניים הנו הרצון להתייעלות מקצועית וכלכלית ברשות. זוהי “שרשרת האספקה” של הרשות המקומית.

הגנה על “שרשרת האספקה”

בהיבטי אבטחת מידע מרבית הסיכונים טמונים בסוגיות של גישת הספק למידע האישי בארגון, העברת מידע בין הספק לארגון וסיום ההתקשרות ביניהם. נוכח העובדה שישנן משמעויות משפטיות, עסקיות וטכנולוגיות לשימוש במיקור חוץ הכולל מתן גישה למידע האישי המוחזק בארגון, הותקנה תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז- 2017. זו נועדה להסדיר את אופן ההתקשרות בין הארגון לבין כל גורם חיצוני, המספק לארגון שירות הכרוך במתן גישה למאגר המידע שלו. הרשות להגנת הפרטיות פרסמה מדריך פעולה, ואלו עיקריו:

  1. חובה לערוך בדיקה האם הסיכונים הכרוכים בהתקשרות עם הספק מאפשרים את ההתקשרות עמו. ככלי עזר לביצוע הבדיקה, רשאי בעל המאגר להסתייע בשאלון בדיקה מקדמי, לאחר התאמתו לנסיבות הספציפיות של השירות ושל המידע המעובד, ובחינתו אל מול רגישות המידע המעובד והסיכונים הספציפיים הנובעים מההתקשרות.
  2. לבחון, לפני ביצוע ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות. לאחר מכן, חובה לקבוע הוראות מפורטות בנוהל אבטחת המידע בנושאים המפורטים בתקנה 15, וכן חובה לנקוט אמצעי פיקוח ובקרה על הספק. כל אלו, בהיקף ההולם את הסיכונים הספציפיים הנובעים מההתקשרות עמו.
  3. עריכת הסכם כתוב בין בעל המאגר לבין הספק, הכולל הנחיות והוראות בהתאם לסוג השירות. לשם כך, יש לאפיין את מהות השירות, את תהליכיו העסקיים והטכנולוגיים (מערכות המידע ונכסי המידע הרלוונטיים להתקשרות), את מורשי הגישה של הספק למערכות הרלוונטיות ואת האופן בו ייגשו למידע, ולבסוף את הסדרת סיום או שינוי ההתקשרות.

 

שימוש במצלמות מעקב למטרות אבטחה

האסטרטגיה של מניעת פשיעה באמצעות מצלמות מעקב, מתמקדת בעבירה המבוצעת ולא ברקע לביצועה או בנסיבות שהובילו לביצועה. מטרת התקנת המצלמות היא, בראש ובראשונה, הגברת תחושת הביטחון של השוהים במרחב הציבורי ובנוסף, הפחתת כמות האירועים השליליים. בישראל, השימוש במצלמות מעקב מבוצע ביוזמת של הממשלה ושל רשויות מקומיות. לעיתים, מתקיימים שני הדברים בכפיפה אחת.

אלא שהשימוש במצלמות מעורר שאלות משפטיות כבדות משקל. בין היתר, הפגיעה החוקתית בפרטיותם של אלפי אזרחים; מהן התכליות המצדיקות את הפגיעה בפרטיות; סמכות הרשויות המקומיות לרשת את המרחב העירוני הציבורי במצלמות; חלוקת האחריות הראויה בין המשטרה לרשויות המקומיות על הפעלת המצלמות והשימוש בחומר המצולם; הצורך בהסדרה משפטית של הסוגיה בכללותה, תוך קביעת אמות מידה ברורות ואחידות בדבר מיקום ומספר המצלמות, אופן התיעוד, אבטחת המידע, שמירת המידע ומחיקתו, אמצעי שילוט ויידוע לציבור, זהות הגורמים הצופים במידע והכשרתם המתאימה, מנגנוני העברת המידע לגוף אחר, הטלת סנקציות בגין שימוש לרעה ועוד. נוכח האמור לעיל, הנחיות משרד המשפטים לעניין השימוש הראוי במצלמות אבטחה ומעקב, הנן כדלקמן.

הנחית רשם מאגרי מידע מס’ 4/2012 שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן

  1. קבלת ההחלטה על הצבת מצלמות מעקב. השימוש במצלמות מעקב במרחב הציבורי, ייעשה בהתאם להסמכה מפורשת בחוק, לתכלית ראויה, ובאופן מידתי. יש לקבל את ההחלטה על השימוש במצלמת מעקב באופן מושכל ומודע, לאחר בחינת הצרכים והחלופות לשימוש במצלמה. טרם קבלת ההחלטה על עצם השימוש במצלמה יש לערוך בדיקה מקיפה של השלכות השימוש במצלמה על זכויות הציבור ובמיוחד על הזכות לפרטיות.
  2. תכנון לפרטיות בעת הפעלת מצלמות מעקב: מיקום, כיסוי ופונקציונליות. בתכנון מערכת מצלמות מעקב ובשימוש בהן, ההגנה על פרטיות הציבור צריכה לשמש שיקול מרכזי.
  3. יידוע על הצבת מצלמת מעקב. האיסור שבסעיף 1 לחוק לפגוע בפרטיותו של אדם ללא הסכמתו, ודרישת השקיפות המוטלת בסעיף 11 לחוק מחייבים ליידע את הציבור על הצבת מצלמת מעקב. אמצעי הידוע המינימלי הוא הצגת שלטים בסמוך למקום בו המצלמה מותקנת, וכן בכניסה לאזור הכיסוי של המצלמה. על השילוט להיות קריא, ברור. רצוי שהגורם האחראי על התקנת מצלמת המעקב יפרסם גם רשימה מרוכזת של מקומות התקנת מצלמות מעקב באתר האינטרנט של הרשות.
  4. שמירת הצילומים ומחיקתם. שמירת הצילומים לאחר שהם אינם נחוצים עוד מהווה הפרה של עקרון הגבלת המטרה. בנוסף, עצם השמירה של מידע יוצרת סיכוני אבטחת מידע. משום כך, היא פוגעת בזכות החוקתית לפרטיות במידה העולה על הנדרש.

 

שימוש במצלמות אבטחה במשרדי הרשות המקומית

מרבית המשרדים ברשויות המקומית – מצולמים, לצורך שמירה על ביטחון העובדים, לצורך מניעת וונדליזם או פגיעה ברכוש הציבורי, בין מכח דרישה חוקית, ובין אם לצורך פיקוח על פעילות העובדים. אלא שהצבה ושימוש במצלמות מעקב במקום העבודה, יוצרים תיעוד מקיף ומתמשך של כלל התנהלות העובדים ביום העבודה, ולא רק של פעילותם המקצועית. הצילומים הנאספים עלולים לכלול מידע רגיש ומקיף במיוחד, ולפגוע באורח חמור בפרטיות העובדים. הנחיית רשם מאגרי מידע מס’ 5/17 שהוציאה הרשות להגנת הפרטיות שבמשרד המשפטים, אותה סקרנו כאן, משרטטת קווים מנחים לשימוש במצלמות במקום העבודה ברשות המקומית.

 

איסוף נתוני מיקום של עובדים באמצעות אפליקציות ומערכות איכון ברכב

מעסיקים, ובכללם הנהלת הרשויות המקומיות, מפקחים אחר עובדיהם ומתחקים אחר טיב ביצוע עבודתם. מערכות איכון המותקנות ברכבי המעסיק (איתוראן, GPS וכו’) מאפשרות למעסיק פיקוח, בקרה ותיעוד אלקטרוני של כלי הרכב שבבעלותו, ובו בזמן אוספות נתוני מיקום של העובד העושה שימוש ברכב. בנוסף, אפליקציות שונות מאפשרות מעקב אחר מיקומם של עובדים באמצעות טכנולוגיית GPS, לרבות אפליקציות שהייעוד המקורי שלהן הוא למטרה אחרת. מנתוני מיקום כשלעצמם, או בשילוב עם מידע ממקורות נוספים, ניתן להסיק מידע רגיש ביותר על אישיותו של אדם, צנעת אישותו, מצבו הכלכלי ועוד פרטי מידע המוגנים לפי חוק הגנת הפרטיות.

אופן השימוש במערכות איכון 

הפסיקה קבעה כי למעסיק קיים אינטרס לגיטימי לפקח אחר שעות העבודה בפועל של העובדים. כך גם לפקח על רישום ודיווח שעות העבודה לשם חישוב שכר ופיקוח על ביצוע העבודה. לשם כך נתונה למעסיק הפררוגטיבה הניהולית לקבוע את מתכונת הפיקוח. הפסיקה אף הכירה בצורך של מעסיק, בתפקידים המתאפיינים בניידות גבוהה, לפקח אחר שעות העבודה של העובד גם באמצעים טכנולוגיים. עם זאת, הרשות להגנת הפרטיות מבהירה ומדגישה בגילוי דעת בנושא, כי מעסיקים המבקשים לעשות שימוש במערכת האוספת נתוני מיקום של עובדים נדרשים לקיים לגביה את הוראות חוק הגנת הפרטיות, ולעמוד בדרישת המידתיות. זאת, על מנת שהשימוש במערכת ייעשה רק לאחר בחינה מעמיקה של היחס הראוי בין התועלת שתצמח מכך, לבין הנזק והפגיעה בזכותו של העובד לפרטיות במהלך העבודה. השימוש במערכת זו ייעשה רק בהעדר חלופה אחרת, שאינה אוספת נתוני מיקום, ושבכוחה להגשים את תכלית איסוף הנתונים.

גם במקרים בהם עשויה להיות תכלית לגיטימית לאיסוף נתוני המיקום של עובד, על המעסיק להידרש לשאלות נוספות. לדוגמה, שאלת טווח השעות בהן נאספים נתוני המיקום, שאלת השימוש במידע ומורשי הגישה אליו, ועוד. על המעסיק לנמק את החלטתו תוך התייחסות לאפשרות השימוש בחלופות פוגעניות פחות. כך, כמפורט בגילוי הדעת, ככלל, קשה להצביע על אינטרס של המעסיק שבכוחו להצדיק איסוף רציף של נתוני מיקום, ככל שמדובר בעובד שעיקר עבודתו בפעילות משרדית רגילה. בדומה לכך, קשה להצביע על הצדקה לאיסוף נתוני מיקום של רכבי המעסיק המותרים בשימוש פרטי, כאשר האיסוף נעשה מעבר לשעות העבודה. בגילוי הדעת מפורטים השיקולים שעל מעסיק המבקש לעשות שימוש באפליקציות מעקב לקחת בחשבון. כן מפורטות בגילוי הדעת בו החובות, מכוח החוק והתקנות, שבהן על מעסיק לעמוד.

 

איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים

ארגונים עושים שימוש בטכנולוגיות לזיהוי ביומטרי לבקרת נוכחות עובדים במקום העבודה ולפיקוח אחר שעות עבודתם. לדוגמה, סריקת טביעת אצבעות, סריקת כף יד, סריקת קרנית או סריקת תווי פנים של העובד. זהו מידע ביומטרי, קרי מידע שאדם “נושא” עמו באופן תמידי, ואשר למעשה מהווה חלק ממנו. מידע ביומטרי מהווה מעיין “מפתח” אוניברסלי לזיהוי אדם. מחד, העובדה שמידע ביומטרי הוא קבוע ולא ניתן לשינוי, מהווה מצד אחד יתרון כאשר מדובר בצורך וביכולת לזהות אדם באופן ודאי. לתכונה זו יתרונות נוספים, לרבות בכל הנוגע לפרטיות ואבטחת מידע. מאידך, שימוש שכזה טומן בחובו גם סיכונים שונים לפרטיות, כגון: איסוף המידע שלא על יסוד הסכמה חופשית ומדעת של העובדים; הגברת תחושת המשטור והפגיעה בתחושת השליטה של עובדים על המידע האישי הנוגע אליהם; גניבתו של המידע, זליגתו וחשיפתו ברבים; ושימוש במידע למטרות השונות מהמטרה שלשמה נאסף המידע מלכתחילה. בנוסף, אחזקת נתונים ביומטריים של עובדים במאגר מידע מרכזי המוחזק אצל מעסיק, מעלה במידה משמעותית את סיכוני אבטחת המידע הנוגעים לו ואת הסיכון באובדן השליטה במידע הביומטרי הנוגע אליו.

גם בנושא זה, ככלל, למעסיקים עומדת הפררוגטיבה לאסוף ולהשתמש במידע ביומטרי לבקרת נוכחות עובדים במקום העבודה ולפיקוח אחר שעות עבודתם. עם זאת, איסוף המידע והשימוש בו חייבים להיעשות באופן סביר ומידתי, תוך יידוע העובדים וקבלת הסכמתם לכך, תוך יישום כללי אבטחת המידע, ותוך הקפדה על עיקרון צמידות המטרה. 

עקרונות השימוש במידע ביומטרי

  • הנמקת השימוש. על המעסיקים החובה להצדיק את הבחירה בשימוש במערכות אלו, על יסוד אינטרסים לגיטימיים שלהם חרף הפגיעה בפרטיות. על המעסיקים לשקול ולדון בכל החלופות האחרות לבקרת נוכחות, שפגיעתן בפרטיות פחותה, טרם החלטה על התבססות על מערכות ביומטריות.
  • יידוע עובדים. על מעסיקים המבקשים לאסוף ולהשתמש במידע ביומטרי של עובדיהם לצרכי בקרת נוכחות ליידע אותם באופן נרחב בכל הנוגע לאופן איסוף המידע והשימוש בו.
  • קבלת הסכמת העובדים. בהיעדר הסמכה בחוק, למעסיקים אסור לחייב עובדים במסירת מידע ביומטרי לצרכי בקרת נוכחות או פיקוח על שעות עבודתם, אם לא ניתנה לכך הסכמת העובד. לפיכך, בהיעדר הסמכה בחוק הקובעת אחרת, איסוף ושימוש מעסיק במידע ביומטרי של עובד לבקרת נוכחות חייבים להיעשות בהסכמת העובד, אשר צריכה להיות הסכמה מדעת, המתקבלת בצורה מפורשת או מכללא (קרי, באופן המשתמע מהתנהגות העובד עצמו). היה ולא ניתנה הסכמת העובד, במפורש או מכללא, לכך שמידע אישי על אודותיו ייאסף לצרכי שימוש במערכות ביומטריות לבקרת נוכחות, יימנע מעסיקו מלאסוף עליו מידע אישי באמצעות מערכות אלו. עם זאת, בנסיבות בהן השימוש במערכות ביומטריות לבקרת נוכחות נעשה באופן מידתי כפי שפורט לעיל, רשאי מעסיק לדרוש מעובד כי ייתן הסכמתו לאיסוף המידע. סירוב העובד עלול להיות בעל השלכות מבחינת יחסי העבודה בין הצדדים.
  • עיקרון צמידות המטרה. על מעסיקים המשתמשים במערכות ביומטריות לבקרה ולפיקוח על שעות העבודה להקפיד להשתמש במידע הנאסף אך ורק למטרות אלו. שימוש במידע למטרות אחרות עלול להוות פגיעה בפרטיות.
  • הקשחת אבטחת המידע בארגון, ורישום מאגר המידע. לאור העובדה שמידע ביומטרי הוא מידע רגיש כהגדרתו בחוק הגנת הפרטיות, על ארגונים האוספים מידע ביומטרי לשם שימוש במערכות לבקרת נוכחות עובדים, להגיש בקשה לרישום המאגר, בהתאם להוראות פרק ב’ לחוק הגנת הפרטיות.
  • צמצום ומחיקת מידע. במקרים רבים המידע הנאסף והנשמר במאגרי מידע אינו הכרחי ואינו רלוונטי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה. נוכח רגישות המידע הביומטרי, על מעסיקים לבחון את נחיצות שמירתו של מידע ביומטרי המוחזק על ידם. במקרים בהם נמצא כי המידע אינו נחוץ עוד למעסיק, יש לפעול לצמצום מידע זה.

 

פעולות דחופות להגברת ההגנה כנגד תקיפות סייבר – מלחמת חרבות ברזל

מערך הסייבר הלאומי מעדכן כי בתקופת הלחימה צפויות תקיפות סייבר שונות על ידי האויב כנגד ארגונים ואזרחים במדינת ישראל. ביצוע ההמלצות (כאן) באופן מיידי, עשוי לסייע במניעת אירועי סייבר. בנוסף לכך, על הרשויות המקומיות לרענן את נהלי חירום פנימיים, דרכי תקשורת, להגביר עירנות לאירועים חריגים, בדיקת תקינות אמצעי האבטחה, גיבויים, תדרוך גורמי אבטחה ותפעול, ועוד.

 

עורך דין רשויות מקומיות בתחום אבטחת מידע והגנת הפרטיות

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים