מליאת הכנסת אישרה ביום 5/8/2024, בקריאה השניה והשלישית, תיקון מקיף לחוק הגנת הפרטיות (תיקון מס’ 13, התשפ”ד-2024). תיקון זה מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות, אבטחת המידע ותחום הסייבר, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים. התיקון מעורר דאגה בקרב מנכ”לי רשויות המקומיות: חשיפה אישית, סנקציות אישיים, קנסות מנהליים והליכים פליליים, ובעתיד הקרוב – גם תביעות ייצוגיות. כאשר מערך הסייבר הלאומי מגדיר למעלה מ-50% מהרשויות המקומיות במצב “רע מאוד” בסייבר, היכולת לחולל שינוי מקיף ברשות המקומית ולעמוד בדרישות החוק בתוך 10 חודשים – מוטלת בספק גדול.
מה משמעות תיקון מס’ 13 לחוק הגנת הפרטיות, על הרשויות המקומיות?
משנה את כללי המשחק ברשויות המקומיות. מכאן ואילך, מוטלת אחריות ברורה, ארגונית ואישית, מנהלית ופלילית, על בעלי תפקידים בכירים ברשויות המקומיות, ובראשם מנכ”ל הרשות, בגין הפרת החוק. במרכזו של התיקון בהתייחס לרשויות המקומיות, עומדת החובה למינוי ממונה הגנת פרטיות (DPO), ביצוע סקר סיכונים, הטמעת תוכנית מקיפה לניהול ציות, קביעת נהלי אבטחת מידע, כתיבת נהלים ארגוניים, הטמעת הוראות חוזיות, ועדכון מדיניות הפרטיות. שינויים אלו מהווים אתגר משמעותי עבור רשויות מקומיות, המצריך השקעת משאבים ניכרת בהקמת תשתיות, הדרכה, ייעוץ משפטי ופיתוח מומחיות פנימית בתחום הגנת הפרטיות. נדרש גם שינוי תרבותי ארגוני להטמעת תפיסת הפרטיות כחלק אינטגרלי מהפעילות השוטפת. ללא מאמץ מתמשך בכיוון זה, שיסתיים בתוך שנה מיום פרסום החוק – הרשויות המקומיות, ומנהליהן הבכירים, חשופים ממשית לסיכונים משפטיים.
מי הגורם האחראי (באופן אישי) ברשות המקומית?
תיקון 13 הגדיר “מנהל מאגר” – “בעל שליטה במאגר מידע, ולעניין גוף ציבורי כהגדרתו בסעיף 23 – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שהמנהל הכללי הסמיכו לנהל את המאגר“.
אם כי כל אחד מהעובדים והמנהלים ברשות המקומית, תלוי בתפקידו, אחראי באופן ישיר או עקיף לשמירה על פרטיות המידע, הרי שהאחריות הסטטוטורית היא של מנכ”ל הרשות המקומית. מנכ”ל הרשות המקומית רשאי, על פי הוראות הסעיף דלעיל, להסמיך עובד אחר, בכתב, להיות מנהל המאגר. ברם, לפי דיני הרשויות המקומיות, חוקת העבודה ברשויות המקומיות ופסיקות בתי הדין לעבודה, ספק רב האם ניתן להטיל או להעביר על עובד מבין עובדי הרשות המקומית את האחריות, על אף רצונו, ובוודאי נוכח היקפי ועוצמת הסיכונים בתחום זה.
חובת מינוי ממונה הגנת הפרטיות ((DPO) Data Protection Officer) ברשות המקומית
על הרשות המקומית למנות ממונה על הגנת הפרטיות – עובד הרשות המקומית, או במיקור חוץ (אאוט-סורסינג) מכוח סעיף 17ב3(ב). ברשויות המקומיות, באוגדן תיאורי תפקידים של מינהל השלטון המקומי – האגף לכוח אדם ושכר ברשויות המקומיות במשרד הפנים (אוגדן המחייב את הרשויות המקומיות) – אין כיום הגדרת תפקיד ל-DPO. לפיכך, נראה שהפתרון היחיד של הרשויות המקומיות הנו מינוי ממונה, במיקור חוץ.
חשוב לדעת: אי ממונה הגנת הפרטיות עלול להוביל לעיצום כספי לפי חישוב של מספר האנשים אודותם קיים מידע או מידע רגיש כפול 2 ₪ או 4 ₪ בהתאמה (ס’ 23 כו (ד) (1) (ג)). לדוג’: מאגר מידע של רשות מקומית, בגודל בינוני, ובו מידע אישי אודות 50,000 אנשים, בה מנכ”ל הרשות לא מינה ממונה הגנת פרטיות – עלול לשלם סך של 100,000 ₪. אם המידע היה רגיש במיוחד – 200,000 ₪.
כישורי הממונה על הגנת הפרטיות – תנאי סף
בהתאם לסעיף 17ב3, הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו, והכול בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו. על הרשות המקומית לדווח לרשם מאגרי המידע על זהות הממונה.
תפקידי הממונה על הגנת הפרטיות ברשויות המקומיות
- יבטיח קיום ההוראות לפי החוק על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע.
- יקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע.
- ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, יכין תוכנית הדרכה ויפקח על ביצועה.
- יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע. בנוסף, עליו לדווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים.
- יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שעריכתם נדרשת בהתאם לתקנות, שיובאו לאישור הנהלת הגוף שבו הוא ממלא את תפקידו.
- יוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה, ובכלל זה בקשות לעיון במידע אישי או לתיקונו. דרכי ההתקשרות עם הממונה על הגנת הפרטיות יפורסמו לציבור באופן נגיש ופשוט.
- ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.
עצמאות הממונה על הגנת הפרטיות בתיקון מס’ 13
הממונה על הגנת הפרטיות יהיה כפוף למנכ”ל הרשות, וידווח ישירות למנכ”ל הרשות (או לעובד שכפוף ישירות למנהל הכללי). עליו למלא את תפקידו בדרך אשר תשרת את הוראות החוק. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.
חובת הקצאת משאבים למילוי התפקיד
בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו ויוודאו שהוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. המשמעות הנה כי על הרשות המקומית להכין, במסגרת התקציב השנתי ותב”רים, אמצעים מספיקים למילוי תפקיד הממונה.
חובת רישום ועדכון מאגרי מידע
על אף הצמצום בחובת רישום מאגרי מידע, ברשויות המקומיות החובה נותרה כשהיתה. מבלי לגרוע מכך, מומלץ לבחון מחדש את זרימת המידע (Data Flow) כדי לבחון האם הפעילויות של הרשות או של ספקיה, מחייבת רישום מאגרי מידע או האם ניתן לגרוע מאגרים מהמרשם, לפי העניין. בנוסף, באופן שוטף, יש לבחון את עמידת מאגרי המידע הקיימים בדרישות תיקון מס’ 13. חשוב לדעת: אי רישום מאגר מידע של גוף ציבורי (למעט אם היה רק מאגר עובדים) או עיבוד שלא כדין (ס’ 23 כו (1)) עלול להוביל לעיצום כספי של 150,000 ₪.
עדכון מדיניות הפרטיות והודעות הפרטיות של הרשות על מנת לעמוד בדרישות השקיפות החדשות
התיקון מעגן את החובה לעשות שימוש במידע אישי אך ורק למטרת המאגר המוצהרת, ומוסיף סנקציות פליליות ומנהליות בגין הפרת עיקרון זה. לפיכך, אנחנו ממליצים לבחון מחדש את זרימת המידע (Data Flow) ברשות, ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפיכם, על מנת לוודא כי העיקרון נשמר. בנוסף לכך, יש להביא לידי ביטוי את מגוון האמצעים והכלים בהן עושה הרשות המקומית שימוש, ולפרסם לידיעת הציבור את זכות העיון במידע (סעיף 13); את הזכות לניוד מידע; את הזכות להתנגד לעיבוד מידע, או לתקן את המידע. הפרה של אחת מהחובות המנויות בסעיף, בין היתר, מקנה פיצויים לדוגמה (סעיף 15 לחוק).
כתיבה ועדכון של נהלי אבטחת מידע
במציאות שבה אמצעי האכיפה של רשות הגנת הפרטיות בישראל הולכים ומתגברים, יש לכתוב ולעדכן את נהלי אבטחת המידע. תוכנית כזו מאפשרת לרשויות להבטיח עמידה ברגולציה, להפחית סיכונים משפטיים, כלכליים וארגוניים. בנוסף, נהלי אבטחה פנימיים (בשיתוף הממונה על אבטחת מידע, היועץ המשפטי לרשות, וכן וועד העובדים ברשות) מחזקת את מודעות העובדים לחשיבות ההגנה על פרטיות המידע ומשפרת את התרבות הארגונית בנושא זה. חשוב לדעת: התוספת השלישית בתיקון מס’ 13 כוללת (לראשונה) הטלת עיצומים כספיים הנעים בין 2,000 ₪ ועד 320,000 ₪ על כל תת-הפרה. עיצומים אלו יכולים להגיע לסכומים של מיליוני שקלים.
סקר סיכונים
על הרשויות – באמצעות הממונה על הגנת הפרטיות, הממונה על אבטחת המידע, המבקר הפנימי והיועץ המשפטי לרשות, לבחון את העמידה בהוראות החוק והתקנות מכוחו. תיקון 13 מגביר משמעותית את החשיפה לרשויות כתוצאה מהפרת החוק והתקנות מכוחו. בהתאם, מעבר ליישום הדרישות החדשות המופיעות בתיקון, הוא מחייב את הרשויות לבחון לעומק את עמידתן גם בדרישות הקיימות, בדגש על תקנות אבטחת מידע, שבהן התמקדו צעדי האכיפה והפיקוח של הרשות בשנים האחרונות. חשוב לדעת: התוספת השלישית בתיקון מס’ 13 כוללת (לראשונה) הטלת עיצומים כספיים בסך 320,00 ₪ על אי ביצוע סקר סיכונים מבדקי חדירות וחוסן כאמור בתקנות 5 ג’ ו- 5 ד’ בהתאמה.
תיקון/ עדכון חוזים: התקשרויות עם יועצים, ספקים ונותני שירותים
חוק הגנת הפרטיות, התשמ”א -1981, ותקנות הגנת הפרטיות (אבטחת המידע), התשע”ז – 2017, קובעים כי טרם ההתקשרות עם ספק חיצוני, על הרשות למפות את סיכוני אבטחת המידע הכרוכים בהתקשרות עם אותו ספק על ידי ביצוע הערכת סיכונים ויישום הבקרות הנדרשות על עמידתו בהוראות הדין. על הרשות המקומית לבחון כל התקשרות חוזית, קיימת או עתידית, עם יועץ, ספק או נותני שירותים, אשר כרוך בעיבוד מידע אישי, ולתקן אותו באמצעות הוספת נספח אבטחת מידע. בעניינה של הרשות המקומית, מדובר על יועצים, ספקים, נותני שירותים, תאגידים עירוניים, עמותות עירוניות, מתנ”ס, הוועדה המקומית לתכנון ובניה, מועצה דתית.
ניהול סיכוני סייבר מצד שרשרת האספקה
“שרשרת אספקה” היא מונח המתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון. מתקפות סייבר המתבצעות באמצעות שרשרת האספקה מכוונות לפגוע באחד מספקי הארגון, מנצלות את האמון שהארגון נותן בספק שלו כדי לחדור באמצעותו אל הארגון. בשנים האחרונות חל גידול ניכר במספר מתקפות הסייבר על ארגונים ועוצמתן גברה, וכיום מתקפות סייבר המתבצעות באמצעות שרשרת האספקה שלהם הן אחד האיומים החמורים ביותר הנשקפים לכלל המשק.
הנחיות אבטחת מידע מול יועצים, ספקים ונותני שירותים: שרשרת האספקה
המידע שספק החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות; מערכות המאגר שהספק החיצוני רשאי לגשת אליהן; סוג העיבוד או הפעולה שהספק החיצוני רשאי לעשות; משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הספק החיצוני ודיווח על כך לבעל מאגר המידע; אופן יישום החובות בתחום אבטחת המידע שהמחזיק (במידה והגורם החיצוני הינו מחזיק כהגדרתו בחוק) חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, במידה וקבע.
בנוסף לכך, חובתו של הספק החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם; חובתו של הספק החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה; וכן חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות. בנוסף, במקרה של שירותי ענן, מעמדו של הספק החיצוני הנו כ”מחזיק” של המידע האישי. במקרים אלו, יש לוודא בהסכם כי הספק מקיים את חובותיו לפי הדין.
סיכום: משמעויות ופעולות שעל הרשות המקומית לנקוט בהתאם לתיקון מס’ 13
תיקון מס’ 13 לחוק הגנת הפרטיות (וכאן נוסח התיקון לחוק) מטיל אחריות על הרשות המקומית ועל בעלי התפקידים הבכירים בה, ובראשם המנכ”ל. אי עמידה בדרישות החוק תביא להטלת קנסות כבדים על הרשויות, וכן לסנקציות אזרחיות, מנהליות ופליליות של המנכ”ל והגורמים האחראים. מנכ”לי הרשויות המקומיות נמצאים במלכוד: הם נדרשים לייצר ולדאוג למשאבים כספיים לביצוע התוכניות (נושא המצוי בסמכות גזבר הרשות, ראש הרשות והמליאה), ובמקביל ליישם שינויים מהותיים, אפקטיביים ומהירים, בהתנהלות הרשות, בתוך פחות משנה. ללא התגייסות של כלל הגורמים ברשות ו”שינוי כיוון” מהיר בתחום הגנת הפרטיות, מנכ”לים עלולים לשלם בראשם ובכיסם. על הרשויות לסיים את כלל ההליכים המשפטיים והמנהליים עד ולא יאוחר מ- 14/08/2025.
עורך דין רשויות מקומיות בתחום הגנת הפרטיות
משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200.
הסקירה נכתבה בשיתוף עו”ד יעקב עוז, יו״ר (משותף) ועדת הגנת הפרטיות בלשכת עורכי הדין, מרצה ויועץ לארגונים, חברות וארגונים מכלל מגזרי המשק.