​

יו"ר הישיבה חה"כ סויד: "היסטוריה בהסדרת מאגרי המידע"

ועדת החוקה חוק ומשפט אישרה היום (ג') את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016. התקנות נועדו לקבוע הסדר מעודכן, מקיף ומפורט יותר מזה הקיים כיום בתקנות הגנת הפרטיות, לעניין ההגנה הפיזית והלוגית על מאגרי מידע ולעניין סדרי הניהול וכללי העבודה בקשר למאגרי מידע של גופים ציבוריים ופרטיים. ההסדר כולל מנגנונים וכלים פנים ארגוניים הממחישים את חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע אישי ומטרתם להנחיל עקרונות אבטחת מידע כדי להגן על זכויות נושאי המידע במאגרים מפני שימוש לרעה על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. המנגנונים המוצעים נחלקים למספר רבדים- ברובד הראשון, בעל המאגר נדרש לקבוע מהו המידע המוגן והסיכונים הקשורים אליו. ברובד השני, נדרש הארגון לקבוע נהלים מפורטים וברורים לאבטחת המידע, כך שבעת פגיעה בפרטיות במאגר מידע, מצבו של ארגון שנקט באמצעים סבירים למניעת הפגיעה, יהיה שונה מארגון שלא נקט בהם. הרובד השלישי כולל הוראות מהותיות בניהול אבטחת מידע. בהיבט האחריות הארגונית, התקנות הן מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר, ככל שמדובר במידע רגיש יותר וככל שיותר אנשים בארגון חשופים למידע.

יו"ר הישיבה חה"כ רויטל סויד (המחנה הציוני) אמרה בפתח הדיו כי "בהשלמת התקנות נעשה היסטוריה בהסדרת מאגרי המידע".

בהתייחס להיערכות לכניסת התקנות לתוקף בעוד שנה אמר אלון בכר ראש רמו"ט- ראשות משפוט וטכנולוגיה: "קיימנו מגעים עם רגולטורים שונים וכן עם גופים אזרחיים אנחנו ברמת הסכמות כמעט מלאה שאני מעריך שיגיעו לסיומן בימים הקרובים. הבוקר שוחחתי עם המפקחת על הבנקים ואנחנו רואים עין בעין את התנהלות הדברים. כל מי שחשבנו שיש לו ממשק אתנו פנינו אליו והתקדמנו. אנחנו במוכנות גבוהה עוד הרבה זמן לפני כניסת התקנות לתוקף. שנה של היערכות היא זמן משמעותי וראוי להדגיש שרוב הדברים יהיו מול גורמים שיש להם רגולציה חופפת, שם יש חשיבות ציבורית לכך שלא יהיו הנחיות סותרות. אנחנו דואגים מבעוד מועד שזה לא יקרה".

רפאל פרנקו ראש אגף בכיר ברשות להגנת הסייבר: "בתקופה האחרונה עשינו מאמצים עם רמו"ט להגיע להסכמות ואנחנו בישורת האחרונה. תורת ההגנה הלאומית שרואה את כל מרחב הסייבר בישראל תהיה התורה שמכתיבה התנהגות המשק הישראלי בהתגוננות שמכילה גם פרטיות אבל גם תגובה, חקירה סיכול ויכולות מודיעין. באירוע פרטיות חמור שיש לו השקה לביטחון הלאומי רמו"ט תעדכן אותנו וככל שהאירוע יתרחב להשלכות ביטחוניות של פגיעה בחיי אדם או בהיבטים כלכליים רשות הסייבר תפעל להגנה בכל האמצעים שלרשותנו.

הוועדה עסקה בסמכויות רשם מאגרי המידע:

עו"ד ליאת בן מאיר שלום ממשרד המשפטים: "הרשם רשאי אם קיימים טעמים המצדיקים זאת לפטור את המאגר מחובות או להחיל עליו חובות. התקנות קובעות רמות שונות של אבטחה וחלות על סוגי מאגרים שונים. נדרשת גמישות ולכן הוחלט לתת לרשם את הסמכות לכך. תקנה נוספת חדשנית נועדה להקל על מפוקחים ולייצר ודאות כשיש להם מספר רגולטורים. הרשם רשאי לקבוע שמי שעומד בהוראות רגולציה אחרת, יראו אותו כעומד בתקנות כולן או חלקן.

חה"כ יעל כהן-פארן (המחנה הציוני) שאלה האם אין בסעיף 20 סמכויות נרחבות מדי לרשם. האם ניתנה הדעת לכך שהוא רשאי לפטור מאגר מחובות אבטחה. אולי יש מקום לפיקוח הוועדה.  היועמ"ש לוועדה עו"ד אלעזר שטרן: זו לא סמכות פרוצה כי חייבים להיות טעמים המצדיקים זאת וכן זה חייב להיות בהתאם לנסיבות הקונקרטיות של כל מאגר באופן ספציפי. עו"ד אייל זנדברג ממשרד המשפטים: "לרשם אין סמכות לשנות את הדין לגבי מאגרים באופן כללי אלא מדובר על מאגר מסוים. לכאורה, ביחס לכל סמכות שניתנת לרשות מינהלית ניתן לטעון שקיים חשש של שימוש לרעה, כך שזו שאלה שקיימת יום יום בהענקת סמכויות כזו. אך ההנחה שלנו היא שרשות מינהלית פועלת באופן תקין ולפי הוראות הדין ".

חה"כ יוליה מלינובסקי (ישראל ביתנו): "לאור רגישות הנושא אולי כדאי להכניס חובת דיווח לוועדה אחת לשנה על כמות המאגרים שנבדקו. בנוסף, בשלטון המקומי 254 רשויות. האם אתם מתואמים עם משרד הפנים בנורמות? לא רצוי שכל רשות מקומית תעשה ככל העולה על רוחה. בהתחשב שיש הרבה חברות עירוניות שהן כביכול חברות בת ולעיתים עמותות יש לשקול שהכל ייחשב ציבורי". אלון בכר השיב: אנחנו מדווחים על פי חוק הגנת הפרטיות פעם בשנה על כל פעולותינו לפיקוח ואכיפה וזה כמובן יהיה חלק מהדיווח. עו"ד יוסי אוחנה מהשלטון המקומי: יש מקום לתיאום עם משרד הפנים, יש הבדלים בין רשויות גדולות וחזקות לקטנות יותר במישור הכלכלי והשקעת המשאבים. אנחנו לא רואים צורך לרדת לרזולוציות של תאגידים עירוניים כי התקנות יחולו עליהן ממילא אבל בהחלט לאור העלויות יש מקום שהשלטון המקומי ומשרד הפנים יתקנו את הקריטריונים שרלוונטיים לרשויות בשים לב לשוני ביניהן".

חלק נוסף בדיון עסק במאגרי המידע של המשטרה:

חה"כ מלינבסקי: "למשטרה יש מאגרים ענקיים של מידע. אני מצפה מרמו"ט שיפקחו על הנושא ככל שאפשר. לפני מספר ימים פורסמה כתבה על שוטר שהשתמש בסמכותו להיכנס למאגרים רגישים ויצר קשר עם בחורות חלשות. האם לרמו"ט יש מה לומר או להטיל סנקציות? כדאי שיהיו יותר סמכויות כי המשטרה היא גוף ציבורי. אם שוטר עושה דבר כזה גם רשות הסייבר צריכה להתערב".

יו"ר הישיבה חה"כ סויד: "מה חובת הדיווח למשטרה וכן במידה של תקלה כזו האם יש להם חובת דיווח אליכם והאם יש לכם יכולת לפעול. האם נתקלתם בסיטואציה?"

עו"ד ניר גרסון ממשרד המשפטים: "חוק הגנת הפרטיות חל על מאגרי המשטרה שיש לה פטור חלקי רק בעת ביצוע תפקידה".

תמכו בתקנות: חברות הכנסת רויטל סויד (המחנה הציוני) וענת ברקו (הליכוד).

חה"כ סויד אמרה לאחר אישור התקנות כי היא "מקווה שיהיה עידן חדש באבטחת המידע".