אבטחת המידע והגנת הפרטיות ברשויות המקומיות ובתאגידים העירונים

אבטחת המידע והגנת הפרטיות ברשויות המקומיות ובתאגידים העירונים

אבטחת המידע והגנת הפרטיות ברשויות המקומיות

ברשויות המקומיות מאגרי מידע רבים המשמשים בסיס לעבודתן, בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, גביה, ביטוח, תכנון ובנייה, פיקוח, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה, תמרור וחניה, ביטחון ובטיחות, תברואה ואיכות הסביבה. בשנים האחרונות אף גדל מספר “הערים החכמות” – ערים המשתמשות בטכנולוגיות מידע ותקשורת לשיפור ניהול נכסיהן ואיכות החיים של תושביהן (דוגמת אפליקציות רשותית, מערך המצלמות העירוניות, שירותים ותשלומים מקוונים, הליכי שיתוף ציבור, ועוד).

המידע הרב שאוגרות הרשויות, וההצטיידות בכלים דיגיטליים ובטכנולוגיות מתקדמות, גורמים לגידול חד בכמות הנתונים שבידי הרשויות המקומיות, במספר מאגרי המידע שבבעלותן. בנוסף, הם מאפשרים גם יכולת גבוהה לאסוף, לעבד ולנתח מידע אישי, פרטי ורגיש, ובהיקפים רבים יותר. אלא שתהליכים וכלים אלה, גם הופכים את הרשות המקומית לפגיעה אף יותר, ואת פרטיותם של תושבי הרשות – לחשופה גם היא לפגיעה קשה. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביע מבקר המדינה (דו”ח ביקורת שנתי 62(2012) “ “אבטחת מידע והגנת הפרטיות ברשויות מקומיות”), ושוב בדו”ח שפורסם בשנת 2020, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר.

אבטחת המידע בתאגידים העירוניים

גם התאגידים העירוניים, הנם אחד מהגורמים האוספים, מקבלים ומעבדים מידע, במסגרת השירותים שהם מספקים. כך לדוגמה, תחומי החינוך הבלתי פורמאלי, קייטנות, חוגי ספורט ואירועי תרבות למיניהם, השכרת נכסים, מצריכים כולם איסוף נתונים אישיים (לרבות של קטינים, ולרבות תושבים המחזיקים באזרחות נוספת), מספרי טלפון, כתובות דואר אלקטרוני, צילומים, מספרי כרטיסי אשראי וחשבונות בנק, וכיוצ”ב. הסיכונים של התאגידים העירוניים, זהה לאלו של הרשויות המקומיות.

הפרת הוראות הגנת הפרטיות

חוק הגנת הפרטיות, התשמ”א – 1981, ותקנות הגנת הפרטיות (אבטחת מידע), והנחיות הרשות להגנת הפרטיות במשרד המשפטים, מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע, כדי למנוע חשיפה, שימוש או העתקה של המידע על ידי גורמים שאינם מורשים לכך. אי עמידה בהוראות הדין – מעבר להגדלת הסיכון לאירועי אבטחת מידע ופגיעה בפרטיות – עלולות להביא לחשיפה לתביעות אזרחיות, להגדלת הוצאותיה הישירות והעקיפות של הרשות, להליכי אכיפה מינהלית, ואפשר שאף להליכים אישיים כנגד נושאי המשרה ברשויות או בתאגידים העירוניים. הנהלת הרשות המקומית, כחלק בלתי נפרד מתפקידה, חייבת להבין את הסיכונים לפרטיות המידע של הציבור המוחזק בידיה, על מנת לממש את אחריותה החוקית והציבורית.

תהליכי עבודה עיקריים בתחומי אבטחת מידע והגנת הפרטיות:

·      הגדרה חוקית והסמכה כנדרש של “בעל מאגר המידע”, “מחזיק המאגר”, ו”מנהל המאגר”.

·      איתור המידע הנאסף (ברשות וע”י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.

·      בדיקת מדיניות הרשות בתחום המידע, בדיקת פעולות הרשות בעת איסוף המידע, בדיקת מטרת איסוף המידע, ניסוח מסמכי הסכמה וקבלת הסכמת האנשים והגופים עליהם נאסף המידע, לשם בחינת וקביעת הבסיס החוקי לאיסוף, עיבוד והעברת המידע שמבצעת הרשות.  

·      מינוי ממונה אבטחת מידע.

·      קביעת תכניות עבודה שנתיות.

·      קביעת נהלי עבודה, הנחיות מחייבות, וכן ביצוע ימי עיון, הדרכות ותרגול.

·      ביצוע סקר סיכונים אבטחת מידע (שנתי): מיפוי נכסי המידע של הרשות המקומית, מיפוי תשתיות והיישומים המרכזיים, ביצוע מבדקי חדירות, לשם סיווגם לסוגי הסיכון ולרמות הסיכון. הצגת הממצאים לרשות המקומית ולמקבלי ההחלטות, ומתן המלצות להתמודדות כנגד הסיכונים שאותרו. 

·      ביצוע שינויים והתאמות, כתוצאה מהמלצות סקר הסיכונים: כך לדוגמה, לרוב מתגלה הצורך לבצע חידוד נהלים, התאמת חוזים והסכמים, ניסוח הסכמי עבודה, עדכון מסמכי מכרזים, עדכון ספקים ונותני שירות חיצוניים, בדיקת ביטוחי הרשות כנגד סיכוני אבטחת מידע וסייבר, ביצוע הקשחה פיזית של אמצעי המחשוב ושל מאגרי המידע, ביצוע גיבויים, אבטחה פיזית, אבטחה לוגית, וכו’.  

·      ביצוע דיווח מתאים ונכון, באשר לאירועי אבטחת מידע, אצל רשם מאגרי המידע.

עורך דין רשויות מקומיות בתחום אבטחת מידע

עורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שנמצאים ונאספים בידי הרשות, את הכלים בהם משתמשת הרשות, ואת האופן בו עובדת הרשות המקומית, ומתמחה בתחום דיני הגנת הפרטיות (P.P.O), יכול לסייע לרשות בתהליכי תהליך העבודה בתחומי אבטחת מידע והגנת הפרטיות, ולהקטין את הסיכונים כתוצאה מאירועי אבטחת מידע.

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, אתם מוזמנים ליצור עמנו קשר, כבר עכשיו, ונשמח לסייע.

מובהר, למען הסר כל ספק, כי סקירה זו הנה כללית, ומטרתה להוות מסגרת ראשונית עבור הרשויות המקומיות. משכך, היא אינה ממצה ומקיפה את כל הוראות הדין, ואין להסתמך עליה.