ביום 5.8.2024 אישרה הכנסת את התיקון המקיף ביותר לחוק הגנת הפרטיות (תיקון מס' 13, התשפ"ד-2024). תיקון זה מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות, אבטחת המידע ותחום הסייבר, קובע הסדרים חדשים המתאימים לאתגרי העולם הדיגיטלי, מגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים. עבור הרשויות המקומיות - גופים ציבוריים - תיקון מס' 13 לחוק הגנת הפרטיות, מהווה שינוי של כללי המשחק. מכאן ואילך, מוטלת אחריות ברורה, ארגונית ואישית, מנהלית ופלילית על בעלי תפקידים בכירים ברשויות המקומיות, ובראשם מנכ"ל הרשות, בגין הפרת החוק. במרכזו של התיקון בהתייחס לרשויות המקומיות, עומדת החובה למינוי ממונה הגנת פרטיות (DPO), ביצוע סקר סיכונים, הטמעת תוכנית מקיפה לניהול ציות, קביעת נהלי אבטחת מידע, כתיבת נהלים ארגוניים, הטמעת הוראות חוזיות, ועידכון מדיניות הפרטיות. שינויים אלו מהווים אתגר משמעותי עבור רשויות מקומיות, המצריך השקעת משאבים ניכרת בהקמת תשתיות, שינויים ארגוניים, הדרכה, ייעוץ משפטי ופיתוח מומחיות פנימית בתחום הגנת הפרטיות. על הרשויות לסיים את כלל ההליכים המשפטיים והמנהליים עד ולא יאוחר מ-14.8.25, שאם לא כן - הרשויות המקומיות ומנהליהן הבכירים, חשופים ממשית לסיכונים משפטיים. כבר כיום, למעלה מ-50% מהרשויות המקומיות בישראל מוגדרות במצב "רע מאוד" בסייבר, לפי הגדרות מערך הסייבר הלאומי. רק 39 מהן מוגדרות במצב "בינוני" ו-87 רשויות בלבד מוגדר "טוב". דוחות מבקר המדינה, משרד הפנים וכן הרשות להגנת הפרטיות, משרטטים תמונה עגומה אף יותר.

מי הגורם האחראי אישית ברשות המקומית?

תיקון 13 קבע כי "...ולעניין גוף ציבורי כהגדרתו בסעיף 23 - המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שהמנהל הכללי הסמיכו לנהל את המאגר". אם כי כל אחד מהעובדים והמנהלים ברשות המקומית, תלוי בתפקידו, אחראי באופן ישיר או עקיף לשמירה על פרטיות המידע, הרי האחריות הסטטוטורית היא של מנכ"ל הרשות המקומית. מנכ"ל הרשות המקומית רשאי, על-פי הוראות הסעיף דלעיל, להסמיך עובד אחר, בכתב, להיות מנהל המאגר. ברם, לפי חוקת העבודה ברשויות המקומיות ופסיקות בתי הדין לעבודה, ספק רב האם ניתן להטיל או להעביר על עובד מבין עובדי הרשות המקומית את האחריות, על-אף רצונו, ובוודאי נוכח היקפי ועוצמת הסיכונים בתחום זה.

חובת מינוי ממונה הגנת הפרטיות ((DPO) Data Protection Officer) ברשות המקומית

על הרשות המקומית למנות ממונה על הגנת הפרטיות - עובד הרשות המקומית, או במיקור חוץ מכוח סעיף 17ב3(ב). ברשויות המקומיות, באוגדן תיאורי תפקידים של מנהל השלטון המקומי - האגף לכוח אדם ושכר ברשויות המקומיות במשרד הפנים (אוגדן המחייב את הרשויות המקומיות) - אין כיום הגדרת תפקיד ל-DPO. לפיכך, נראה שהפתרון היחיד של הרשויות המקומיות הוא מינוי ממונה, במיקור חוץ. אי ממונה הגנת הפרטיות עלול להוביל לעיצום כספי, לפי חישוב של מספר האנשים על-אודותם קיים מידע או מידע רגיש כפול שני שקלים או ארבעה שקלים בהתאמה (ס' 23 כו (ד) (1) (ג)). לדוג': מאגר מידע של רשות מקומית בגודל בינוני, ובו מידע אישי אודות 50,000 תושבים, שמנכ"ל הרשות לא ימנה ממונה הגנת פרטיות - עלול לשלם סך של 100,000 שקל ואם המידע היה רגיש במיוחד - 200,000 שקל.

כישורי הממונה על הגנת הפרטיות

בהתאם לסעיף 17ב3, הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו, והכול בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו. על הרשות המקומית לדווח לרשם מאגרי המידע על זהות הממונה.

תפקידי הממונה על הגנת הפרטיות ברשויות המקומיות

1. להבטיח קיום ההוראות לפי החוק על-ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע. 2. ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, יכין תוכנית הדרכה ויפקח על ביצועה. 3. יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על-ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע. בנוסף, עליו לדווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים. 4. יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שעריכתם נדרשת בהתאם לתקנות שיובאו לאישור הנהלת הגוף שבו הוא ממלא את תפקידו. 5. יוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה, ובכלל זה בקשות לעיון במידע אישי או לתיקונו. דרכי ההתקשרות עם הממונה על הגנת הפרטיות יפורסמו לציבור באופן נגיש ופשוט. 6. ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.

עצמאות הממונה על הגנת הפרטיות

הממונה על הגנת הפרטיות יהיה כפוף למנכ"ל הרשות, וידווח ישירות למנכ"ל הרשות (או לעובד שכפוף ישירות למנהל הכללי). עליו למלא את תפקידו בדרך אשר תשרת את הוראות החוק. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.

חובת הקצאת משאבים למילוי התפקיד

בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו ויוודאו שהוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. המשמעות הנה כי על הרשות המקומית להכין, במסגרת התקציב השנתי ותב"רים, אמצעים מספיקים למילוי תפקיד הממונה.

 חובת רישום ועידכון מאגרי מידע

על אף הצמצום בחובת רישום מאגרי מידע, ברשויות המקומיות החובה נותרה כשהיתה. מבלי לגרוע מכך, מומלץ לבחון מחדש את זרימת המידע (Data Flow) כדי לבחון האם הפעילויות של הרשות או של ספקיה, מחייבת רישום מאגרי מידע או האם ניתן לגרוע מאגרים מהמרשם, לפי העניין. בנוסף, באופן שוטף, יש לבחון את עמידת מאגרי המידע הקיימים בדרישות תיקון מס' 13. חשוב לדעת: אי-רישום מאגר מידע של גוף ציבורי (למעט אם היה רק מאגר עובדים) או עיבוד שלא כדין (ס' 23 כו (1)) עלול להוביל לעיצום כספי בסך 150,000 שקל.

עידכון מדיניות הפרטיות והודעות הפרטיות של הרשות

תיקון מס' 13 מעגן את החובה לעשות שימוש במידע אישי אך ורק למטרת המאגר המוצהרת. התיקון מוסיף סנקציות פליליות ומנהליות בגין הפרת עיקרון זה. אשר על כן, מומלץ לבחון מחדש את זרימת המידע (Data Flow) ברשות, ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפי הרשות המקומית, על-מנת לוודא כי העיקרון נשמר. בנוסף לכך, יש להביא לידי ביטוי את מגוון האמצעים והכלים בהן עושה הרשות המקומית שימוש, ולפרסם לידיעת הציבור את זכות העיון במידע; את הזכות לניוד מידע; את הזכות להתנגד לעיבוד מידע, או לתקן את המידע. הפרה של אחת מהחובות המנויות בסעיף, בין היתר, מקנה פיצויים לדוגמה.

כתיבה ועידכון של נהלי אבטחת מידע

במציאות שבה אמצעי האכיפה של רשות הגנת הפרטיות בישראל הולכים ומתגברים, יש לכתוב ולעדכן את נהלי אבטחת המידע. תוכנית כזו מאפשרת לרשויות להבטיח עמידה ברגולציה, להפחית סיכונים משפטיים, כלכליים וארגוניים. בנוסף, נהלי אבטחה פנימיים (בשיתוף הממונה על אבטחת מידע, היועץ המשפטי לרשות, וכן ועד העובדים ברשות) מחזקת את מודעות העובדים לחשיבות ההגנה על פרטיות המידע ומשפרת את התרבות הארגונית בנושא זה.

ביצוע סקר סיכונים, מבדקי חדירות וחוסן

על הרשויות - באמצעות הממונה על הגנת הפרטיות, הממונה על אבטחת המידע, מנמ"ר, המבקר הפנימי והיועץ המשפטי לרשות, לבחון את העמידה בהוראות החוק והתקנות מכוחו. תיקון מס' 13 מגביר משמעותית את החשיפה לרשויות כתוצאה מהפרת החוק והתקנות מכוחו. בהתאם, מעבר ליישום הדרישות החדשות המופיעות בתיקון, הוא מחייב את הרשויות לבחון לעומק את עמידתן גם בדרישות הקיימות, בדגש על תקנות אבטחת מידע, שבהן התמקדו צעדי האכיפה והפיקוח של הרשות בשנים האחרונות. חשוב לדעת: התוספת השלישית בתיקון 13 כוללת (לראשונה) הטלת עיצומים כספיים בסך 320,00 שקל על אי-ביצוע סקר סיכונים, מבדקי חדירות וחוסן.

תיקון/ עידכון חוזים: התקשרויות עם יועצים, ספקים ונותני שירותים

חוק הגנת הפרטיות, התשמ"א -1981, ותקנות הגנת הפרטיות (אבטחת המידע), התשע"ז - 2017, קובעים כי טרם ההתקשרות עם ספק חיצוני, על הרשות למפות את סיכוני אבטחת המידע הכרוכים בהתקשרות עם אותו ספק על-ידי ביצוע הערכת סיכונים ויישום הבקרות הנדרשות על עמידתו בהוראות הדין. בעניינה של הרשות המקומית, מדובר על יועצים, ספקים, נותני שירותים, תאגידים עירוניים, מתנ"ס, הוועדה המקומית לתכנון ולבנייה, מועצה דתית. בנוסף, על הרשות המתקשרת עם ספק חיצוני לצורך קבלת שירות שאפשר וכרוך במתן גישה למאגר מידע, להסדיר ולעגן בהסכם מול אותו גורם חיצוני את הנושאים הבאים, לכל הפחות: המידע שספק החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות; מערכות המאגר שהספק החיצוני רשאי לגשת אליהן; סוג העיבוד או הפעולה שהספק החיצוני רשאי לעשות; משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הספק החיצוני ודיווח על כך לבעל מאגר המידע; אופן יישום החובות בתחום אבטחת המידע שהמחזיק (אם הגורם החיצוני הינו מחזיק כהגדרתו בחוק) חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע; חובתו של הספק החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם;  חובתו של הספק החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה; וכן חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות. בנוסף, ייתכנו מצבים (במקרה של שירותי ענן), בהם הספק החיצוני ייחשב ל"מחזיק" של המידע האישי. במקרים אלו, יש לוודא בהסכם כי הספק מקיים את חובותיו לפי הדין. לפיכך, על הרשות המקומית לבחון כל התקשרות חוזית, קיימת או עתידית, עם יועץ, ספק או נותני שירותים, אשר כרוך בעיבוד מידע אישי, ולתקן אותו באמצעות הוספת נספח אבטחת מידע. תיקון 13 לחוק הגנת הפרטיות, מטיל אחריות על הרשות המקומית ועל בעלי התפקידים הבכירים בה, ובראשם המנכ"ל. אי-עמידה בדרישות החוק תביא להטלת קנסות כבדים על הרשויות, וכן לסנקציות אזרחיות, מנהליות ופליליות של המנכ"ל והגורמים האחראים. מנכ"לי הרשויות המקומיות נמצאים במלכוד: הם נדרשים לייצר ולדאוג למשאבים כספיים לביצוע התוכניות (נושא המצוי בסמכות גזבר הרשות, ראש הרשות והמליאה), ובמקביל ליישם שינויים מהותיים, אפקטיביים ומהירים, בהתנהלות הרשות, בתוך פחות משנה.