דו"ח הרשם למאגרי מידע לשנת 2000 על פעולות אכיפה ופיקוח של משרדו

מסמך זה מהווה מסמך רקע לדיון בוועדת חוקה, חוק ומשפט בנושא דוח פעולות האכיפה והפיקוח של הרשמת למאגרי מידע לשנת 2000. מוסד הרשם למאגרי מידע הוקם כגוף סטטוטורי במשרד המשפטים לצורך אכיפה של הוראות חוק הגנת הפרטיות, תשמ"א-1981. מטרתו הינה שמירה על זכויות הפרט באמצעות הגנה על פרטיות המידע. הצורך בהקמת מוסד זה נעוץ בכך שכיום ישנם, בבתי עסק ובאתרי אינטרנט רבים, מאגרי מידע שבהם מצטבר מידע רב (ובכללו פרטים אישיים) הנוגע לקבוצות גדולות של אזרחי המדינה. שימושים שונים במידע זה טומנים בחובם סיכון לפגיעה בפרטיות. מכאן הצורך בגוף סטטוטורי שיקבע מדיניות, ינחה, יפקח ויאכוף את השמירה על הפרטיות במאגרי המידע בהתאם להוראות החוק. בשנת 2000 (השנה שאליה מתייחס הדוח), נערך מבצע ראשון מסוגו לרישום מאגרי מידע כמתחייב מהחוק. במהלך המבצע נשלחו על-ידי היחידה כ-100,000 ערכות רישום. כמו-כן, במהלך שנה זו נערכו פעולות פיקוח ב- 35 יעדים וטופלו כ-92 תלונות ציבור. מתוך התלונות שהטיפול בהן הסתיים נמצאו %54 כמוצדקות. הרשמת מצביעה על שלושה נושאים המצריכים התייחסות מחודשת: חקיקה, אכיפה ופיקוח, והגברת המודעות בקרב אזרחים לזכותם לפרטיות. בנוסף להצגת עיקרי הדוח, מסמך זה מכיל תמצית הערותיה של המועצה להגנת הפרטיות לדוח הרשמת. עיקרן של הערות אלו הוא בהצבעה על הצורך: בהקצאת אמצעים ומשאבים להגנה על הזכות לפרטיות, הגדלת מספר המפקחים, נקיטת אמצעים להגברת מודעות הציבור, הקמת אתר אינטרנט של רשם מאגרי המידע, הצטרפותה של מדינת ישראל לאמנה האירופית המסדירה את הגנת הפרטיות והתקנת תקנות בהתאם.

1.1 סעיף 7 לחוק יסוד: כבוד האדם וחירותו, תשנ"ב-1992 העניק לזכות לפרטיות מעמד מיוחד. מעמד זה קיבל את ביטויו בחוק הגנת הפרטיות, תשמ"א-1981 (להלן: החוק). על-פי החוק, רשמת מאגרי מידע הינה "הזרוע המבצעת", הממונה על אכיפת הוראות החוק. מטרת היחידה הינה לשמור על זכויות הפרט בעניין ההגנה על פרטיות המידע. למימוש מטרה זו פועלת היחידה במספר מישורים ובכללם: קביעת מדיניות, הכנת הצעות לחקיקה, אכיפה ופיקוח לפניות ותלונות הציבור. 1.2 מונחים (כפי שמוגדרים, על-פי רוב, במדינות אירופה שהינן בעלות חקיקה מתקדמת בנושא הגנת הפרטיות והבטחת מאגרי מידע): - "מאגר מידע" מוגדר על-פי רוב כאוסף נתונים הנאספים ונאגרים לצורך עיבודם בעזרת תוכנה ממוחשבת. - "מידע אישי": ההגדרה המקובלת מתייחסת למידע שיש לו זיקה לאדם מוגדר או הניתן לזיהוי. - "מידע אישי רגיש": מידע המכיל נתונים על מוצאו האתני וגזעו של אדם, דעותיו הפוליטיות, אמונתו הדתית או אמונה בעלת צביון דומה, מידע בדבר חברות באיגוד מקצועי, נתונים על מצבו הבריאותי הפיזי והנפשי, הליכים משפטיים או פליליים התלויים נגדו, הרשעות, ביטול הליכים פליליים, חיי מין ואישות. 1.3 במהלך שנת 2000, בהמשך לפרסום צו הגנת הפרטיות (הקמת יחידת פיקוח), תש"ס-1999, הוחל בגיוסם ובשילובם של מפקחים ביחידת הרשמת, לביצוע הפעולות והתפקידים העולים מסעיף 10(ה1) לחוק. המפקחים עורכים פיקוח יזום על פי הוראות הרשמת במקומות בהם מוחזקים ומנוהלים מאגרי מידע. המפקחים בודקים האם עומדים המשתמשים במאגרי המידע הן בהוראות החוק לגבי המותר והאסור בשימוש במאגרי מידע והן לגבי המגבלות שלקחו על עצמם בעלי מאגרי המידע, על השימוש במידע, בזמן רישום המאגר והגדרת מטרותיו.

2.1 בהתאם להוראת סעיף 10א לחוק, הגישה רשמת מאגרי המידע דין וחשבון לשנת 2000 על פעולות האכיפה והפיקוח של יחידת הרשמת למאגרי מידע. 2.2 החל מחודש יוני 2000 נערכה היחידה למבצע רישום מאגרי מידע כמתחייב מהחוק. המבצע מהווה ניסיון ראשון מסוגו לעדכן את פנקס מאגרי המידע וזאת על ידי פניה לרשום את המאגרים אשר טרם נרשמו ומצויים בידי חברות, ארגונים ובעלי מקצועות חופשיים. במהלך המבצע נשלחו על-ידי היחידה ערכות רישום לכ- 100,000 נמענים המוערך כי הם בעלים או מחזיקים של מאגרי מידע חייבי רישום. 2.3 חובת הרישום חלה גם על מאגרי מידע בחו"ל המקושרים לארץ בטכנולוגיות המאפשרות נגישות וזמינות בארץ אל המידע, והכוללים מידע רגיש על ישראלים. 2.4 הרישום והעדכון בפנקסי המאגרים כוללים את: זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר ומעניהם בישראל, מטרות הקמת המאגר והמטרות שלהן נועד המידע, סוגי המידע שיכללו במאגר, פרטים בדבר העברת המידע מחוץ לגבולות המדינה, פרטים בדבר קבלת מידע (דרך קבע) מגוף ציבורי, שמו של הגוף הציבורי ומהות המידע שנמסר. 2.5 במהלך שנת 2000, נערכו פעולות פיקוח ב-35 יעדים. כמו כן, הושלם הטיפול ב-8 תוצאות של פעולות פיקוח משנת 1999. הליקויים העיקריים שנמצאו בפעולות הפיקוח הינם בנושאים הבאים: - אי רישום מאגר מידע החייב ברישום (סעיף 8 לחוק); - אי דיווח על שינויים בפרטי הרישום (סעיף 9(ד) לחוק); - פניה לאדם לקבלת מידע לשם החזקתו או השימוש בו, ללא מתן הודעה כנדרש (סעיף 11 לחוק); - פניה בדיוור ישיר ללא מתן פרטים כנדרש (סעיף 117(א) לחוק); - אי ביצוע אבטחת המידע בהעברתו בין גופים ציבוריים, כמפורט בסעיף 3 של תקנות הגנת הפרטיות. 2.6 בין יתר סוגי הפיקוח שהתבצעו בשנת 2000 ניתן למנות: תלונה כנגד משרד הבריאות בשל פגיעה בפרטיותו של מטופל (לא נמצאו ראיות התומכות בתלונה), תלונה כנגד חברה המשווקת מוצרים באמצעות הטלפון על כך שלא מחקה את שם המתלונן מהמאגר, שהחזיקה בחברה, בניגוד לבקשתו (התלונה נמצאה מוצדקת), תלונה של חבר כנסת על כך שגורם מהיהדות החרדית מנהל ספר יוחסין לכלל יהודי ישראל (בבדיקה לא נמצאו ראיות לניהול ספר זה), עריכת חיפוש בביתו של אדם פרטי בשל החשד כי הוא מחזיק וסוחר במידע, תוך ביצוע עבירות לפי חוק הגנת הפרטיות (הבדיקה והטיפול עדיין בעיצומם), בדיקת מאגר מידע של חברה העוסקת בקידום מכירות באמצעות האינטרנט (בבדיקה נמצאו ליקויים והחברה התבקשה לנקוט צעדים לתיקונם). 2.7 כחלק מפעולות האכיפה והפיקוח טיפלה היחידה במהלך שנת 2000 בכ-92 תלונות ציבור בנושא הגנת הפרטיות (24 תלונות התקבלו עוד בשנת 1999 ו-68 התקבלו במהלך שנת 2000). מתוך התלונות שהטיפול בהן הסתיים נמצאו %54 כמוצדקות. אופן ההתמודדות עם העבירות שנתגלו (שמקורן במקרים רבים מאי ידיעה ומודעות לחוק) הייתה המצאת דוח מפורט של הליקויים שנמצאו בביקורת וזימון בעלי המאגרים למשרדי היחידה לצורך קיום הליך של מעין "שימוע" בו ניתן להם להשמיע טענותיהם. במקרים בהם תוצאות הליך השימוע לא הניחו את דעתם של אנשי היחידה, הומצאה לבעלי המאגרים דרישה בכתב לתקן את הליקויים תוך פרק זמן קצוב בצירוף הודעה כי בתום המועד יבוצע פיקוח לבדיקת תיקון הליקויים בפועל. 2.8 הדוח מציין כי ברוב המקרים היה שיתוף פעולה מלא בין המבוקרים לבין היחידה. בנושאים ובליקויים שבהם לא ניתן היה לטפל ללא סמכות חקירה כדין, הוגשו על ידי הרשמת תלונות למשטרת ישראל (הדו"ח מציין שני מקרים בהם הוגשה תלונה במשטרה).

- חקיקה: הרשמת מצביעה על הצורך לבצע מספר שינויים מהותיים בחוק הגנת הפרטיות, התשמ"א-1981, לאור העובדה כי חלפו כעשרים שנה מאז נחקק ויש להתאימו למאפיינים ולשינויים שחלו בשני העשורים האחרונים; - אכיפה ופיקוח: יש להעביר את מוקד הפעילות למימושה של הזכות המהותית, לאור ובהתאם לעדכון פנקס מאגרי המידע; - יש לבחון מחדש את כל סעיפי העונשין בחוק והמרת עבירות פליליות, שדינן מאסר שנה אחת, לעבירות מנהליות, בד בבד עם הקמת בית המשפט לעניינים מנהליים (המרת העבירות הפליליות בעבירות מנהליות תאפשר קיומם של הליכים מהירים יותר ובכך תקל על האכיפה); - מודעות: יש להמשיך ולבצע את כל הפעולות המגוונות לשם הגברת יידוע הציבור לזכות לפרטיות ולפעולות הפוגעות בזכות בלי משים וללא כוונה ומודעות לפגיעה.

בהתאם להוראת סעיף 10א' לחוק הגנת הפרטיות, התשמ"א-1981, הגישה המועצה להגנת הפרטיות דין וחשבון שהכינה רשמת מאגרי המידע בצירוף הערותיה של המועצה לועדת החוקה חוק ומשפט של הכנסת (לדברי הרשמת למאגרי מידע, המועצה הינה גוף וולונטרי המורכב מאנשים פרטיים בעיקר מתחום הטכנולוגיה. מטרתה לקדם את נושא הגנת הפרטיות על היבטיו השונים. כל סמכויותיה של המועצה מעוגנות בסעיף 10א' לחוק). להלן תמצית הערותיה: - המועצה מציינת כי לא חל עד כה כל שינוי בהקצאת האמצעים להגנה על הזכות לפרטיות בישראל. סכום אגרות הרישום שאושרו על-ידי ועדת חוקה, חוק ומשפט אינם מספיקים למימון התקציב המינימלי הדרוש. המועצה ממליצה לוועדה ליזום דיון, שבו תבדק שאלת המשאבים הנדרשים מול הצרכים, בהתחשב במקורות המימון (אגרות) שוועדת חוקה, חוק ומשפט אישרה; - המועצה סבורה כי אף שפעילות האכיפה והפיקוח שנעשתה בשנת 2000 אינה מגיעה עדיין להיקף המינימלי הנדרש במדינה דמוקרטית מתוקנת, הרי שבשנת 2000, להבדיל משנים קודמות, ניכר תחילתו של שינוי חיובי בהיבט הארגוני. לדעת המועצה, חשוב יהיה להקצות משאבים להגדלת מספר המפקחים העומדים לרשותה של רשמת מאגרי המידע (כיום עומדים לרשותה שני מפקחים בלבד!); - יש לבחון אמצעים להגברת מודעות הציבור לנושא הגנת הפרטיות ולתמוך ולעודד אזרחים המבקשים לעמוד על זכותם לפרטיות; - עמדת המועצה היא כי יש להקים אתר אינטרנט של רשם מאגרי המידע, אשר יאפשר גישה חופשית להחלטות של רשם מאגרי המידע ולפנקס מאגרי המידע, האמור להיות פתוח לעיון הכלל על פי סעיף 12(א) לחוק; - לצד השימוש ההולך ומתרחב באינטרנט, יש להקפיד על צעדי אכיפה כלפי מי שפוגעים בפרטיות באמצעות הרשת; - המועצה מציינת כי עד היום לא הצטרפה מדינת ישראל לאמנה האירופית, המסדירה את הגנת הפרטיות. העדר תקנות ואי חתימה על האמנה מסכנים את מעמדה של ישראל כמי שרשאית לקבל ולהעביר מידע לקהילייה האירופית ולמדינות אחרות בעלות הסדר כאמור.