הרשות להגנת הפרטיות במשרד המשפטים פרסמה ממצאי פיקוח רוחב שבוצע בקרב משרדי חקירות פרטיות, מהם עולה תמונה מדאיגה של כשלים מערכתיים בהגנה על מידע אישי רגיש. הפיקוח נערך בשנים 2022-2023, עוד בטרם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות.
על-פי הדו”ח, הרשות מקיימת מדי שנה פיקוחי רוחב במגזרים שונים, בהתאם להערכת רמת הסיכון לפרטיות. משרדי חקירות פרטיות מחזיקים מידע אישי רגיש במיוחד - לרבות מידע רפואי, כלכלי ואישי - על נחקרים שלא נתנו את הסכמתם לאיסוף המידע ולעיתים אף אינם מודעים לעצם קיומו. הרשות מבהירה כי אף שמרבית משרדי החקירות הם קטנים בהיקפם, מאגרי המידע שברשותם אינם נחשבים למאגרים המנוהלים בידי יחיד, אלא מחייבים רמת אבטחה בינונית לכל הפחות.
הליך הפיקוח התמקד בשלושה קריטריונים מרכזיים: בקרה ארגונית, אבטחת מידע וניהול מאגרי מידע ומיקור חוץ. בתחום הבקרה הארגונית, הבוחן קיומן של תוכניות עבודה, נהלים ומינוי בעלי תפקידים בתחום הגנת הפרטיות ואבטחת המידע, נמצאה רמת עמידה נמוכה ברוב הגופים. בין היתר עלה כי במשרדים רבים לא גובשה תוכנית עבודה שנתית, לא בוצעו הדרכות מספקות לעובדים, או שלא הוגדרו נהלי אבטחת מידע מלאים וברורים.
גם בתחום אבטחת המידע עצמה נמצאו ליקויים משמעותיים. הדו”ח מצביע על היעדר מנגנוני בקרה למניעת חיבור התקני אחסון חיצוניים למחשבים, היעדר מעקב סדור אחר אירועי אבטחה, והסתמכות נרחבת על פתרונות אבטחה בסיסיים בלבד. ממצאים אלה מעלים חשש ממשי לדליפת מידע, לפגיעה בשלמותו ולשימוש לא מורשה בו.
בתחום ניהול מאגרי מידע ומיקור חוץ עלה כי משרדים רבים אינם מקיימים את מלוא החובות הקבועות בדין, לרבות היעדר כתבי מינוי לממונה על אבטחת מידע וליקויים בהתקשרויות עם ספקים חיצוניים המחזיקים או מעבדים מידע אישי מטעמם.
בסיום הליך פיקוח הרוחב הנחתה הרשות את כלל הגופים שנבדקו לפעול לתיקון הליקויים, ולהגיש תוכניות מפורטות לביצוע התיקונים, בליווי הצהרת נושא משרה בדבר השלמתם. במקביל גיבשה הרשות מדריך פרקטי ייעודי למגזר החוקרים הפרטיים, הכולל שורה של צעדים אופרטיביים, ובהם הטמעת מערכות מתקדמות לזיהוי סיכונים בכל תחנות הקצה, תיעוד גישה למאגרי מידע לתקופה ממושכת, תיעוד אירועי אבטחה, ביצוע הדרכות חובה לבעלי הרשאות, עמידה מלאה בדרישות מיקור חוץ וביצוע סקרי סיכונים ומבדקי חדירה.
עו”ד אפרת סוקולובר, מנהלת מחלקת אכיפה מגזרית ברשות להגנת הפרטיות, מסרה כי הרשות רואה חשיבות מיוחדת בהבטחת עמידת משרדי החקירות הפרטיות בסטנדרטים הנדרשים לשמירה על מידע אישי, נוכח העובדה שמדובר במידע הנוגע לאזרחים שאינם מודעים כלל לעיבוד המידע על-אודותם. לדבריה, הממצאים מצביעים על ליקויים משמעותיים בהיבטי אבטחת מידע, נהלים ובקרות, והרשות מצפה מהגופים הרלוונטיים לפעול לתיקונם בהקדם, תוך המשך קידום אכיפה מקצועית ואחראית להגנת פרטיות הציבור.