הרשות להגנת הפרטיות ב-משרד המשפטים, מפרסמת היום (רביעי, כ”ה בטבת התש”פ) את דין וחשבון עם ממצאי פיקוח רוחב אשר ביצעה בקרב גופים המנהלים פלטפורמות אתרים ואפליקציות לימודיות וחינוכיות המיועדות ל’קטינים’.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
ייאמר מיד; זהו הדוח השני שמפרסמת הרשוּת, במסגרת סדרת דוחות, ביחס למגזרים שונים, אשר הרשוּת, ביצעה עליהם פיקוח רוחב לבדיקת האופן בו גופים ממגזרים שונים מקיימים את הוראות החוק והתקנות בנוגע להגנת הפרטיות ואבטחת מידע.
עולה, כי בשנתיים האחרונות, ביצע מערך פיקוח הרוחב ברשות להגנת הפרטיות, אשר הינו חלק ממחלקת האכיפה ברשות, כ-181 הליכי פיקוח זאת במגזרים השונים. דוח זה, עוסק בסוגיה רגישה במיוחד, הגנת פרטיות המידע אודות קטינים בקרב גופים וחברות המנהלים אתרים ו-אפליקציות לימודיות המיועדות לקטינים.
בשנתיים האחרונות ביצע מערך פיקוח הרוחב ברשות להגנת הפרטיות, אשר הינו חלק ממחלקת האכיפה ברשות, כ-181 הליכי פיקוח במגזרים השונים. דו”ח זה עוסק בסוגיה רגישה במיוחד, הגנת פרטיות המידע אודות קטינים בקרב גופים וחברות המנהלים אתרים ואפליקציות לימודיות המיועדות לקטינים.
דוח פיקוח רוחב של ‘הרשות להגנת הפרטיות’ חושף, כי; 80% מן הגופים שנבדקו נמצאו ברמת עמידה בינונית ומטה בכל הנוגע לשימוש בשירותי מיקור חוץ לאחסון ו-שמירת המידע על הקטינים.
עוד עולה, כי אופן היידוּע בדבר זכויות הקטינים על פי ‘חוק הגנת הפרטיות‘ – אינו מספק, לא נקבעים נהלי אבטחת מידע ותקשורת מספקים ולא ממונים מנהלי מאגרי מידע כנדרש בחוק הגנת הפרטיות.
הגופים והחברות הפועלים במגזר זה והמספקים פלטפורמות לימודיות, מנהלים או מחזיקים מאגרי מידע רבים, הכוללים; מידע אישי רגיש ומזוהה אודות קטינים, בגילי גן עד תיכון, לצרכים לימודיים וחינוכיים שונים.
ביניהם; פורטלים חינוכיים המפרסמים מידע להורים ולתלמידים, אתרי שיעורים פרטיים, חוגים מקוונים, לימודי טכנולוגיה, מוזיקה ודת, פלטפורמות לימודיות חברתיות, הרגלי קריאה, שיתוף של תמונות ילדים ממסגרות חינוכיות ועוד.
פלטפורמות אלו, אוספות מידע אישי על קטינים, לרבות במועד ההרשמה אליהן, וכן צוברות מידע אישי נוסף בעת השימוש של הקטין, הוריו והגורם החינוכי בהן, כגון; ציונים, התקדמות לימודית, לקויות למידה, הרגלי קריאה, הערכות על הישגים לימודיים, תמונות ועוד.
המידע המפורט נאסף כחלק ממגוון השירותים אותם הגופים מספקים לקטינים בגילים השונים, כמפורט בגרפים הבאים;
פערי הכוחות המובנים הקיימים בין גופים אלה, המנהלים ומחזיקים את המידע האישי אודות הקטינים, לבין הקטינים דורשים הקפדה יתרה על יישום הוראות החוק והתקנות באופן שיהיה ברור לקטינים בהתאם לגילם ויכולת הבנתם, מהו השימוש שנעשה במידע אודותיהם ולצורך איזו מטרה.
בשל פערים מובנים אלה, ורגישות המידע, מגזר זה, נחשב כבעל סיכון גבוה לפגיעה בפרטיות.
לכן, קיימת חשיבות יתרה בהקפדה על הוראות חוק הגנת הפרטיות והתקנות מכוחו.
במסגרת שאלוני הביקורת, אשר עליהם נדרשו הגופים להשיב במסגרת הליך פיקוח הרוחב, נבחנו 4 קריטריונים בתחום הגנת הפרטיות;
- בקרה ארגונית וממשל תאגידי – בוחן קיומה של תכנית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום.
- ניהול מאגרי מידע – בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, השימוש במידע בהתאם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ושירותי דיוור ישיר.
- אבטחת מידע – בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ביחס להגנה על המידע האישי שבבעלותם או בהחזקתם.
- שירותי מיקור חוץ – בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים שלישיים המחזיקים במידע ומעבדים אותו עבורם והאופן בו הם מבטיחים הגנה על המידע.
בהתאם למענה שניתן על-ידי הגופים ביחס לכל אחד מהקריטריונים, נקבעה רמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו, כמתואר בגרף הבא בהתאם לשקלול רמות העמידה של הגופים;
- עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
- עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
- עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.
במסגרת התהליך, התמקדה הרשות להגנת הפרטיות ב-24 גופים המנהלים פלטפורמות אתרים ו-אפליקציות לימודיות המיועדות לקטינים. מתוכם 10 גופים נדרשו לספק מידע, מסמכים והבהרות נוספות לרשות בכתב ובפיקוח בשטח. מתברר, כי בסיום ההליך נמצאו ליקויים ב-23 מתוך 24 הגופים המפוקחים.
- מרבית מהגופים שנבדקו במסגרת הליך פיקוח הרוחב במגזר זה, נמצאו ככאלה שאינם מקפידים דיים ליידע את ציבור הקטינים על האופן שבו נאסף המידע אודותיהם, אינם מיידעים את הקטינים בצורה מספקת בדבר זכויותיהם מכוח חוק הגנת הפרטיות. לדוגמא, החובה להציג את מקור המידע בעת פנייה בדיוור ישיר והזכוּת לעיין במידע.
- 80% מן הגופים שנבדקו, נמצאו ברמת עמידה בינונית ומטה, בקיום הוראות חוק הגנת הפרטיות בנוגע להסתייעות בשירותי מיקור חוץ, לשם ביצוע פעולות לעיבוד המידע האישי של הקטינים, חלקו או כולו, הכולל בין היתר פרטי קשר, ציונים, שיוך למוסד חינוכי וכדומה.
- במרבית הגופים (75%) נמצאה רמת עמידה גבוהה יחסית בהוראות החוק בנוגע לאבטחת מידע. יחד עם זאת, נמצאו גופים אשר מנהלים מידע על קטינים, אשר במערכותיהם לא הותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.
- כמו כן, בעוד רמת אבטחת המידע של הגופים נמצאה כגבוהה, יחסית, נמצא, כי מרבית הגופים אינם מקפידים על אופן אבטחת המידע של מיקור החוץ כנדרש ב-תקנות הגנת הפרטיות (אבטחת מידע).
- מרבית הגופים המבצעים שימוש במיקור חוץ לאחסון ועיבוד המידע, נטו להסתפק בשירותי אבטחת המידע הבסיסיים של מיקור החוץ ולא הקפידו על איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ בהסכם כנדרש בתקנות ולא ביצעו פעולות בקרה ופיקוח נאותים על עמידת הגורם החיצוני בכך.
- בתחום ניהול מאגרי מידע, נמצא, כי 75% מהגופים, עמדו בהוראות חוק הגנת הפרטיות ברמה הגבוהה (מעל 80% עמידה), 8% ברמה הבינונית (בין 50%-80), ו-17% ברמה נמוכה (מתחת ל-50% עמידה). בחלק מתוך אותם גופים שנמצאה בהם רמת עמידה נמוכה, היו כאלו אשר כמעט ולא עמדו בדרישות החוק, כלל. פער זה, בא לידי ביטוי בעיקר בין גופים גדולים ובינוניים שעמדו בדרישות ברמה גבוהה, לבין גופים הקטנים הפועלים במגזר זה.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, הורתה הרשות לגופים המפוקחים לתקן את הליקויים שנמצאו, לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים, כאשר כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים.
כאשר הדוח שפרסמה הרשות מרכז הן את ממצאי תהליך פיקוח הרוחב המגזרי, והן את ריכוז הליקויים המגזריים וההנחיות באשר לצעדים שעל הגופים במגזר זה לנקוט, בכדי לקיים את דרישות החוק והתקנות.
דוברת היחידות המקצועיות של אגף דוברות הסברה ותקשורת, ב-משרד המשפטים, הגב’ כרמית אורפז-ימין, מסרה ל’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי נוכח הממצאים שעלו מהליך פיקוח הרוחב, הורתה הרשות לגופים המפוקחים לתקן את הליקויים שנמצאו, לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים.
כאשר כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים. כאשר הדוח שפרסמה הרשות מרכז הן את ממצאי תהליך פיקוח הרוחב המגזרי, והן את ריכוז הליקויים המגזריים וההנחיות באשר לצעדים שעל הגופים במגזר זה לנקוט, בכדי לקיים את דרישות החוק והתקנות.
הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, ערוך דין רביד פטל, ציין כי; “הרשוּת, ממשיכה בפרסום דוחות ביקורת על מגזרים בהם ביצעה פיקוח רוחב לאיתור וצמצום הפערים בין דרישות חוק הגנת הפרטיות והתקנות מכוחו לבין יישומן בפועל, הגברת מוּדעות המשק להוראות חוק הגנת הפרטיות והגברת ההגנה על הפרטיות של נושאי המידע בישראל.
ממצאי הדין וחשבון, מדגישים את החובה של גופים לעמוד בהוראות חוק הגנת הפרטיות והתקנות מכוחו, במיוחד בקרב גופים אשר אוספים מידע על קטינים, אשר בשל גילם, לא מודעים בהכרח לכלל ההשלכות והמשמעויות שיש לאיסוף מידע אודותיהם.
הרשות להגנת הפרטיות, רואה חשיבות בפרסום דוח זה, על מנת שיהווה כלי עבודה מנחה, ויאפשר לגופים נוספים המנהלים מידע אודות קטינים לבצע הערכה עצמית ויגביר את המודעות לדרישות חוק הגנת הפרטיות בקרב גופים אלה.
כך, יוכלו הגופים בתחום לנהל את המידע של הקטינים בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם“.
◄ אל; אינפוגרפיקה – קטינים
◄אל; דוח פיקוח רוחב 2018-2019 – קטינים
