בנובמבר 2021 פרסמה הרשות להגנת הפרטיות ממצאי דו״ח פיקוח רוחב שביצעה בקרב מגזר הרשויות המקומיות בישראל. מגזר זה נקבע כאחד מיעדי הפיקוח בשל מאפייניו הייחודיים: מאפיינים אלו כוללים את העובדה שרשות מקומית מהווה גוף ציבורי וכן את יחסי האמון המבססים את הקשר שבין עירייה לאזרח. רשות הגנת הפרטיות מציינת בדו"ח כי מערך אכיפה זה נועד לקיים פיקוח מגזרי או נושאי. היעד הוא לאתר הפרות של חוק הגנת הפרטיות, התשמ״א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, להגביר מודעות להוראות החוק, ולאתר כשלים ענפיים הדורשים התערבות והנחיות (לדף פיקוח רוחב באתר הרשות להגנת הפרטיות ראו: https://www.gov.il/he/Departments/General/enforcement_supervision).
דו״ח פיקוח הרוחב לשנת 2021 אינו מחמיא לרשויות המקומיות. הדו"ח בחן חמישה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע לרבות מצלמות אבטחה במרחב ציבורי, אבטחת מידע, העברת מידע בין גופים ציבוריים ועיבוד מידע במיקור חוץ. רמת עמידה נמוכה בקריטריונים אלה מוגדרת על ידי רשות הגנת הפרטיות כקיום של 50% בלבד מהוראות חוק הגנת הפרטיות והתקנות. לעומת זאת, ביצוע הוראות החוק והתקנות ברמה שבין 80% ל100%, מוגדרת כרמת עמידה גבוהה. ממצאי הדו״ח מעידים למרבה הצער על רמה בינונית-נמוכה בלבד בהקפדה על קיום הוראות החוק מצד הרשויות המקומיות.
במסגרת קריטריון ״בקרה ארגונית״, נמצא כי רק 26% מהרשויות צייתו להוראות החוק והתקנות ברמה גבוהה, בעוד ש74% נמצאו כבעלות רמת עמידה בינונית-נמוכה. בניגוד להוראות התקנות, עובדים חדשים ברשויות מקומיות הנגישים למאגרי המידע אינם עוברים הליך מיון והתאמה. המיון נדרש במטרה להבטיח שהעובד מתאים להיחשף למאגרי המידע של הרשות, בהתאם לרגישות המידע ולסוג המידע. זאת ועוד: נמצא כי במרבית הרשויות הנמצאות ברמת עמידה בינונית-נמוכה לא מונה ממונה אבטחת מידע, סקרי סיכונים והביקורות התקופתיות לקו בחסר ולא נערכו כנדרש בתקנות.
במסגרת קריטריון ״ניהול מאגרי מידע״ וקריטריון ״מידע אישי במיקור חוץ״, נמצא כי פחות משליש (29%) מהרשויות המקומיות מצייתות להוראות החוק ברמה גבוהה, בעוד ש71% מהרשויות המקומיות מצייתות ברמה נמוכה-בינונית. למעלה ממחצית מהרשויות בהן נמצאה רמת עמידה נמוכה-בינונית, אינן מקפידות על שקיפות איסוף המידע על התושבים – היינו, היעדר מתן הודעה לתושב בעת איסוף המידע אודותיו. למעלה מכך, נמצא כי לא ניתנה לתושב לעיין במידע אודותיו, או שניתנה לו אפשרות לעיון חלקי בלבד. עיקר הליקויים בקריטריון מיקור החוץ נבעו מכך שכמעט שליש מהרשויות לא קיימו הסדרים מסודרים עם ספקי החוץ הכוללים אבטחת מידע, ולא נבחנו סיכוני אבטחת מידע הכרוכים בהתקשרות, טרם ההתקשרות.
לעניין שימוש במצלמות מעקב במרחב ציבורי, עולה כי רק כמחצית (54%) מהרשויות המקומיות מציבות שלטי יידוע בסמוך למצלמות באופן קריא וברור, בנוסף למיפוי פריסת המצלמות באתר העירייה. ממצאי הדו״ח מעלים כי רמת אבטחת המידע של הקלטות הצילומים לוקה בחסר. בנושא זה, רק 25% מהרשויות צייתו ברמה גבוהה להוראות החוק והתקנות, בעוד ש48% נמצאו כבעלות רמת ציות נמוכה. במסגרת קריטריון ״העברת מידע בין גופים ציבוריים״, נמצא כי למעלה ממחצית מכלל הרשויות שנבדקו נמצאות ברמת ציות נמוכה. ממצאי הדו״ח מגלים ליקויים לעניין ניהול רישום המידע המועבר בין הגופים. נמצאו חוסרים גם במילוי נאות של טופס בקשת העברת מידע וכן דיווח חסר או חלקי לרשות להגנת הפרטיות.
הרשות הנחתה את הרשויות המקומיות הרלבנטיות לתקן את הליקויים ולהגיש לה מסמך המפרט את התיקונים שבוצעו. נראה כי אף שמרבית הרשויות המקומיות הן בעלות היכרות עם דרישות החוק והתקנות העוסקים בפרטיות, קיימים ליקויים משמעותיים בביצוע, בעיקר בקרב רשויות בינוניות וקטנות. הדו״ח מציין כי הפער נובע מהעובדה שברשויות הגדולות הוקצו משאבים וכוח אדם לנושא הגנת הפרטיות ואבטחת מידע.
לדו״ח פיקוח רוחב של רשות הגנת הפרטיות ראו:
