דוח מבקר המדינה: ליקויים בפעילות רשם מאגרי המידע האחראי על המאגר הביומטרי

דוח מבקר המדינה מצא ליקויים מדאיגים בפעילות הרשות להגנת הפרטיות במשרד המשפטים, ובעיקר באי-פעילותה בכל הקשור לסוגיות הגנת הפרטיות במאגרי מידע העולות במגזר הציבורי. לפי הדוח, הרשות להגנת הפרטיות ממעטת לגלות מעורבות אפקטיבית בניהול מאגרי מידע ואינה מפעילה מדיניות אכיפה ברורה.

רשם מאגרי המידע, שעומד בראש הרשות להגנת הפרטיות, הוא הרגולטור שמופקד על הגנת המידע האישי במאגרי מידע. על-פי חוק, גופים ציבוריים מחויבים לדווח לרשות על העברת מידע ביניהם. עם זאת, בביקורת נמצא כי מאז שנת 2011 הרשות לא פיקחה על העברות מידע בין גופים ציבוריים, והיא אינה מבצעת מעקב או אכיפה יזומה על גופים שאינם מעבירים דיווחים כחוק.

במילים אחרות, הרשות שאמורה להגן על פרטיותם של מאגרי המידע הציבוריים כלל אינה יודעת אילו גופים ציבוריים מחזיקים במידע. המבקר מציין כי המעקב שהרשות אמורה לבצע נועד גם לצורך ביצוע עבודה של הרשות וגם לצורך השקיפות הציבורית: "השקיפות תאפשר לציבור לעקוב אחר השימוש שעושים הגופים במידע ולוודא שהוא מועבר באופן סביר ומידתי", נכתב בדוח.

עוד נמצא כי הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל"מאגרי-על", המוגדרים כמאגרים הכוללים פרטים אישיים מזהים; מורכבים משני מיליון רשומות ייחודיות או יותר; והסיכון שבחשיפתם מוערך כבעל פוטנציאל נזק גבוה ברמה לאומית.

דוגמה למאגר כזה הוא המאגר הביומטרי, אשר כולל כיום את פרטיהם של למעלה מ-2 מיליון אזרחים. בתוכנית העבודה של הרשות לשנת 2015 נקבע היעד "חיזוק הגנת מידע אישי במאגרי-על באמצעות פיקוח על העברות מידע בין גופים ציבוריים", ואחד ממדדי ההצלחה של היעד הוגדר כקבלת מידע על העברות מידע מ-100 גופים. בביקורת המבקר נמצא כי גם מהלך זה טרם קודם.

בדוח נכתב כי "בתחום זה של הגנת הפרטיות יש פער מובנה בין החקיקה, הממושכת מטבעה, ובין ההתפתחות הטכנולוגית המהירה. פער זה מגביר את הצורך לפעול בנחישות ובמהירות, על-מנת לשמור על רלוונטיות של הוראות הדין במציאות המשתנה. על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם".