חוק הגנת הפרטיות - תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986

1. הגדרות

בתקנות אלה -

"אבטחת מידע", "מאגר מידע", "מידע", "מנהל מאגר", "רשם", "שלמות מידע" - כהגדרתם בסעיף 7 לחוק;

"גוף ציבורי" - כהגדרתו בסעיף 23 לחוק;

"מידע מוגבל" - כל אחד מאלה:

(1) מידע על מצב בריאותו של אדם או על צנעת אישיותו;

(2) מידע השמור במאגרים המנויים בסעיף 13(ה) לחוק;

(3) מידע אחר ששר המשפטים קבע בצו כי הוא מוגבל;

"מידע עודף" - כהגדרתו בסעיף 23ה לחוק;

"ממונה אבטחה" - אדם שמונה לממונה על אבטחת מידע לפי סעיף 17ב לחוק או אדם שמנהל המאגר קבע כי הוא אחראי על אבטחת המידע שבמאגר המידע;

"פנקס" - כמשמעותו בסעיף 12 לחוק;

"שימוש" - כהגדרתו בסעיף 3 לחוק.

2. הודעה על ממונה אבטחה

מנהל מאגר יודיע לרשם בכתב את שמו של ממונה האבטחה.

3. אחריות מנהל מאגר

(א) מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד.

(ב) מנהל מאגר אחראי לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה בתחומים אלה:

(1) קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומטית (להלן - המערכת) ועל תשתיתה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית מפני סיכונים סביבתיים ופגיעות;

(2) קביעת סדרי ניהול של מאגר מידע, והוראות לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע, הכל בהתאם להוראות החוק והתקנות; סדרים וכללים כאמור יחולו גם על נותן שירותים חיצוני לגוף שבבעלותו מאגר המידע;

(2א) מתן הרשאת גישה למאגרי המידע והטלת הגבלות על מורשי הגישה בהתאם להוראות הוועדה להעברת מידע כאמור בתקנה 3א(ד)

(3) קיום הוראות תפעול של המערכת תוך אבטחת המידע ושמירה על שלמות המידע;

(3א) עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות;

(3ב) החתמת מורשי הגישה על התחייבות לשמירה על סודיות ועל ההוראות שנקבעו לפי פסקאות (2) ו-(2א);

(4) נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש;

3א. ועדה להעברת מידע

(א) המנהל הכללי של גוף ציבורי ימנה ועדה להעברת מידע לפי פרק ד' לחוק.

(ב) המנהל הכללי יהיה יושב ראש הוועדה, ואולם הוא רשאי למנות את סגנו ליושב ראש הוועדה במקומו או עובד בכיר הכפוף לו ישירות; לענין תקנה זו, "עובד" - לרבות חייל, סוהר או שוטר.

(ג) בין חברי הוועדה יהיו היועץ המשפטי של הגוף הציבורי או נציגו, ועובדים שתחום עיסוקם הוא בניהול מידע ואבטחתו; מספר חברי הוועדה לא יפחת משלושה.

(ד) הוועדה תדון ותחליט אם ובאיזו מידה -

1. להיעתר לבקשות למסירת מידע מן הגוף הציבורי;
   
   
2. לאשר הגשת בקשות של הגוף הציבורי לקבלת מידע מאת גוף ציבורי אחר.
   
   

(ה) הוועדה תקבע הוראות לענין ההרשאות וההגבלות בענין הגישה למאגרי המידע; על הוראות אלה יחולו הוראות סעיף 6 לחוק חופש המידע, התשנ"ח-1998 (להלן - חוק חופש המידע).

4. אבטחת מידע בעת מסירה

בעת מסירה כדין של מידע ממערכת של גוף ציבורי למערכת של גוף ציבורי אחר, אחראים מנהלי המאגר של שתי המערכות לנקיטת פעולות אבטחה ובקרה ושל השימוש במידע במערכת המקבלת ברמה השווה לזו הנהוגה במערכת המוסרת.

5. נוהל מסירה

(א) מנהלי המאגר של מערכות המוסרות והמקבלות דרך קבע מידע יערכו את נוהל ההתקשרות להעברת מידע בין מערכותיהם, בו יירשמו עקרונות האבטחה, בקרת הגישה ורישום המידע הנמסר בהתאם לתקנות אלה. עותקים מנוהל זה יוחזקו ברשות מנהלי המאגר של המערכות.

(ב) לא יימסר, דרך קבע, מידע אלא לאחר שנערך נוהל התקשרות כאמור.

6. טיפול במידע עודף

מקבל מידע שקיבל מידע לפי תקנות אלה יפריד מיד עם קבלת הנתונים את המידע העודף וימחק אותו מיד.

7. בקשה להעברת מידע

(א) בקשה לקבלת מידע תיערך לפי טופס א' בתוספת.

(ב) הסכמת הגוף הציבורי למסירת המידע תיערך לפי טופס ב' בתוספת.

(ג) הודעה לרשם מאת גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג לחוק והמידע נאגר במאגר מידע, תיארך לפי טופס ג' בתוספת.

(ד) בקשה והסכמה להעברת מידע טעונות אישור היועץ המשפטי והממונה על אבטחת המידע של הגוף הציבורי המוסר ושל הגוף הציבורי המקבל, על גבי טופס א' או טופס ב' בתוספת, לפי הענין.

(ה) טופס מהטפסים האמורים בתקנה זו ימולא במלואו.

(ו) מנהל מאגר מידע ינהל רשימה של כל מאגרי הגופים, למעט מאגרי מידע המנויים בסעיף 13(ה) לחוק, שאליהם נמסר מידע דרך קבע ממאגר המידע הגוף הציבורי וסוג המידע המועבר; הרשימה תעמוד לעיון הציבור ויחולו עליה הוראות סעיף 6(ב) לחוק חופש המידע; הרשימה תעמוד לעיון הציבור באתר האינטרנט של הגוף הציבורי, ובאין אתר אינטרנט, במשרד הראשי ובמשרדים המחוזיים, אם ישנם.

8. תחולה

הכללים המפורטים בפרק זה יחולו על מאגר מידע המכיל מידע מוגבל ויופעלו בידי מנהל המאגר בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד.

9. קובץ נהלים

למאגר מידע, כאמור בתקנה 8, יהיה קובץ נהלים שבו יפורטו אמצעי האבטחה והבקרה על הטיפול הפיסי באמצעי האחסון של המידע. בקובץ ייוחד פרק לטיפול במידע בידי נותן שירותים חיצוני המבצע עבודות עבור המאגר בתחומי הקלידה, עיבוד הנתונים, הפצת דו"חות והובלת קבצים.

10. סימון אמצעים מכילי מידע ואחסנתם

(א) השאלתו של אמצעי רישום מגנטי המכיל מידע, מספריית המערכת, תיעשה כנגד תעודת משלוח המכילה אישור של המקבל הזכאי לקבלת המידע על פי החוק, על האמצעי יירשם "מידע מוגן לפי חוק הגנת הפרטיות".

(ב) אמצעים שסומנו כאמור בתקנת משנה (א) יוחסנו במדור סגור של ספריית המערכת ועותקיהם הנשמרים לצרכי גיבוי יימצאו מחוץ למיתקן הראשי; הגישה למדור הגיבוי בספריה תוגבל למספר מורשים בלבד ומפתחותיו יישמרו במקום נעול.

11. סימון תדפיסי מחשב

קבצים נתיקים ותדפיסי מחשב המכילים מידע מוגבל והמופקים עבור גוף ציבורי אחר יופקו בלווית כתובת בולטת לעין בכל עמוד: "מכיל מידע מוגן לפי חוק הגנת הפרטיות - המוסרו שלא כדין עובר עבירה"; התדפיסים האמורים יימסרו כנגד תעודות משלוח ואישור קבלה מאת הגוף הזכאי לקבלת המידע על פי החוק.

12. תיעוד המאגר

מנהל המאגר ינהל רישום המשתמשים במידע המוגבל.

13. ביעור אמצעים

אמצעי רישום מגנטיים ופלט מחשב כתוב של הליכי ביניים המבוצעים בשעת עיבוד נתונים של מידע, כגון תדפיסי זיכרון ראשי בשעת תקלה, סרטים ותקליטונים לקלידת נתונים שנקלטו במערכת, יפונו מיד לביעור במגרסה או יימחקו, לפי הענין.

14. רישום הרשאות גישה

מנהל המאגר ינהל רישום מעודכן של הרשאות גישה אשר יכיל שמות ופרטי זיהוי של עובדי המערכת והמשתמשים המורשים לגשת למידע האגור במערכת, פירוט קוד הגישה וסוגי הפעולות המותרים למשתמשים; סיסמאות הגישה יוחלפו לעיתים בלתי קבועות אך לא פחות מאשר אחת לששה חודשים או בעת החלפת עובדים.

15. יומן אירועים חריגים

(א) יומן אירועים חריגים (להלן - היומן) ינוהל בידי מנהל המאגר על גבי אמצעי נתיק מן המערכת לגבי פעולות הפקת מידע באצווה או פעולות תשאול שבוצעו במסוף הקשור למערכת; היומן יישמר במשך שלוש שנים; לגבי אירוע חריג יירשמו ביומן פרטי הזיהוי של הפונה, סוג השאילתה, הרשומות או סוגי הרשומות שהופקו בתשובה.

(ב) מנהל המאגר אחראי לעריכת בדיקה חדשית של היומן לצורך תיקון ליקויים.

16. תחילה

תחילתן של תקנות אלה תשעה חדשים מיום פרסומן.

תוספת

טופס א' (תקנה 7(א))

בקשה לקבלת מידע מאת גוף ציבורי לפי חוק הגנת הפרטיות, התשמ"א-1981

א. זיהוי הגופים

ב. תיאור המידע המבוקש

1. שם הקובץ/בסיס הנתונים .........

2. סוגי הרשומות המבוקשות: ........
2.1 ...........................
2.2 ...........................
2.3 ...........................

3. פרטי המידע המבוקש
3.1 קבוצות בני האדם שלגביהם מבוקש המידע:
...................................
3.2 הנתונים המבוקשים מתוך הרשומות:
...................................
...................................

4. תדירות העברת המידע המבוקש .......................
4.1 העברה קבועה לתקופה שמיום ................ עד יום ............
(לא יותר מ-5 שנים).
4.2 תדירות העברת המידע במלואו.
4.3 תדירות העברת השלמותת ושינויים.

5. אופן העברת המידע
5.1 _ תדפיס
5.2 - קובץ על סרט מגנט, תקליטון מגנטי, אגד תקליטים מגנטיים
5.3 - קובץ בעזרת תקשורת נל"ן באצווה
5.4 - תקשורת מקוונת בין מסוף לבין בסיס המידע
5.5 - תקשורת מקוונת קבועה בין מחשב מקבל המידע למחשב מוסר המידע
5.6 - בדרך אחרת ..............................................

6. אמצעי אבטחה של המידע אצל המקבל
6.1 - מחשב המקבל (תוצרת/דגם ...........מערכת הפעלה:(סוג/מהדורה).
6.2 - מערכת רישום והגבלת תשאול מקוון תוצרת ........ דגם ........
6.3 - מורשי הגישה למידע הנמסר:

תפקידים אמצעים (מסוף, תדפיס)

.............................. ...............................
.............................. ...............................
.............................. ...............................

6.4 הממונה על אבטחת המידע במיתקן (קב"ט הגוף הציבורי או קצין
בטחון מחשב):
שם ..................מען...................טלפון...........

6.5 איזה אמצעי הגנה על עיבודים מקוונים מחוץ לבנין (הצפנה, קוד גישה).

6.6 האם קיימת גישה חיצונית למערכת המחשב בה יוחזק המידע באמצעות קו טלפון.

6.7 רמת הסיווג של המידע הרגיש ביותר במערכת (שמור/סודי/סודי ביותר).

6.8 מתבצע מעקב אחר כניסות מורשי הגישה למאגר, באמצעות הפעלת אמצעי
הבקרה והניטור המפורטים להלן: ............................................................................
........................................................................................................................

6.9 במאגר המידע מתנהל רישום של מורשי הגישה, החתומים על התחייבות
לשמירה על סודיות ועל סדרי ניהול כמתחייב מתקנה 3(ב)(3א)ו-(3ב) לתקנות.

7. הצהרת מבקש המידע

7.1 - אנו החתומים מטה בשם ומטעם הגוף הציבורי ....................
כמשמעותו בחוק הנ"ל מצהירים כי המידע המבוקש על ידינו הוא מידע שאנו זכאים לקבלו על פי סעיף 23 לחוק.

7.2 מקור הסמכות לקבלת המידע הוא ..............................................................................................
7.3 המטרה שלשמה נדרש המידע ...................................................................................................

7.4 אנו מצהירים כי ננקוט כל אמצעים הדרושים לשמירת מידע זה וכי
המידע יהיה בשימוש של בעלי תפקידים מוגדרים כמפורט בסעיף 6.3.

7.5 ידוע לנו כי בסמכותנו לשלב מידע זה בקובץ כללי שברשותנו או בבסיס הנתונים הכללי שלנו, לשימוש פנימי בלבד, כי אין בסמכותנו להעביר מידע זה בכל צורה שהיא לידיעת גוף ציבורי אחר, וכי עלינו למנוע העברת מידע זה מהקובץ/בסיס הנתונים שלנו לגוף שלישי גם
כמידע עודף כמשמעותו בחוק.

7.6 אנו מתחייבים להודיע לגוף מוסר המידע על כל חריג בתפעול המערכת שלנו אשר גרם לפגיעה בסדרי אבטחת הרשומות על פי התקנות.

8. חתימות המורשים מטעם הגוף הציבורי המבקש:

........................ ..................... ...................
שם תואר/תפקיד חתימה/חותמת

8.1.מנהל המאגר:

.............. ................... ...................
שם תואר/תפקיד חתימה/חותמת

8.2.הממונה על אבטחת המאגר:

8.3.

אישור היועץ המשפטי של הגוף הציבורי המבקש:

אני הח"מ מאשר כי למיטב ידיעתי המידע המבוקש הוא מידע שהגוף האמור
זכאי לקבלו על פי סעיף ........... לחוק.

........................ ..................... ...................
שם חתימה חותמת

טופס ב' (תקנה 7(ב))

הסכמת גוף ציבורי למסירת מידע לפי חוק הגנת הפרטיות, התשמ"א-1981

א. זיהוי הגופים

ב. הסכמה/דחיה/הסתייגות מבקשה להעברת מידע שהעתקה רצוף בזה

- הבקשה מאושרת ללא שינוי.
- הבקשה נדחית מהסיבות דלהלן:

..................................................................
..................................................................
..................................................................

- הבקשה מאושרת בשינויים דלהלן בתוכן המידע:
1. קובץ המקור ....................................................
2. סוגי הרשומות שייכללו במידע הנמסר ..............................
..................................................................
..................................................................

3.1 רשומות המידע הנמסר תכלול מידע עודף דלהלן:

..................................................................
..................................................................
הערה: באם נמסר קובץ מידע כוללני יש לצרף את תיאור הקובץ ומבנה
הרשומה בו.

3.2 רשומת המידע הנמסר תהא חסרה הפרטים הבאים:
..................................................................
..................................................................
..................................................................

הסיבות לאי מסירת המידע המבוקש הן:

..................................................................
..................................................................
..................................................................

3.3 תדירות העברת המידע ...........................................

3.4 אופן העברת המידע .............................................

4. הוראות אבטחת המידע

4.1 הבקשה מאושרת במסגרת הסדרי האבטחה המפורטים בבקשה.

4.2 הבקשה מאושרת על תנאי שהמבקש יפעיל את הסידורים הנוספים הבאים:

..................................................................
..................................................................
..................................................................

5. חתימות המורשים מטעם הגוף הציבורי המסכים:

........................ ..................... ...................
שם תואר/תפקיד חתימה/חותמת

5.1 מנהל המאגר:

........................ ..................... ...................
שם תואר            /תפקיד חתימה      /חותמת

5.2 הממונה על אבטחת המאגר:

5.3

אישור היועץ המשפטי של הגוף הציבורי המסכים:

- למיטב ידיעתי אין מניעה חוקית להעברת המידע

........................ ..................... ...................
שם חתימה חותמת

טופס ג' (תקנה 7(ג))

הודעה על קבלת מידע דרך קבע בהתאם לסעיף 23ד לחוק הגנת הפרטיות, התשמ"א-1981

אל: רשם מאגרי המידע, משרד המשפטים, ירושלים

..........................................

שם הגוף הציבורי ..................................
מען ..............................................
טלפון ............................................
מען יחידת המחשב ..................................
שם מנהל המאגר ....................................

ב. הננו להודיעך בזה כי הגוף שצויין לעיל מקבל דרך קבע מידע בהתאם
לסעיף ............. לחוק כמפורט להלן:

1. תיאור המידע ....................................................
................................................................

2. המידע מתקבל מ: .................................................
................................................................

3. תדירות העברת המידע .............................................

4. אני מצהיר כי הודעות העברת המידע האמור בהתאם לטפסים א' וב' בתוספת
לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) התשמ"ו-1986 נערכו ונחתמו כנדרש.

.....................
חתימת מנהל המאגר

.................... ...................... ....................
שם תואר תפקיד חתימה