החשיפה האחרונה של רשימת המועמדים לשירות בצה"ל, שכללה בתוכה מידע אישי והוצאה למכירה לכל המרבה במחיר, הביכה את רשויות הצבא. העובדה שנגנבה מתוך המחשבים המסווגים על ידי חיילים ששירתו ביחידה שעוסקת במיון מועמדים לגיוס, העלתה שוב את השאלה, האם גופים ציבוריים עושים מספיק בשביל לשמור על המידע שלנו, ובעיקר, האם הם עושים את כל האפשר כדי למנוע צמיחתו של סוס טרויאני מתוך הארגון עצמו.
עיון בפסקי דין מהשנים האחרונות מגלה שצה"ל לא לבד. עובדים במס הכנסה, משרד הפנים, ואפילו שוטרים, הורשעו בהוצאה בלתי חוקית של מידע ממאגרים ציבוריים והעברתו לידיים פרטיות, בדרך כלל תמורת כסף. אחד מהאירועים הבולטים של השנים האחרונות הוא גניבתו של מאגר מרשם האוכלוסין על-ידי עובדי קבלן שעבדו במשרד הרווחה, אשר גנבו את המאגר והעלו אותו לרשת תחת השם "מאגר אגרון".
מחקרים שנעשו בעבר מגלים, כי יותר מ-80 אחוז מהמידע שלנו דולף החוצה מארגונים על ידי העובדים. אין ספק שהמסקנה הינה שגופים כאלה לא יכולים עוד לסמוך על נאמנותם המוחלטת של מי שמועסקים אצלם, ועליהם לפתח דרכי פיקוח ושמירה טובה יותר על המידע שיש ברשותם. יש כלים לכך אפילו בחוק.
אוזלת היד של רשויות השלטון, אל מול ריבוי המאגרים שהממשלה מקימה בשנים האחרונות, מעוררת דאגה במיוחד. בחודש אוקטובר הקרוב יכנס לתוקף חוק נתוני אשראי החדש, שמתוקף כוחו יוקם בבנק ישראל מאגר של כל האזרחים עם פרוט ההלוואות שקיבלו מהבנקים והגופים האחרים שנותנים אשראי במשק. קדם לו מאגר שמרכז את כל מוצרי הביטוח של אזרחי ישראל שהוקם לפני כשנה על ידי אגף שוק ההון באוצר ("הר ביטוח"), וכמובן שעוד זכורים מאגר הביומטרי של משרד הפנים, מאגר נתוני התקשורת במשטרה ומאגרים רבים נוספים.
תופעת ריבוי המאגרים מאתגרת את הזכות לפרטיות. ריכוז מידע רב בידי השלטון מאפשר לו לפתח פרופיל על האזרח ולהפוך לאח גדול של ממש, בדיוק כמו בחזון האפוקליפטי של ג'ורג' אורוול. ריכוז כזה גם מאתגר. כי כאשר מרכזים מידע רב, הגורמים שרוצים נתח ממנו רק מתרבים. כאשר המידע הזה נמצא אצל גורמי השלטון, האחריות שלהם לשמירה עליו גדולה עוד יותר, לאור ריכוזיות המידע הרב המצוי בידיו.
כשהתקבלו תקנות אבטחת המידע החדשות, שנכנסו לתוקף בחודש מאי האחרון, עלה לדיון גם נושא כוח האדם. בהמשך לכך נקבע כי בעל מאגר לא ייתן לעובד הרשאת גישה למידע האישי המצוי אצלו, אלא אם נקט ב"אמצעים סבירים", כלשון התקנות, על מנת לוודא שאין חשש שבעל ההרשאה אינו מתאים לכך. התקנות אינן מפרשות מהם אותם אמצעים סבירים.
האם בגופי הממשלה אכן מקיימים את התקנות או לכל הפחות עורכים שם מיון עובדים ראוי? האם מעבירים למועסקים מבחני מהימנות והדרכות מתאימות? מסבירים להם שהדלפת מידע היא עבירה פלילית שהעונש עליה הוא חמש שנות מאסר? כנראה שלא. אחרת לא היינו עדים לתופעה רחבה כל כך של דליפת מידע מרשויות השלטון השונות.
אם רשויות השלטון לא יודעות לשמור על המידע, יהיה קשה מאוד לבוא אחר כך בטענות לגופים פרטיים שאוספים מידע רב על האזרחים. לפיכך, ראוי שתהא יד מכוונת בנושא שתדאג לכך, שגם השלטון ישמור על המידע המצוי אצלו, כמו גם גורם שיאכוף את התקנות החדשות במשרדי הממשלה.
מי שאמון על האכיפה בתחום היא הרשות להגנת הפרטיות במשרד המשפטים. אלא שמדובר בגוף קטן, יחסית, עם משאבים מוגבלים. לכן יש להקצות לה משאבים מיוחדים כדי שתוכל לוודא שגם רשויות השלטון עושות את כל מה שדרוש כדי לשמור על המידע שלנו לפני שנמצא את כולו חשוף ברשת.
הכותב עומד בראש משרד עורכי הדין דן חי ושות', המתמחה בדיני טכנולוגיה, פרטיות וסייבר.
