תוכן עניינים
ב. מטרת התקנות המוצעות והצורך בהן
ג. להלן נוסח טיוטת התקנות המוצעות:
1. הגדרות
3. תפקידי הממונה על הגנת הפרטיות
4. הדרכה
תקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (ממונה על הגנת הפרטיות במאגר הביומטרי), התשפ"ג – 2023
לפי הוראות סעיף 35(ה) לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע-2009, שר הפנים רשאי, בהסכמת שר המשפטים, באישור ועדת השרים ליישומים ביומטריים וועדת הכנסת המשותפת לוועדת חוקה חוק ומשפט של הכנסת, לוועדת הפנים והגנת הסביבה של הכנסת ולוועדת המדע והטכנולוגיה של הכנסת, לקבוע תקנות לעניין דרך פעולתו של הממונה על הגנת הפרטיות. בהתאם לכך, נוסחו תקנות אלה.
תקנות אלה באות להסדיר בין היתר, את התנאים והדרישות לכשירות לכהונה כממונה על הגנת הפרטיות במאגר הביומטרי, תחומי אחריותו של הממונה על הגנת הפרטיות במאגר הביומטרי ואופן ביצוע תפקידו ובכלל זה את אופן ביצוע תסקיר השפעה על פרטיות במערכות הרשות.
נוסף על כך, התקנות מסדירות את סמכויות הביקורת והפיקוח של הממונה על הגנת הפרטיות על המידע היוצא מן המאגר בהתאם להוראות החוק בדגש על סוג המידע אותו ניתן להעביר, היקפו, המטרות שלשמן יועברו, תנאי ההעברה, בעלי התפקידים המוסמכים להעביר, קבלת מידע ומחיקת המידע בתום השימוש בו.
הוראות סעיף 40(ב) לחוק קובעות, כי כניסת תחילתם של סעיפים 7, 15 עד 19, 21 ו-22 לחוק בדבר מסירת מידע למשטרה ולגורמי הביטחון לתוקפם, מותנית בהתקנת תקנות אלה לפי סעיף 35(ה) לחוק ובהתקנת תקנות להעברת מידע מהרשות למשטרה או למשטרה הצבאית לפי סעיף 35(ו) לחוק.
טיוטת תקנות מטעם משרד הפנים:
|
|
|
בתוקף סמכותי לפי סעיף 35(ה) לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע-2009[1] (להלן - החוק), בהסכמת שר המשפטים ובאישור ועדת השרים ליישומים ביומטריים וועדת הכנסת המשותפת, אני מתקין תקנות אלה: |
|
|
1. |
בתקנות אלה: |
||
|
|
|
"חוק הגנת הפרטיות" – חוק הגנת הפרטיות, התשמ"א-1981[2] (להלן – חוק הגנת הפרטיות); |
|
|
|
|
"הממונה " – הממונה על הגנת הפרטיות שמונה לפי סעיף 26 לחוק; |
|
|
|
|
"הרשות" - הרשות לניהול המאגר הביומטרי, שהוקמה לפי סעיף 11 לחוק; |
|
|
|
|
"מידע ביומטרי", "מערכות המאגר" – כהגדרתם בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017; |
|
|
|
|
"ראש הרשות" - ראש הרשות לניהול המאגר הביומטרי , שמונה לפי סעיף 11 לחוק; |
|
|
2. |
(א) לא ימונה אדם כממונה על הגנת הפרטיות לפי סעיף 26 לחוק, אלא אם נתקיימו בו כל אלה: |
||
|
|
|
|
(1) הוא יחיד; |
|
|
|
|
(2) הוא עובד הרשות; |
|
|
|
|
(3) הוא תושב ישראל; |
|
|
|
|
(4) הוא לא הורשע בעבירה על הוראות חוק הגנת הפרטיות או בעבירה אחרת שמפאת חומרתה ונסיבותיה אין הוא ראוי לשמש כממונה הגנה על הפרטיות |
|
|
|
|
(5) הוא בעל תואר אקדמי מוכר מאת מוסד מוכר כמשמעותו בחוק המועצה להשכלה גבוהה, תשי"ח-1958, או תואר אקדמי מאת מוסד להשכלה גבוהה בחוץ לארץ, ובלבד שהתואר הוכר על ידי משרד החינוך. (6) הוא בעל ידע וכישורים נדרשים לביצוע נאות של תפקידיו ברשות, ובכלל זה היכרות הולמת בנושא דיני הגנת הפרטיות, טכנולוגיה ואבטחת מידע והיכרות הולמת עם תחומי פעילותה של הרשות ומטרותיה. (7) הממונה לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה שעלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו. |
|
|
|
(ב) הממונה יהיה כפוף ישירות לראש הרשות, יפעל על פי הוראות ראש הרשות ובפיקוחו, אך אין בכך כדי לגרוע מחובת הממונה לפי סעיף 33(ה) לחוק. |
|
|
3. |
(א) באחריות הממונה לקבוע הנחיות ונוהלים פנימיים בכתב להגנה על פרטיות התושבים לעניין מכלול הפעולות המבוצעות במאגר הביומטרי על ידי הרשות לניהול מאגר ביומטרי לפי החוק, ויהיו טעונים אישור ראש הרשות. למען הסר ספק, יובהר כי אין בהנחיות ובנוהלים הפנימיים כדי לגרוע מהוראות החוק, חוק הגנת הפרטיות והתקנות לפיו. |
||
|
|
|
(ב) הנחיות ונוהלי הגנת פרטיות התושבים יכללו, לכל הפחות, את כל העניינים האלה:
|
|
|
|
|
|
(1) מיפוי השימושים המותרים במידע שנאגר ברשות לניהול מאגר ביומטרי בהתאם לחוק; |
|
|
|
|
(2) הממונה על הגנת הפרטיות יפקח על מתן הרשאות גישה לעובדים ולבעלי התפקידים במאגר בהתאם להוראות החוק, להנחיות הרשות ולתנאים ולהגבלות שיחולו על מורשי הגישה למאגר; |
|
|
|
|
(3) פיקוח על קיום הוראות בתחום הגנת הפרטיות; (4) בדיקת נוהלי והנחיות הרשות ומדיניותה בתחום הפרטיות ועמידתם בהוראות החוק, תקנותיו, חוק הגנת הפרטיות ותקנותיו; (5) בירור הפרות של הוראות בתחום הגנת הפרטיות לפי החוק, תקנותיו, חוק הגנת הפרטיות ותקנותיו; (6) דיווח לראש הרשות על ממצאים של פעולות הפיקוח, הבדיקה והבירור שביצע אחת לרבעון ודווח בכתב, באופן מיידי, על פעולות הפיקוח והבדיקה שבוצעו, על כל אירוע חריג, מחשש לפגיעה בפרטיות התושבים; (7) קיום בקרה על אופן תיקון ליקויים שהתגלו בממצאי הפיקוח והבירור; (8) הגשת דין וחשבון שנתי לראש הרשות על אופן ביצוע תוכנית הפיקוח ועל קיום הוראות החוק ותקנותיו בתחום הגנת הפרטיות, חוק הגנת הפרטיות ותקנותיו ברשות. |
|
|
|
(ג) הנחיות ונוהלי הממונה על הגנת הפרטיות ייבחנו על ידו מעת לעת לצורך עדכונם, בשל שינויים טכנולוגיים, ארגוניים או אירועי אבטחת מידע; |
|
|
|
|
(ד) הממונה יהיה אחראי על ביצוע תסקיר השפעה על פרטיות של התושבים שאמצעי הזיהוי הביומטריים ונתוני הזיהוי הביומטריים שלהם כלולים במאגר הביומטרי לפי החוק. |
|
|
|
|
(ה) הממונה יפקח על הליכי העברה של תוצאות זיהוי, אמצעים או נתונים ביומטריים הכלולים במאגר הביומטרי לחוק, וכן, הליכי ההשוואה, העיבוד והשמירה במערכות המאגר הביומטרי יבוצעו באופן שימזער את הסיכון לפגיעה בפרטיות של התושבים שהאמצעים והנתונים שלהם כלולים במאגר, בשים לב, ככל האפשר, לחלופות הטכנולוגיות המקובלות. |
|
|
|
|
(ו) הממונה יפקח על כך שפעולות ההשוואה במאגר הביומטרי ייעשו תוך שמירה והגנה על הפרטיות; הממונה יפקח על כך שההשוואה תבוצע על ידי גורם בעל ההרשאה המתאימה לביצוע ההשוואה לאמצעים או נתונים ביומטריים שבמאגר הביומטרי, בהתאם להנחיות ולנוהלים. |
|
|
|
|
(ז) לא יקבע ראש הרשות, או בעל תפקיד אחר ברשות נוהל שיש לו היבטים הנוגעים לעיבוד או לשימוש במידע על אודות תושב שנתונים אודותיו כלולים במאגר הביומטרי, או יבצע שינויים בנוהלים כאמור, או שינויים הנוגעים למערכות המאגר, טרם בחינת מסקנות והמלצות הממונה על הגנת הפרטיות בעניינים אלה. |
|
|
|
|
(ח) הממונה יבחן את סיכוני הפגיעה בפרטיות של התושבים, הכרוכים בשינויים או בנוהלים כאמור בסעיף קטן (ב), ויעביר את מסקנותיו והמלצותיו ביחס לשינויים המבוקשים לראש הרשות ויקיים מעקב אחר יישומן. |
|
|
|
|
(ט) הממונה יכין תכנית עבודה שנתית לפיקוח על קיום הוראות החוק ותקנותיו בתחום הגנת הפרטיות והוראות חוק הגנת הפרטיות ותקנותיו, ולבירור הפרות של הוראותיהם, בה יפורטו יעדי הפיקוח לאותה שנה ויפעל לפיה; |
|
|
|
|
(י) לצורך מילוי תפקידו ומימוש סמכויותיו יפקח הממונה על הגנת הפרטיות על מורשי הגישה למאגר ובעלי התפקידים במאגר בכל הנוגע להיבטי הגנה על הפרטיות התושבים. |
|
|
|
|
(יא) לצורך מילוי תפקידו ומימוש סמכויותיו, תהיה לממונה גישה פיסית ולוגית לכלל המידע ברשות, הגלוי והחסוי, בכל זמן ובכלל זה גישה לכל מאגרי המידע והנתונים ולכלל מערכות המאגר ברשות. |
|
|
|
|
(יב) הממונה יהיה בעל גישה ישירה למערכות הבקרה והניטור המתעדות את פעולות עיבוד המידע המבוצעות ברשות או במערכות נלוות למאגר הביומטרי. |
|
|
|
(יג) הממונה יהיה אחראי לתיעוד כל מקרה שבו התגלה חשש לפגיעה בפרטיות, לשימוש במידע בלא הרשאה או לחריגה מהרשאה. התיעוד האמור יבוסס על רישום אוטומטי. |
||
|
4. |
(א) הממונה יגבש תכניות הדרכה לכלל העובדים ברשות העוסקים במידע של תושבים שנתונים שלהם כלולים במאגר הביומטרי אחת לשנה ויהיה אחראי ליישומן. תכנית ההדרכה תכלול בין השאר: |
||
|
|
|
|
(1) הגנה על פרטיות התושבים, והוראות חוק הגנת הפרטיות ותקנותיו. |
|
|
|
|
(2) הנחיות ונוהלים פנימיים לשמירת הנתונים עיבודם והשוואתם בהתאם לחוק, באופן המבטיח הגנה על הפרטיות של הנתונים הכלולים במאגר הביומטרי; |
|
|
|
|
(3) הנחיות ונוהלים פנימיים לשמירת הנתונים עיבודם והשוואתם בהתאם לחוק, באופן המבטיח הגנה על הפרטיות של הנתונים הכלולים במאגר הביומטרי; |
|
|
|
|
(4) הכרת הנחיות ונוהלים פנימיים הנוגעים לאבטחת המידע והגנה על פרטיות התושבים; |
|
|
|
(ב) הממונה יעדכן את תכניות ההדרכה אחת לשנה, במידת הצורך, בהתאם לשינויים טכנולוגיים, אירגוניים שינויים בתהליכי העבודה או אירועי פגיעה בפרטיות תושבים ואבטחת מידע. |
|
___ ב________ התש_______ (___ ב________ ____20)
(חמ _____-3)
__________________
משה ארבל
שר הפנים
רקע:
ביום כ"ח בכסלו התש"ע (15.12.2009), פורסם ברשומות חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, תש"ע-2009 (להלן - "החוק"). חוק זה קובע הסדרים אשר יאפשרו זיהוי ואימות זהות של תושבי ישראל באמצעות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים בתעודת זהות ובמסמך נסיעה, באופן שימנע זיוף ושימוש בזהות אחרת, וכן קביעת השימושים המותרים באמצעים ובנתונים האמורים.
כמו כן, הוסדרה בחוק הקמתו של מאגר מידע ביומטרי שיכלול אמצעי זיהוי ביומטריים שניטלו לצורך שילובם במסמכי זיהוי, וכן נתוני זיהוי ביומטריים שהופקו מהם, וקביעת השימושים המותרים במאגר האמור לרבות בידי משטרת ישראל ורשויות הביטחון.
במסגרת זו, נקבעו בחוק הסדרים הנדרשים לשם הגנת פרטיותם של תושבים שניטלו מהם אמצעי זיהוי ביומטריים לפי החוק, ובכלל זה לעניין דרכי הגישה למאגר הביומטרי ואבטחת המידע בו.
ביום א' באדר התשע"ז (27 בפברואר 2017) התקבל בכנסת חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (תיקון והוראת שעה), התשע"ז - 2017.
בתמצית, עיקרו של התיקון לחוק הוא בכך שהמאגר הביומטרי יכלול תמונות תווי פנים של התושבים ומסמכי הזיהוי שיונפקו יהיו בתוקף עד חמש שנים, וכהוראת שעה של חמש שנים (הניתנת להארכה), ייכללו במאגר תמונות טביעות אצבע של תושבים שהסכימו לכך בכתב, ואלו יקבלו מסמכי זיהוי בתוקף עד עשר שנים. זאת לעומת תקופת המבחן לפי סעיף 41(1) לחוק (שהחלה ביום 30.6.13 והסתיימה ביום 28.2.17) שבמהלכה גם טביעות האצבע וגם תמונות הפנים הועברו למאגר ונשמרו בו ומסמכי הזיהוי היו בעלי תקופת תוקף עד עשר שנים.
סמכויות הממונה על הגנת הפרטיות מכוח החוק:
בסעיף 26 לחוק נקבע כי השר, בהסכמת שר המשפטים, ימנה, מבין עובדי הרשות, ממונה על הגנת הפרטיות במאגר הביומטרי; הממונה על הגנת הפרטיות יפקח על שמירת הפרטיות של התושבים שאמצעי הזיהוי הביומטריים ונתוני הזיהוי הביומטריים שלהם כלולים במאגר הביומטרי.
בסעיף 33(ה) לחוק נקבע כי, על הממונה על הגנת הפרטיות לדווח מדי שנה לשר הפנים, לשר המשפטים, לוועדת הכנסת המשותפת ליישומים ביומטריים ולרשם מאגרי המידע, על פעולותיו על פי החוק.
מטרות התקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (ממונה על הגנת הפרטיות במאגר הביומטרי):
לפי הוראות סעיף 35(ה) לחוק, השר רשאי, בהסכמת שר המשפטים, באישור ועדת השרים ליישומים ביומטריים וועדת הכנסת המשותפת לוועדת חוקה חוק ומשפט של הכנסת, לוועדת הפנים והגנת הסביבה של הכנסת ולוועדת המדע והטכנולוגיה של הכנסת, לקבוע תקנות לעניין דרך פעולתו של הממונה על הגנת הפרטיות. בהתאם לכך, נוסחו תקנות אלה.
תקנות אלה באות להסדיר, בין היתר, את התנאים והדרישות לכשירות לכהונה כממונה על הגנת הפרטיות במאגר הביומטרי, תחומי אחריותו של הממונה על הגנת הפרטיות במאגר הביומטרי ואופן ביצוע תפקידו ובכלל זה את אופן ביצוע תסקיר השפעה על פרטיות לפגיעה בפרטיות במערכות הרשות.
נוסף על כך, התקנות מסדירות את סמכויות הביקורת והפיקוח של הממונה על הגנת הפרטיות על המידע היוצא מן המאגר בהתאם להוראות החוק, בדגש על סוג המידע אותו ניתן להעביר, היקפו, המטרות שלשמן יועבר, תנאי ההעברה, בעלי התפקידים המוסמכים להעבירו וקבלת מידע ומחיקת המידע בתום השימוש בו.
הוראות סעיף 40(א) לחוק קובעות כי כניסת תחילתם של סעיפים 7, 15 עד 19, 21 ו-22 לחוק בדבר מסירת מידע למשטרה ולגורמי הביטחון לתוקפם, מותנית בהתקנת תקנות אלה לפי סעיף 35(ה) לחוק ובהתקנת תקנות להעברת מידע מהרשות למשטרה או למשטרה הצבאית לפי סעיף 35(ו) לחוק.
סעיף 35(ה) לחוק מסמיך את שר הפנים לקבוע תקנות לעניין דרך פעולתו של הממונה על הגנת הפרטיות. בהתאם לזאת, מוצע להתקין תקנות הממונה על הגנת הפרטיות כפי שיפורט להלן:
תקנה 1 – "הגדרות":
לשם הנוחות בתקנה זאת מוצע להגדיר מונחים הרלבנטיים לתקנות אלה.
תקנה 2 – "כשירות וכהונה":
מוצע להסדיר בתקנה זאת את התנאים והדרישות לכשירות וכהונה של הממונה על הגנת הפרטיות.
בתוך כך מוצע לקבוע כי לא ימונה אדם כממונה על הגנת הפרטיות לפי סעיף 26 לחוק אלא אם נתקיימו כל התנאים בסעיף המוצע: יחיד, עובד הרשות, תושב ישראל, לא הורשע בעבירה על חוק הגנת הפרטיות או בעבירה אחרת שמפאת חומרתה ונסיבותיה אין הוא רשאי לשמש כממונה על הגנת הפרטיות, תואר אקדמאי מוכר, בעל כישורים נדרשים לביצוע תפקידו. וכן, לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה שעלולים להעמידו בחשש לניגוד עניינים במילוי תפקידו.
תקנה 3 – "תפקידי הממונה על הגנת הפרטיות ":
מוצע להסדיר בתקנה זאת את תחומי אחריותו של הממונה על הגנת הפרטיות במאגר הביומטרי ואופן ביצוע תפקידו ובכלל זה את אופן ביצוע תסקיר השפעה על פרטיות לפגיעה בפרטיות במערכות הרשות.
בתוך כך מוצע להסדיר כי באחריות הממונה על הגנת הפרטיות לקבוע הנחיות ונוהלים פנימיים בכתב להגנה על פרטיות התושבים לעניין מכלול הפעולות המבוצעות במאגר הביומטרי על ידי הרשות לניהול מאגר ביומטרי לפי החוק, ויהיו טעונים אישור ראש הרשות. ההנחיות והנוהלים יכללו בין השאר את העניינים הבאים: מיפוי השימושים במידע שנאגר במאגר, בדיקת נוהלי והנחיות הרשות למדיניותה ועמדתם בהוראות החוק והתקנות, בירור הפרות של הוראות בתחום הגנת הפרטיות, דיווח על ממצאי פיקוח והבירור, קיום בקרה על אופן תיקון ליקויים והגשת דין וחשבון שנתי לראש הרשות.
נוסף על כך, התקנה מסדירה את סמכויות הבקרה והפיקוח של הממונה על הגנת הפרטיות על המידע היוצא מן המאגר בהתאם להוראות החוק, בדגש על בעלי התפקידים המוסמכים להעבירו וקבלת מידע ומחיקת המידע בתום השימוש בו.
עוד מוצע לקבוע, כי הממונה יהיה אחראי על ביצוע תסקיר השפעה על פרטיות של התושבים שאמצעי הזיהוי הביומטריים ונתוני הזיהוי הביומטריים שלהם כלולים במאגר הביומטרי לפי החוק הממונה, יכין תכנית עבודה שנתית לפיקוח על קיום הוראות החוק ותקנותיו, ויהיה אחראי לתיעוד כל מקרה שבו התגלה חשש לפגיעה בפרטיות, לשימוש במידע בלא הרשאה או לחריגה מהרשאה.
תקנה 4 – "הדרכה":
בתקנה זאת מוצע להסדיר את העניינים שבהם תעסוק תוכנית ההדרכה של הממונה על הגנת הפרטיות לכלל העובדים ברשות העוסקים במידע של תושבים שנתונים שלהם כלולים במאגר הביומטרי אחת לשנה ויהיה אחראי ליישומן. תכניות ההדרכה תעודכן אחת לשנה, במידת הצורך, בהתאם לשינויים טכנולוגיים, אירגוניים שינויים בתהליכי העבודה או אירועי פגיעה בפרטיות תושבים ואבטחת מידע. תוכנית ההדרכה תכלול בן השאר הגנה על פרטיות התושבים, הנחיות ונוהלים פנימיים לשמירת הנתונים עיבודם והשוואתם בהתאם לחוק.