אירוע אבטחת מידע חמור במוסד החינוכי: "כמויות עצומות של תיקים אישיים"

בעקבות דיווח מגורם פרטי, שהתקבל ברשות להגנת הפרטיות במשרד המשפטים על אירוע אבטחת מידע חמור במוסד חינוכי בבת ים, בו הושלכו כמויות עצומות של תיקים אישיים של תלמידים הלומדים במוסד וכוללים מידע אישי, כגון: תמונות של התלמידים, שאלונים, הערכות פסיכולוגיות וחומרים נוספים אישיים, פנתה הרשות לנציגי מוסד החינוך והעירייה בדרישה לטיפול דחוף ומיידי.

בעקבות הפנייה, פעל מוסד החינוך לשם טיפול באירוע ואסף את החומרים החשופים. יחד עם זאת, עד כה טרם הועבר דיווח על אירוע אבטחה חמור, כמתחייב על פי תקנות הגנת הפרטיות (אבטחת מידע).

במסגרת אירוע אבטחת המידע, הרשות להגנת הפרטיות מדגישה, כי על כל גוף המנהל או מחזיק מידע אישי אודות אנשים, בוודאי מוסד חינוך המחזיק במידע רגיש הנוגע לתלמידים וקטינים, לוודא כי הוא פועל לשמור ולהגן על המידע בהתאם לחובתו לפי תקנות הגנת הפרטיות (אבטחת מידע). עוד יצוין כי חובות האבטחה החלות על מידע במאגר מידע, תקפות גם כשמדובר בתדפיס של המידע מתוך המאגר, בפרט כשמדובר במידע רגיש שחלה עליו גם חובת סודיות.

האחריות לאבטחת המידע מוטלת על כל גוף המנהל או מחזיק מידע, לשם הגנה על המידע האישי של האנשים עליהם הוא מחזיק מידע, ובכלל זה גם בכל הנוגע לתהליכי הארכוב, הביעור או ההשמדה של מידע כזה. אי עמידה בהוראות תקנות הגנת הפרטיות יכולה לחשוף את הגוף להליכי אכיפה מינהליים ופליליים של הרשות ואף לתביעות אזרחיות מצד האנשים שעל אודותיהם דלף המידע, וזאת בנוסף לפגיעה במוניטין של הגוף המפר.

יצוין, כי הרשות פועלת לשם חיזוק שיתופי הפעולה עם כלל משרדי הממשלה, לרבות משרד החינוך, לשם חיזוק ההגנה על תחום הפרטיות בארגון ובכלל זה הטמעת מנגנוני עיצוב לפרטיות כבר בשלבים הראשונים של פרויקטים חדשים המקודמים על ידו.

הרשות קוראת לאזרחים להמשיך ולעדכן אותה על אירועי אבטחת מידע חמורים, לרבות דלפי מידע, פגיעות או פרצות באתרי אינטרנט, אפליקציות או שירותים הכוללים מידע אישי, על מנת שתוכל לפעול ולטפל באירועים אלה במטרה לצמצם את היקף הפגיעה בפרטיות הציבור. הפנייה לרשות תעשה לתיבת הדוא"ל [email protected] כשבשורת הנושא יש לציין "דיווח על אירוע אבטחת מידע".

'בחדרי' גם ברשתות החברתיות - הצטרפו!