תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ''ו-1986 בתוקף סמכותי לפי סעיף 23ז וסעיף 36 לחוק הגנת הפרטיות, התשמ''א-1981 (להלן - החוק), ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: פרק א': פרשנות 1. הגדרות (תיקון: תשס''ה) בתקנות אלה - ''אבטחת מידע'', ''מאגר מידע'', ''מידע'', ''מנהל מאגר'', ''רשם'', ''שלמות מידע'' - כהגדרתם בסעיף 7 לחוק; ''גוף ציבורי'' - כהגדרתו בסעיף 23 לחוק; ''מידע מוגבל'' - כל אחד מאלה: (1) מידע על מצב בריאותו של אדם או על צנעת אישיותו; (2) מידע השמור במאגרים המנויים בסעיף 13(ה) לחוק; (3) מידע אחר ששר המשפטים קבע בצו כי הוא מוגבל; ''מידע עודף'' - כהגדרתו בסעיף 23 ה לחוק; ''ממונה אבטחה'' - אדם שמונה לממונה על אבטחת מידע לפי סעיף 17ב לחוק או אדם שמנהל המאגר קבע כי הוא אחראי על אבטחת המידע שבמאגר המידע; ''פנקס'' - כמשמעותו בסעיף 12 לחוק; ''שימוש'' - כהגדרתו בסעיף 3 לחוק. 2. הודעה על ממונה אבטחה (תיקון: תשס''ה) מנהל מאגר יודיע לרשם בכתב את שמו של ממונה האבטחה. 3. אחריות מנהל מאגר (תיקון: תשס''ה) (א) מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד. (ב) מנהל מאגר אחראי לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה בתחומים אלה: (1) קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומטית (להלן - המערכת), ועל תשתיתה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית מפני סיכונים סביבתיים ופגיעות; (2) קביעת סדרי ניהול של מאגר מידע, והוראות לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע, הכל בהתאם להוראות החוק והתקנות; סדרים וכללים כאמור יחולו גם על נותן שירותים חיצוני לגוף שבבעלותו מאגר המידע; (2א) מתן הרשאת גישה למאגרי המידע והטלת הגבלות על מורשי הגישה בהתאם להוראות הוועדה להעברת מידע כאמור בתקנה 3א(ד); (3) קיום הוראות תפעול של המערכת תוך אבטחת המידע ושמירה על שלמות המידע; (3א) עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות; (3ב) החתמת מורשי הגישה על התחייבות לשמירה על סודיות ועל ההוראות שנקבעו לפי פסקאות (2) ו-(2א); (4) נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש; (5) קביעת סדרי בקרה לגילוי פגיעות בשלימות המידע ותיקון ליקויים. פרק ג': נהלי ביצוע העברת מידע בין גופים ציבוריים 3א. ועדה להעברת מידע (תיקון: תשס''ה) (א) המנהל הכללי של גוף ציבורי ימנה ועדה להעברת מידע לפי פרק ד' לחוק. (ב) המנהל הכללי יהיה יושב ראש הוועדה, ואולם הוא רשאי למנות את סגנו ליושב ראש הוועדה במקומו או עובד בכיר הכפוף לו ישירות; לענין תקנה זו, ''עובד'' - לרבות חייל, סוהר או שוטר. (ג) בין חברי הוועדה יהיו היועץ המשפטי של הגוף הציבורי או נציגו, ועובדים שתחום עיסוקם הוא בניהול מידע ואבטחתו; מספר חברי הוועדה לא יפחת משלושה. (ד) הוועדה תדון ותחליט אם ובאיזו מידה - (1) להיעתר לבקשות למסירת מידע מן הגוף הציבורי; (2) לאשר הגשת בקשות של הגוף הציבורי לקבלת מידע מאת גוף ציבורי אחר. (ה) הוועדה תקבע הוראות לענין ההרשאות וההגבלות בענין הגישה למאגרי המידע; על הוראות אלה יחולו הוראות סעיף 6 לחוק חופש המידע, התשנ''ח-1998 (להלן - חוק חופש המידע). 4. אבטחת מידע בעת מסירה בעת מסירה כדין של מידע ממערכת של גוף ציבורי למערכת של גוף ציבורי אחר, אחראים מנהלי המאגר של שתי המערכות לנקיטת פעולות אבטחה ובקרה של השימוש במידע במערכת המקבלת ברמה השווה לזו הנהוגה במערכת המוסרת. 5. נוהל מסירה (א) מנהלי המאגר של מערכות המוסרות והמקבלות דרך קבע מידע יערכו את נוהל ההתקשרות להעברת מידע בין מערכותיהם, בו ייושמו עקרונות האבטחה, בקרת הגישה ורישום המידע הנמסר בהתאם לתקנות אלה. עותקים מנוהל זה יוחזקו ברשות מנהלי המאגר של המערכות. (ב) לא יימסר, דרך קבע, מידע אלא לאחר שנערך נוהל התקשרות כאמור. 6. טיפול במידע עודף מקבל מידע שקיבל מידע לפי תקנות אלה יפריד מיד עם קבלת הנתונים את המידע העודף וימחק אותו מיד. 7. בקשה להעברת מידע (תיקון: תשס''ה) א) בקשה לקבלת מידע תיערך לפי טופס א' בתוספת. (ב) הסכמת הגוף הציבורי למסירת המידע תיערך לפי טופס ב' בתוספת. (ג) הודעה לרשם מאת גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג לחוק והמידע נאגר במאגר מידע, תיערך לפי טופס ג' בתוספת. (ד) בקשה והסכמה להעברת מידע, טעונות אישור היועץ המשפטי והממונה על אבטחת המידע של הגוף הציבורי המוסר ושל הגוף הציבורי המקבל, על גבי טופס א' או טופס ב' בתוספת, לפי הענין. (ה) טופס מהטפסים האמורים בתקנה זו ימולא במלואו. (ו) מנהל מאגר מידע ינהל רשימה של כל מאגרי הגופים, למעט מאגרי מידע המנויים בסעיף 13 (ה) לחוק, שאליהם נמסר מידע דרך קבע ממאגר המידע של הגוף הציבורי וסוג המידע המועבר; הרשימה תעמוד לעיון הציבור ויחולו עליה הוראות סעיף 6(ב) לחוק חופש המידע; הרשימה תעמוד לעיון הציבור באתר האינטרנט של הגוף הציבורי, ובאין אתר אינטרנט, במשרד הראשי ובמשרדים המחוזיים, אם ישנם. פרק ד': סדרי ניהול מאגר המכיל מידע מוגבל וכללי השימוש בו 8. תחולה הכללים המפורטים בפרק זה יחולו על מאגר מידע המכיל מידע מוגבל ויופעלו בידי מנהל המאגר בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד. 9. קובץ נהלים למאגר מידע, כאמור בתקנה 8, יהיה קובץ נהלים שבו יפורטו אמצעי האבטחה והבקרה על הטיפול הפיסי באמצעי האחסון של המידע. בקובץ ייוחד פרק לטיפול במידע בידי נותן שירותים חיצוני המבצע עבודות עבור המאגר בתחומי הקלידה, עיבוד הנתונים, הפצת דו''חות והובלת קבצים. 10. סימון אמצעים מכילי מידע ואחסנתם (א) השאלתו של אמצעי רישום מגנטי המכיל מידע. מספריית המערכת, תיעשה כנגד תעודת משלוח המכילה אישור של המקבל הזכאי לקבלת המידע על פי החוק, על האמצעי יירשם ''מידע מוגן לפי חוק הגנת הפרטיות''. (ב) אמצעים שסומנו כאמור בתקנת משנה (א) יוחסנו במדור סגור של ספריית המערכת ועותקיהם הנשמרים לצרכי גיבוי יימצאו מחוץ למיתקן הראשי; הגישה למדור הגיבור בספריה תוגבל למספר מורשים בלבד ומפתחותיו יישמרו במקום נעול. 11. סימון תדפיסי מחשב קבצים נתיקים ותדפיסי מחשב המכילים מידע מוגבל והמופקים עבור גוף ציבורי אחר יופקו בלווית כתובת בולטת לעין בכל עמוד: ''מכיל מידע מוגן לפי חוק הגנת הפרטיות - המוסרו שלא כדין עובר עבירה''; התדפיסים האמורים יימסרו כנגד תעודות משלוח ואישור קבלה מאת הגוף הזכאי לקבלת המידע על פי החוק. 12. תיעוד המאגר מנהל המאגר ינהל רישום המשתמשים במידע המוגבל. 13. ביעור אמצעים אמצעי רישום מגנטיים ופלט מחשב כתוב של הליכי ביניים המבוצעים בשעת עיבוד נתונים של מידע, כגון תדפיסי זיכרון ראשי בשעת תקלה, סרטים ותקליטונים לקלידת נתונים שנקלטו במערכת, יפונו מיד לביעור במגרסה או יימחקו, לפי הענין. 14. רישום הרשאות גישה מנהל המאגר ינהל רישום מעודכן של הרשאות גישה אשר יכיל שמות ופרטי זיהוי של עובדי המערכת והמשתמשים המורשים לגשת למידע האגור במערכת, פירוט קוד הגישה וסוגי הפעולות המותרים למשתמשים; סיסמאות הגישה יוחלפו לעיתים בלתי קבועות אך לא פחות מאשר אחת לששה חודשים או בעת החלפת עובדים. 15. יומן אירועים חריגים (א) יומן אירועים חריגים (להלן - היומן) ינוהל בידי מנהל המאגר על גבי אמצעי נתיק מן המערכת לגבי פעולות הפקת מידע באצווה או פעולות תשאול שבוצעו במסוף הקשור למערכת; היומן יישמר במשך שלוש שנים; לגבי אירוע חריג יירשמו ביומן פרטי הזיהוי של הפונה, סוג השאילתה, הרשומות או סוגי הרשומות שהופקו בתשובה. (ב) מנהל המאגר אחראי לעריכת בדיקת חדשית של היומן, לצורך תיקון ליקויים. 16. תחילה2 תחילתן של תקנות אלה תשעה חדשים מיום פרסומן. תוספת (תיקון: תשס''ה)3 ק''ת תשמ''א, 1480; תשמ''ה, 1146; תשס''ה, 968. התקנות פורסמו ביום 11.5.86 הנוסח אינו מובא גוף ציבוריתקנותהגנת הפרטיות / פגיעה בפרטיות