הפרה של הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, נמצאה בעיריית נהריה על-ידי הרשות להגנת הפרטיות, כפי שפורסם לאחרונה על-ידי משרד המשפטים (17.10.2019). מהפרסום עולה כי הרשות קיימה הליך אכיפה מנהלי בעירייה, לבירור נסיבות אירוע אבטחה שהתרחש שם, אירוע שהביא לדליפתו של מידע רגיש ממאגר מידע של העירייה. בעקבות הליך פיקוח זה הגיעה הרשות למסקנה על קיומה של ההפרה האמורה.
בהתאם לממצאי הרשות, המידע הרגיש שדלף ממאגרי עיריית נהריה, במסגרת אירוע אבטחת המידע אשר בעקבותיו פעלה הרשות בעירייה, הוביל לחשיפתם של מסמכים אישיים ורפואיים של תושבי העיר, כגון צילומי תעודות לידה ומסמכי אשפוז. מכאן לאחר שנודע לרשות על האירוע, היא פתחה בהליך הפיקוח, במסגרתו הגיעה למסקנה על הפרת הוראות החוק והתקנות.
במסגרת הליך הפיקוח עלו ממצאים חמורים. כך, בין היתר, עלה כי במועד אירוע האבטחה לא היו בידי עיריית נהריה נהלים רלבנטיים כנדרש בחוק הגנת הפרטיות ובתקנות אבטחת המידע, הנוגעים לתהליכי עבודת תחזוקה ופיתוח של מאגר המידע. בנוסף לכך נמצא כי העירייה לא פעלה ולא נקטה באמצעים הנדרשים, על מנת לוודא כי גישה למאגר המידע שברשותה תיעשה רק על ידי המורשים לכך. בנוסף, נמצא כי חיבור אתר העירייה לרשת האינטרנט לא בוצע באמצעות פרוטוקול תקשורת מאובטח.
בהתאם לממצאי הפיקוח קבעה הרשות להגנת הפרטיות כי עיריית נהריה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות ותקנות 4(ד)(5), 9(א), ו-14(ב) לתקנות אבטחת מידע. לצד קביעת ההפרה ניתנו לעירייה הנחיות פעולה להתאמת רמת אבטחת המידע בהתאם לנדרש בהוראות תקנות אבטחת מידע. בנוסף לכך הודיעה הרשות לעירייה, כי תבחן את האפשרות לעריכת בדיקה חוזרת של עמידתה בהוראות החוק והתקנות.
פעולת הרשות להגנת הפרטיות באה לצד פעילות פיקוח רוחבית, שהיא עורכת בימים אלו במספר רשויות מקומיות לבדיקת יישום הוראות תקנות אבטחת המידע, אשר נכנסו לתוקף בחודש מאי 2018. זאת במסגרת הליכי פיקוחי רוחב שעורכת הרשות במגזרים שונים במשק, הליך שהחלה בו בחודש אוגוסט 2018.
