מידע רגיש ופרטי על קטינים - שנאסף על-ידי גופים וחברות המספקים אפליקציות לימודיות ואתרים חינוכיים לילדים, לסמארטפון ולמחשב האישי – אינו מוגן כראוי וחשוף לדליפות. כך עולה מדו"ח שמפרסמת הבוקר (יום ד') הרשות להגנת הפרטיות במשרד המשפטים.
מדובר בעיקר בגופים ובחברות המפרסמים פורטלים להורים ולתלמידים, אתרי שיעורים פרטיים, חוגים מקוונים, לימודי טכנולוגיה, מוזיקה ודת, שיתוף של תמונות ממוסדות חינוך ועוד. בכל אלה נאסף מידע אישי על הילד הן בעת ההרשמה והן במהלך השימוש שלו או של הוריו. זה יכול לכלול פרטי קשר, ציונים, לקויות למידה, הרגלי קריאה, הערכות על הישגים לימודיים, תמונות ועוד.
הרשות מצאה ליקויים מדאיגים ב-23 מתוך 24 הגופים שבדקה. מתברר, כי רובם הגדול לא מיידעים את הילדים, בדרך המותאמת לגילם ולהבנתם, על האופן שבו נאסף המידע האישי עליהם ולאיזו מטרה, וגם לא על זכותם לראות את המידע הזה ולדרוש לתקן בו פרטים. 80% מאלו שנעזרו בשירותי חברות חיצוניות (מיקור חוץ) לצורך עיבוד הנתונים שנאספו מהקטינים, עמדו "באופן בינוני ומטה" בלבד בהוראות החוק הנוגעות להגנה עליהם.
לפי הדו"ח, בניגוד לתקנות - הגופים הללו הסתפקו בשירותי אבטחת המידע הבסיסיים בלבד של החברות החיצוניות, ולא הקפידו על רמת האבטחה ותפעול מאגרי המידע אצלן. הם גם לא ביצעו פעולות בקרה ופיקוח מספקות. בנוסף בחלקם נמצאה הפרה של הוראות החוק בנוגע לדרך המינוי של מנהלי מאגרי המידע, לאבטחת תקשורת ולנהלי אבטחת מידע.
ביקורת מעקב
רוב הגופים שמנהלים מידע על קטינים (75%) אמנם עמדו "ברמה גבוהה יחסית" בהוראות החוק בנוגע לאבטחת מידע במערכות הפנימיות שלהם עצמם. אבל נמצאו גם כאלה, שבמערכות שלהם כלל לא הותקנו אמצעי הגנה מתאימים מפני חדירה מבחוץ, או מפני תוכנות המסוגלות לגרום נזקים למחשבים או למידע. הפער הוא בעיקר בין גופים גדולים ובינוניים, שעמדו בדרישות, לבין גופים קטנים הפועלים בתחום.
בעקבות הממצאים שעלו בבדיקה הורתה הרשות לגופים ולארגונים לתקן את הליקויים שנמצאו, ולספק לה תכנית מפורטת של התיקון. במקביל היא מבצעת ביקורות מעקב על הגופים שנבדקו. בין השאר, הם נדרשים לרשום את מאגר המידע ב"פנקס המאגרים ברשות, לקבל לעבודה רק מי שנבחנה התאמתם לקבלת גישה למאגרים, ולוודא ביטול הרשאות של מי שסיימו את עבודתם".
זהו הדו"ח השני שמפרסמת הרשות, כחלק מהפיקוח על האופן שבו מקיימים גופים ממגזרים שונים את הוראות החוק והתקנות בנוגע להגנת הפרטיות ואבטחת מידע.
עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, אמר כי "ממצאי הדו"ח מדגישים את החובה לעמוד בהוראות חוק הגנת הפרטיות והתקנות מכוחו, במיוחד בקרב גופים אשר אוספים מידע על קטינים, אשר בשל גילם לא מודעים בהכרח לכלל ההשלכות והמשמעויות שיש לאיסוף מידע אודותיהם".
