התשובה היא שמעט מאוד. הזרועות השונות של המדינה - מס הכנסה, ביטוח לאומי, המשטרה, משרד הביטחון, רשויות הבריאות והרשימה עוד ארוכה - מחזיקות כמות גדולה של מידע על כל אזרח ואזרח. מדי פעם מחטט עובד באחת הזרועות הללו בתיקים האישיים, לרוב בלי שהוא נתפס. כאשר מתרחש אירוע נדיר של תפיסה הענישה מקלה מאוד. גורמים ברשות הפרטיות מסבירים שפשוט אין להם איך להתמודד עם התופעה. דוח מיוחד של שומרים

איור: מורן ברק

התשובה היא שמעט מאוד. הזרועות השונות של המדינה - מס הכנסה, ביטוח לאומי, המשטרה, משרד הביטחון, רשויות הבריאות והרשימה עוד ארוכה - מחזיקות כמות גדולה של מידע על כל אזרח ואזרח. מדי פעם מחטט עובד באחת הזרועות הללו בתיקים האישיים, לרוב בלי שהוא נתפס. כאשר מתרחש אירוע נדיר של תפיסה הענישה מקלה מאוד. גורמים ברשות הפרטיות מסבירים שפשוט אין להם איך להתמודד עם התופעה. דוח מיוחד של שומרים

איור: מורן ברק
איור: מורן ברק

מה קורה כאשר עובד במשרד ממשלתי מחטט בתיקים האישיים של החברים של בתו מהצופים?

התשובה היא שמעט מאוד. הזרועות השונות של המדינה - מס הכנסה, ביטוח לאומי, המשטרה, משרד הביטחון, רשויות הבריאות והרשימה עוד ארוכה - מחזיקות כמות גדולה של מידע על כל אזרח ואזרח. מדי פעם מחטט עובד באחת הזרועות הללו בתיקים האישיים, לרוב בלי שהוא נתפס. כאשר מתרחש אירוע נדיר של תפיסה הענישה מקלה מאוד. גורמים ברשות הפרטיות מסבירים שפשוט אין להם איך להתמודד עם התופעה. דוח מיוחד של שומרים

התשובה היא שמעט מאוד. הזרועות השונות של המדינה - מס הכנסה, ביטוח לאומי, המשטרה, משרד הביטחון, רשויות הבריאות והרשימה עוד ארוכה - מחזיקות כמות גדולה של מידע על כל אזרח ואזרח. מדי פעם מחטט עובד באחת הזרועות הללו בתיקים האישיים, לרוב בלי שהוא נתפס. כאשר מתרחש אירוע נדיר של תפיסה הענישה מקלה מאוד. גורמים ברשות הפרטיות מסבירים שפשוט אין להם איך להתמודד עם התופעה. דוח מיוחד של שומרים

איור: מורן ברק

דניאל דולב

יחד עם

16.11.2021

תקציר הכתבה

ב

דצמבר 2019 הורשע עובד של הביטוח הלאומי בבית הדין למשמעת של שירות המדינה בכך שביצע מאות שליפות ממאגרי המידע של הביטוח הלאומי, שלא לצרכי עבודתו. המידע כלל פרטים רגישים כמו דיווחי שכר, פרטים על רכבים ופרטים אישיים לגבי אזרחים ובתי עסק. בנוסף ביצע במערכות המידע עשרות שאילתות על עצמו, על ילדיו, ואפילו על חברים של בתו בצופים. העובד, לא מיותר לציין, היה מנהל חטיבת אבטחת המידע בביטוח הלאומי.

התביעה ביקשה לפטר לאלתר את העובד, ואף לפסול אותו מלשוב אי פעם לביטוח הלאומי. בית הדין למשמעת החליט לא להעביר אותו מתפקידו, והסתפק בסופו של דבר בנזיפה חמורה, הפקעת משכורת אחת, והורדה בדרגה למשך שנתיים.

הסיפור הזה לא עורר שום עניין ציבורי וככזה גם לא זכה כמעט לשום איזכור בעיתונות, אבל העובד הזה רחוק מלהיות היחיד: בדיקת שומרים מעלה כי בחמש השנים האחרונות הורשעו 41 עובדי מדינה בביצוע בדיקות "פיראטיות" במאגרי מידע ממשלתיים. במרבית המקרים הם ננזפו, נשללה מהם משכורת אחת לכל היותר, וחלקם הורדו בדרגה. האם המספר הזה משקף את ההיקף האמיתי של הבעיה? אפשר להניח שלא. הזרועות השונות של המדינה שמחזיקות מידע אישי של האזרחים, כך נדמה, לא ממש מחפשות אחר עובדים שנוברים במידע הזה ולכן גם לא מוצאות אותם. כאשר נעשות בדיקות - כמו במקרה של רשות המסים שיפורט בהמשך - מתברר שלא מדובר בתופעה נדירה. וכאשר כבר יש תפיסות, כפי שיפורט מייד, הענישה רחוקה מלהיות מרתיעה.

ממשרד החקלאות ועד רשות המסים: כולם מחפשים

לאחרונה פורסם בשומרים כי מאז 2018 הורשעו שבעה שוטרים בביצוע חיפושים לא מורשים במאגרי המידע של המשטרה. 11 שוטרים אחרים הועמדו לדין פלילי בגין שימוש לרעה במערכות המשטרתיות, בדרך כלל לצד אישומים נוספים וחמורים יותר. היקף ההעמדה לדין הזה חריג יחסית לשירות המדינה שבמסגרתו מחזיקות רשויות רבות מידע על האזרחים - מפרטים אישיים, דרך מידע פיננסי, רפואי ועד מידע מודיעיני שעשוי להצביע על חשדות פליליים.

אילוסטרציה: שאטרסטוק
בדיקת שומרים מעלה כי בחמש השנים האחרונות הורשעו 41 עובדי מדינה בביצוע בדיקות "פיראטיות" במאגרי מידע ממשלתיים. במרבית המקרים הם ננזפו, נשללה מהם משכורת אחת לכל היותר, וחלקם הורדו בדרגה. האם המספר הזה משקף את ההיקף האמיתי של הבעיה? אפשר להניח שלא

ברוב המקרים חיפוש המידע הפיראטי נעשה על אנשים בסביבתו הקרובה של עובד המדינה. כך למשל, עובד בתפקיד רגיש ביחידת פיצו"ח - יחידת אכיפה של משרד החקלאות - קיבל במסגרת תפקידו גישה למאגרי מידע של משרד הפנים. הוא ביצע במאגר בדיקות על בני משפחתו וכן על אנשים שעבדו איתו, כולל הממונים עליו. בין היתר בדק פרטים על כלי רכב ויציאות לחו"ל. עובד אחר באותה יחידה הורשע בכך שביצע שליפות, בין היתר, על שוטרים ואפילו על חוקר בענף המשמעת בנציבות שירות המדינה, שחקר אותו בחשד לעבירת משמעת אחרת.

במקרה אחר, ארבעה בעלי תפקידים לוגיסטיים ביחידה מסווגת של משרד הביטחון גילו כי תיקיית כוח האדם במחשב היחידה פתוחה. הם נחשפו לפרטי כוח אדם שאסור היה להם לחפש, ואף ביצעו בהם שינויים שונים.

רשות המסים מחזיקה אף היא במאגר מידע גדול ורגיש. בשנה שעברה הורשעו שני עובדי הרשות במקרים חמורים יחסית. אחד מהם, ריאד תומא, הורשע כי ביצע 50 בדיקות במאגרי הרשות על חברה שבעליה היה מיודד איתו. הוא לא הסתפק בזה: תומא פנה לסגן המנהל האזורי וביקש ממנו לאשר החזרי מס לאותה חברה. הוא סורב בנימוק שלא ניתן לאשר את ההחזרים משום שנמצאו חריגויות בחשבוניות שהחברה הגישה. למרות זאת, תומא אישר לחברה החזרים בסך כמיליון שקלים, וכן אישר לה לנקות כ-80 אלף שקלים שהיו אסורים בניכוי. הוא פוטר מיידית, נפסל משירות המדינה, ונקבע כי בארבע השנים שנותרו לו עד גיל 67, יקבל רק 90% מפנסיית הגישור שלו.

מקרה חמור נוסף הוא של אברהם גולדשטיין, שעבד כמפקח מס הכנסה ביחידת פקיד שומה תל אביב. ב-168 מקרים הוא הוציא מידע על אנשים ממאגרי הרשות, והעביר אותו לאשתו שייצגה את אותם אנשים מול רשויות המס. ב-93 מקרים אחרים הוציא מידע על אנשים שונים - למשל מישהי שחסמה את הרכב שלו. המידע כלל מידע מודיעיני של רשות המיסים, מידע על משכורות וכלי רכב, מידע מביטוח לאומי, מידע על נדל"ן ונסיעות לחו"ל. עד שניתן גזר הדין גולדשטיין כבר התפטר, אך עדיין נגזרו עליו נזיפה חמורה, שלילת 13% מפיצויי הפיטורים, פסילה לצמיתות מעבודה ברשות המיסים, ופסילה ל-15 שנה משירות המדינה.

שני המקרים הללו ברשות המיסים מייצגים את עובדת היותה בצמרת רשימת החיפושים הפיראטיים של בית הדין למשמעת בנציבות שירות המדינה: 32 מתוך 41 המורשעים הם עובדי הרשות. ניתן למצוא בהם עובדים ותיקים וחדשים, זוטרים ובכירים. העובדה שמרבית המורשעים הם מהרשות אינה אומרת בהכרח כי מצבה רע יותר בהשוואה לרשויות אחרות. למעשה, ההפך הוא הנכון: כמעט כל עובדי הרשות שהורשעו בביצוע חיפושים פיראטיים נתפסו במבצע יזום שנערך ברשות בתחילת 2016. כלומר, הסיבה שהרשות מובילה בהרשעות בגין חיפושי מידע שלא כדין אינה משום שהתופעה בהכרח נפוצה בה, אלא משום שהיא ככל הנראה הרשות היחידה שעשתה מאמץ מרוכז כדי להילחם בה.

בעוד החשש העיקרי מחיפושים פיראטיים הוא פגיעה בפרטיות, חלק מגזרי הדין מעלים תופעה אחרת: עובדים של הרשות שמוציאים ממאגרי המידע פרטים של בני משפחה לבקשתם, ואפילו מידע שמותר להם לקבל על פי החוק. אחד מהם טען, למשל, שהוציא ממאגר המידע פרטים שהיו דרושים לקרובת משפחתו כדי להוציא צו ירושה.

במקרים אלו הטענה היא כי עובדי הרשות פעלו שלא כדין משום שנתנו יחס מועדף לבני משפחתם, כשיצרו עבורם מסלול מהיר ועוקף ביורוקרטיה לקבלת מידע. על אחד מאותם עובדים כתבה התביעה של נציבות שירות המדינה: "הוא ניצל את גישתו למערכת כדי להיטיב עם בני משפחתו, ולתת להם יתרון שאין לציבור".

בגזרי הדין מבהירים השופטים שוב ושוב כי נהלי הרשות אוסרים לחלוטין על עובד לשלוף מידע אפילו על עצמו, כמו גם על בני משפחה, חברים, שכנים, מכרים, לקוחות שיש להם קשר עסקי אליו או יריבות משפטית איתו, "וכן כל נגיעה אישית אחרת הן במישרין והן בעקיפין, ולו לצפייה בלבד".

רשות הפרטיות לא בודקת

הגוף שאחראי על הפיקוח על מאגרי מידע בישראל הוא הרשות להגנת הפרטיות במשרד המשפטים. הרשות מונה 60 עובדים (כולל אנשי מנהלה), ואחראית על כל היבטי הפרטיות הן במגזר הפרטי והן במגזר הציבורי. כך, למשל, דוח הפעילות של הרשות לשנים 2019-2020 מגלה כי מתוך כ-150 דיווחים על אירועי אבטחה שהגיעו לרשות, רק 4.4% היו של גופים ציבוריים.

צילום אילוסטרציה: רויטרס
ברוב המקרים חיפוש המידע הפיראטי נעשה על אנשים בסביבתו הקרובה של עובד המדינה. כך למשל, עובד בתפקיד רגיש ביחידת פיצו"ח - יחידת אכיפה של משרד החקלאות - קיבל במסגרת תפקידו גישה למאגרי מידע של משרד הפנים. הוא ביצע במאגר בדיקות על בני משפחתו וכן על אנשים שעבדו איתו, כולל הממונים עליו

הרשות מבצעת ביקורות בגופים פרטיים וציבוריים, כדי לוודא שהם עומדים בהוראות החוק, גם בנושא שמירה על מאגרי מידע. עם זאת, כמדיניות, פעולות האכיפה של הרשות מתמקדות במקרים חמורים יותר שעשויות להיות להם השפעות רוחב, או כאלו שעשויים להצדיק העמדה לדין פלילי. כך, למשל, הרשות חקרה יחד עם משטרת ישראל חשדות לפיהן ראש עיריית קריית מוצקין, חיים צורי, עשה שימוש לצרכיו הפוליטיים במאגרי מידע שהקימה העירייה ובהן מידע רגיש על תושביה. באוגוסט שעבר המליצה המשטרה להעמיד את צורי לדין, והתיק עדיין נבחן בפרקליטות.

ברשות מסבירים כי רוב המקרים לא מתאימים להליך הפלילי. "אנחנו בהחלט רואים שיש תופעות של שליפות, גם לצורך קבלת תגמול או תמורה, גם אם היא לפעמים נמוכה", אומרת בכירה ברשות להגנת הפרטיות. "אבל הרבה פעמים זה נובע מאדישות, או זלזול בהנחיות או היעדר מודעות, ולפעמים המניע יכול להיות 'חיובי', במירכאות, רצון לעזור למישהו. הנסיבות האלה הן חלק מהשיקולים שלנו בבואנו להחליט האם מדובר בפגיעה חמורה בפרטיות המצריכה התייחסות של המשפט הפלילי".

עוד מוסיפה אותה בכירה: "כדי לבסס שנעשו שליפות מידע בניגוד לדין אנו נזקקים לקיומה של תלונה או אינדיקציה לחשד. בלעדיהם, הרשות מוגבלת ביכולת שלה לגלות באיזו רשות ועל ידי איזה עובד בוצעה שליפה שלא בסמכותו. זה יצריך להכיר את כל ההרשאות של כל העובדים, ולעשות הצלבות על תרחישים אפשריים לשליפת המידע, וכל זה במאות גופים ציבוריים. אין לרשות יכולת ללמוד את כל התרחישים האלה ולהתחיל לדוג אותם".

"במסגרת הליכי פיקוח רוחבי (הביקורות שמבצעת הרשות בגופים שונים) אנחנו שואלים על הדברים הללו", היא מוסיפה. "כל ארגון צריך לנהל את הסיכונים שלו, ויודע להגיד מהם אותם סיכונים או תופעות שהוא מכיר אצלו. כל גוף מטמיע את הכלים שמתאימים לו, ובונה את סקר הסיכונים שלו – ואנחנו בודקים שהדבר הזה נעשה".