חוק הגנת הפרטיות, התשמ"א-1981 (להלן:"חוק מאגרי מידע") הגנה על הפרטיות במאגרי מידע 7. הגדרות (תיקון: תשנ"ו) בפרק זה ובפרק ד' - "אבטחת מידע" - הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין; "מאגר מידע" - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט - (1) אוסף לשימוש אישי שאינו למטרות עסק; או (2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף; "מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו; "מידע רגיש" - (1) נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו; (2) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש; "מנהל מאגר" - מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מה שמנהל כאמור הסמיכו לענין זה; "רשם" - מי שמתקיימים בו תנאי הכשירות למינוי שופט של בית משפט השלום, והממשלה מינתה אותו, בהודעה ברשומות, לנהל את פנקס מאגרי מידע (להלן - הפנקס) כאמור בסעיף 12; "שלמות מידע" - זהות הנתונים במאגר מידע למקור שממנו נשאבו, בלא ששונו, נמסרו או הושמדו ללא רשות כדין. סימן א': מאגרי מידע (תיקון: תשנ"ו) 8. רישום מאגר מידע והשימוש בו (תיקון: תשנ"ו, תשס"ה) (א) לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום לפי סעיף זה, אלא אם כן התקיים אחד מאלה: (1) המאגר נרשם בפנקס; (2) הוגשה בקשה לרישום המאגר והתקיימו הוראות סעיף 10(ב-1); (3) המאגר חייב ברישום לפי סעיף קטן (ה) והוראת הרשם כללה הרשאה לניהול והחזקה של המאגר עד רישומו. (ב) לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר. (ג) בעל מאגר מידע חייב ברישום בפנקס ועל בעל המאגר לרשמו אם נתקיים בו אחד מאלה: (1) מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000; (2) יש במאגר מידע רגיש; (3) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה; (4) המאגר הוא של גוף ציבורי כהגדרתו בסעיף 23; (5) המאגר משמש לשירותי דיוור ישיר כאמור בסעיף 17ג. (ד) הוראת סעיף קטן (ג) לא תחול על מאגר שאין בו אלא מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים עלפי סמכות כדין; (ה) הרשם רשאי, מטעמים מיוחדים שיירשמו, להורות על קיום חובת רישום לגבי מאגר הפטור מחובת רישום לפי סעיפים קטנים (ג) ו-(ד); הוראה כאמור תומצא לבעל המאגר ובה יפרט הרשם הוראות לענין ניהול ואחזקת המאגר עד לרישומו. 9. בקשה לרישום (תיקון: תשנ"ו, תש"ס2) (א) בקשה לרישום מאגר מידע תוגש לרשם. (ב) בקשה לרישום מאגר מידע תפרט את - (1) זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל; (2) מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע; (3) סוגי המידע שייכללו במאגר; (4) פרטים בדבר העברת מידע מחוץ לגבולות המדינה; (5) פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף 23, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו. (ג) שר המשפטים רשאי לקבוע בתקנות פרטים נוספים שיפורטו בבקשה לרישום. (ד) הבעל או המחזיק של מאגר מידע יודיע לרשם על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע. 10. סמכויות הרשם (תיקון: תשנ"ו, תשנ"ז, תשס"ה) (א) הוגשה בקשה לרישום מאגר מידע - (1) ירשום אותו הרשם בפנקס, תוך 90 ימים מיום שהוגשה לו הבקשה, זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע הכלול בו נתקבל, נצבר או נאסף בניגוד לחוק מאגרי מידע או בניגוד להוראות כל דין; (2) הרשם רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על הגשת מספר בקשות תחת הבקשה שהוגשה, והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה למעשה; (3) הרשם לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו. (ב) (בוטל) (ב-1) לא רשם הרשם את מאגר המידע תוך 90 ימים מיום שהוגשה לו הבקשה, ולא הודיע למבקש על סירובו לרשום או על השהיית הרישום מטעמים מיוחדים שיפרט בהודעתו רשאי יהיה המבקש לנהל או להחזיק את המאגר אף שאינו רשום. (ב-2) הודיע הרשם למבקש על סירובו לרשום את מאגר המידע, או על השהיית הרישום כאמור בסעיף קטן (ב1) לא יהיה המבקש רשאי לנהל או להחזיק את המאגר, זולת אם בית המשפט קבע אחרת. (ב-3) הרשם ימחק רישומו של מאגר מידע מהפנקס, אם הודיע לו בעל המאגר שהמידע שבאותו מאגר בוער, ואימת הודעה זו בתצהיר; הוחזק מאגר מידע שלא בידי בעל מאגר המידע, תאומת ההודעה גם בתצהיר של המחזיק; (ג) הרשם יפקח על מילוי הוראות חוק מאגרי מידע והתקנות לפיו. (ד) שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע, רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח. (ה) הרשם יעמוד בראש יחידת הפיקוח, והוא ימנה את המפקחים לצורך ביצוע הפיקוח לפי חוק מאגרי מידע; לא יתמנה למפקח אלא מי שקיבל הכשרה מקצועית מתאימה בתחום מיחשוב ואבטחת מידע והפעלת סמכויות לפי חוק מאגרי מידע, ומשטרת ישראל לא הביעה התנגדות למינויו מטעמים של שמירה על בטחון הציבור. (ה1) לצורך ביצוע תפקידיו רשאי מפקח (1) לדרוש מכל אדם הנוגע בדבר למסור לו ידיעות ומסמכים המתייחסים למאגר מידע; (2) להיכנס למקום שיש לו יסוד סביר להניח כי מופעל בו מאגר מידע, לערוך בו חיפוש ולתפוס חפץ, אם שוכנע כי הדבר דרוש לשם הבטחת ביצוע חוק מאגרי מידע וכדי למנוע עבירה על הוראותיו; על חפץ שנתפס לפי סעיף זה יחולו הוראות פקודת סדר הדין הפלילי (מעצר וחיפוש) (נוסח חדש), התשכ"ט1969; סדרי כניסה למיתקן צבאי או למיתקן של רשות בטחון כמשמעותה בסעיף 19(ג) ייקבעו על ידי שר המשפטים בהתייעצות עם השר הממונה על רשות הבטחון, לפי הענין; בפסקה זו, "חפץ" - לרבות חומר מחשב, ופלט כהגדרתם בחוק המחשבים, התשנ"ה-1995; (3) על אף הוראות פסקה (2), לא ייכנס למקום כאמור המשמש למגורים בלבד, אלא לפי צו מאת שופט של בית משפט שלום; (ו) הפר מחזיק או בעל של מאגר מידע הוראות של חוק מאגרי מידע או התקנות לפיו, או לא מילא אחר דרישה שהפנה אליו הרשם, רשאי הרשם להתלות את תוקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע בפנקס, ובלבד שקודם להתליה או לביטול ניתנה לבעל המאגר הזדמנות להשמיע את טענותיו. (ז) דין הרשם ומי שפועל מטעמו כדין עובד מדינה. 10א. דוח הגנה על הפרטיות (תיקון: תשנ"ו) לא יאוחר מ-1 באפריל בכל שנה תגיש המועצה להגנת הפרטיות לועדת החוקה חוק ומשפט של הכנסת דין וחשבון שיכין הרשם על פעולות האכיפה והפיקוח בשנה שקדמה להגשת הדוח, בצירוף הערותיה של המועצה. 11. חובת מבקש מידע פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצויינו בה - (1) אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו; (2) המטרה אשר לשמה מבוקש המידע; (3) למי יימסר המידע ומטרות המסירה. 12. פנקס מאגרי מידע (תיקון: תשנ"ו) (א) הרשם ינהל פנקס מאגרי מידע אשר יהיה פתוח לעיונו של הציבור. (ב) הפנקס יכיל את הפרטים לרישום מאגר המידע כאמור בסעיף 9. (ג) על אף הוראות סעיפים קטנים (א) ו-(ב), במאגר של רשות בטחון, הפרטים המפורטים בסעיף 9(ב)(3), (4) ו-(5) לא יהיו פתוחים לעיונו של הציבור. 13. זכות עיון במידע (תיקון: תשמ"ה, תשנ"ו, תש"ס) (א) כל אדם זכאי לעיין בעצמו, או על ידי בא-כוחו שהרשהו בכתב או על ידי אפוטרופוסו, במידע שעליו המוחזק במאגר מידע. (ב) בעל מאגר מידע יאפשר עיון במידע, לפי בקשת אדם כאמור בסעיף קטן (א) (להלן - המבקש), בשפה העברית, הערבית או האנגלית. (ג) בעל המאגר רשאי שלא למסור למבקש מידע המתייחס למצבו הרפואי או הנפשי אם לדעתו עלול המידע לגרום נזק חמור לבריאותו הגופנית או הנפשית של המבקש או לסכן את חייו; במקרה זה ימסור בעל המאגר את המידע לרופא או לפסיכולוג מטעמו של המבקש. (ג1) אין בהוראות סעיף זה כדי לחייב למסור מידע בניגוד לחסיון שנקבע לפי כל דין, אלא אם כן המבקש הוא מי שהחסיון נועד לטובתו. בסעיף קטן זה, "דין" - לרבות הלכה פסוקה. (ד) האופן, התנאים והתשלום למימושה של זכות העיון במידע ייקבעו בתקנות. (ה) הוראות סעיף זה וסעיף 13א לא יחולו - (1) על מאגר מידע של רשות בטחון כמשמעותה בסעיף 19(ג); (1א) על מאגר מידע של שירות בתי הסוהר; (2) על מאגר מידע של רשות מס כמשמעותה בחוק לתיקון דיני מסים (חילופי ידיעות בין רשויות מס), התשכ"א-1967; (3) כשבטחון המדינה, יחסי חוץ שלה או הוראות חיקוק מחייבים שלא לגלות לאדם מידע שעליו. (4) על מאגר מידע של גופים אשר שר המשפטים בהתייעצות עם שר הבטחון או עם שר החוץ, לפי הענין, ובאישור ועדת החוץ והבטחון של הכנסת, קבע כי הוא כולל מידע שבטחון המדינה או יחסי החוץ שלה מחייבים שלא לגלותו (להלן - מידע סודי), ובלבד שאדם המבקש לעיין במידע שעליו המוחזק באותו מאגר יהיה זכאי לעיין במידע שאינו מידע סודי. (5) על מאגר מידע אודות חקירות ואכיפת החוק של רשות המוסמכת לחקור על פי דין בעבירה, אשר שר המשפטים קבע אותה בצו, באישור ועדת החוקה חוק ומשפט של הכנסת. (6) על מאגר מידע שהוקם לפי סעיף 28 לחוק איסור הלבנת הון, התש"ס-2000. 13א. עיון במידע שאינו בהחזקת בעל המאגר (תיקון: תשנ"ו) בלי לגרוע מהוראות סעיף 13 - (1) בעל מאגר מידע, המחזיק אותו אצל אחר (בסעיף זה - המחזיק), יפנה את המבקש אל המחזיק, תוך ציון מענו, ויורה למחזיק, בכתב, לאפשר למבקש את העיון; (2) פנה המבקש תחילה למחזיק, יודיע לו המחזיק אם הוא מחזיק מידע עליו, וכן את שם בעל מאגר המידע ואת מענו. 14. תיקון מידע (תיקון: תשנ"ו) (א) אדם שעיין במידע שעליו ומצא כי אינו נכון, שלם, ברור או מעודכן, רשאי לפנות לבעל מאגר המידע, ואם הוא תושב חוץ - למחזיק מאגר המידע, בבקשה לתקן את המידע או למחוקו. (ב) הסכים בעל מאגר המידע לבקשה כאמור בסעיף קטן (א), יבצע את השינויים הנדרשים במידע שברשותו ויודיע עליהם לכל מי שקיבל ממנו את המידע בתקופה שנקבעה בתקנות. (ג) סירב בעל מאגר המידע למלא בקשה כאמור בסעיף קטן (א), יודיע על כך למבקש, באופן ובדרך שנקבעו בתקנות. (ד) מחזיק חייב לתקן מידע, אם בעל מאגר המידע הסכים לתיקון המבוקש או שבית משפט ציווה על התיקון. 15. תובענה לבית המשפט (תיקון: תשנ"ו, תשס"ז) על סירובו של בעל מאגר מידע לאפשר עיון כאמור בסעיף 13 או בסעיף 13א ועל הודעת סירוב כאמור בסעיף 4(ג), רשאי מבקש המידע להגיש תובענה לבית המשפט השלום באופן ובדרך שנקבעו בתקנות. 16. סודיות (תיקון: תשמ"ה, תשנ"ו) לא יגלה אדם מידע שהגיע אליו בתוקף תפקידו כעובד, כמנהל או כמחזיק של מאגר מידע, אלא לצורך ביצוע עבודתו או לביצוע חוק מאגרי מידע או על פי צו בית משפט בקשר להליך משפטי; אם הוגשה הבקשה לפני תחילת ההליך תידון הבקשה בבית משפט השלום. המפר הוראות סעיף זה, דינו - מאסר 5 שנים. 17. אחריות לאבטחת מידע (תיקון: תשנ"ו) בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע. 17א. מחזיק במאגרים של בעלים שונים (תיקון: תשנ"ו) (א) מחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר. (ב) מחזיק שברשותו חמישה מאגרי מידע לפחות, החייבים ברישום לפי סעיף 8, ימסור לרשם, מדי שנה, רשימה של מאגרי המידע שברשותו, בציון שמות בעלי המאגרים, תצהיר על כך שלגבי כל אחד מן המאגרים נקבעו הזכאים בגישה למאגר בהסכם בינו לבין הבעלים, ושמו של הממונה על האבטחה כאמור בסעיף 17ב. 17ב. ממונה על אבטחה (תיקון: תשנ"ו) (א) הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע (להלן - הממונה): (1) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8; (2) גוף ציבורי כהגדרתו בסעיף 23; (3) בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי. (ב) בלי לגרוע מהוראות סעיף 17, הממונה יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות הגופים כאמור בסעיף קטן (א). (ג) לא ימונה כממונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק מאגרי מידע. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986 בתוקף סמכותי לפי סעיף 23ז וסעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק מאגרי מידע), ובאישור ועדת חוק מאגרי מידעה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: פרק א': פרשנות 1. הגדרות (תיקון: תשס"ה) בתקנות אלה - "אבטחת מידע", "מאגר מידע", "מידע", "מנהל מאגר", "רשם", "שלמות מידע" - כהגדרתם בסעיף 7 לחוק; "גוף ציבורי" - כהגדרתו בסעיף 23 לחוק; "מידע מוגבל" - כל אחד מאלה: (1) מידע על מצב בריאותו של אדם או על צנעת אישיותו; (2) מידע השמור במאגרים המנויים בסעיף 13(ה) לחוק; (3) מידע אחר ששר המשפטים קבע בצו כי הוא מוגבל; "מידע עודף" - כהגדרתו בסעיף 23 ה לחוק; "ממונה אבטחה" - אדם שמונה לממונה על אבטחת מידע לפי סעיף 17ב לחוק או אדם שמנהל המאגר קבע כי הוא אחראי על אבטחת המידע שבמאגר המידע; "פנקס" - כמשמעותו בסעיף 12 לחוק; "שימוש" - כהגדרתו בסעיף 3 לחוק. 2. הודעה על ממונה אבטחה (תיקון: תשס"ה) מנהל מאגר יודיע לרשם בכתב את שמו של ממונה האבטחה. 3. אחריות מנהל מאגר (תיקון: תשס"ה) (א) מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד. (ב) מנהל מאגר אחראי לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה בתחומים אלה: (1) קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומטית (להלן - המערכת), ועל תשתיתה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית מפני סיכונים סביבתיים ופגיעות; (2) קביעת סדרי ניהול של מאגר מידע, והוראות לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע, הכל בהתאם להוראות חוק מאגרי מידע והתקנות; סדרים וכללים כאמור יחולו גם על נותן שירותים חיצוני לגוף שבבעלותו מאגר המידע; (2א) מתן הרשאת גישה למאגרי המידע והטלת הגבלות על מורשי הגישה בהתאם להוראות הוועדה להעברת מידע כאמור בתקנה 3א(ד); (3) קיום הוראות תפעול של המערכת תוך אבטחת המידע ושמירה על שלמות המידע; (3א) עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות; (3ב) החתמת מורשי הגישה על התחייבות לשמירה על סודיות ועל ההוראות שנקבעו לפי פסקאות (2) ו-(2א); (4) נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש; (5) קביעת סדרי בקרה לגילוי פגיעות בשלימות המידע ותיקון ליקויים. פרק ג': נהלי ביצוע העברת מידע בין גופים ציבוריים 3א. ועדה להעברת מידע (תיקון: תשס"ה) (א) המנהל הכללי של גוף ציבורי ימנה ועדה להעברת מידע לפי פרק ד' לחוק. (ב) המנהל הכללי יהיה יושב ראש הוועדה, ואולם הוא רשאי למנות את סגנו ליושב ראש הוועדה במקומו או עובד בכיר הכפוף לו ישירות; לענין תקנה זו, "עובד" - לרבות חייל, סוהר או שוטר. (ג) בין חברי הוועדה יהיו היועץ המשפטי של הגוף הציבורי או נציגו, ועובדים שתחום עיסוקם הוא בניהול מידע ואבטחתו; מספר חברי הוועדה לא יפחת משלושה. (ד) הוועדה תדון ותחליט אם ובאיזו מידה - (1) להיעתר לבקשות למסירת מידע מן הגוף הציבורי; (2) לאשר הגשת בקשות של הגוף הציבורי לקבלת מידע מאת גוף ציבורי אחר. (ה) הוועדה תקבע הוראות לענין ההרשאות וההגבלות בענין הגישה למאגרי המידע; על הוראות אלה יחולו הוראות סעיף 6 לחוק חופש המידע, התשנ"ח-1998 (להלן - חוק חופש המידע). 4. אבטחת מידע בעת מסירה בעת מסירה כדין של מידע ממערכת של גוף ציבורי למערכת של גוף ציבורי אחר, אחראים מנהלי המאגר של שתי המערכות לנקיטת פעולות אבטחה ובקרה של השימוש במידע במערכת המקבלת ברמה השווה לזו הנהוגה במערכת המוסרת. 5. נוהל מסירה (א) מנהלי המאגר של מערכות המוסרות והמקבלות דרך קבע מידע יערכו את נוהל ההתקשרות להעברת מידע בין מערכותיהם, בו ייושמו עקרונות האבטחה, בקרת הגישה ורישום המידע הנמסר בהתאם לתקנות אלה. עותקים מנוהל זה יוחזקו ברשות מנהלי המאגר של המערכות. (ב) לא יימסר, דרך קבע, מידע אלא לאחר שנערך נוהל התקשרות כאמור. 6. טיפול במידע עודף מקבל מידע שקיבל מידע לפי תקנות אלה יפריד מיד עם קבלת הנתונים את המידע העודף וימחק אותו מיד. 7. בקשה להעברת מידע (תיקון: תשס"ה) (א) בקשה לקבלת מידע תיערך לפי טופס א' בתוספת. (ב) הסכמת הגוף הציבורי למסירת המידע תיערך לפי טופס ב' בתוספת. (ג) הודעה לרשם מאת גוף ציבורי המקבל דרך קבע מידע בהתאם לסעיף 23ג לחוק והמידע נאגר במאגר מידע, תיערך לפי טופס ג' בתוספת. (ד) בקשה והסכמה להעברת מידע, טעונות אישור היועץ המשפטי והממונה על אבטחת המידע של הגוף הציבורי המוסר ושל הגוף הציבורי המקבל, על גבי טופס א' או טופס ב' בתוספת, לפי הענין. (ה) טופס מהטפסים האמורים בתקנה זו ימולא במלואו. (ו) מנהל מאגר מידע ינהל רשימה של כל מאגרי הגופים, למעט מאגרי מידע המנויים בסעיף 13 (ה) לחוק, שאליהם נמסר מידע דרך קבע ממאגר המידע של הגוף הציבורי וסוג המידע המועבר; הרשימה תעמוד לעיון הציבור ויחולו עליה הוראות סעיף 6(ב) לחוק חופש המידע; הרשימה תעמוד לעיון הציבור באתר האינטרנט של הגוף הציבורי, ובאין אתר אינטרנט, במשרד הראשי ובמשרדים המחוזיים, אם ישנם. פרק ד': סדרי ניהול מאגר המכיל מידע מוגבל וכללי השימוש בו 8. תחולה הכללים המפורטים בפרק זה יחולו על מאגר מידע המכיל מידע מוגבל ויופעלו בידי מנהל המאגר בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד. 9. קובץ נהלים למאגר מידע, כאמור בתקנה 8, יהיה קובץ נהלים שבו יפורטו אמצעי האבטחה והבקרה על הטיפול הפיסי באמצעי האחסון של המידע. בקובץ ייוחד פרק לטיפול במידע בידי נותן שירותים חיצוני המבצע עבודות עבור המאגר בתחומי הקלידה, עיבוד הנתונים, הפצת דו"חות והובלת קבצים. 10. סימון אמצעים מכילי מידע ואחסנתם (א) השאלתו של אמצעי רישום מגנטי המכיל מידע. מספריית המערכת, תיעשה כנגד תעודת משלוח המכילה אישור של המקבל הזכאי לקבלת המידע על פי חוק מאגרי מידע, על האמצעי יירשם "מידע מוגן לפי חוק הגנת הפרטיות". (ב) אמצעים שסומנו כאמור בתקנת משנה (א) יוחסנו במדור סגור של ספריית המערכת ועותקיהם הנשמרים לצרכי גיבוי יימצאו מחוץ למיתקן הראשי; הגישה למדור הגיבור בספריה תוגבל למספר מורשים בלבד ומפתחותיו יישמרו במקום נעול. 11. סימון תדפיסי מחשב קבצים נתיקים ותדפיסי מחשב המכילים מידע מוגבל והמופקים עבור גוף ציבורי אחר יופקו בלווית כתובת בולטת לעין בכל עמוד: "מכיל מידע מוגן לפי חוק הגנת הפרטיות - המוסרו שלא כדין עובר עבירה"; התדפיסים האמורים יימסרו כנגד תעודות משלוח ואישור קבלה מאת הגוף הזכאי לקבלת המידע על פי חוק מאגרי מידע. 12. תיעוד המאגר מנהל המאגר ינהל רישום המשתמשים במידע המוגבל. 13. ביעור אמצעים אמצעי רישום מגנטיים ופלט מחשב כתוב של הליכי ביניים המבוצעים בשעת עיבוד נתונים של מידע, כגון תדפיסי זיכרון ראשי בשעת תקלה, סרטים ותקליטונים לקלידת נתונים שנקלטו במערכת, יפונו מיד לביעור במגרסה או יימחקו, לפי הענין. 14. רישום הרשאות גישה מנהל המאגר ינהל רישום מעודכן של הרשאות גישה אשר יכיל שמות ופרטי זיהוי של עובדי המערכת והמשתמשים המורשים לגשת למידע האגור במערכת, פירוט קוד הגישה וסוגי הפעולות המותרים למשתמשים; סיסמאות הגישה יוחלפו לעיתים בלתי קבועות אך לא פחות מאשר אחת לששה חודשים או בעת החלפת עובדים. 15. יומן אירועים חריגים (א) יומן אירועים חריגים (להלן - היומן) ינוהל בידי מנהל המאגר על גבי אמצעי נתיק מן המערכת לגבי פעולות הפקת מידע באצווה או פעולות תשאול שבוצעו במסוף הקשור למערכת; היומן יישמר במשך שלוש שנים; לגבי אירוע חריג יירשמו ביומן פרטי הזיהוי של הפונה, סוג השאילתה, הרשומות או סוגי הרשומות שהופקו בתשובה. (ב) מנהל המאגר אחראי לעריכת בדיקת חדשית של היומן, לצורך תיקון ליקויים. 16. תחילה תחילתן של תקנות אלה תשעה חדשים מיום פרסומן. מאגרי מידעחוק