מסירת פרטי ת.ז. מתי?

בעקבות פריצת ההאקר הסעודי למאגרי נתונים ישראליים וחשיפת מידע אישי נרחב אודות גולשים ישראלים ברשת, עלה הצורך ברשות למשפט וטכנולוגיה שבמשרד המשפטים לבחון את חוקיות איסוף מספרי תעודות זהות על ידי גורמים שונים ברשת בהתאם לחוק הגנת הפרטיות התשמ"א-1981 ולכן פרסמה לאחרונה נייר עמדה בנושא. הרשות מגבשת הנחייה נרחבת אודות איסוף מידע ושמירתו במאגרים הממליצה לצמצם באופן משמעותי את האפשרות של עסקים וחברות מסחריות לאסוף מספרי תעודות זהות של אזרחים ולשמרם במאגרי מידע ללא צורך אמיתי וחיוני בכך. ההנחיה קובעת את התהליך לקבלת החלטה האם קיימת הצדקה לאיסוף מספרי תעודת זהות שמהווה תנאי אשר בעל עסק האוסף מידע על לקוחותיו (בעל מאגר מידע) מחויב לעמוד בו אם ברצונו לאסוף מידע כזה.

חוק הגנת הפרטיות

חוק הגנת הפרטיות הוא החוק הקובע הוראות בדבר איסוף והחזקת מידע במאגרי מידע ומטיל על בעל מאגר מידע את החובה לאסוף את המידע בדרך מסוימת ואת רמת האבטחה אשר עליו לנקוט כדי למנוע דליפה או גניבה של המידע. בסעיף 11 לחוק ישנה דרישה להודיע למוסר המידע שאם אין הוא מחויב למסור את המידע על פי חוק, הוא יכול לבחור לתת "הסכמה מדעת" למסירת המידע – והכוונה להסכמה המבוססת על בחינת האפשרויות והסיכונים על ידי המוסר. הרשות מצביעה על כך שישנה בעיתיות עם המונח, שכן אדם סביר המוסר מידע לגופים שונים ברשת אינו יכול להעריך נכונה את רמת האבטחה בה נוקט בעל המאגר לשמור על המידע של המוסר, ואת הסיכונים הכרוכים בחשיפת המידע, ועל כן נוצרים פערי מידע בין הצדדים, כך שהסכמתו של מוסר המידע אינה משקפת בהכרח את בחירתו החופשית והסכמתו מדעת.

התנאים לאיסוף תעודות זהות
פערי המידע המתוארים לעיל הביאו את הרשות לגיבוש ההנחיה לגבי התנאים והתהליכים הנדרשים לצורך איסוף מספרי תעודות זהות. את הבחינה יש לבצע בטרם הבקשה למסירת המידע על מנת לצמצם כמה שיותר את האפשרות לחשיפת מידע כה חשוב אודות אדם. התנאים הינם כדלקמן:
1. באם ניתן לבצע זיהוי של אדם באופן סביר בדרכים אחרות ומבלי לדרוש את מספר תעודת הזיהוי, ואין חובה על פי דין לאיסוף ת.ז. – אסור לבעל המאגר לדרוש את מסירת המידע.
2. על בעל המאגר לבחון את הצורך במידע בכל שלב בהתקשרות, כך למשל בעת ביצוע בירור ראשוני או התעניינות בשירות ללא התחייבות, אין סיבה לאסוף מספר ת.ז.. כך יש לבחון את אופי ומשך השירות הניתן ללקוח, וככל שהשירות הינו חד פעמי אין הצדקה באיסוף המידע ושמירתו.
3. אם הזיהוי נדרש לשם תכלית הקבועה בדין ודורשת זיהוי באמצעות ת.ז. – האיסוף מותר.
4. תהליך הבחינה –יש לתעד את תהליך הבחינה, במידה והוחלט כי יש צורך אמיתי לאסוף את המידע יש לבחון לאיזו תקופה על בעל המאגר לשמור את המידע וכיצד לאבטחו.
5. יש לבחון אפשרות להקצות ללקוח מספר לקוח זיהוי ייחודי, דוגמת "מספר לקוח". במידה והדבר אפשרי, יש לזהות את הלקוח באמצעות מספר הלקוח אין הצדקה באיסוף ת.ז..

הסכמה מדעת וגילוי נאות

בהתאם לאמור לעיל לעניין "הסכמה מדעת", בעל מאגר מידע מחויב בגילוי נאות כלפי מוסר המידע וליידע את מוסר המידע באופן מפורש וברור מהי הסיבה שבגינה נאסף המידע, האם מסירת המידע מחויבת על פי חוק או שמא מדובר במסירת מידע וולנטרית ומדוע לא ניתן להשיג את מטרת הזיהוי באופן אחר. בנוסף על אוסף המידע ליידע את המוסר באם המידע הוא לשימוש המאגר בלבד או שיימסר לגורמים נוספים ולאיזה צורך, והכל בהתאם לבחינה שנערכה בסעיף הקודם. הרשות מדגישה כי השימוש במידע שנמסר מותר רק למטרה שלשמה הוא נמסר בהתאם לחוק.

אופן אבטחת המידע

כיום ההגנה הנדרשת על המידע במאגרי מידע הינה "הגנה באמצעים סבירים" ומפורטת בסעיף 3 לתקנות הגנת הפרטיות. הרשות מציעה להרחיב את אופן ההגנה על המידע תוך שימוש בטכנולוגיות מתקדמות יותר וניסיון לאימוץ התקן האמריקאי להגנה על מידע. הרשות ממליצה לבצע הצפנה של מספרי הזהות במאגרים באופן שיפחית את הסיכון לדליפה, ובמקרה בו בחינת הצורך באיסוף מספר הזיהוי מראה כי אין הצדקה לאיסופו, מציעה הרשות לבצע המרה של מספר הזיהוי כך שינתן ערך חד כיווני למספר הזיהוי ("מספר לקוח") מבלי שיהיה ניתן לשחזר ממנו את מספר הזיהוי עצמו בדומה לתקן האמריקאי בנושא.

לסיכום

חוק הגנת הפרטיות, ובכללו ההוראות בדבר איסוף מידע במאגרי מידע, נחקק בשנת 1981 ותוקן לאחרונה בשנת 1994 כך שעל אף הפירוט הרב בדבר איסוף מידע אינו תואם את המציאות בה אנו נמצאים כיום. התקדמות הטכנולוגיה, כניסת המחשבים לכל תחום בחיינו וקלות העברת ואיסוף המידעבעידן הרשת מחייבים בחינה מחדש של הוראות החוק וגיבוש הנחיות חדשות בנושא כך שיתאימו למציאות החדשה. נראה כי הרשות למשפט וטכנולוגיה אכן מודעת לנושא ועושה מאמצים להתאמת ההוראות, אך עם זאת הוראות הרשות אינן דבר חקיקה מחייב וסביר שיהיה קשה לכפות על גוף או בעל עסק מסוים לקיימן כל עוד לא יתוקנו הוראות החוק והתקנות בנושא. עלינו לקוות שהכנסת תשכיל לקחת את הנחיות הרשות ולגבשן לכדי הצעות חוק שיתאימו את הדין הישראלי למציאות.

 

השארת תגובה