image 2016 פברואר 11

החובה לרישום מאגר מידע

בימים אלה מקדמים הרשות למשפט טכנולוגיה ומידע ומחלקת חקיקה של משרד  המשפטים תיקון לחוק הגנת הפרטיות, התשמ"א-1981, בנושא סמכויות אכיפה שנועד להגביר את יכולות הפיקוח והאכיפה של רשם מאגרי המידע במקרים של הפרת הוראות חוק הגנת הפרטיות הנוגעות לפרטיות במאגרי מידע.

התיקון יקנה לרשם מאגרי מידע סמכות להטלת קנסות מינהליים בשל אי ציות להוראות חוק הגנת הפרטיות, שיכולים להגיע עד לסכום של 3.2 מליון ש"ח (!!!). במאמר זה נסביר בקצרה על מי חלה החובה להגיש בקשה לרישום מאגר מידע, ואלו חובות חלות על מי שמחזיק בידיו מאגר מידע רשום.

לסיום נביא בפניכם המלצות שעל פיהן כל בעל מאגר מידע צריך לפעול כדי להבטיח את עצמו מפני הטלת חיובים בקנסות מינהליים בגין אי ציות להוראות חוק הגנת הפרטיות.

פרטיות, השימוש במידע אישי ומאגרי מידע

פרטיות הוכרה בישראל כזכות יסוד בסעיף 7(4) לחוק-יסוד: כבוד האדם וחירותו ולפיו “כל אדם זכאי לפרטיות ולצנעת חייו”. פרק ב’ של חוק הגנת הפרטיות יוצר את המשטר הרגולטורי שחל על השימוש במידע אישי בישראל והנאגר במאגר מידע. החוק קובע את החובה לרשום סוגים מסוימים של מאגרי מידע אצל רשם מאגרי המידע.

מהו מאגר מידע?

“מאגר מידע” מוגדר בחוק כאוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב. להגדרה זו נקבעו שני חריגים בחוק. האחד, אוסף לשימוש אישי שאינו למטרות עסק; השני, אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף; המשמעות היא שאוסף נתוני מידע שנופל בגדר אחד מהחריגים הנ"ל, אינו מטיל על בעל המאגר את החובה לרישום מאגר מידע.

מתי קמה החובה לרשום מאגר מידע אצל רשם מאגרי המידע?

מספר אלמנטים מקימים את החובה לרשום מאגר מידע והם: מספר האנשים שמידע עליהם נמצא במאגר (מעל 10,000 אנשים); סוג המידע שנמצא במאגר (כאשר במידע מצוי מידע רגיש, כמשמעות המונח בסעיף 7 לחוק)[1]; מקור המידע (כאשר המידע לא נמסר על ידי, מטעמם או בהסכמתם של האנשים שמידע עליהם נמצא במאגר); הבעלים של המאגר (כאשר המאגר הוא של גוף ציבורי); המטרה שלשמה נאסף המידע (כאשר המאגר משמש לדיוור ישיר)

הגשת בקשה לרישום מאגר מידע

כאשר קמה החובה לרשום מאגר המידע (לדוגמא כאשר במידע הנאסף על משתמשים מצוי מידע רגיש), נדרש הבעלים של מאגר המידע להגיש טופס בקשה לרישום מאגר מידע בפנקס מאגרי מידע. את הבקשה לרישום מאגר המידע ניתן להגיש באופן מקוון. לאחר מילוי טופס הבקשה המקוון יש לשלם אגרת רישום. עם ביצוע התשלום תשלח בקשת הרישום לבדיקה על ידי רשם מאגרי המידע.  תעריף האגרה קבוע בתקנות הגנת הפרטיות (אגרות), התשס"א-2000 .

בטופס הבקשה לרישום מאגר המידע יש לפרט את מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע. מטרות המאגר יכולות להיות לדוגמא לצורך גבייה, דיוור ישיר וקשר עם הלקוח, מחקר, ניהול מכירות, שיווק וגיוס לקוחות, ניהול משאבי אנוש ושכר ועוד. במסגרת בחינת הבקשה, רשם מאגרי מידע יוודא, כי השימוש במידע שבמאגר המידע יהיה צמוד למטרה שלשמה הוקם המאגר.

ידוע כי סטרט-אפים נוהגים לאחסן את מאגרי מידע שלהם אצל חברות שירותי מיחשוב ענן בחו"ל. במקרה ומאגר המידע מאוחסן בחו"ל, יש לצרף לבקשה לרישום מאגר המידע מכתב המפרט באילו מדינות נשמר המידע, באילו אמצעי אבטחה נוקטות חברות הענן אשר אצלן מאוחסן מאגר המידע ולפרט את ההוראות בהסכם ההתקשרות שנחתם עם חברת מיחשוב הענן הנוגעות לאבטחת מידע. כמו כן, על מגיש הבקשה לרישום מאגר המידע לפרט בבקשה לרישום מאגר המידע האם התנאים המפורטים בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001, מתקיימים ומאפשרים למגיש הבקשה להעביר את המידע לאיחסון בענן בחו"ל.

ראוי לציין, כי חוק הגנת הפרטיות אשר העניק את הסמכות לרישום מאגרי מידע ולהסדרת תחום מאגרי מידע בידי הרשם למאגרי מידע מקנה לרשם מאגרי המידע, את הסמכות להפעיל שיקול דעת אם להסכים או לסרב לבקשה לרישום מאגר מידע. אם הרשם החליט לסרב לרשום מאגר מידע, מאגר המידע יהיה בלתי חוקי וחל איסור על ניהולו או על החזקתו של המאגר.

יש להדגיש, כי כבר היום, עוד לפני שנכנס התיקון לחוק הגנת הפרטיות בנושא סמכויות האכיפה, מעניק החוק לרשם מאגרי המידע סמכויות פיקוח וחקירה שנועדו לסייע לרשם להבטיח את קיומן של הוראות חוק הגנת הפרטיות. כך לדוגמא קובע החוק שלרשם סמכות להטיל קנסות מינהליים בגין אי ציות להוראות חוק הגנת הפרטיות על מי שמנהל, מחזיק או משתמש במאגר מידע מבלי לרשום את המאגר. מכאן, שאי קיום החובה לרשום מאגר מידע, מהווה הפרה, שבגינה מוטלים קנסות מינהליים.

מה הן החובות המוטלות על בעל מאגר מידע שנרשם בפנקס מאגרי המידע?

החוק מטיל על בעל מאגר מידע הפונה לאדם לקבל ממנו מידע לשם החזקתו במאגר מידע, להודיע לאותו האדם כדלקמן: האם קיימת לאותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה במתן הסכמתו; מה המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומה הן מטרות מסירת המידע.

מהאמור נלמד, כי תנאי מקדים לאיסוף מידע על אדם ולשמירתו במאגר מידע הוא –  מתן הסכמה של אותו אדם. יש להדגיש, כי למרות החשיבות הגבוהה של מתן ההודעה וקבלת הסכמה לאיסוף המידע, החוק אינו קובע בבירור את האופן שבו נדרש בעל מאגר המידע לתת את ההודעה לאדם שהמידע עליו נאסף ומשאיר זאת לשיקול דעתו של בעל המאגר.

חובה נוספת המוטלת על בעל מאגר מידע שנרשם, עובד, מנהל או מחזיק של מאגר מידע היא החובה על שמירת סודיות המידע שהגיע אליו עקב חשיפתו למידע המוחזק במאגר המידע. חובה אחרת המוטלת על בעל מאגר המידע היא לדאוג לאבטחת המידע שבמאגר.

מה הן הזכויות המוקנות לאדם שמידע עליו נשמר במאגר מידע?

חוק הגנת הפרטיות מקנה לאדם את הזכות לעיון במידע שעליו, המוחזק במאגר המידע ועל בעל מאגר מוטלת האחריות לאפשר לאותו אדם את הגישה למאגר. במקרים חריגים, רשאי בעל המאגר לסרב לבקשה ולא לאפשר את הגישה למאגר המידע. כך למשל, מקום בו אדם מבקש לעיין במידע המתייחס למצבו הרפואי או הנפשי ובעל מאגר המידע סבור שהמידע עלול לגרום נזק חמור לבריאותו הגופנית או הנפשית של המבקש או לסכן את חייו.

כמו כן, מתיר החוק לסרב לבקשה לעיין במאגר מידע מטעמי ביטחון המדינה ואכיפת חוקים ובמקרים בהם מדובר במאגר מידע של גופי ביטחון, שירות בתי הסוהר, רשויות המס, רשות להלבנת הון ורשויות חקירה ואכיפה של החוק.

בנוסף, חוק הגנת הפרטיות מאפשר לאדם שמידע עליו שנמצא במאגר מידע אינו נכון, אינו שלם או אינו מעודכן, לפנות לבעל המאגר בבקשה לתקן את המידע או למחוק את המידע מהמאגר. במקרה בו בעל מאגר מידע מסרב לתקן או למחוק את המידע השגוי, זכאי אותו אדם להגיש תובענה לבית המשפט כדי לחייב את בעל המאגר לתקן או למחוק את המידע שבמאגר.

נוסיף כי חוק הגנת הפרטיות קובע שאי ציות להוראות החוק ותקנותיו, לרבות במקרה שבו מסרב בעל מאגר מידע לתקן או למחוק מידע שבמאגר, מהווה עוולה נזיקית לפי פקודת הנזיקין.

רשימת המלצות למחזיקים במאגרי מידע:

1.   בידקו האם יש לכם מאגר מידע המחייב רישום לפי החוק והאם יש צורך בהגשת בקשה לרישום מאגר המידע בפנקס מאגרי המידע. החזקת מאגר מידע ללא רישומו עשויה להוביל להליכים מינהלתיים, תביעות אזרחיות ולנזק למוניטין. במקרים מסוימים הפרת החובה לרשום מאגר מידע עשויה להביא לכך שלקוחות בחו"ל וספקים עמם אתם עובדים יבטלו עמכם את ההתקשרות בשל חקירות וביקורות המתבצעות על ידי הרשויות להגנת מידע בחו"ל.

2.   רכש מידע ממאגרים לצורך טיוב מאגרי מידע קיימים, שיווק, פילוח אוכלוסייה וכד’ –  גם אם אין לכם מאגר מידע המחייב רישום לפי החוק יתכן ואתם רוכשים מידע ממאגר המיועד לשירותי דיוור ישיר. במקרה כזה עליכם לוודא כי המאגר הרשום עומד בכל דרישות החוק שכן רכישת מידע ממאגר כאמור עלולה לעלות בחיוב בקנסות מינהליים ולגרום לנזק כספי ועסקי.

3.   שימוש במידע שלא למטרה שלשמה נמסר המידע – כאשר קיים מאגר מידע קיימת האפשרות התיאורטית לשימושים חדשים במידע שלא היו קיימים קודם לכן. יתכן ובעשותכם כן אתם עוברים על החוק. לדוגמה שימוש במאגר שמטרתו להעניק מבצעים והטבות ללקוחות לצורך בדיקה האם הלקוח לא שילם בקופה עבור פריט מסוים.

4.      מאגרי תמונות – בשל התפתחויות טכנולוגיות מידע מצולם עלול להוות מאגר מידע בתנאים מסוימים. לכן מומלץ לבחון את המגבלות הנובעות מהגנת הפרטיות הגלומות בשימוש במידע מצולם מכוח חוק הגנת הפרטיות.

5.      לאור ההתפתחויות בשנים האחרונות מומלץ לבחון את כלל הפעילויות אשר הנכם מבצעים בכל הקשור למידע, איסופו והחזקתו ולקבל עצה מקצועית בנוגע להתאמת פעילותכם להוראות חוק הגנת הפרטיות.

מאמר אורח מאת אלון ספושניק עורך דין מוסמך במשפטים ובמינהל עסקים

לחצו פה לקבלת מידע איך אנחנו יכולים לעזור לכם עם אבטחה

למידע נוסף  אתם מוזמנים לבקר באתרינו http://initech.co.il/ או לשלוח לנו איימל contact@initech.co.il .

#database #hebrew #information #information technology #internet #law #privacy #technology #web #אינטרנט #בית תוכנה #חוק #טכנולוגית מידע #כתבות אורחים #מאגר מידע #פרטיות #שרותי ענן

תודה שפנית אלינו!

אנחנו נחזור אליך תוך 24 שעות.

Let's Talk
TimelinesAI