הרשות להגנת הפרטיות פרסמה ב- 18.09.2024 מסמך עקרונות הגנת פרטיות בהתמודדות עם אירועי חירום בו מדגישה הרשות את הצורך להגן על הזכות לפרטיות גם בעתות חירום.

במסמך, חוזרת הרשות על כמה מעקרונות העל של דיני הגנת הפרטיות – כגון עקרון ההסכמה לפגיעה בפרטיות, היידוע, צמידות המטרה, צמצום המידע ואבטחת המידע. אף שהעקרונות ידועים ומוכרים, המסמך מעניין משום שהוא מדגים את יישום העקרונות בפועל, תוך התייחסות נדירה גם לסעיפי ההגנות שבחוק.

המסמך מדבר בעד עצמו, אולם מצאנו כי יש בו מספר תובנות שמתאימות לא רק לעתות חירום ששווה להתמקד בהן.

ההגנות שבחוק ועקרון המידתיות. ההגנות בחוק מעניינות, משום שהן מכניסות מידה של גמישות ואיזון אינטרסים שאופייניים יותר ל GDPR מאשר לחוק שלנו. כרקע, נזכיר, כי סעיף 18(2) כולל הגנות על פגיעה בתום לב, בין השאר כאשר "הפגיעה נעשתה בנסיבות שבהן הייתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה", לצורך "הגנה על ענין אישי כשר של הפוגע" (מפסיקת בית הדין לחוזים אחידים עולה שהגנה זו יכולה לחול גם בהקשר מסחרי, מעיין "אינטרס לגיטימי"), או כש"הפגיעה נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל, ובלבד שלא נעשתה דרך פרסום ברבים".

בקשר לדרישת תום הלב שבסעיף 18(2) קובע סעיף 20(א) חזקת תום לב אם הפוגע בפרטיות מוכיח שהפגיעה לא חרגה מתחום הסביר באותן נסיבות, בעוד סעיף 20(ב) קובע חזקת אי-תום לב אם הייתה פגיעה ביודעין במידה גדולה משהייתה נחוצה באופן סביר לצורך העניינים שניתנה להם ההגנה.

התוצאה היא, שלמרות שעיקרון המידתיות בתחום הגנת הפרטיות חל בדרך כלל רק במגזר הציבורי, מכוח המשפט המנהלי והחוקתי, כאשר מבקשים להסתמך על ההגנות, עקרון המידתיות חל מכוח סעיף 20 לחוק.

בדומה, גם להגנה בסעיף 18(3), שחלה אם "בפגיעה היה ענין ציבורי המצדיק אותה בנסיבות הענין", קושרת הרשות את עקרון המידתיות דרך הביטוי "המצדיק בנסיבות העניין".

לעניין עיקרון המידתיות מדגישה הרשות ארבעה מרכיבים עיקריים לבחינה: יעילות האמצעי, סוג המידע ורגישותו, היקף המידע והשימוש, וממד הזמן, היינו שפעולה מידתית יכולה להפוך ללא מידתית לאורך זמן, למשל כי מצב חירום הסתיים.

חובת היידוע. הרשות מציינת כי ההגנות לא יחולו על הפרה של סעיף 11, הקובע חובת יידוע כאשר מידע נאסף מנושא מידע באופן ישיר. הרשות מכירה בכך שבמקרים חריגים אין מנוס ממילוי חובת היידוע בשלב מאוחר יותר, אך מציינת כי במצב זה, אם עיבוד המידע נעשה מכוח הסכמת נושא המידע, ולאחר היידוע הוא מושך את הסכמתו, יש להפסיק את השימוש במידע.

יידוע מאוחר מוכר כמובן ב GDPR ובתקנות העברת מידע מהאיזור הכלכלי האירופי, אך יש לכך נפקות בעיקר לגבי מידע שלא הגיע ישירות מנושא המידע, מצב בו סעיף 11 לא חל.

צמצום מידע. במסמך, הרשות קושרת את עיקרון צמצום המידע לעיקרון צמידות המטרה. במילים אחרות, כאשר נאסף מידע שלא נדרש למימוש מטרת האיסוף המוצהרת, העיבוד אינו צמוד עוד למטרת האיסוף. בכך מחזקת הרשות מאוד את עמדתה, עליה היא חוזרת במסמך, כי למרות שלפי לשונה, תקנה 2(ג) לתקנות אבטחת מידע מטילה לכאורה רק חובה שנתית לבחון האם קיים במאגרים מידע עודף אך לא מטילה חובה למחוק את המידע העודף שנמצא, קיימת בפועל חובת מחיקה (או התממה, מציינת הרשות).

אנחנו עומדים לרשותכם בכל שאלה,

אייל שגיא, יובל אחיטוב וצוות מחלקת משפט וטכנולוגיה.

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.