לכבוד סוף השנה האזרחית, אנחנו מרכזים בעדכון אחד דיווחים על ארבעה פרסומים של הרשות להגנת הפרטיות מהחודש האחרון.
הרשות להגנת הפרטיות פרסמה טיוטה להערות הציבור לגבי העברת בעלות במאגר.
לפי הטיוטה, אפשר יהיה להסתפק ביידוע נושאי המידע על שינוי הבעלות במאגר, אם תנאי שמירת המידע, השימוש בו, ותנאי העברתו לא משתנים במסגרת העברת הבעלות במאגר, כמו למשל במקרים של העברת בעלות במכון כושר או בבית מלון. הדרך ליידוע כזה יכולה להיות משלוח דוא"ל לנושאי המידע הרלוונטיים או בכל דרך אחרת שבה נוהג בעל המאגר לתקשר עם נושאי המידע. יידוע כאמור צריך לכלול גם פרטים על מקבל המאגר (זהותו ופרטי ההתקשרות עמו) כדי לאפשר לנושא המידע "לבחור האם להמשיך בהתקשרות עם בעל המאגר החדש". האם משמעות הדבר גם הזדמנות לנושא המידע לסיים התקשרות חוזית קיימת? לא ברור, אך מכל מקום כנראה שבפועל ההשפעה תהיה מועטה, בין השאר משום שדיני הגנת הצרכן כוללים אפשרויות ביטול עסקאות נרחבות למדי.
לעומת זאת, תידרש הסכמת opt in להעברת הבעלות במאגר, אם צפויים בעקבות העברת הבעלות שינויים במטרות ובשימושים שיעשה במידע מי שמקבל את המאגר (בדרישה זו אין חדש, שינוי מטרות דורש הסכמה, בין השאר, לאור עקרון צמידות המטרה שבסעיף 2(9) לחוק), או כאשר זהות בעל המאגר החדש שונה באופן משמעותי מזהותו של בעל המאגר המעביר, באופן שעלול להשפיע במידה ניכרת על זכויות נושא המידע או באופן שחורג משמעותית מציפיותיו, גם ללא שינוי המטרות. נראה שהצורך בהסכמת opt in יישמר למקרים חריגים (הדרישה כפופה למקרים בהם העברת המאגר נדרשת או מתאפשרת לפי דין).
הרשות מזכירה שבכל מקרה נדרש יידוע על שינוי הבעלות במאגר, גם לנושאי המידע וגם לרשם מאגרי מידע. בנוסף, הרשות ממליצה לכלול את האפשרות של העברת הבעלות במאגר כבר בתנאי השימוש או במעמד קבלת ההסכמה הראשונית.
בשולי הדברים הרשות מגדירה את המונח "בעל מאגר", שאין לו הגדרה בחוק, שהוא "הגורם המוסמך לקבל החלטות בדבר אופן איסוף המידע ומטרות עיבודו והשימוש". באותו הקשר, הרשות מסבירה שמחזיק (מונח שיש לו הגדרה בעייתית בחוק) כגון קבלן חיצוני הוא "מי שמשתמשים בו לצורך הסתייעות למימוש מטרות המאגר". בשני המקרים, מדובר בתיאור שעולה בקנה אחד עם ה – GDPR.
הרשות גם חוזרת על עמדתה לפיה בדין הישראלי יש רק שני בסיסי עיבוד: הסכמה והסמכה מכוח דין.
חידוש מרענן במסמך הוא ההזמנה של הרשות לפנות אליה בשאלות לגבי יישום ההנחיה, לכשתתפרסם.
הטיוטה פתוחה להערות הציבור עד ליום 15.1.23.
הרשות פרסמה גילוי דעת סופי שמטרתו להבהיר ולהדגים מה נכלל בהגדרת "מידע" ומה נכלל בהגדרת "ידיעה על ענייניו הפרטיים של אדם", בחוק הגנת הפרטיות.
לדעת הרשות, "מידע" הוא כל מה שמוגדר בסעיף 7 לחוק הגנת הפרטיות, וכן "נתונים על אדם מזוהה או ניתן לזיהוי באמצעים סבירים", כולל נתונים שמהם ניתן להסיק את אחד מסוגי המידע הללו.
בין הדוגמאות ל"מידע" (מעבר לסוגים המופיעים בסעיף 7 לחוק במפורש), כוללת הרשות נתון שמשמש כ"מפתח" (כמו למשל מספר ת.ז), מידע גנטי, טביעת אצבע, ותמונת פנים. במצב כלכלי, כוללת הרשות גם מידע אודות בעלות על כלי רכב. כזכור, כתובת דוא"ל שניתן ללמוד ממנה פרטים שהם בגדר "מידע" כמו הכשרה מקצועית היא "מידע", והוא הדין במיקום ובהרגלי צריכה שיש בהם ללמד על סוגי המידע המופיעים בסעיף 7 לחוק. לבסוף, מידע שמקורו במבחני התאמה לעבודה הוא "מידע", אף שכאן המיקוד הוא במקור המידע ולא בתוכן.
לעניין השאלה אם מידע הוא מזוהה או ניתן לזיהוי, הרשות מציינת כי גם מידע שמוצג בצורה אנונימית עלול לבסס קשר לאדם מסוים ולכן הוא יהיה בגדר "מידע", וזאת משום שדי בכך שניתן לקשור באמצעים כלשהם בין המידע לבין אדם ספציפי על דרך של הנדסה חוזרת. הרשות מפנה בהקשר זה להגדרת "מידע מזוהה" בחוק נתוני אשראי ובחוק שירותי מידע פיננסי, שחלים על מידע אישי בהתאם להגדרות המקובלות היום.
ביחס ל"ידיעה על ענייניו הפרטיים של אדם", הרשות מזכירה ידיעות כמו כתובת מגורים, מס' טלפון, מס' חשבון בנק, מס' כרטיס אשראי, קופת החולים אליה משתייך אדם, פנייתו של אדם לרשויות לצורך הגשת תלונה, פסילת מועמדות של אדם למשרה, וכן יומן שיחות פרטיות.
הרשות מציינת כי כל "מידע" הוא גם ידיעה, אבל לא ההפך (למרות שחלק גדול ממה שהרשות מסווגת כ"ידיעה" הוא גם "מפתח", ולכן, עולה לכאורה כדי "מידע").
בכל מקרה, הרשות מדגישה שלא מדובר ברשימה ממצה לגבי אף אחת מההגדרות.
לטשטוש ההבדל בין מידע לידיעה תורמת גם ההיסטוריה החקיקתית של חוק הגנת הפרטיות, שיצרה בליל של הוראות עם תחולה שונה לגבי "מידע" ו"ידיעות על ענייניו הפרטיים של אדם" – אך לא באופן עקבי. כך, למשל, אין חובה לרשום מאגר הכולל רק ידיעות שאינן מידע. למרות זאת, עקב הוראתו המפורשת של סעיף 17ז לחוק, הפרק העוסק בדיוור ישיר חל גם על "ידיעות הנוגעות לענייניו הפרטיים של אדם, אף שאינם בגדר מידע, כשם שהן חלות על מידע", ולכן מאגר המשמש לשירותי דיוור ישיר על בסיס ידיעות יהיה חייב ברישום.
הרשות פרסמה סיכום של פעולת אכיפה שביצעה כנגד חברת "דאטה אונליין" (הרשומה כחברת בי.אמ.סי ליאן גרופ בע"מ), בגין שורת הפרות של חוק הגנת הפרטיות ותקנותיו.
על-פי פרסומים (למשל דיווח זה של כלכליסט), נמצא שימוש במאגרי מידע לא רשומים, הפרות של עקרון צמידות המטרה, כמו שימוש במידע של לקוחותיה על מנת לטייב את הנתונים במאגר שלה עצמה.
העיצום שהושת על החברה עומד על סך של 320,000 ₪. הסכום נראה זעום לעומת סכומי הקנסות המושתים על ידי רשויות הגנת הפרטיות באירופה, אך בישראל מדובר בעיצום חריג, שנובע משורת הפרות. לו היה עובר תיקון 14, סכומי העיצום הבסיסי היו מגיעים אף למיליוני שקלים במקרים מסוימים.
הרשות הצהירה כי לקוחות דאטה אונליין עלולים להחזיק במידע שנאסף באופן בלתי חוקי, ורומזת בכך להכתמה אפשרית של מאגרי המידע של לקוחות החברה. הפרדת מידע לא חוקי ממידע חוקי היא משימה סבוכה (ולעיתים בלתי אפשרית), מה שמחייב משנה זהירות בשילוב מידע מספקי מידע חיצוניים.
הרשות פרסמה להערות הציבור טיוטת הנחיה בקשר למעקב אחר עובדים בעבודה מרחוק.
הרשות חוזרת על עמדתה כי שימוש באמצעים טכנולוגיים למעקב ולפיקוח אחר התנהלות עובדיהם במקום ובשעות העבודה הוא אפשרי, בתנאי שהוא נעשה באופן סביר ומידתי, לצרכי מטרה לגיטימית ובעלת זיקה לאינטרסים הלגיטימיים של מקום העבודה, תוך יידוע העובדים בדבר המעקב, ותוך הקפדה על כללי אבטחת המידע, עיקרון צמידות המטרה וקבלת הסכמה.
הטיוטה כוללת כמה אמירות מעניינות, שחלקן יכולות להיות בעלות השלכות רחבות יותר מאשר על עובדים מרחוק. בין השאר, הרשות מבהירה שההסכמה להפעלת אמצעי ניטור יכולה להיות משתמעת (כפוף לשאר התנאים המוגדרים במסמך, לרבות לגיטימיות האיסוף והעיבוד), ללא צורך באיסוף הסכמות מפורשות מעובדים. זו עמדה מעודנת יותר לעומת הטיוטה שפורסמה לאחרונה שעסקה בהיבטי פרטיות בוויתור על סודיות רפואית בקבלה לעבודה. שם ניתן דגש להסכמה מרצון חופשי של העובד, ועדיפות על פני היכולת של המעסיקים לקבל הסכמה משתמעת, כאשר קיים אינטרס לגיטימי. כתבנו על כך בהרחבה בעדכון נפרד.
לאור רגישות המידע, הרשות מדגישה את החשיבות המוגברת בנקיטת אמצעים שהרשות המליצה עליהם בעבר באופן כללי: עריכת תסקיר השפעה על פרטיות (DPIA) טרם השימוש באמצעים למעקב אחר עובדים; מינוי DPO; צמצום מידע עודף, כולל בדיקה בפרקי זמן קצרים מהקבוע בתקנות (במילים אחרות, כמה פעמים בשנה, ולא רק פעם בשנה); עיצוב לפרטיות (privacy by design); ומתן זכות עיון.
נעיר לסיום שחלק מהאמצעים המקובלים לאבטחת מידע מסווגים על-ידי הרשות כ"אמצעי מעקב שפגיעתם בפרטיות גבוהה במיוחד". בין השאר, נכללים בקטגוריה זו כלי סריקה ופיקוח על אתרי האינטרנט בהם גולש עובד ועל תכתובת הדוא"ל שלו (כולל תוכן פרטי בתיבה מקצועית). נראה שאין מטרת הקביעות למנוע שימוש מידתי באמצעים לאבטחת מידע. ראשית, מדובר בהנחיה שעוסקת במעקב אחר עובדים גם בביתם (ובאופן שיכול לפגוע גם בבני ביתם). שנית, הרשות ממסגרת אמצעי פיקוח אלה כאמצעים ש"מהווים, במידה רבה, אמצעים למשטור העובד".
הטיוטה פתוחה להערות הציבור עד ליום 22.1.2023.
שנה אזרחית טובה, וסמנו ביומן את ה 30.1.2023 בבוקר (פרטים בהמשך).
אנחנו עומדים לרשותכם לכל שאלה,
צוות מחלקת משפט וטכנולוגיה
מובהר, כי אין באמור לעיל התייחסות לנסיבות ועובדות ספציפיות ואין לראות בו משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.