הרשות להגנת הפרטיות פרסמה מדריך סופי לעריכת תסקיר השפעה על הפרטיות.
המדריך מחליף מדריך קודם שפרסמה הרשות בנושא ב-2015 ומכיל המלצות לשלבים של עריכת תסקיר.
המסמך כולל מספר אמירות מעניינות של רשות הגנת הפרטיות.
ראשית, הרשות מסבירה שביצוע תסקיר הוא תהליך מתמשך, ולא מדובר בפרוצדורה חד פעמית. האמירה הזאת חשובה ומתיישבת עם המגמה שקיימת במדינות בעלות חקיקת פרטיות מתקדמת, ובראשן מדינות הכפופות להוראות ה-GDPR.
שנית, לדעת הרשות, ישנם שלבים בעריכת התסקיר שחופפים לדרישות תקנה 2 ותקנה 5 לתקנות אבטחת מידע (מסמך הגדרות מאגר, ומיפוי מערכות, בהתאמה), וישנם גופים שעשויים להיות מחוייבים בקיום תסקיר משום פעילותן במדינות מסויימות בחו"ל (דהיינו מדינות שכפופות ל-GDPR).
מסמך הרשות גם מבהיר את חשיבות התיעוד של בחינת הליכים שקשורים בעיבוד מידע אישי. חוק הגנת הפרטיות בישראל לא כולל אמנם חובת accountability (אחריותיות) מפורשת, אבל מסמך זה של הרשות מהווה תימוכין נוסף לחשיבות עקרון זה הלכה למעשה גם בישראל.
המצבים שבהם הרשות ממליצה לערוך תסקיר הם לפני שימוש במידע אישי שעלול לגרום לסיכון מהותי לפרטיות, במקרה של שינוי מהותי בזכויות נושאי המידע, בהטמעת טכנולוגיות מידע חדשות, לפני עיבוד מידע אישי בהיקף גדול, עיבוד מידע רגיש במיוחד (כמו מידע רפואי, גנטי, ביומטרי וגם סוגי המידע המפורטים בסעיף 1(3) לתוספת הראשונה לתקנות אבטחת מידע), וכן לפני עיבוד מידע אישי על אוכלוסיה רגישה (כגון קטינים), כאשר הרשות ממליצה לערוך תסקיר גם בכל מקרה שבו יש ספק בשאלה אם לבצעו או לא.
עוד מעניין לראות שהרשות השאירה את רשימת האמצעים לצמצום הסיכון לפרטיות כרשימה פתוחה, פרשנות שאכן נראית מתאימה לתחום כה דינמי.
הרשות מציינת שעריכת תסקיר היא לא חובה חוקית בישראל כרגע, אך היא פרקטיקה מומלצת, ש"צפויה להיטיב עם הארגון ועם ציבור לקוחותיו". מכאן יתכן שניתן ללמוד שהרשות תתן משקל לעובדה שארגון ערך תסקירי השפעה על הפרטיות במסגרת הליכי הפיקוח שלה למשל.
אנחנו מנוסים בעריכת תסקירי השפעה על הפרטיות ונשמח לעמוד לרשותכם,
אנו עומדים לרשותכם לכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.