פרטיות – בלוג מרכז חת לחקר התחרות והרגולציה https://hethcenter.colman.ac.il Wed, 22 Feb 2023 12:49:32 +0000 he-IL hourly 1 https://wordpress.org/?v=6.8.1 https://hethcenter.colman.ac.il/wp-content/uploads/2020/09/מרכז-חת-1-150x150.png פרטיות – בלוג מרכז חת לחקר התחרות והרגולציה https://hethcenter.colman.ac.il 32 32 חובת היידוע בעידן הדיגיטלי https://hethcenter.colman.ac.il/2023/02/22/%d7%97%d7%95%d7%91%d7%aa-%d7%94%d7%99%d7%99%d7%93%d7%95%d7%a2-%d7%91%d7%a2%d7%99%d7%93%d7%9f-%d7%94%d7%93%d7%99%d7%92%d7%99%d7%98%d7%9c%d7%99/ Wed, 22 Feb 2023 12:49:32 +0000 https://hethcenter.colman.ac.il/?p=1126 להמשך קריאה]]> הרשות להגנת הפרטיות פרסמה ביולי 2022 נייר עמדה המתייחס לחובות היידוע המוטלות על בעל מאגר מידע בקשר עם מידע פרטי המוחזק על ידו. במסגרת הדוח, הרשות פירטה על חובת היידוע כחלק מהסכמה מדעת; על איסוף מידע במערכות מבוססות אלגוריתם או בינה מלאכותית; הבחנה בין הסכמה מראש לאיסוף מידע לבין שימוש במידע שנאסף ואף הוסיפה הנחיות והמלצות באופן יישום הוראות החוק. הבסיס החוקי לאסדרה מצוי בסעיף 11 לחוק הגנת הפרטיות, התשמ"א-1981, הקובע כך: ׳׳פניה לאדם לקבלת מידע לשם החזקתו או שימוש בו במאגר מידע תלווה בהודעה שיצוינו בה –

(1) אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו;

(2)  המטרה אשר לשמה מבוקש המידע;

(3)  למי יימסר המידע ומטרות המסירה. ׳׳

לפי הוראת חוק זו, איסוף ושימוש במידע על אודות אדם מתאפשר בשני מצבים: מכוח הסכמת האדם בעל המידע או כאשר הם נעשים מכוח הסמכה שבדין. הוראת החוק מטילה חובה לפנות לאדם לצורך קבלת המידע, להסביר את סיבת הבקשה, ולציין אם ישנה חובה בדין למסירת המידע.

חובת יידוע כחלק מהליך קבלת הסכמה: הרשות הדגישה כי ייתכן מצב בו מבקש המידע ירצה לעשות שימוש במידע שלא לצורך שעבורו הוא נמסר. במצב כזה, על אוסף המידע לפרט את כלל הנתונים הנדרשים לקבלת הסכמה לשימוש. דרישה זו מתחייבת מכוח סעיף 3 בחוק הגנת הפרטיות, הדורש ׳׳הסכמה מדעת׳׳. היקף היידוע  לצורך הסכמה מדעת מושפע מנתונים שונים כגון: זהות המבקש, אופי מערכת היחסים בין הצדדים ורגישות המידע. ככל שהמידע יהיה רגיש יותר, דורשת הרשות שהיקף הידוע ביחס לאופי שמירת המידע יהיה רחב יותר. יסוד ה"הסכמה מדעת" נבחן בפרשת קלנסואה. במסגרת הפרשה, דרשה העירייה מעובדות חינוך בבתי ספר להחתים את כרטיס העבודה בהחתמה ביומטרית (החתמת שעון עבודה ע׳׳י טביעת אצבע), במטרה למנוע דיווחים שקריים. העותרות (באמצעות הסתדרות העובדים) טענו שמדובר בפגיעה בפרטיות, מאחר שמידע ביומטרי הוא פרטי ואיננו נחוץ לטובת החתמת כרטיס עבודה, בעוד שהעירייה כמעסיקה טענה שמדובר במנגנון פיקוח לגיטימי. בית הדין הארצי לעבודה פסק כי עצם איסוף המידע והכנסתו למאגר מהווה פגיעה בפרטיות ובאוטונומיה של הפרט, ולכן נדרשת הסכמה מדעת (ס׳׳ק (תל אביב-יפו) 49718-11-12 עיירת קלנסואה נ׳ הסתדרות העובדים הכללית החדשה https://www-nevo-co-il.ezproxy.colman.ac.il/SearchResults.aspx?query=a969db5d-38ed-4355-9080-ecb11f7e65c0). בית הדין בחן האם המעסיק מסר מידע מספק ביחס לאיסוף המידע, אופי השימוש בו, מי בעל הגישה למאגר המידע, מהן הסכנות הכרוכות במסירת מידע ביומטרי ושאלות נוספות שמטרתן לבחון את התנאים שהציבה הרשות ביחס לבחינת יסוד ׳׳הסכמה מדעת׳׳ כחלק מדרישות סעיף 3 לחוק. בעניינו, פסק בית הדין שלא התקיימו התנאים להסכמה מדעת כאמור משום שלא סופק לעותרות מידע מקיף ביחס לאחזקתו, שימושו והסכנות הכרוכות באופן התואם את המידע הרגיש אותו מבקשת העירייה מהעותרות.

איסוף מידע במערכות מבוססות אלגוריתם או בינה מלאכותית: השימוש במערכות מבוססות אלגוריתם מקשה על בעל המידע לדעת איזה מידע על אודותיו נאסף ונשמר, ולשם אילו מטרות נאסף. היעדר שקיפות פוגע ביכולת הפיקוח והבקרה. בשל דפוס הפעילות של האלגוריתמים, הם מטבעם אינם שקופים לציבור ומתנהלים כ׳׳קופסא שחורה׳׳. בהקשר זה הרשות הדגישה כי סעיף 11 לחוק הגנת הפרטיות מטיל חובת יידוע בשלב איסוף המידע, גם על גורמים האוספים מידע באמצעות בינה מלאכותית.

הבחנה בין הסכמה מראש לאיסוף מידע לבין שימוש במידע שנאסף: הרשות הנחתה לקבל הסכמה מדעת של בעל המידע הן לאיסוף המידע והן לשימוש בו. אמנם, בקשת אישור מחדש בכל עת בה יידרש שימוש במידע המצוי במאגר תדרוש הקצאת משאבים ותוביל לעלויות רבות; אך מנגד, בהיעדר עדכון והסכמה מודעת בגין שימוש במידע כאמור, צפויה פגיעה ממשית בזכותו של אדם לפרטיותו. הרשות ציינה שבהתאם לסעיף 3 לחוק הגנת הפרטיות, נדרשת ׳׳הסכמה מדעת׳׳ הן לאיסוף המידע והן לשימוש בו, כך שמבקש המידע נדרש כבר בעת בקשת המידע לציין מהי תכלית האיסוף ומי יבצע שימוש במידע האמור. כמו-כן הרשות המליצה שככל שהמידע שנאסף רגיש יותר, כך רצוי שהיקף הפרטים שימסרו לנושא יהיה רב ומפורט יותר.

לשם השוואה, בקליפורניה נחקק לאחרונה יחסית חוק המטפל באופן ייעודי בהגנת פרטיות המידע: California Consumer Privacy Act of 2018 (CCPA https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5).). המחוקק הכיר בפערי כוחות בין בעל המידע לבין אוסף המידע, ובסיכון האינהרנטי לפגיעה בפרטיות שנוצר בעקבות אגירת מידע אישי על צרכנים. הצורך ביצירת מנגנון פיקוח ובקרה להגנת המידע בא לידי ביטוי למשל בדרישה לקיים מנגנון אבטחה התואם את אופי המידע הנשמר במאגר העסק: ׳׳A business that collects a consumer’s personal information shall implement reasonable security procedures and practices appropriate to the nature of the personal information to protect the personal information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with Section 1798.81.5׳׳.

החוק בקליפורניה מעגן באופן מפורש רשימה של זכויות צרכניות במטרה להגן על פרטיות המידע הנאסף, כגון: הזכות לדעת – זכות האזרח לקבל מידע שנאסף לגביו; זכות מחיקה – הזכות של האזרח לבקש מעסקים שימחקו מידע אישי שאספו לגביו; הזכות לבטל הסכמה – זכות האזרח להפסיק למכור או לשתף את המידע שנאסף לגביו עם עסקים אחרים; הזכות לתקן – זכות האזרח לבקש מעסקים לתקן מידע לא מדויק שמוחזק לגביו; הזכות להגביל את השימוש והחשיפה למידע אישי רגיש – זכות האזרח להגביל את סוג, אופי והיקף המידע המחוזק לגביו ולהתירו למטרות מוגבלות ומסוימות.

הנחיות והמלצות: הרשות ציינה כי חובת היידוע חלה תמיד כאשר מתבצע איסוף מידע אישי. כל גורם המבקש מידע אישי צריך לפרט בפנייתו את סוג המידע, את מי עשוי המידע לשמש ולשם איזו מטרה נאסף. איסוף מידע ושימוש בו ללא יידוע מספק משליך על תוקף ה"הסכמה מדעת" ועשוי להוות הפרה של חוק הגנת הפרטיות. על בעל המאגר לוודא שהיידוע יתבצע בשפה ברורה ונגישה, המפרטת את אופן שמירת המידע ואשר מתחשבת בנתוני הלקוח (כגון גיל, ארץ מולדת ומוגבלויות נוספות העשויות להשפיע על הבנת הבקשה). ככל שיעלו פערים בין התאמת בקשת המידע לזהות הלקוח, הדבר עשוי להשליך על תוקף ההסכמה מדעת. ככל שמדובר במידע רגיש במיוחד (כגון: שמירת טביעות אצבע; DNA או כל אמצעי זיהוי ביומטרי), וקיים חשש בדבר חופשיות ההחלטה להסכים למסירת המידע, רצוי שמבקש המידע ימסור פרטים נוספים וברורים יותר על שמירת המידע והשימוש בו.

לנייר העמדה "חובת יידוע במסגרת איסוף ושימוש במידע אישי" ראו:

https://www.gov.il/he/departments/news/duty_to_notify

]]>
פרטיות שברירית https://hethcenter.colman.ac.il/2022/08/16/%d7%a4%d7%a8%d7%98%d7%99%d7%95%d7%aa-%d7%a9%d7%91%d7%a8%d7%99%d7%a8%d7%99%d7%aa/ Tue, 16 Aug 2022 08:54:38 +0000 https://hethcenter.colman.ac.il/?p=1027 להמשך קריאה]]>

לאחרונה פורסם כי משרד המשפטים מקדם חקיקה מזורזת שתטיל על עסקים ישראליים חובות מיוחדות להגנת המידע הפרטי, אך זאת רק אם הם מייצאים שירותים לאירופה ולצורך התאמה לסטנדרט האירופאי. הן כוללות הגבלות על החזקת מידע שאינו נדרש למטרה שלשמה נאסף; חובה לדייק מידע; וחובה למחוק מידע לבקשת בעל המידע. חובות חשובות אלה מעוגנות בחקיקה אירופאית להגנת המידע הפרטי (General Data Protection Regulation). למרבה הצער, לחקיקה מתקדמת זו אין מקבילה בישראל, שפועלת לפי חוק הגנת פרטיות מיושן ובלתי רלבנטי לעידן האינטרנטי. על משרד המשפטים לתקן את החוק בכללותו, למען הגנה על אזרחי ישראל ולא על אזרחי אירופה, וזאת חלף תיקון מעוות שעלול לקבע את המצב הרעוע מלכתחילה של הגנת הפרטיות.

"לא יפגע אדם בפרטיות של זולתו ללא הסכמתו"- מצהיר סעיף 1 לחוק הגנת הפרטיות. עיקרון זה הורם למעמד חוקתי בשנת 1992, עם חקיקתו של חוק יסוד: כבוד האדם וחירותו, שקובע: "כל אדם זכאי לפרטיות ולצנעת חייו". בהתאם למעמד הגבוה, פגיעה בפרטיות עלולה להצמיח עוולה אזרחית ואף עבירה פלילית שעונשה עד חמש שנות מאסר. עם זאת, מקרים העולים לכותרות מזכירים לנו כי בפועל הפרטיות שלנו שברירית; ראו למשל תביעתו של עו"ד חיים רביה נגד המדינה בעניין פרקטיקה של שמירת תמונות של היוצאים והנכנסים ממדינת ישראל; והתביעות הייצוגיות המתמשכות משנת 2017 ומשנת 2018 כנגד פייסבוק בגין תיוג תמונות ללא הסכמה ובגין איסוף מידע על אנשים שכלל אינם רשומים ברשת החברתית; כמו גם תביעות ייצוגיות שהוגשו לאחרונה כנגד טוויטר בטענה לשימוש במידע ללא רשות משתמשיה.

היוזמה האחרונה שקידם משרד המשפטים הוא תיקון 14 לחוק הגנת הפרטיות — לכאורה זהו תיקון רחב היקף, שמטרתו לעדכן את החוק למציאות הדיגיטלית. אך מבט מקרוב מלמד כי זהו תיקון חלקי וחסר. שלושה חידושים הוצעו בו: העצמת האכיפה: התיקון מצייד את הרשות להגנת הפרטיות בסמכויות פיקוח, לרבות חדירה לחומר מחשב במקרים בהם מתעורר חשד להפרת החוק. בנוסף הוספה סמכות מנהלית להטיל על מפרי החוק עיצומים כספיים, עד 800,000 ₪. הקלת הנטל הרגולטורי: הניסיון שהצטבר הצביע על כך שההסדר הישן אינו מתאים למציאות הטכנולוגית שבה קיימים מאגרי מידע רבים, ואף עלול להוות מעין "תעודת כשרות" לעיבוד מידע בלתי לגיטימי. לפיכך הוצע לצמצם את חובת הרישום למאגרי מידע גדולים של יותר מ-100,000 אנשים, הנאספים על ידי גוף ציבורי או גוף שמטרתו איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או שהמידע נאסף מאנשים ללא הסכמתם. חובת הרישום תחול גם על מאגרי מידע שיש בהם יותר מ-500,000 אנשים ושהמידע בהם הוא בעל רגישות מיוחדת; כגון מידע רפואי, מידע על צנעת חייו האישיים של אדם, דעותיו הפוליטיות ואמונותיו. התיקון יעסוק גם בהגדרת מונחים: למשל, המונח "מידע" תוקן באופן המסדיר התייחסות לנתונים אישיים כגון ת.ז., טביעת אצבע, כתובת וטלפון, לגביהם כבר נקבע בפסיקה שהם נכללים בגדר ענייניו הפרטיים של אדם.

ומה חסר? הרבה. החסרים בחקיקה הישראלית בולטים בהשוואה לחקיקה באירופה ובארה"ב. הרגולציה האירופאית הנ"ל, GDPR, חוגגת עתה את שנתה הרביעית ונחשבת לאחת הקשוחות הקיימות בתחום הגנת הפרטיות. זו נכנסה לתוקף בשנת 2016 וממאי 2018 נאכפת על ידי הנציבות. היא מגנה על זכותו של אדם שנאסף לגביו מידע ומכילה הוראות מחייבות כלפי גופים האוספים ומעבדים מידע אישי המצוי ברשת. סעיף 5 של הGDPR- קובע את הכללים המחייבים באיסוף ועיבוד נתונים אישיים: הנתונים יאספו למטרות לגיטימיות ומפורשות ויוגבלו לאותן מטרות; הנתונים יהיו מדויקים ובמידה ולא – יתוקנו; הנתונים יעובדו באופן שקוף ותוך אבטחת מידע. בפרק 3 מוסדרות זכויות מהותיות, כגון: הזכות לשקיפות המידע הנאסף ומטרת עיבודו; הזכות של הפרט לנייד את המידע לגורם אחר; הזכות להתנגד ליצירת פרופיל; הזכות להישכח. אזרחי אירופה זכאים לקבל מידע שנאסף על אודותיהם באופן מפורט, בשפה ברורה, בכתב וללא עלות. הם זכאים  לדרוש תיקון מידי של טעויות וכן מחיקה. ארגונים בהם מבוצע עיבוד נתונים בהיקפים גדולים מחויבים במינוי קצין ציות.

החוק האירופאי מטיל קנסות כבדים (עשרות מיליוני יורו) על מפרי הוראותיו. אמזון כבר שילמה למעלה מ- 746 מיליון יורו בשל הפרות חוזרות של ה-GDPR. וואטסאפ שילמה קנסות של למעלה מ-225 מיליון יורו בגלל שיתוף חסר של תהליך עיבוד המידע במסגרת הודעת הפרטיות שלה. ברשת קיימים אתרים שעוקבים תדיר אחר עסקים מפרי הרגולציה ומפרטים קנסות ששולמו (https://www.enforcementtracker.com). כבר בשנה הראשונה לאכיפה הוגשו מעל 144,000 תלונות על אי קיום הוראות החוק (הרוב בקשר לטלמרקטינג) ונרשמו מעל 89,000 הודעות של חברות על דליפת נתונים.

בארה"ב, רשות הסחר הפדרלית אמונה על הזכות לפרטיות מכח חוק הסחר הפדרלי (Federal Trade Commerce Act). לאחרונה, הרשות הטילה קנס בסך 150 מיליון דולר על טוויטר בשל שימוש שלא כדין בנתונים פרטיים של משתמשים (מיילים ומספרי טלפון), לצורך פרסום מטורגט. לפני מספר חודשים הוטל קנס של 1.5 מיליון דולר על חברה המפעילה אפליקציה המסייעת לקטינים להפחית במשקל, היות ואספה מידע אישי על קטינים ללא הסכמת הוריהם. החברה נדרשה להשמיד את האלגוריתם שפיתחה בהתבסס על מידע פרטי שהושג שלא כדין.

הטכנולוגיה המתקדמת של היום, המאפשרת איסוף נתונים בכמות עצומה, יוצרת איומים משמעותיים על הזכות שלנו לפרטיות. ראוי היה שהזכויות המהותיות שלפי הרגולציה האירופאית והאמריקאית תעמודנה לנגד עיני המחוקק הישראלי בבואו לתקן את המצב הקיים, במקום להעמיק את הפער.

 

[1] ד"ר איריס סורוקר היא שופטת בדימוס, מנהלת מרכז חת לחקר התחרות והרגולציה במסלול האקדמי המכללה למינהל. ד"ר דנה נייער היא חוקרת במרכז.

]]>
עוד על איכוני שב"כ https://hethcenter.colman.ac.il/2022/01/25/%d7%a2%d7%95%d7%93-%d7%a2%d7%9c-%d7%90%d7%99%d7%9b%d7%95%d7%a0%d7%99-%d7%a9%d7%91%d7%9b/ Tue, 25 Jan 2022 10:32:26 +0000 https://hethcenter.colman.ac.il/?p=844 להמשך קריאה]]> שוב דן בג"צ בשאלה – הפעם על רקע גל האומיקרון – אם ראוי להפעיל את השב"כ לצורך איכון אזרחים מאומתי קורונה (בג"ץ 8196/21 האגודה לזכויות האזרח בישראל נ' ממשלת ישראל, מיום 2.12.2021, כב'  השופטים ג' קרא, ע' גרוסקופף, וכבוד המשנה לנשיאה נ' הנדל). הסוגיה עלתה לדיון בעתירת האגודה לזכויות האזרח בישראל בעניין תקנות שעת חירום (הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות זן אומיקורן omicorn של נגיף הקורונה החדש), תשפ"ב-2021 (עד יום 02.12.2021).

בשני פסקי-דין קודמים בג"ץ פסק, כי יש להגביל את היקף ההסתייעות בשב"כ למקרים בהם החולה המאומת אינו משתף פעולה עם החקירה האפידמיולוגית. הנימוק לכך מושתת על הפגיעה הקשה בזכויות היסוד ומרקם החברה הדמוקרטית. גם הפעם, השאלה המרכזית שנבחנה היא, האם השימוש באיכון על ידי השב"כ הוא מידתי בנסיבות העניין, בהתחשב בהתפרצות וריאנט האומיקרון. בג"צ דחה את העתירה ונמנע מלבטל את תקנות החירום. כב' הש' הנדל, אשר מפיו ניתן פסק-הדין, ציין כי מצב התחלואה שנוצר עם הופעת האומיקרון שונה מזה שעמד לפני בית המשפט במקרים הקודמים: כאשר אנו עוסקים בוריאנט חדש, הזמן הוא מרכיב חשוב ביותר לצורך מניעת התפשטותו. הצורך בתגובה מהירה עשוי להצדיק שימוש בתקנות לשעת חירום. במידה ונחייב את הממשלה לחוקק חקיקה ראשית על מנת להתמודד עם האומיקרון, העניין עלול להימשך זמן רב, ואין הדבר מתאים לקצב ההתפשטות המואץ של הנגיף.

בית המשפט בחן אם השימוש בכלי השב"כ הוא מידתי ומוצדק לגופו. השופט הנדל ציין כי התקנות החדשות מותאמות למידותיו של הוריאנט החדש, ובנוסף הן מקנות לשב"כ סמכות מוגבלת בזמן. בנוסף, סמכות השב"כ תחול רק ביחס לחולים שיש יסוד ממשי להניח שהם נושאים את הזן החדש. לפיכך, ויחד עם חוסר הוודאות בנוגע לאומיקרון ולהשפעותיו, ובשים לב לכך שמדובר בהוראת שעה למשך 5 ימים בלבד, הרי שלא הוכח כי הרגולציה פוגעת בפרטיות ברמה לא מידתית.

נציין כי הרשות להגנת הפרטיות פרסמה חוות דעת בסוגיה זו בנובמבר 2021. עמדת הרשות היא, שבשלב הנוכחי ראוי לבצע מעקב בטרם יאושר מנגנון האיכון, ובמטרה לספק מענה לשאלות מהותיות: האם הנגיף החדש עמיד לחיסונים? האם הגבלות חלופיות מספיקות לבלום את התפשטותו? הרשות ציינה כי השימוש באיכוני שב"כ הוא אמצעי חריג ביותר, המגלם פגיעה קשה בפרטיות ובאופי הדמוקרטי של המשטר בישראל. זכותו הבסיסית של אדם היא לשמור על פרטיותו בכל הקשור למקום המצאו בזמן מסוים. נציין כי משך התקנות הוגבל עד ליום 5 לדצמבר 2021 והוא לא הארך.

לתקנות שעת חירום ראו: תקנות שעת חירום (הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות זן אומיקורן omicorn של נגיף הקורונה החדש), תשפ"ב-2021(עד יום 02.12.2021)

לעמדת הרשות להגנת הפרטיות בנושא איכונים ראו: עמדת הרשות להגנת הפרטיות בנוגע להסתייעות בשירות הביטחון הכללי לאיתור מגעים

לפסק הדין ראו:  בג"ץ 8196/21 האגודה לזכויות האזרח בישראל ואח' נ' ממשלת ישראל ואח' (פורסם ב-2.12.21)

]]>
צמצום מידע עודף https://hethcenter.colman.ac.il/2021/05/26/%d7%a6%d7%9e%d7%a6%d7%95%d7%9d-%d7%9e%d7%99%d7%93%d7%a2-%d7%a2%d7%95%d7%93%d7%a3/ Wed, 26 May 2021 07:16:43 +0000 https://hethcenter.colman.ac.il/?p=670 להמשך קריאה]]> בסוף חודש מרץ פרסמה הרשות להגנת הפרטיות מסמך מדיניות בדבר צמצום מידע עודף (Data minimization), המוחזק במאגרי מידע למרות שאינו רלוונטי לשם השגת המטרה שלשמה נאסף. מטרת המסמך היא לסקור את הוראות הדין הרלוונטיות להמשגת המונח "מידע עודף" ולהבנת עקרון צמצום המידע, להציג את גישת הרשות בעניין זה, וכן את המלצותיה לצמצום איסופו ושמירתו של מידע עודף במאגרי מידע. הרשות מביעה עמדתה כי איסוף מידע עודף מהווה כשלעצמו פגיעה בפרטיות, ואף מגדיל את הסיכון לפגיעה בפרטיות בשל החשש לדליפה ולשימוש בידי גורמים לא מורשים.

"מידע עודף" הוא מידע אשר נאסף ונשמר במאגר מידע, על אף שאינו נדרש לשם השגת המטרה לשמה נאסף. מידע עלול להיות "עודף" כבר בשלב איסופו, או בחלוף הזמן בעת שמירתו במאגר, לאחר שכבר לא נדרש לתכליות אשר לשמן נאסף. המבחן להגדרתו של מידע כ"עודף" אינו רק כמותי, אלא מתייחס גם לסוג המידע ולזמן שמירתו.

המונח "מידע עודף" מוגדר בחוק הגנת הפרטיות, התשמ"א-1981 בהקשר מצומצם בלבד, המתייחס למצב בו מידע נמסר ע"י גוף ציבורי או שמועבר בין גופים ציבוריים. תק' 6 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986 קובעת כי על גוף ציבורי המקבל מידע להפריד מהנתונים שקיבל את המידע העודף ולמחוק אותו. במסמך שפרסמה, מצביעה הרשות על עקרון צמידות המטרה, המוסדר בסעיפים 2(9) ו-8(ב) לחוק הגנת הפרטיות, על-פיו שימוש במידע אפשרי אך ורק לטובת המטרה לשמה נמסר או הוקם מאגר המידע. כמו כן, תק' 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 מורה לבעל מאגר מידע לבחון אחת לשנה אם במאגר נשמר מידע החורג ממטרותיו. הרשות מצביעה על ס' 14 לחוק הגנת הפרטיות, המקים את זכותו של אדם לדרוש תיקון או מחיקת מידע שאינו עדכני אודותיו המוחזק מאגר מידע, שכן מידע שכזה עלול להיחשב, בנסיבות מסוימות, מידע עודף.

הרשות מפרטת מספר טעמים לכך שצמצום מידע עודף הוא אינטרס של הגורמים האוספים ושומרים מידע. ראשית, צמצום מידע עודף יביא לחיסכון בתשומות הכלכליות המשמשות לאחסונו ולאבטחתו כנדרש עפ"י הדין. שנית, צמצום מידע עודף עשוי למזער את מידת הפגיעה בפרטיות שתיגרם במקרה של דליפת מידע מהמאגר. במקרה כזה, תצומצם החשיפה של בעל המאגר לתביעות משפטיות בגין פגיעה בפרטיות, וכן תקטן הפגיעה במוניטין שלו. שלישית, צמצום מידע עודף עשוי להפחית את הנטל הרגולטורי המוטל על בעל מאגר המידע, וזאת במיוחד ביחס לתאגידים הכפופים לעקרון האחריותיות הקיים בתקנות האירופאיות להגנת מידע (GDPR). רביעית, חיזוק אמון הציבור בגוף המחזיק את המידע, וזאת בשל ההימנעות מאחזקת מידע שאינו דרוש.

המלצתה המרכזית של הרשות לכלל הגופים הרלוונטיים היא להטמיע בפעילותם את עקרון צמצום המידע העודף. במסגרת זאת, להימנע מאיסוף, שמירה, או כל שימוש במידע שאינו הכרחי למטרה אשר לשמה נמסר, בשים לב להיקפו של המידע, לסוגו, רגישותו וכדומה. הרשות מדגישה את חשיבות עיצוב מערכות המידע בכפוף לשיקולי פרטיות (Privacy by Design). כחלק מכך, ממליצה הרשות על עריכת תסקיר בדבר ההשפעה על הפרטיות כבר בשלב מוקדם של תכנון מערכות מידע, כדרך אפקטיבית ויעילה לצמצום איסוף ושמירת מידע עודף, וכנגזרת מכך להקטין את הסיכון לפגיעה בפרטיות.

לטעמנו, המסמך שפרסמה הרשות הוא חשוב. החוק, שנחקק בשנת 1981, לא צפה מציאות טכנולוגית בה נאסף מידע רב אודות הפרט, לעתים שלא לצורך, והוא אינו נותן מענה מספק לאתגר זה. הרשות מחלצת מתוך הדין הקיים את הבסיס הנורמטיבי לעקרון צמצום המידע,  מעלה את המודעות לנושא המידע העודף, ומצביעה על החובה לצמצומו. יש בכך ביטוי לגישה  פרו-אקטיבית מצד הרגולטור, לצורך התאמת  דרישות הדין לעת הנוכחית.

מקור: מסמך מדיניות הרשות להגנת הפרטיות בנושא צמצום מידע (Data Minimization) (טיוטה להערות הציבור) – https://www.gov.il/BlobFolder/rfp/data_minimization_public_hearing/he/data_minimization_public_hearing.pdf

]]>
על השב"כ, הקורונה, ואזרחי ישראל https://hethcenter.colman.ac.il/2021/05/24/%d7%a2%d7%9c-%d7%94%d7%a9%d7%91%d7%9b-%d7%94%d7%a7%d7%95%d7%a8%d7%95%d7%a0%d7%94-%d7%95%d7%90%d7%96%d7%a8%d7%97%d7%99-%d7%99%d7%a9%d7%a8%d7%90%d7%9c/ Mon, 24 May 2021 07:38:59 +0000 https://hethcenter.colman.ac.il/?p=642 להמשך קריאה]]> לאחרונה קבע בג"ץ, בהרכב של שבעה שופטים, כי על הממשלה להגביל את ההסתייעות בשב"כ לצורך איתור חולי קורונה, רק לחולים שאינם משתפים פעולה בחקירה אפידמיולוגית אנושית (בג"ץ 6732/20 האגודה לזכויות האזרח בישראל ואח' נ' הכנסת  ואח', מיום 1.3.2021). זאת, לאחר ששירות הביטחון הכללי הוסמך, מכח החלטת ממשלה, לקבל, לאסוף ולעבד מידע טכנולוגי במטרה לסייע למשרד הבריאות בביצוע חקירות אפידמיולוגיות לשם קטיעת שרשרת ההדבקה, תוך התחקות אחר מסלול תנועתם של חולים. הסמכת השב"כ נשענה על סעיף 3 ל"חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש וקידום השימוש בטכנולוגיה אזרחית לאיתור מי שהיו במגע קרוב עם חולים (הוראת שעה), התש"ף-2020" (המכונה "חוק הסמכת השב"כ"). לפי חוק זה רשאית הממשלה להסמיך את השב"כ לבצע "פעולות מעקב", הנדרשת לאיתור אזרחים ששהו בקרב חולים מאומתים, שעה שאין חלופה מתאימה להסתייעות בשירות.

העותרים הם: האגודה לזכויות האזרח, עדאלה – המרכז המשפטי לזכויות המיעוט הערבי בישראל, רופאים לזכויות אדם – ישראל ופרטיות ישראל. המשיבים הם: הכנסת, הממשלה, שירות הביטחון הכללי, משרד הבריאות והרשות להגנת הפרטיות. הצדדים הסכימו שהחוק הנ"ל פוגע בפרטיות כזכות יסוד, וזאת מעצם המעקב אחר החולים. המחלוקת נסבה על השאלה אם הפגיעה בזכות היא מידתית. 

בפני בג"צ הונחה חוות דעת של רשות הגנת הפרטיות מאוקטובר 2020, לפיה אין הצדקה להמשך השימוש הגורף בכלי השב״כ לאור הגדלת מערך החקירות האפידמיולוגיות ויעילותו. צוין כי הגדלת המערך תאפשר לבצע חקירה אפידמיולוגית אנושית, בזמן אמת ובאותו היום, לכל מי שאובחן כחולה מאומת, ולכן יש לשקול שימוש נקודתי בלבד בשב"כ, במקרים שבהם החולה המאומת אינו משתף פעולה.

בג"צ כבר נדרש בעבר לשאלת ההסתייעות בשב"כ לצרכי מעקב אחר חולים (בג"צ 2109/20 עו"ד שחר בן מאיר נ' ראש הממשלה ואח', מיום 26.4.2020).באותו ענין נפסק כי מצב החירום שבו מצויה המדינה עשוי להצדיק הסתייעות בשב״כ, אלא שעל המדינה לעגן הסמכה זו באופן סדור בחקיקה ראשית מפורשת. בעקבות פסק-הדין בענין בן מאיר הנ"ל, נחקק חוק הסמכת השב"כ, וזאת כהוראת שעה שתוקפה הוגבל לשישה חודשים, בהתחשב בכך שמדובר בהסדר חריג ביותר שאין מקום לעגנו בחקיקה רגילה וקבועה. כעת פסק בג"צ, כי הפגיעה בזכויות היסוד אינה צולחת עוד את מבחני פסקת ההגבלה, וכי התועלת המופקת מהסתייעות בשב"כ נמוכה ביחס לפגיעתו הקשה בזכות לפרטיות. בכלל זה אוזכרה ״החריגוּת הרבה הכרוכה בהסתייעות בשב"כ בתחום אזרחי, שאינו נמנה עם תפקידיו ועם יעודו כארגון בטחון מסכל״. כב' הנשיאה חיות התמקדה בחלוף הזמן מאז פרוץ המגיפה ובשינוי הנסיבות, ביניהם מערך החיסונים והגידול במערך החקירות האנושיות ויעילותו. בשל שינוי הנסיבות, אין לאפשר את הארכת ההסתייעות בשב"כ למעקב אחר אזרחים. ככל והממשלה תבחר להמשיך ולהסתייע בשב"כ, עליה לגבש קריטריונים להפעלת שיקול דעתה ובכל מקרה תוגבל הסמכות רק לאותם מקרים בהם החולה המאומת אינו משתף פעולה בחקירה האפידמיולוגית.

המשנה לנשיאה, כב׳ השופט מלצר, הוסיף כי ישראל היא המדינה הדמוקרטית היחידה בתבל שעושה שימוש בשירותי הביטחון שלה על מנת לאתר מגעים עם חולים מאומתים. כב' השופטת ברק-ארז התייחסה לחשש להזנחת חלופה אזרחית בשל ההתרגלות לאמצעי השב״כ. כב׳ השופט עמית קבע, לאור הנתונים שהונחו בפני בית המשפט, כי האפקטיביות של החקירה האפידמיולוגית האנושית גבוהה מזו של איכוני השב"כ. מנגד, כב׳ השופט סולברג סבר כי אין הצדקה לחייב את הממשלה בקביעת קריטריונים, הן בשל העובדה שהעותרים לא ביקשו זאת והן משום שמגפת הקורונה אינה צפויה, ומוטב להשאיר בידי הממשלה מרווח של גמישות, תמרון ושיקול דעת. כב׳ השופט הנדל הסכים עם הגבלת ההסתייעות בשב"כ למקרים שבהם החולה המאומת אינו משתף פעולה בחקירה האפידמיולוגית, אך הסתייג מהטלת חובה על הממשלה לקביעת קריטריונים. לבסוף, כב׳ השופטת ברון סיכמה: ״המדובר בשימוש באמצעי מעקב חסר תקדים של שב"כ אחר אזרחי ותושבי המדינה. מה שהיה מוצדק ואולי הכרחי בפרוץ המגפה, איננו כך בחלוף שנה״.

לחוות דעת #6 הרשות להגנת הפרטיות ״בהתאם לחוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה), תש"ף-2020״ (מיום 22.10.2020)לחצו כאן

לבג"ץ 2109/20 עו"ד שחר בן מאיר נ' ראש הממשלה ואח' (מיום 26.04.2020)לחצו כאן

לבג"ץ 6732/20 האגודה לזכויות האזרח בישראל  ואח' נ' הכנסת ואח' (מיום 1.3.2021): לחצו כאן 

]]>