הנחייה חדשה- זכות העיון במידע דיגיטלי
הרשם למאגרי מידע פרסם השבוע הנחיה בנושא תחולת הוראות חוק הגנת הפרטיות על זכות העיון בהקלטות קול וידאו ומידע דיגיטלי נוסף שתכנס לתוקפה בתוך 60 יום.
השיח בין צרכן לעסק איננו מתנהל במקום העסק בלבד אלא גם לעיתים באמצעות שיחות טלפון, תכתובות צ'ט, שיחות המצולמות בווידיאו וכיו"ב. לעיתים נשמרות שיחות אלו על ידי בעל העסק באופן דיגיטלי. ישנם עוסקים שמחויבים להקליט ולשמור שיחות אלו מכוח חוק, נוהל או רישיון. אחרים מקליטים ושומרים את השיחות לצורך בקרה, אימות העסקה, שיפור השירות, ניתוח התנהגות צרכנית, הסקת מסקנות לצורך בניית אסטרטגיית שיווקיות ועוד.
על פי הרשם למאגרי מידע, עסק המקליט ושומר שיחות עם לקוחותיו מחזיק למעשה במאגר מידע הכפוף לחוק ולחובה לתת לציבור זכות עיון במידע שנשמר.
"מידע" מוגדר כאוסף נתונים על אישיותו של אדם, מעמדו האיש, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. בין מאגרי מידע ניתן לכלול רשימת לקוחות, רשימת עובדים ועוד.
חוק הגנת הפרטיות קובע הוראות מפורטות בדבר אחזקת מאגרי מידע, ובכלל זה רישום המאגר, אופן השימוש בו וזכות העיון במידע על ידי האדם אליו מתייחס המידע.
פרק ב' לחוק עוסק בהסדרת השימוש במאגרי מידע המכילים מידע אישי רגיש.
החוק מגדיר:
"מאגר מידע" - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט:
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;
מאגר מידע המכיל מידע אישי ומקיים את התנאים הקבועים בחוק, חייב רישום אצל רשם מאגרי המידע שבמשרד המשפטים. הרשם מנהל את פנקס מאגרי מידע, שאף הוא מאגר מידע. החוק קובע כי בעל מאגר מידע, מחזיק במאגר מידע ומנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.
מטרת ההנחיה הינה להבהיר לציבור את זכותו לעיין במידע על אודותיו גם כאשר המידע נשמר באופן דיגיטלי על ידי בתי עסק או גופים אחרים הנותנים שירות לציבור, וכן את האופן שבו מפרש רשם מאגרי המידע את חוק הגנת הפרטיות לצורך הפעלת סמכויותיו למימוש זכות העיון במידע דיגיטלי.
בנוסף, מבקשת ההנחיה להבהיר כי הוראות החוק חלות על כלל סוגי המידע הדיגיטלי.
הרשם סבור, בהתבסס על פסיקה בעניין, שכל מידע, גם כזה שלא בהכרח נופל תחת ההגדרה ע"פ חוק, הופך לכזה אם יוצלב עם מידע אחר.
עוד מבהיר הרשם שזכות העיון חלה גם כאשר המידע איננו שמור מלכתחילה באופן המקושר לזהות הלקוח אולם ניתן לקשר בין המידע לבין אדם –מזוהה במאמץ סביר, אף אם בדיעבד.
הרשם מתייחס בהנחיה גם לאופן מתן זכות העיון ומציין כי יש לפרש את מתן זכות העיון פרשנות שתתאים לאופן ולפורמט בהם נשמר המידע, כלומר, דרישת התקנות להגיע פיזית אל מקום הישוב בו נמצא המאגר, תחול על מתן זכות העיון באמצעות משלוח הקבצים בדואר אלקטרוני, מתן גישה לאתר מאובטח, משלוח המידע למבקש במדיה גנטית וכיו"ב. במילים אחרות ,"ראוי כי מתן זכות העיון תהיה באמצעות משלוח קובץ דיגיטלי הניתן לקריאה, שמיעה או צפייה, בהתאם לפורמט בו נשמרה התקשורת במקור, ובאופן הניתן לעיון באמצעות תוכנות הזמינות לציבור הרחב."
על האפשרות לעיון להינתן בתוך 30 יום מיום שהתקבלה הבקשה ובעלות מקסימאלית של 20 ₪.
עם זאת, על העוסק לוודא כי הוא מוסר מידע ספציפי ופרטני בלבד (כדי לא לפגוע בפרטיות של אחרים) וכן עליו לנקוט באמצעים נאותים לזיהוי המבקש ולאבטחת המידע.
בגין הפרת הנחייה זו רשאי רשם מאגרי מידע להפעיל את סמכותו ולהטיל קנס - בהתאם לקבוע בתקנות העבירות המנהליות.
בחודשים הקרובים צפוי הרשם לפרסם תקנות מפורטות ומעודכנות בעניין אבטחת מאגרי מידע.
תוכלו להתעדכן באתר בתקנות אלה כאשר יתפרסמו.
לשאלות בנושא ניתן לפנות לעו"ד שרון כ"ץ, יועצת משפטית sharonk@chamber.org.il
יובהר כי המידע לעיל אינו מהווה יעוץ משפטי פרטני וכי נוסח החוק הינו הנוסח המחייב.
