מידע עודף – המלצות לעסקים כיצד למנוע הפרת הפרטיות

רשות הגנת הפרטיות פרסמה בחודש מרץ 2021 טיוטת מסמך המבהיר את עמדתה ביחס לשאלה מה הוא מידע עודף בעסקים, מה הסכנות הגלומות בו וחשוב מכך – מה ההמלצות לתיקון התקלה.

מסמך ההבהרה מדגיש את "עקרון צמצום המידע האישי" שבידי עסקים ומניעת "מידע עודף". במאמר זה אנסה להסביר ולכוון אתכם לנקודות החשובות וכיצד ראוי שתפעלו על מנת להגן על עצמכם ועל נשואי המידע. אין המדובר ברשימה סגורה או חד משמעית, אלא מדובר בתהליך בו עסקים מתייחסים לפרטיות נשואי המידע כשיקול רלוונטי במכלול שיקוליהם המסחריים.

שימו לב שמדובר בנושא מורכב שמצריך הבנה והתייחסות נכונה לפרטים. על כן, ככל שדבר מה אינו ברור או שתזקקו לעזרה בתחום זה, אתם מוזמנים ליצור קשר עם משרדנו בטלפון 03-6133333 או באמצעות עמוד צור קשר באתר.

בסיס איסוף המידע: חוק או הסכמה

רשות הגנת הפרטיות מבהירה שאיסוף מידע אישי בישראל ניתן לביצוע כדין על בסיס שני יסודות עיקריים: הוראות חוק או הסכמה.

"הסכמה" מפורשת בפסיקה הישראלית (ובמיוחד גם ב-GDPR, עליה תוכלו לקרוא יותר בקישור) בצורה מהותית יותר מכפי שנתפסת בעינינו.

לשם השגת "הסכמה מדעת" (כדרישת חוק הגנת הפרטיות הישראלי), עלינו לפרט בפני נשוא המידע איזה מידע נאסף, אילו שימושים ייעשו בו, למי הוא יועבר, לשם איזו מטרה וכן כל פרט רלוונטי אחר ביחס לאשר נעשה במידע. כל זאת יש לבצע באמצעות הסבר ברור ונגיש לקורא.

עקרון צמידות המטרה

מעבר לעקרון ההסכמה, חשוב שנהיה מודעים ל"עקרון צמידות המטרה" (ס' 2(9) ו-8(ב) לחוק הגנת הפרטיות). כלומר: יש להשתמש במידע רק לצרכים ולמטרות לשמם נאסף או שלשמם הוקם מאגר המידע.

די ברור, לא?

זכויות נשוא המידע

נושא זה מוסדר בהוראות סעיף 11 לחוק הגנת הפרטיות הישראלי. שימו לב שה-GDPR פיתחה רכיב זה בצורה מפורטת הרבה יותר, אולם מרבית הזכויות האירופיות נכללות גם בחוק הישראלי בצורה כזו או אחרת. על כן, ולאור רצון הרגולטור הישראלי שלא לאבד את הצהרת ההלימות האירופית (Adequacy Decision), מן הראוי לקחת גם את ה-GDPR בחשבון.

כך למשל, יש להודיע לנשוא המידע על כוונתכם לאסוף מידע אישי עליו ולהסביר לו כיצד והיכן תבצעו איסוף זה. מומלץ מאוד להוסיף הסבר קצר האם מסירת המידע מבוססת  בהוראת חוק כלשהי או בהסכמה.

זכות נוספת מפורטת בסעיף 13 לחוק והיא זכותו של הפרט לעיין במידע אישי שאתם אוספים עליו ולדעת – איזה מידע מצוי בידיכם.

זכותו של אדם לתקן את המידע שנשמר אצלכם מבוססת בסעיף 14 לחוק הגנת הפרטיות.

מידע עודף

נתחיל בהגדרה. מה הוא "מידע עודף"?

מידע עודף הוא מידע על אדם, שאינו רלוונטי למחזיק בו לשם המטרה לשמה נאסף. וההמלצה – מידע כזה ראוי למחוק.

כיצד מידע הופך לעודף?

יתכן שחלקו נאסף מראש מבלי שיהיה בו צורך (אתר מכירות אינו זקוק לדעת מה הוא תאריך הולדתי כדי למסור לי את החולצה שהזמנתי ברשת), ויתכן שהפך לכזה לאורך זמן (אם המכירה הסתיימה, מדוע חייב אתר המכירות לשמור את כתובתי לאורך שנים?).

דוגמאות רלוונטיות יכולות להיות גם מצבים בהם נאסף מידע לצורך שיפור השירות ללקוח, אולם הוא הופך להיות עודף (וראוי למחוק אותו), כאשר הלקוח עוזב את העסק ולא מסופק לו עוד שירות.

כך גם חברת השכרת רכב, אשר מצלמת את רשיון הנהיגה של משכירי הרכבים ושומרת אותם אצלה. הדבר כמובן נדרש לה לצרכי ההשכרה והשלמתה, אולם מרגע שההשכרה הסתיימה, אין לה עוד צורך בצילומים אלו (המחזיקים מידע אישי) ויש למחוק אותם.

הפסיקה הישראלית התייחסה למשל למצב בו הוטל על אדם צו עיקול אצל חברת ביטוח מסויימת. הליכי העיקול והתיק העיקרי הסתיימו, אולם חברת הביטוח לא מחקה את המידע ובסופו של יום סירבה להעניק לאותו אדם ביטוח עת פנה אליה במועד מאוחר יותר. הסיבה – החשש מפני עיקולים.

בית המשפט קבע שהמשך שמירת פרטי צו העיקול ב "זכרון המוסדי" של חברת הביטוח, לאחר סיום ההליך – הוא הפרת פרטיותו של אותו אדם, והיה עליה למחקו.

כיצד נדע אם מידע מסויים הוא מידע עודף?

המבחן לכך מחייב יצירת "מיפוי מידע" מפורט ומדוייק ככל האפשר, שיכלול הן את רכיבי המידע הנאסף, הן את מקורם, הן את הבסיס החוקי לאיסוף, את מטרות האיסוף, את השימושים במידע, בפני מי המידע נחשף, מה המועד למחיקתו של המידע ממאגרינו ועוד נתונים רלוונטיים.

על בסיסם ניתן לנתח כל זרם מידע ולהגיע למסקנה האם מדובר במידע עודף, או לא.

חשוב לזכור שמיפוי זה צריך ויהיה עדכני לאורך השנים.

הכלל: צמצום המידע – יש להמנע משמירת מידע עודף

משהגענו למסקנה כי זרם מידע מסויים כולל מידע עודף, מסיבה כלשהי, מומלץ מאוד למחקו ולהסירו מהמאגר.

הליך זה של צמצום מידע יש בו גם לתרום לאוסף עצמו. למשל: צמצום הסכנה בתביעות, קנסות והליכים הכרוכים בהפרת החוק. יתרה מכך, ככל שמדובר במידע רב יותר או רגיש יותר, דרישות החוק לאבטחתו עלולות להיות משמעותיות ויקרות יותר. צמצום המידע עשוי להקטין את הוצאות האבטחה. צמצום המידע אף מסייע להקטנת הנזק עת יקרה ארוע דלף מידע (והוא כנראה יקרה. השאלה היא מתי. תשאלו את שירביט…).

ההמלצות:

אז מה עלינו, כעסקים קטנים, לעשות כדי להגן על עצמנו מפני תקלות שכאלו?

הנה ההמלצות שהרשות מציעה (בניסוח שלי):

1. כשאתם יוצאים עם מערכת, מוצר או שירות חדש קודם כל עירכו, מראש, טבלת זרמי מידע וכן תסקיר השפעה על פרטיות (DPIA). התסקיר צריך שיהיה עובדתי, טכנולוגי, ארגוני ומשפטי. טבלת זרמי המידע צריך שתכלול את כל השאלות הנדרשות ותוצאות שניהם יסייעו לכם לקבל החלטות נכונות ולבסס את הבנתכם באשר לצעדים הנכונים (למשל – מה הוא המידע העודף, מדוע הוא נאסף והאם ראוי למחוק אותו). הרשות ממליצה לחזור על בדיקה זו מפעם לפעם בתדירות רלוונטית (מדי שנה או פחות).
2. כשאתם מחליטים לאסוף מידע ולהשתמש בו, בידקו מה הוא הבסיס החוקי לכך. האם הוראות חוק? הסכמת הפרט? הודעה לפרט? אחר?
3. וודאו שההסכמה שקיבלתם מפורטת מספיק כדי להגן עליכם ומתועדת בצורה טובה שתהיה ניתנת להוכחה כאשר תצטרכו.
4. אם אתם גוף ציבורי, דאגו להקפיד הקפדה יתרה על כל המפורט מעלה. במיוחד לאור תקנות העברת מידע בין גופים ציבוריים, למשל.
5. וודאו שהטמעתם את עקרון צמצום המידע לכל אורך שדרת הפעילות של החברה שלכם.
6. אם גיליתם כי בידיכם מידע עודף – אנא פעלו ומיחקו אותו.