גילוי דעת של הרשות להגנת הפרטיות: האם אוסף של שמות וכתובות דוא"ל מהווה "מאגר מידע"?

חוק הגנת הפרטיות, התשמ"א-1981 מחיל חובות מסוימות על מי שמנהל "מאגר מידע", המוגדר בחוק כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב". עם זאת, חובות החוק אינן חלות על אוסף שכולל רק דרכי תקשורת, המוגדר כ"אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף".

ביום 28.11.2018 פרסמה הרשות להגנת הפרטיות גילוי דעת שלפיו גם רשימה הכוללת רק שמות וכתובת דוא"ל מהווה מאגר מידע.

בעלי עסקים רבים, קטנים כגדולים, מנהלים כיום רשימות ממוחשבות המכילות שמות וכתובות דוא"ל של אנשים פרטיים. לפי עמדת הרשות להגנת הפרטיות, מדובר בפרט מידע שניתן להסיק ממנו נתונים רבים על אודות אדם פרטי.

כתובת דוא"ל כבר אינה רק דרך התקשרות

עמדת הרשות להגנת הפרטיות מבוססת בין היתר על העובדה שמכתובת דוא"ל ניתן להסיק נתונים אישיים על אדם העולים כדי "מידע", כפי שהוא מוגדר בחוק – "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". למשל, ניתן להסיק הכשרה מקצועית של עורך דין אם כתובת הדוא"ל כולל שם של משרד עורכי דין; ניתן להסיק פרטים על צנעת חייו של אדם מכתובת דוא"ל ששייכת לארגון מסוים; וניתן להסיק מידע על מצב אישי אם מדובר בכתובת דוא"ל משותפת לבני זוג.

זאת ועוד, אנשים כיום משתמשים בכתובת דוא"ל לשם הזדהות ברשתות חברתיות ושירותים מקוונים שונים. כתוצאה מכך, כתובת דוא"ל עשויה להיות המפתח לגילוי פרטים רבים נוספים על אדם ואף יכולה לקשר בין פרטי מידע שונים שמוחזקים במאגרי מידע רבים, אפילו כשאין רצף הגיוני של אותיות בכתובת הדוא"ל. פרשנות זו אף עולה בקנה אחד עם הפרשנות שניתנה בדיני האיחוד האירופי להגדרת כתובת דוא"ל כ-"personal data".

בכתובת דוא"ל כשלעצמה יש אפיון של פגיעה בפרטיות

לדעת הרשות להגנת הפרטיות, כפי שכתובת דוא"ל איננה רק דרך התקשרות, עצם קיומו של אוסף כתובות דוא"ל ושמות אף יכולה להוות פגיעה בפרטיות. עצם הימצאותו של אדם ברשימה מסוימת יכולה לאפיין אותו באופן שעלול לפגוע בפרטיות שלו. לדוגמה – רשימת מטופלים אצל רופא; רשימת לקוחות של עורך דין; רשימת לקוחות של חנות מסוימת – כל אלה יכולים לסווג אדם כבעל מאפיין כלשהו, באופן הפוגע בפרטיות שלו. הרשות להגנת הפרטיות סבורה כי קשה להניח שלעסק לא יהיה גיבוי כלשהו של רשימות הלקוחות שלו, ולכן התנאי הנוסף המחריג אוסף הכולל רק דרכי תקשורת מלהיחשב כמאגר מידע[1] אינו יכול להתקיים.


[1] "… ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף".

כתוב/כתבי תגובה