חובות חדשות על בעלי מאגרי מידע המאחסנים מידע אישי

תקנות הגנת הפרטיות בעניין אבטחת מידע

ביום 8.5.2018 ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 הקובעות מהי רמת האבטחה הנדרשת בניהול מאגרי מידע[1] המאחסנים מידע אישי. עם כניסתן לתוקף התקנות תחייבנה את כלל הגופים והארגונים במשק אשר מאחסנים או מעבדים מאגרי מידע אישי.

התקנות החדשות מטילות על בעל מאגר מידע חובות המשתנות בהתאם למידע המוחזק במאגר. כך למשל, הנטל הרב ביותר יוטל על גופים וארגונים המחזיקים מאגרי מידע ביחס למספר רב של אנשים (100,000 ומעלה) ו/או המתירים למספר רב של בעלי הרשאה גישה למאגרי המידע שלהן (מעל 100).

לקראת כניסתן לתוקף של התקנות פרסמה הרשות להגנת הפרטיות (לשעבר הרשות למשפט, טכנולוגיה ומידע) שני מדריכים: מדריך אחד הוא המדריך המלא, המפרט את כל דרישות התקנות תוך אבחנה בין סוגי המאגרים, בהתאם לרמת האבטחה הנדרשת בהם (בסיסית, בינונית וגבוהה); המדריך השני הוא מדריך המרכז את ההוראות החלות על מאגרים המנוהלים בידי יחיד (הכוונה היא למאגרים המנוהלים על-ידי יחיד או תאגיד בבעלות יחיד, ואשר הגישה למידע שבהם מותרת רק לאותו יחיד ולכל היותר לשני בעלי הרשאה נוספים). חובות אבטחת המידע המוטלות על מאגרי מידע אלו מצומצמות משמעותית מהחובות המוטלות על גופים המחזיקים במאגרי מידע בעלי היקף רב יותר.

טיוטת הנחיית הרשות להגנת הפרטיות בדבר העברת בעלות במאגרי מידע

בנוסף למדריכים הנ"ל, הרשות להגנת הפרטיות פרסמה לעיון והערות הציבור טיוטת הנחייה המבהירה את האופן שבו מפרש רשם מאגרי המידע את הוראות חוק הגנת הפרטיות, התשמ"א- 1981 ביחס להעברת בעלות במאגר מידע רשום (או מאגר החייב ברישום).

ההנחיות יוצאות מנקודת הנחה ששינוי בעלות במאגר, כתוצאה מהחלפת הישות המשפטית השולטת בו והעברת מלוא הזכויות במידע לישות משפטית אחרת (לדוגמה כתוצאה ממכירת מאגר המידע, מיזוג חברות, מכירת החברה או העסק או כינוס נכסים), עלול ליצור סיכון לפרטיות מושאי המידע (בני האדם שעל אודותיהם קיים מידע במאגר המידע). כעקרון מנחה קובעות ההנחיות שמטרת השימוש במידע לא יכולה להתרחב כתוצאה מהעברת הבעלות, וכי להרחבה כאמור נדרשת הסכמה חדשה מפורשת ומדעת של מושאי המידע.

כלומר, אם תנאי השמירה, מטרות השימוש, אופן השימוש ותנאי העברת המידע אינם משתנים עם השינוי בבעלות, קובעות ההנחיות שניתן, בדרך כלל, להסתפק בעדכון מושאי המידע בדבר העברת הבעלות ופרטי הקשר של מקבל המאגר, על מנת שמושא המידע יוכל לבחור אם להמשיך בהתקשרות עם בעל המאגר החדש או לבקש להפסיק אותה בדיעבד (Opt Out). ההנחיות אף ממליצות לכלול את האפשרות של העברת המאגר ללא שינוי מטרת השימוש בו כבר בתנאי השימוש או בנוסח כתב ההסכמה המקורי.

מנגד, ההנחיות מונות רשימה של מקרים שבהם מקבל המאגר יידרש לקבל הסכמה מפורשת מראש ממושאי המידע (Opt-In). מדובר במקרים שבהם מאפייני מקבל המאגר שונים מאלה של בעל המאגר המעביר, באופן העלול להשפיע משמעותית על זכויות מושא המידע או החורג משמעותית מציפיותיו לגבי נסיבות איסוף המידע ועיבודו, וזאת גם אם מטרות השימוש במידע לא השתנו. כך למשל, כשמעביר המאגר הוא יחיד שזהותו הייתה שיקול משמעותי בהחלטת מושא המידע להתקשר עמו; במקרים שבהם שוררים יחסי אמון או חיסיון מיוחדים בין מעביר המאגר למושא המידע (כגון, יחסי עו"ד-לקוח או רופא-מטופל); כאשר מקבל המאגר הינו חברה זרה; או כאשר מקבל המאגר נמצא בניגוד עניינים עם מטרות המאגר המועבר.

בהתאם לטיוטת ההנחיה, הן על המעביר והן על מקבל המאגר חלה חובת הדיווח לרשם מאגרי המידע על העברת הבעלות ובמקרה כזה כל אחד מהצדדים נדרש להעביר את המסמכים המפורטים בהנחיה.


[1] "מאגר מידע" מוגדר בחוק הגנת הפרטיות, התשמ"א-1981 כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט-

(1) אוסף לשימוש אישי שאינו למטרות עסק; או

(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף".

כתוב/כתבי תגובה