ביום 25 במאי 2021 פרסמה הרשות להגנת הפרטיות גילוי דעת בעניין משמעות המונחים "מידע" ו-"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות, התשמ"א-1981 – מונחים מרכזיים בחוק שמכוחם חלות חובות הגנת פרטיות שונות.
גילוי הדעת מצטרף אל שורה של מסמכי מדיניות שפרסמה הרשות לאחרונה, ומבקש להבהיר את המונחים בהם עושה הרשות שימוש. לפני כחודשיים, למשל, פרסמה הרשות טיוטת מסמך מדיניות בנוגע לצמצום מידע (data minimization), בה הדגישה את הסיכונים לפרטיות העלולים להיגרם, לגישתה, כתוצאה מאיסוף מידע עודף, שמירתו ועשיית שימוש בו, ואת החשיבות בצמצומו. לפי אותה טיוטה, אי-צמצום מידע עודף על-ידי בעל מאגר שמצא כי מידע כזה שמור אצלו, יכול בנסיבות מסוימות להוות הפרה של תקנות הגנת הפרטיות בנושא אבטחת מידע. כעת מבקשת הרשות להבהיר את משמעות המונחים בהם היא משתמשת.
"ידיעה על ענייניו הפרטיים של אדם"
סעיף 2(9) לחוק הגנת הפרטיות קובע כי "שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה" הם פגיעה בפרטיות, אך החוק לא מגדיר מה היא "ידיעה על ענייניו הפרטיים של אדם". בית המשפט העליון קבע כי מונח זה יפורש "בהתאם למכלול הנתונים הרלוונטיים, ותוך מחויבות להגנה על יכולתו של האדם לקיים את האוטונומיה שלו ואת המרחב הפרטי הנתון לו".[1]
בגילוי הדעת מסבירה הרשות כי בפסיקה נקבע שכתובתו של אדם ומספר הטלפון שלו הם נתונים הנכללים במסגרת "ידיעה על ענייניו הפרטיים של אדם", וככאלו ראויים הם להגנת החוק אם לא ניתנה הסכמה לעשות בהם שימוש.[2] בכך תואמת הפסיקה הישראלית את דיני הגנת המידע האירופיים. בפסיקה נקבע גם כי ידיעה על פסילת מועמדותו של אדם לתפקיד של נושא משרה (כאשר יש בידיעה פרטים אישיים אודות אותו אדם), מספר חשבון בנק, מספר כרטיס אשראי, יומן שיחות פרטי, ופנייתו של אדם לרשויות להגשת תלונה, יחשבו אף הם ל"ידיעה על ענייניו הפרטיים של אדם".[3]
"מידע"
החוק מגדיר "מידע" בסעיף 7 כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו".[4] במבט רחב יותר קבעה הפסיקה כי "מידע" כהגדרתו בחוק הוא נתונים המובאים אודות אדם מזוהה או כזה שניתן לזיהוי באמצעים סבירים, וכן מידע שממנו ניתן להסיק לפחות אחד מהנתונים המפורטים בהגדרה או לגשת למידע אודות האדם.
בית המשפט העליון הבהיר כי כל "מידע" כהגדרתו בחוק הוא "ידיעה על ענייניו הפרטיים של אדם", אך לא כל "ידיעה על ענייניו הפרטיים של אדם" היא "מידע" כאמור.[5] סעיפים 17 ו-23א לחוק מסייגים הבהרה זו, ולפיהם במקרה של העברת מידע בין גופים ציבוריים (כהגדרתם בחוק) או במקרה של ניהול מאגר מידע המשמש לדיוור ישיר, כל "ידיעה על ענייניו הפרטיים של אדם" תיחשב ל"מידע".
בגילוי הדעת מציעה הרשות רשימת דוגמאות בלתי ממצה לנתונים שיהוו "מידע", בהתבסס על ההגדרה בחוק, על הפסיקה, על הנחיות רשם מאגרי המידע ועל התוספת הראשונה לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, כדלקמן:
-
-
- "אישיותו של אדם" – "מונח סל" המתייחס לפרטים אישיים של אדם שאינם נכללים בנתונים האחרים שבהגדרת "מידע". למשל, מידע שמקורו במבחני התאמה לעבודה, עבר פלילי ומוצאו של אדם.
- "מעמדו האישי" – מעמד אישות: נשוי, רווק, אלמן או יתום.
- "צנעת אישותו" – התנהגותו של אדם ברשות היחיד (למשל, נטייה מינית).
- "מצבו הבריאותי" – מידע גנטי, רפואי או נפשי על אדם.
- "מצבו הכלכלי" – נכסים, חובות והתחייבויות (והיכולת לעמוד בהם), שינוי במצב הכלכלי, בעלות על מקרקעין או רכב, ירושה, צו עיקול, השקעות, מידע על השתכרות ומידע בנקאי.
- "דעותיו ואמונתו" – תפיסת עולם, דעה פוליטית או אמונה דתית.
-
הפסיקה קבעה כי גם מספר תעודת זהות ואפיון ביומטרי נחשבים לנתונים המאפשרים לזהות את האדם אליו מתייחס ה"מידע". כ"מידע" הוכרו גם הכשרתו המקצועית של אדם, נתוני מיקום (המלמדים על קשרים אישיים של אדם ומפגשים חברתיים), נתוני תקשורת, הרגלי צריכה המלמדים על אדם איזה מהנתונים שבהגדרה, וכתובת דואר אלקטרוני.
בפני בתי המשפט הובאה לא אחת הדרישה לקבוע האם מידע על אדם הניתן לזיהוי באמצעים סבירים ייחשב ל"מידע" כהגדרתו בחוק. בהקשר זה נקבע כי גם מידע שמוצג באופן אנונימי עשוי לבסס קשר לאדם ספציפי מזוהה, וכי אין הכרח שיופיעו שמו של אדם או תמונותיו כדי שיהיה מדובר במידע שניתן לקשור אליו באופן ספציפי. בית המשפט הכיר בכך שעשויה להתרחש פגיעה בפרטיות גם כאשר מוצג מידע אנונימי, אם ניתן לקשר אותו לאדם ספציפי ולהסיק את זהותו.[6] הכרה זו אף הורחבה ובפסיקה נקבע כי אם ניתן לשייך את המידע האנונימי לאדם ספציפי – כלל לא מדובר במידע אנונימי מלכתחילה, אלא במידע מזוהה.[7]
בעניין אחר ומאוחר יותר הוצגה עמדה דומה, במסגרת חוות דעת שהגיש היועץ המשפטי לממשלה לבית המשפט. לפי חוות הדעת יש תחולה להוראות חוק הגנת הפרטיות על מידע שבאמצעים סבירים ניתן לזהות דרכו את נושא המידע, ועל מידע שמאפשר זיהוי אדם באמצעים סבירים – ואלה ייחשבו למידע מזהה אודות אדם. לעמדת היועץ המשפטי לממשלה, יש לקחת בחשבון כי גם דרך מידע שאמור להיות אנונימי עשוי להתאפשר זיהוי של נושא המידע.[8]
הרשות הדגישה כי נוכח מציאות החיים המשתנה וההתקדמות הטכנולוגית המתמדת גילוי הדעת אינו מהווה רשימה ממצה, והכירה בכך שייתכנו עוד נתונים שיש לכלול בהגדרת "מידע" (ואף נתונים שטרם נוצרו) ועל אלו יחולו הגנות הפרטיות לפי החוק.
הרשות פונה לציבור לקבלת התייחסויות או הערות בנוגע לגילוי הדעת. את ההתייחסויות וההערות ניתן לשלוח לכתובת הדוא"ל ppa@justice.gov.il עד ליום 15 ביולי 2021.
לפרטים נוספים ולייעוץ בנושא, ניתן לפנות לעו"ד אביעד לחמנוביץ', עו"ד גיא פוקס ועו"ד רינת גרויסמן ממחלקת הבנקאות במשרדנו.
--------------------------
--------------------------
[1] עע"מ 9341/05 התנועה לחופש המידע נ' רשות החברות הממשלתיות, פס' 23 (פורסם בנבו, 19.5.2009).
[2] עת"מ 28857-06-17 עמותת חברות הסיעוד נ' משרד הביטחון (פורסם בנבו, 1.7.2019).
[3] להרחבה ראו: ע"א 439/88 רשם מאגרי מידע נ' ונטורה, פ"ד מח(3) 808 (1994); ת"א 27045-11-11 ינוסוב נ' פלאפון תקשורת בע"מ (פורסם בנבו, 14.5.2014); עע"מ 7678/16 דרוקר נ' הממונה על יישום חוק חופש המידע במשרד ראש הממשלה (פורסם בנבו, 7.8.2017); תא"מ (שלום ת"א) 27044-10-11 שוורץ נ' נחום (28.7.2014).
[4] "מידע רגיש", לעומת זאת, מוגדר בחוק באופן צר מעט יותר, כ"נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו".
[5] עניין התנועה לחופש המידע, ה"ש 2 לעיל.
[6] ע"א 1697/11 א.גוטסמן אדריכלות בע"מ נ' ורדי (פורסם בנבו, 23.1.2013).
[7] עת"מ 28857-06-17 עמותת חברות הסיעוד נ' משרד הביטחון (פורסם בנבו, 1.7.2019).
[8] צ"צ 22141-03-14 גרינברג נ' סלקום (פורסם בנבו, 5.3.2020).