לעיתים אנחנו מנהלים מידע של אנשים אחרים, בין אם אתם עובדים בגוף מסויים, אתם מנהלים או בעלים של עסק או סטארטאפ ועוד. כאשר אנחנו מנהלים מידע של אנשים, חלה החובה עלינו לדעת האם אנחנו מחויבים ברישום וניהול מאגר מידע על פי חוק ועוד.
אם אתם עובדים בגוף מסויים, רוב הסיכויים שיש לכם כבר נהלים והנחיות בעניין החוק ותקנותיו. אולם, אם אתם מעוניינים לפתוח עסק, ליצור סטארטאפ, או להיכנס לתפקיד חדש ששם טרם הובהרו נהלים, עליכם לדעת כמה דברים שעליהם נסביר בכתבה.
מה זה מידע?
הדבר הראשון, לפני שמבינים מהו מאגר מידע, זה לדעת מהו מידע, על פי הגדרת החוק כמובן. חוק הגנת הפרטיות (1981) קובע כי מידע הוא הוא הנתונים הקיימים על אדם מסויים, בין אם מדובר על פרטים אישיים, מקצועיים, כלליים או פרטים מזהים.
החוק מפריד בכוונה 1 סוגי מידע:
- מידע רגיל – אחד מאלה:
- מעמד אישי של אדם – כמו סטטוס משפחתי, אילון יוחסין וכדומה.
- הכשרה מקצועית – כמו השכלה, ניסיון תעסוקתי, מקום עבודה ועוד.
- דואר אלקטרוני – עפ"י הנחיית הרשות הגנת הפרטיות.
- מידע רגיש – אחד מאלה:
- אישיותו של אדם – כגון מספר תעודת זהות, מידע דמוגרפי, קורות חיים, מידע ביומטרי, מידע עבר פלילי ועוד.
- צנעת אישיותו – כמו נטיה מינית.
- מצב בריאות – מצב רפואי, נפשי או פיזי, בדיקות וכדומה.
- מצב כלכלי – נכסים, התחייוביות, הכנסות, הוצאות, פרטי אשראי, הרגלי צריכה או התנהגות כלכלית.
- אחר – דעות פוליטיות, אמונה דתית וכדומה.
מהו מאגר מידע?
סעיף 7 לחוק קובע כי מאגר מידע הוא אוסף של נתוני מידע, אשר מוחזק באופן מגנטי או אופטי וכזה שמיועד לעיבוד ממוחשב. עם זאת, יש 2 סייגים והם:
- אוסף לשימוש אישי שאינו למטרת עסק.
- אוסף הכולל רק שם, מען ודרכי התקשרות, לכשעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי אנשים ששמותיהם כלולים בו. זאת בתנאי שאצל בעל האוסף או אצל תאגיד בשליטה אין אוסף נוסף.
המשמעות היא שאם יש לכם רשימה של אנשים שבה מצויינים נתונים אודותיהם, בהתאם להגדרות מידע לעיל, הרי שרשימה זו מהווה מאגר מידע על פי חוק ועליה חלים חובות ותקנות אחרות. כל זאת, ללא קשר לחובת רישום המאגר או פטור מרישום.
מי חייב ברישום מאגר מידע?
למרות שנתונים של אנשים מהווים מאגר מידע על פי החוק, לא כל מאגר מחייב ברישום. אולם, מי שעליו חלה החובה כן לרשום את המאגר, אינו יכול לנהל או להחזיק מידע, אלא אם כן המאגר נרשם או שעברו 90 יום מרגע הגשת הבקשה ולרישום ולא התקבלה תשובה מהרשם.
בעל מאגר מידע חייב ברישום המאגר בפנקס, אם התקיימו אחד או יותר מהתנאים הבאים:
- מספר האנשים שמידע עליהם נמצא במאגר הוא 10,000 ומעלה.
- המאגר מכיל מידע רגיש של אנשים.
- המאגר כולל מידע של אנשים, שהוא לא נמסר על ידהם, מטעמם או בהסכמתם למאגר זה.
- המאגר הוא של גוף ציבורי (משרד ממשלה, מוסדות מדינה, רשות מקומית, גוף הממלא תפקיד ציבורי על פי דין, או, כל גוף שנקבע לגביו צו באישור משרד המשפטים וועדת החוקה של הכנסת ובתנאי שנקבע סוגי המידע שהוא רשאי לקבל או למסור).
- המאגר משמש לשירותי דיוור ישיר (כמו העברה של רשימות או נתונים בכל דרך שהיא).
עם זאת, מאגר מידע שנועד לפרסום ברבים כחוק או שהועמד לעיון ברבים כחוק, פטור מחובה זו.
לדוגמה – הבאים מחוייבים ברישום המאגר:
- סטארטאפים שבונים אפליקציה הקשורה למצב רפואי או בריאותי של אדם.
- חברת שיווק שמציעה שירותי דיוור ישיר ללקוחותיה.
- חברת תוכנה לניהול תוכן ומידע של מעל 10000 אנשים.
חובות החלות על בעל מאגר מידע
אלו הם החובות החייבות על בעל מאגר מידע:
- שימוש במידע למטרה לשמה הוא נמסר – החוק אוסר על שימוש במידע למעט המטרה לשמה הוקם ונרשם המאגר בפנקס. כמו כן, חלה החובה על שימוש במידע של אישיותו של אדם, שלא למטרה לשמה הוא נמסר.
- חובת רישום – בעל מאגר מידע שחלה עליו החובה ברישום, מחויב לרשום אצל רשם מאגרי המידע.
- חובת אבטחת מידע – יחד עם תקנות אבטחת מידע מחייבים את בעל מאגר המידע לבאטחת את המאגר. כתוב בהמשך.
- חובת סודיות – בעל מאגר המידע, המחזיק, מנהל המאגר וכן עובדיהם, חייבים בשמירת סודיות אליהם נחשפו. אי שמירה על סודיות מהווה הפרה שדינה מאסר 5 שנים.
- חובת מתן הודעה – בעל מאגר המידע, המחזיק או מנהל המאגר, מחויב להודיע אל האנשים שעליהם המידע נשמר, האם חלה חובה חוקית למסור את המידע, המטרה לשמה המידע נמסר ונשמר וכן האם המידע יועבר לגורם שלישי ולצורך מה.
- עיון במידע – בעל המאגר חייב לאפשר לנושא המידע לעיין במידע המצוי אודותיו בשפה העברית או האנגלית. למעט אם מדובר על חיסיון, מידע בריאותי או מידע שמוחזק על ידי רשות ביטחון.
- תיקון המידע – בעל המאגר חייב לאפשר לנושא המידע לתקן מידע שאינו נכון.
- פיקוח ובקרה – בעל המאגר חייב לפקח על מחזיק המאגר (אם המאגר אינו מצוי אצלו) כך שיעמוד בהוראות החוק.
איך להגיש בקשה לרישום מאגר מידע?
מי שחייב ברישום המאגר וצריך לנהל או להחזיק מידע במאגר, צריך להגיש בקשה לרישום מאגר מידע כחוק. ניתן להגיש אותה לבד או עם ייפוי כוח (עו"ד או אחר).
מסמכים נדרשים:
- מסמך המתאר את פעילות בעל המאגר לרבות עיסוקו, אתרי אינטרנט, אפליקציות וכל מקור מידע נוסף להבנת הפעילות, סוגי המידע שנכללים במאגר.
- מדיניות הפרטיות של מאגר המידע באופן מפורט. במידה וקיים גם טופס הצטרפות למאגר, שמירת מידע, יש לצרף גם אותו.
- כתב מינוי מנהל מאגר – עליו להיות עובד בכיר של בעל מאגר מידע, כזה שיוכל לפעול באופן עצמאי לקיום חובותיו.
- טופס אישור מנהל פעיל של גוף שבבעלותו מאגר מידע – הממונה האחראי על מאגר המידע הוא מנכ"ל, יש להציג טופס זה במקום כתב מינוי מנהל מאגר.
- אישור מורשי חתימה – על מבקש הבקשה להיות מורשה חתימה בתאגיד.
- מסמכים נוספים רלונטיים בהתאם לסוג ואופיו של המאגר: מידע ביומטרי, מצלמות מעקב, אחסון בענן, דיוור ישיר וכדומה.
שליחת הבקשה (ביחד עם המסמכים הנוספים) ניתנת בכמה דרכים:
- טופס מקוון – שליחה אונליין דרך האינטרנט.
- טופס ידני – את הבקשה ניתן להגיש כך:
- דואר אלקטרוני: Ramot@justice.gov.il או ppa_rishum@justice.gov.il.
- פקס: 02-6462655.
- משלוח בדואר: קריית הממשלה, דרך בגין 125, תל אביב, ת.ד. 7360, מיקוד 6107202.
עלות רישום מאגר מידע: חינם, ללא תשלום.
לאחר הגשת הבקשה, הרשם ייתן תשובה תוך 90 יום והוא יכול לאשר את הבקשה, לדחות אותה, לאשר אותה בתנאים או לדרוש מסמכים נוספים.
אם המאגר נרשם, יישלח דואר אלקטרוני למבקש וכן מכתב אישור רישום מאגר מידע בפנקס מאגרי מידע.
אי רישום מאגר מידע
חוק הגנת הפרטיות קובע כי אסור לנהל או להחזיר מידע החייב ברישום מבלי לרשום אותו אצל רשם מאגרי המידע. לכן, ניהול, החזקה או שימוש במאגר מידע שחייב ברישום ולא נרשם מהווה עבירה פלילית שדינה מאסר של שנה.
בנוסף לכך, על פי תקנות העבירות המינהליות, רשם מאגרי מידע רשאי להטיל קנס מינהלי על אותו בעלים / מחזיק / מנהל מאגר.
עיון במידע על ידי אדם במאגר מידע
כל אדם רשאי לצפות במידע שנמצא עליו במאגר בין אם בעצמו ובין אם על ידי אפוסטרופוס. החובה חלה תמיד למעט מקרה יחיד בו עלול להיגרם נזק חמור פיזי או נפשי ואז בעל המאגר יוכל להעביר אותו לרופא או פסיכולוג מטעם המבקש.
כמובן שאם חלה חובת חיסיון, לא ניתן להעביר את המידע הזה לגורם אחר. למעט אם האדם עצמו (שלזכותו החיסיון) מבקש זאת.
בעל מאגר מידע אשק מחזיק את המידע אצל מחזיק מאגר מידע, יהיה חייב לפנות אליו על מנת שהשני יאפשר צפייה לאדם שביקש לעיין במידע.
תיקון מידע (שינוי או עדכון)
אדם שמצא שאחד או יותר מפרטיו נמצאים במאגר לא נכון, לא מעודכן, לא שלם או לא ברור, רשאי לפנות לבעל מאגר המידע בבקשה לתקן את המידע או למחוק אותו. אם הסכים בעל מאגר המידע לבצע את התיקונים, יודיע על כך לאדם זה בדבר התיקונים. אם בעל המאגר סירב מטעמים סבירים והגיוניים, יודיע על כך לאדם זה.
בעל מאגר מידע חייב לתקן אם הסכים לבקשת מבקש המידע או על פי צו בית משפט.
אבטחת מאגר מידע
בעל מאגר מידע, מחזיק מאגר מידע ומנהל מאגר מידע, כל אחד לחוד וביחד חייבים לאבטחת המידע הנמצא במאגר המידע. תקנות אבטחת מידע קובעות שורה של כללים לניהול אבטחת מידע ולרבות מינוי מומחים, קביעת נהלים, אבטחת מידע פיזית ועוד.
עבירות עונשין אחרות
כל העבירות הבאות, דינם מאסר שנה אחת:
- ניהול, החזקה או שימוש במאגר מידע בניגוד לחוק.
- מסירת פרטים לא נכונים בעת הגשת בקשה לרישום מאגר המידע.
- פניה לאדם לשם החזקה או שמירת מידע מבלי לציין: את המטרה לשמה מבוקש המידע, אם יימסר לגורם אחר ובשביל מה, אם חלה חובה למסור מידע או שמסירת המידע היא וולונטרית.
- בעל מאגר, מנהל או מחזיק, שאינו מאפשר עיון במידע למבקש שעליו יש פרטים, או שינו מתקן את המידע על פי בקשת המבקש.
- מי שמאפשר גישה למידע הנמצא במאגר מידע, למי שלא הורשה בכך במפורש בהסכם. או שלא מוסר פרטים רלוונטיים לרשם.
- לא ממנה מנהל אבטחת מידע.
- מנהל או מחזיק במאגר מידע לצרכי דיוור ישיר בניגוד לחוק. כלומר, אלו הם בניגוד לחוק: פנקס לא רשום או שאחת ממטרותיו היא לא דיוור ישיר, לא צויין מקור המידע או למי שמידע מועבר, לא מאפשר מחיקת מידע ממאגר לדיוור ישיר.
- מוסר מידע ציבורי לאחר בניגוד לחוק.