שתף קטע נבחר

בעל עסק, מה אתה עושה במידע שאתה אוגר?

הרשות להגנת הפרטיות הורתה על הרחבת הטיפול בנתונים על ספקים ולקוחות כגון מיילים וטלפונים. האם יש לה סמכות? כך או כך צריך להיערך

 

תיבת דואר אלקטרוני עמוסה (אילוסטרציה: Shutterstock)
(אילוסטרציה: Shutterstock)

כמעט כל עסק אוסף כיום נתונים רבים על לקוחותיו, ספקיו ועובדיו, ומאחסן אותם באופן דיגיטלי. אוסף הנתונים הללו מכונה "מאגר מידע", והמחוקק קבע תנאים לשמירה על פרטיות המידע השמור בו. בעל עסק שמקיים את התנאים המנויים בחוק חייב לרשום אותו אצל הרשות להגנת הפרטיות ולמלא אחר חובות מסוימים כגון מילוי אחר כללי אבטחת מידע, מינוי ממונה על אבטחת המידע ועוד.

 

לפני פחות מחודש, ב-28 בנובמבר, פורסם גילוי דעת מטעם הרשות להגנת הפרטיות, שלפיו גם מאגר דיגיטלי המכיל בסך הכול כתובות דואר אלקטרוני לצד שמות בעליהן מהווה מאגר מידע הטעון רישום.

 

מדובר בהצהרה דרמטית מטעם הרשות האמונה על האכיפה בתחום. היא משנה את המצב הקיים, כיוון שעד היום עד היום, מאגרי מידע החייבים ברישום היו רק אלה המכילים מידע נוסף מלבד מען ודרכי התקשרות (מספר טלפון, פקס, כתובת דוא"ל וכדומה), למשל מספר תעודת זהות, היסטוריית רכישות, היסטוריה רפואית, נטייה מינית ועוד.

 

על פניו, מדובר בהטלת חובה משמעותית על בתי עסק רבים, שאם לא יעמדו בה יהיו חשופים לקנסות ועיצומים.

 

כתובת דוא"ל היא מידע אישי?

הסיבה לפרסום חוות הדעת היא ההנחה של הרשות כי הנתונים המופיעים במאגר מסוג זה עלולים לגרום לפגיעה בפרטיותם של האנשים הכלולים בו. למשל, אם שם המתחם של כתובת הדוא"ל מצביע על מקום העבודה של אותו אדם, על השתייכותו לארגון פוליטי מסוים או במקרים חריגים על נטייתו המינית, יש בכך כדי לספק נתונים אישיים מאוד, ולכן קם חשש לפגיעה בפרטיות.

 

יש מי שתומכים בעמדת הרשות, בין היתר מאחר שלשיטתם היא תואמת את תקנות ההגנה על הפרטיות שנכנסו לתוקף לאחרונה באיחוד האירופי (GDPR), ולפיהן גם כתובת דוא"ל מהווה מידע אישי.

 

לעומתם, רבים מביעים התנגדות. הם סבורים שהרשות חרגה מסמכותה, שכן עמדתה מהווה פרשנות מרחיבה של חוק הגנת הפרטיות ואין זה תפקידה לפרשו אלא לקיימו כלשונו.

 

לטענת המתנגדים, עמדת הרשות שלפיה כתובות דוא"ל אינן רק דרכי התקשרות כלשון החוק - היא שגויה. ככל שהמחוקק סבור שיש להרחיב את תחולת החוק גם למאגרים מסוג זה, עליו לקבוע זאת באופן מפורש, ואין זה תפקידה של הרשות לעשות זאת.

 

לדעתם, כגורם האחראי על אכיפת החוק להגנת הפרטיות, חייבת הרשות לפרשו באופן זהיר ובהתאם לעמדת המחוקק, וגילויי דעת מסוג זה מרחיבים את החובות המוטלות על בעלי עסקים בניגוד לדין.

 

לאכוף, לא לחוקק

אף שיש היגיון מסוים בטענות הרשות, היה עליה להימנע מפרסום גילוי הדעת בנוסחו הקיים ותחת זאת להביע את עמדתה במסגרת הליכי חקיקה מסודרים. התנהלותה עלולה להוביל למדרון חלקלק, שבו הרשות להגנת הפרטיות נוטלת לעצמה את תפקידיה של הרשות המחוקקת.

 

כבודם של פקידי הרשות במקומו מונח, אך עליהם להתגבר על הפיתוי להשתמש בכוח ובסמכות שניתנה להם, ולהימנע מלבצע מהלכים העולים כדי חריגה מסמכות או חקיקה הלכה למעשה.

 

למרות האמור, מאחר שהרשות היא הגורם האחראי על האכיפה בתחום מאגרי המידע, אין אנו יכולים להתעלם מגילוי דעת זה. אף שנראה כי אין בהכרח עיגון חוקי לתפיסה המוצגת על ידה, בעלי עסקים ואלה המייעצים להם נאלצים בלית ברירה להתאים את עצמם למצב הקיים.

 

לרשות נתונה הסמכות לקיים ביקורות ולהטיל קנסות ועיצומים ככל שנמצא כי עסק או ארגון לא עומדים בדרישות החוק. לכן, גילוי הדעת בכל זאת מחייב כל אחד מאיתנו לבחון את פעילותו, את המידע שהוא אוגר, את האופן בו הוא נאסף וכיו"ב, לכלכל את צעדיו ולקבל החלטה מושכלת כיצד לפעול.

 

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
אילוסטרציה: Shutterstock
אילוסטרציה
אילוסטרציה: Shutterstock
מומלצים