רישום מאגרי מידע

בסוף החודש מסתיים ה"מבצע" לרישום מאגרי המידע, אז כדאי לבחון האם המאגר שברשותכם עומד בדרישות החוק

ירון הרמן

לאחרונה פנתה עו"ד יוספה טפיירו, רשמת מאגרי המידע במשרד המשפטים, אל עשרות אלפי גופים ועוסקים שונים בכדי שיבדקו האם הם מחזיקים במאגרי מידע החייבים ברישום על פי חוק הגנת הפרטיות, התשמ"א-1981.

מי שברשותו מאגר מידע החייב ברישום נקרא לרושמו, ולצורך כך נדרש לתשלום אגרה בסך 200 שקל. הפנייה כוללת דף ובו ציטוט סעיפים מסוימים מהחוק המגדירים איזה מאגר מידע חייב ברישום. רשמת מאגרי המידע פירסמה כי תוקף מבצע רישום מאגרי המידע "ללא חיוב קנס ועונשין" הוא עד סוף חודש פברואר 2001.

רבים מאלו המקבלים את הפנייה מעדיפים לשלם את סכום האגרה ולא למצוא עצמם עוברים על החוק. לגישתם, עדיף לשלם 200 שקל ולהסיר את החשש פן יעברו עבירה (שדינה המירבי מאסר שנה).

אולם כל אלה אינם בהכרח ערים למלוא משמעויות רישום מאגר מידע ולחובות הרבות המוטלות עליהם כבעלי מאגר מידע או מחזיקים במאגר מידע של אחר. חובות אלו אינם מסתכמים בתשלום אגרת הרישום והפרתן מהווה אף היא עבירה פלילית וכן עוולה נזיקית המקימה עילת תביעה אזרחית. חלק מחובות אלו הינן חובות המוטלות באופן אישי על מנהל מאגר מידע.
"מאגר מידע" חייב ברישום. בכדי שאוסף נתוני מידע יהיה חייב ברישום עליו למלא 2 תנאים מצטברים: א. לענות להגדרת "מאגר מידע". ב. שיתקיימו בו הנסיבות המחייבות את רישום מאגר המידע.
מאגר מידע - מהו? "מאגר מידע" מוגדר כך: "אוסף נתוני מידע המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט (1) אוסף לשימוש אישי שאינו למטרות עסק. (2) אוסף הכולל רק שם, מען ודרכי התקשרות וכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף.

"מידע" מוגדר כך: "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית דעותיו ואמונותיו".

החוק אינו מגדיר מהו "עיבוד ממוחשב". ניתן לשער שהכוונה היא לקובץ שנועד להפיק אינפורמציה נוספת מעצם המידע הכלול בו כגון חיתוכים שונים, לעבור שינויים, עדכונים, עריכה וכיו"ב.

מהצעת החוק שתיקנה את הפרק שעניינו מאגרי מידע ניתן ללמוד כי כוונת המחוקק היתה להוציא מן ההגדרה של "מאגר מידע" את המחשבים האישיים שאינם למטרות עסק ואף מחשבים למטרות עסק שאין בהם אלא מספר פרטים מוגבלים, שנועדו בעיקר לשמור על קשר עם לקוחות.

לפיכך, מאגר של לקוחות עסקיים הכולל רק שם, מען ודרכי תקשורת, כשכל יעודו לשמור על הקשר עם הלקוחות, אפילו הוא מתעדכן מעת לעת, אינו חייב ברישום. לעומת זאת, וכפי שנראה להלן, פרשנות קיצונית תביא למסקנה לפיה כל עסק חייב לכאורה ברישום המחשב שלו כמאגר מידע. זוהי גזירה חמורה על הציבור וספק רב אם לכך היתה כוונתו של החוק.

המונח "אדם" לעניין הגדרת "מידע" אינו כולל תאגיד. לפיכך, מידע המתייחס לתאגיד בלבד אינו כפוף להוראות חוק הגנת הפרטיות.
התנאים לחובת רישום מאגר מידע מאגר מידע חייב ברישום אם נתקיים בו אחד מאלה: (1) מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000. (2) יש במאגר מידע רגיש. (3) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם. (4) המאגר הוא של "גוף ציבורי" כהגדרתו בחוק. (5) המאגר משמש לדיוור ישיר כאמור בחוק.
שאלה חשובה ביותר הינה מהו "מידע רגיש" "מידע רגיש" הינו נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו, וכן מידע ששר המשפטים קבע בצו באישור ועדת חוקה, חוק ומשפט של הכנסת, שהוא מידע רגיש.

כפי שניתן להיווכח, עיקר השוני בין הגדרת "מידע" לבין הגדרת "מידע רגיש" הינו בכך שנתונים על מעמד אישי והכשרה מקצועית אינם בגדר מידע רגיש.
האם כל נתון על שכרו של אדם הוא מידע רגיש? אם כן - כל עסק באשר הוא הכולל תוכנת עיבוד תמלילים בסיסית ובו משכורת עובדיו ייחשב למאגר מידע חייב ברישום. האם רשימת חובות הלקוחות מתייחסת למצבו הכלכלי?

נראה שאין זה ראוי להקנות משמעות רחבה יתר על המידה למונח "מידע רגיש", וטוב תעשה רשמת מאגרי המידע אם תפרסם הנחיות מדיניות אכיפה ברורות יותר.

במצב הנוכחי נקלעו העסקים השונים למבוכה רבה: אין מי שמעוניין לעבור על החוק, אך גזירת המחוקק נראית בלתי מציאותית. לא סביר שהמחוקק ביקש להקנות לעובד למשל זכות לחייב את מעסיקו למחוק את המידע שעליו השמור ב"מאגר מידע" של המעסיק. החוק נועד בעיקרו למנוע דליפת מידע לידיים לא מורשות ולצרכים מסחריים, אך לא להקשות על הניהול השוטף של ענייניו הפנימיים של העסק.

קושי מיוחד קיים לגבי אותם בעלי מקצועות המחויבים בשמירת סודיות ובשמירת מסמכים מכח הוראות דין מיוחדות - עורכי דין, רופאים, רואי חשבון, פסיכולוגים, חוקרים פרטיים וכיו"ב.

ספק רב באם החוק נועד להטיל מגבלות כלשהן על בעלי מקצועות אלו החייבים ממילא מכוח הדין בחובות סודיות מחמירות לגבי חלק ניכר יותר מהמידע שברשותם והכולל גם מידע שאינו מידע רגיש.

מוטלת עליהם גם חובה לשמור מסמכים שברשותם לתקופות שונות. ראוי שגם בעניין זה תבהיר רשמת מאגרי המידע את מדיניותה, ואפשר כי יש מקום לפעול לתיקון החוק לגבי ההסדרים החלים על מאגרי מידע כאלו.
על מי חלה חובת רישום מאגר מידע? חובת הרישום חלה על בעליו של מאגר המידע, אך האיסור הפלילי להחזיק ולנהל מאגר מידע חל על מי שמחזיק או מנהל מאגר מידע החייב ברישום.

"מחזיק" אינו רק בעליו של מאגר המידע, אלא כל מי שברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש. גם מי שהוא מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע, או מי שמנהל כאמור הסמיכו לכך, עלול לשאת באחריות אם מאגר המידע אינו רשום כדבעי.

החוק לוקה בנקודה זו במספר פגמים. אחד מהם הוא היעדר הבחנה ברורה בין החובות המוטלות על בעלים ומחזיק במאגר מידע החייב ברישום לבין בעלים ומחזיק במאגר מידע שאינו חייב ברישום.

ניתן היה לצפות, כי עיקרי החובות, אם לא כולם, יוטלו דווקא על מי שמחזיק במאגר החייב ברישום, בעוד מאגרי מידע שאינם חייבים ברישום יהיו חופשיים ממוסרות החוק - ולא כך, חובות רבות מוטלות על בעלים ומחזיקים של מאגרי מידע, אפילו אלו אינם חייבם כלל ברישום. מן הראוי שרשמת מאגרי המידע תפעל לתיקון החוק בנקודה זו.
איסוף המידע ועיון בו מי שמבקש לאסוף מידע למאגר מידע חייב ליתן למי שאליו הוא פונה הודעה שתציין במפורש באם אותו אדם חייב למסור את המידע או שמסירתו תלויה ברצונו ובהסכמתו, מהי המטרה לשמה מבוקש המידע, למי יימסר המידע ומהן מטרות המסירה.

כל אדם שיש עליו מידע במאגר מידע (אפילו זה אינו חייב ברישום) זכאי לעיין בעצמו או על ידי בא כוחו או אפוטרופוסו במידע שעליו ולבקש לתקן את המידע או למחקו. את זכות העיון ניתן לקיים בכל האחת מהשפות העברית, הערבית או האנגלית.

בעל המאגר רשאי שלא למסור מידע המייחס למצבו הרפואי או הנפשי של המבקש אם לדעתו עלול המידע לגרום נזק חמור לבריאותו הגופנית או הנפשית של המבקש, או לסכן את חייו ובמקרה כזה ימסור בעל המאגר את המידע לרופאו של המבקש או לפסיכולוג מטעמו. סירוב לאפשר עיון או לבצע תיקון או מחיקה מחייבים מתן הודעה למבקש ועומדת בפניו זכות ערעור לבית משפט שלום.

החוק קובע, שניתן להסדיר בתקנות את האופן, התנאים והתשלום למימושה של זכות העיון במידע. לפי שעה לא הותקנו תקנות כאלו ולכן לא ניתן להתנות את זכות העיון בתשלום לבעלים או למחזיק במאגר מידע. בעליו של מאגר מידע עשוי להיות צפוי לפניות רבות מצד כל מי שמופיעים אצלו בכדי לאפשר להם עיון, תיקון ושינוי פרטים, או מחיקתם, באחת משלושת השפות. מוטב שיהא ערוך לאפשרות כזו.
חובת סודיות מי שהוא עובד, מנהל או מחזיק מאגר מידע חייב בחובת סודיות ואסור לו לגלות מידע שהגיע אליו בתוקף תפקידו אלא לצורך ביצוע עבודתו או לצורך ביצוע החוק או על פי צו בית משפט.
חובות דיווח, אבטחת מידע ומנוי ממונה על אבטחה החוק קובע כי האחריות לאבטחת המידע מוטלת בנפרד על בעליו של מאגר מידע, המחזיק או המנהל שלו. חובה זו קיימת אפילו מאגר המידע אינו חייב ברישום. אבטחת המידע הינה הגנה על שלמות המידע, הגנה על המידע מפני חשיפה, שימוש או העתקה ללא רשות כדין.

מי שמחזיק במאגרי מידע של בעלים שונים, מחויב להבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהוכשרו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר.

המחזיק בחמישה מאגרי מידע ויותר החייבים ברישום מחויב למסור מדי שנה לרשמת מאגרי המידע רשימה של מאגרי המידע שברשותו בציון שמות בעלי המאגרים בצירוף תצהיר על כך שלגבי כל אחד מהזכאים נקבעו הזכאים בגישה למאגר בהסכם בינו לבין הבעלים ושמו של הממונה על האבטחה.

חובת מינוי ממונה על אבטחה מוטלת על מי שמחזיק חמישה מאגרי מידע החייבים ברישום, גופים ציבוריים, בנקים, חברות ביטוח, חברות העוסקות בדירוג או בהערכה של אשראי החוק קובע כי הממונה על אבטחת מידע צריך להיות בעל הכשרה מתאימה וכי לא ניתן למנות ממונה על אבטחה את מי שהורשע בעבירה שיש עמה קלון או בעבירה על חוק הגנת הפרטיות.

השאלה מה ייחשב למאגר מידע אחד ומה ייחשב ליותר מאחד טרם קיבלה תשובה ברורה בחוק או במדיניות רשמת מאגרי המידע.

האם לצורך קביעת מאגר מידע יש להתחשב במיקומו של מאגר המידע על שרת מסוים, או באפשרות הגישה אליו ממסופים שונים? האם אותו מאגר מידע המותקן אצל עובדים שונים בארגון ומתעדכן ביניהם ייחשב למאגר מידע אחד או ליותר?

בספטמבר 1999 הוציאו המועצה הציבורית להגנת הפרטיות שליד משרד המשפטים ולשכת מנתחי מערכות מידע בישראל את המהדורה האחרונה של קווים מנחים לעוסקים במערכות מידע, בהיבטים הנוגעים לחוק הגנת הפרטיות ולאבטחת מידע.

יוזמה חשובה זו ניסתה לעשות סדר בהוראות החוק כך שיהיו ברורות לקורא ולהתוות אמות מידה מגובשות יותר לאבטחת המידע. מן הראוי שפעילות כזו תימשך ותתאים עצמה להתפתחויות הטכנולוגיות.

בינתיים, ראוי, כי מי שנדרש לבחון האם ברשותו מאגר מידע החייב ברישום יבדוק היטב האם הוא אכן מחויב להיכנס למערכת החובות האמורה ואם כן, עליו להיערך לעידן הרישום.

עו"ד ירון הרמן הוא שותף וראש מחלקת תקשורת במשרד גרוס, קליינהנדלר, חודק, הלוי , גרינברג ושות' ומשמש יועצה המשפטי של לשכת רואי חשבון בישראל

כל המידע הנכלל במאמר זה הינו בבחינת מידע כללי בלבד, ואינו בגדר חוות דעת או ייעוץ משפטי מוסמך. על המשתמש לקבל עצה מקצועית לפני כל פעולה משפטית או אחרת המסתמכת על המאמר. המחברים והמערכת אינם נושאים באחריות כלשהי כלפי הקוראים ו/או המשתמשים באתר.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker