לקוחות ועמיתים יקרים,

היום, כמדי שנה, מציינים ברחבי העולם את יום הגנת הפרטיות הבין-לאומי ("Data Privacy Day").

יום זה משמש פלטפורמה חשובה להעלאת המודעות של ארגונים ואזרחים כאחד לחשיבותה של הזכות לפרטיות וההגנה עליה ולחובות והזכויות החלות בקשר עם ניהול המידע האישי.

הזכות לפרטיות נחשבת מזה שנים רבות כאחת מהזכויות החשובות והבסיסיות ביותר של האדם. בשנים האחרונות, עליית עידן המידע והתרחבות הסביבה הטכנולוגית, הולכים ומעצימים את האתגרים והסכנות לזכותו של אדם לפרטיות, וכפועל יוצא מכך, גם את הקריאות לרשויות השלטון להנהיג נורמות פרטיות רחבות יותר ולספק הגנה נאותה לפרטיותו של האדם ולמידע אודותיו.

הזכות לפרטיות הוכרה בישראל כזכות חוקתית, הנגזרת מכבודו של אדם והאוטונומיה שלו, והיא מעוגנת בחוק יסוד: כבוד האדם וחירותו ובחוק הגנת הפרטיות, התשמ"א – 1981, המהווה את הציר המרכזי של דיני הגנת הפרטיות בישראל.

חוק הגנת הפרטיות מגדיר את הזכות של אדם לפרטיות וקובע מספר מצבים אשר ייחשבו לפגיעה בפרטיותו של אדם מקום בו לא נתן את הסכמתו לכך (למשל, בילוש או התחקות אחרי אדם, העלולים להטרידו, צילום אדם כשהוא ברשות יחיד, שימוש בשם אדם, בכינויו, בתמונתו או בקולו לשם רווח, שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה, ועוד).

בנוסף, משרטט חוק הגנת הפרטיות שורה של חובות, מגבלות וכללי יסוד המוטלים על מי שמנהל מידע המצוי במאגרי מידע ממוחשבים. בין היתר, קובע החוק ותקנות שהותקנו מכוחו כללים לעניין רישום מאגר מידע אצל רשם מאגרי המידע במשרד המשפטים, חובה בדבר מסירת הודעה לנושאי מידע בדבר נהלי האיסוף והשימוש במידע, כללים לאבטחת מאגרי מידע מפני גישה בלתי מורשית או זליגת מידע, חובה לשמור על סודיות המידע, כללים למימוש זכותו של אדם לעיין או לתקן מידע אודותיו המצוי במאגר, כללים להעברת מידע ממאגר מידע אל מאגרי מידע מחוץ לישראל, הוראות לעניין העברות מידע בין גופים ציבוריים, ועוד.

בישראל, הרשות להגנת הפרטיות היא הרשות שתפקידה להסדיר ולאכוף את הוראות חוק הגנת הפרטיות. במסגרת תפקידה, אמונה הרשות על אכיפה (פלילית ומנהלית) של הוראות החוק (רק לאחרונה, פרסמה הרשות ממצאי ביקורות שביצעה בקרב מגזר מועדוני הלקוחות ובקרב ארגונים המפעילים פלטפורמות חינוכיות המיועדות לקטינים) ועל התווית נורמות פעולה, לעיתים קרובות תוך גישור הפערים בין חקיקה מיושנת לעולם החווה דינמיות טכנולוגית (כך למשל, פרסמה הרשות נהלים וכללים לעניין שימוש במצלמות אבטחה ומעקב במרחב הציבורי ובסביבת העבודה, כללים לפעילות "עיר חכמה", הפעלת רחפנים ועוד).

חשוב לציין גם את תקנות הגנת המידע האירופאיות (ה-GDPR) הקובעות הוראות אחידות לשמירה וניהול של מידע אישי של אזרחים אירופאים, החלות על ארגון ללא קשר למקום התאגדותו או מושבו. למרות שישראל לא אימצה את ה-GDPR, לתקנות אלו עשויות להיות השפעה רבה על עסקים בישראל, השולטים במידע אודות מי שנמצא באחת ממדינות ה-EU או מעבדים אותו עבור גורמים אחרים.

לאור האמור ולצורך התנהלות תקינה והקטנת החשיפה המשפטית, על ארגונים המנהלים או מחזיקים במידע אישי להציב את נושא הפרטיות ואבטחת המידע בראש סדר העדיפויות של פעילותם. במיוחד, מוצע להקפיד על קיום העקרונות החשובים הבאים:

• מיפוי המידע האישי הנאסף בארגון (למשל, אודות עובדים, לקוחות, ספקים, מצלמות מעקב, מבקרים, וכו').
• בחינת מקורות המידע והבסיס החוקי לאיסוף והשימוש במידע.
• בחינת הצורך ברישום מאגרי מידע ומינוי ממונה אבטחת מידע.
• בחינת התקשרויות מול צדדים שלישיים המעבדים מידע אישי שבשליטת הארגון.
• יישום תכנית מקיפה לאבטחת המידע בארגון.
• קיום הדרכות תקופתיות לעובדים או לגורמים העוסקים בניהול או עיבוד המידע מטעם הארגון.
• הפיכת נושא פרטיות לשיקול מרכזי בתכנון מוצרים/שירותים (“Privacy by design”).
• בחינת תחולת ה-GDPR על פעילות הארגון.

נשמח לעמוד לרשותכם בכל שאלה או הבהרה שתידרש בכל אחד מהנושאים הנ"ל.

הרצוג פוקס נאמן