ההגדרה למה הוא מידע, מצויה בפרק ב' לחוק הגנת הפרטיות:
"מאגר מידע", מוגדר כאוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט:
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;
"מידע", מוגדר כנתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;
"מידע רגיש", מוגדר כנתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו.
אוסף הנתונים המותר בהחזקה כאמור ללא רישום מתייחס ל"שם, מען ודרכי התקשרות" בלבד.
פסק הדין בעניין צדוק (ע"פ 071165/99 צדוק מתתיהו נגד מדינת ישראל), עסק בסוגיית הפרשנות להגדרת מידע המצוין בסעיף 7 לחוק. השופטת ברלינר שדגלה בפרשנות מרחיבה למונח "מידע", קבעה כך:
"את הביטוי מידע יש לפרש על רק התכלית החקיקתית של חוק הגנת הפרטיות מכלל, ובפרק הגנה על הפרטיות במאגרי מידע בפרט. על פי תכלית זו, אין לגרוס כי הפרשנות צריכה להיעשות באופן מצמצם, שכן פרשנות מצמצמת תביא לפגיעת יתר בפרטיותו של אדם, ולא לכך התכוון המחוקק".
כל אדם המחזיק במאגר מידע חייב ברישום במידה ומתקיימים לגביו אחת מחלופות סעיף 8(ג) לחוק הגנת הפרטיות. החלופות הינן כדלקמן:
1. מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;
2. יש במאגר "מידע רגיש". "מידע רגיש" מוגדר כנתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו. ובנוסף, מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש (עד היום לא ניתן כל צו בנושא זה).
3. המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה;
4. המאגר הוא של "גוף ציבורי" כאשר "גוף ציבורי" מוגדר בסעיף 23 כמשרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין. בנוסף, גוף ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, ובלבד שבצו ייקבעו סוגי המידע והידיעות שהגוף יהיה רשאי למסור ולקבל;
5. המאגר משמש לשירותי "דיוור ישיר". "דיוור ישיר" - פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע.
דרך קיום חובת הרישום מוגדרת בסעיף 9 לחוק הנ"ל ועל פיה בקשה לרישום מאגר מידע תוגש לרשם ותפרט את הדברים הבאים:
1. זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל.
2. מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע.
3. סוגי המידע שיכללו במאגר.
4. פרטים בדבר העברת מידע מחוץ לגבולות המדינה.
5. פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי.
בהקשרו זה של החוק הנוכחי ניתן לבקרו בכך שקשה לנשוא המידע לברר או לוודא מי הם כל בעלי מאגרי המידע אשר מחזיקים במידע עליו (חוץ ממספר דוגמאות מובהקות כמו למשל מעסיקו או הבנק בו מנוהל חשבונו ורשויות המדינה). הרשמות רבות מול גופים מגוונים הופכות את הבקשה לגישה למאגר המידע יקרה, אלא אם כן מוכן מחזיק המידע לעזור ולהקל על הליך הגילוי. כמו כן קיים חוסר שליטה על הנעשה במידע האישי אשר כבר נמסר, והחוק אינו חל על מאגרי מידע פיזיים. כך לדוגמא אף חשוף המידע לייצואו לחו"ל וזאת כפי שאפרט בהמשך.
סעיף 13(א) לחוק הגנת הפרטיות קובע מפורשות כי "כל אדם זכאי לעיין בעצמו, או על ידי בא-כוחו שהרשהו בכתב או על ידי אפוטרופסו, במידע שעליו המוחזק במאגר מידע." אולם, בהעדרו של אינדקס ממוסד ומסודר אשר כולל את כל אותם מאגרי מידע בהם מופיעים פרטיו של אותו פרט, מלאכת איתור כל אותם מאגרים המכילים את פרטיו האישיים הנה בגדר הבלתי אפשרי ולרוב תיעשה היא רק בדיעבד, קרי לאחר השימוש במידע עליו.
בהקשרו זה של החוק הנוכחי ניתן לבקרו בכך שקשה לנשוא המידע לברר או לוודא מי הם כל בעלי מאגרי המידע אשר מחזיקים במידע עליו (חוץ ממספר דוגמאות מובהקות כמו למשל מעסיקו או הבנק בו מנוהל חשבונו ורשויות המדינה). הרשמות רבות מול גופים מגוונים הופכות את הבקשה לגישה למאגר המידע יקרה, אלא אם כן מוכן מחזיק המידע לעזור ולהקל על הליך הגילוי. כמו כן קיים חוסר שליטה על הנעשה במידע האישי אשר כבר נמסר, והחוק אינו חל על מאגרי מידע פיזיים. כך לדוגמא אף חשוף המידע לייצואו לחו"ל וזאת כפי שאפרט בהמשך.
כיום, חובת הרישום של מאגר מידע חלה אך על מאגר מידע המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב. אולם, העובדה שיכול והחוק יורחב למאגרים פיזיים, צריכה להדיר שינה ממנהלי מידע רבים של ארגונים גדולים המחזיקים בכמות גדולה של ארכיוני תיקים המעלים אבק במרתפיהם. רעיון הרישום של מאגרי מידע, לרבות מאגרי תיקים פיזיים, וזאת כחלק מההגנה על הפרטיות, תואם הרחבה זו בכל מובן. ארגונים מסחריים העוסקים בדיוור ישיר ומשתמשים בבדיקה אוטומטית של אשראי או זייפנים, יכולים לעמוד בסכנה משמעותית בשל הוראות החוק.
בנושא איסוף המידע על משתמשים בחו"ל, הוראות החוק הרלוונטיות קבועות כאמור בפרק ב' לחוק הגנת הפרטיות שמתייחס להגנה על פרטיות במאגרי מידע.
בפסיקתו של בית המשפט (תפ(ת"א) 8775/00 מדינת ישראל נגד חפץ אסף), נקבע כי:
"שיטת הפרשנות צריכה לגבש מערכת נורמות, שבכוחן להבטיח כי המובן שינתן לנורמה המשפטית, הוא זה המגשים בצורה אופטימלית את מטרתה של הנורמה.... (על כן ת.ב) יש לפרש את החוק לפי התכלית החקיקתית. המחוקק בקש להגביל אותם פרטים הרשאים להיות במאגר ללא רישום, ואין להניח כי כוונתו הייתה ליצור פרצות או להביא לתוצאה שתסכל מטרת החוק."
פרשנותו המילולית של החוק, מביאה למסקנה כי בציינו את ההגדרה "נתונים על אישיותו של אדם" כי התכוון המחוקק לכל אדם באשר הוא ללא קשר למקום מגוריו - בין אם בישראל ובין או מחוצה לה. פרשנות זו בצירוף לפרשנות התכליתית שניתנה בבית המשפט, מחייבת את המסקנה כי החובות החלות על מאגר מידע בישראל, חלות גם כשמודבר על אזרחים בחו"ל.
בנושא העברת המידע על משתמשים בחו"ל לחו"ל הרי שחלות המגבלות הקבועות בתקנות הגנת הפרטיות (העברת מידע על מאגרי מידע שמחוץ לגבולות המדינה), תשס"א - 2001.
על פי החוק, הרי שאין נפקא מינה באם המידע נאסף על אנשים מחוץ למדינה או על אנשים במדינה. מאגר מידע רשום, ככזה, חלות עליו מגבלות בכל הקשור להעברת מידע ממנו בישראל אל מחוץ לגבולות המדינה.
הגבלת ההעברה של מידע לחו"ל קובעת כי לא יעביר אדם מידע ולא יאפשר העברה של מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם כן דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה מרמת ההגנה על מידע הקבועה בדין הישראלי, ובכלל זה קובע עקרונות אלה:
(1) מידע ייאסף ויעובד באופן חוקי והוגן;
(2) מידע יוחזק, ישמש ויימסר רק למטרה שלשמה נתקבל;
(3) מידע שנאגר יהיה מדויק ומעודכן;
(4) נתונה זכות עיון ותיקון למי שהמידע עליו;
(5) קיימת חובה לנקוט אמצעי ביטחון נאותים להגנה על מידע במאגרי מידע.
אולם, למרות האמור לעיל, רשאי בעל מאגר מידע להעביר מידע או לאפשר העברה של מידע ממאגר מידע שלו בישראל אל מחוץ לגבולותיה, אם התקיים אחד מאלה:
(1) האדם שעליו המידע הסכים להעברה;
(2) המידע מועבר לתאגיד שנתון לשליטתו של בעל מאגר המידע שממנו מועבר המידע, והוא הבטיח את ההגנה על הפרטיות לאחר ההעברה ("שליטה" כהגדרתה בחוק ניירות ערך, תשכ"ח?1968);
(3) המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים.
(4) המידע מועבר למאגר מידע במדינה:
(א) שהיא צד לאמנה האירופית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש;
(ב) המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה;
בהקשר סעיף 3, הרי שהמדינות החברות (אשר רובן ככולן חתומות על האמנה האירופית להגנת הפרט - The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data ) הנן: איטליה, בלגיה, הולנד, לוקסמבורג, גרמניה המערבית, צרפת, אירלנד, בריטניה דנמרק, יוון, ספרד, פורטוגל, גרמניה, אוסטריה, שבדיה, פינלנד, אסטוניה, הונגריה, לטביה, ליטא, מלטה, סלובניה, סלובקיה, פולין, צ'כיה, קפריסין, בולגריה ורומניה.
למדינות אלו אין כאמור בעייתיות בהעברת מידע ממאגר רשום בארץ.
יש לציין כי בהעברת מידע לפי כל אחת מהחלופות לעיל, יבטיח בעל מאגר המידע, בהתחייבות בכתב של מקבל המידע, כי מקבל המידע נוקט אמצעים מספיקים להבטחת פרטיותם של מי שהמידע עליהם, וכי הוא מבטיח שהמידע לא יועבר לכל אדם זולתו, בין באותה מדינה ובין במדינה אחרת.
לסיכום נראה כי יישום חוק הגנת הפרטיות, בהקשרו על הגנת המידע ועל רישומם של מאגרי מידע הוא הגיוני לחלוטין. פריצות השימוש במאגרי מידע ללא כל חקיקה מונעת מקדימה, הייתה עלולה להביא להגבלות קיצוניות של החוק עד כדי הרתעה משימוש בטכנולוגיות מידע ועידוד השימוש באלטרנטיבות אפשריות אחרות. משתמשי מאגרי מידע היו נמנעים במצב כזה מאיימתו של החוק על ידי חזרה לשימוש באינדקס כרטיסיות וויתור על השימוש במאגרי מידע ממוחשבים מתקדמים על כל יתרונותיהם.
תמיר ברנשטיין, משפטן
עוסק במשפט מסחרי
עוסק במשפט מסחרי
