רישום מאגרי מידע 

לפי הזמנת רו"ח שאול בן דוד, סמנכ"ל התקשוב בחב' תושייה תעשיות בע"מ (להלן "תושייה"), הנני מתכבד להמציא את חוות דעתי בנושא רישום מאגרי המידע של תושייה אצל רשם מאגרי המידע במשרד המשפטים.
הנתונים על המאגרים הקיימים בתושייה נמסרו לי בפגישה אשר התקיימה במשרדי בתאריך 25.5.2005 בהשתתפות רו"ח בן דוד וגב' רחל בת יעקב - מנהלת מערכות המידע בתושייה.

1. החקיקה הרלוונטית

1.1. עיקר החקיקה הרלוונטית למאגרי המידע של תושייה מצוי בפרק ב' (אשר כותרתו "הגנה על הפרטיות במאגרי מידע") בחוק הגנת הפרטיות, תשמ"א - 1981 על תיקוניו (להלן "החוק"), וכן בפרק ב' (אשר כותרתו "הוראות כלליות לניהול מאגר מידע") בתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו - 1986 (להלן "התקנות").
החקיקה מסדירה את נושא רישום מאגרי המידע אצל רשם מאגרי המידע במשרד המשפטים ואת אופן השימוש במאגרים.
1.2. להלן ציטוט סעיפי החוק העיקריים לענייננו:

7. הגדרות
"מאגר מידע" - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב.;
"מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;

"מידע רגיש" - נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;

"מנהל מאגר" - מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מה שמנהל כאמור הסמיכו לעניין זה;

8. רישום מאגר מידע והשימוש בו (תיקון: תשנ"ו)

(א) לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום לפי סעיף זה, אלא אם כן התקיים אחד מאלה:

(1) המאגר נרשם בפנקס;

(2) הוגשה בקשה לרישום המאגר.
(ב) לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר.
(ג) בעל מאגר מידע חייב ברישום בפנקס ועל בעל המאגר לרשמו אם נתקיים בו אחד מאלה:

(1) מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;

(2) יש במאגר מידע רגיש;

9.(א) בקשה לרישום מאגר מידע תוגש לרשם.

(ב) בקשה לרישום מאגר מידע תפרט את -

(1) זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל;

(2) מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע;

(3) סוגי המידע שייכללו במאגר;

17.ב (א) הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת המידע (להלן - הממונה):

(1) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8.

1.3 להלן ציטוט סעיפי התקנות העיקריות לענייננו:
פרק ב': הוראות כלליות לניהול מאגר מידע

2. הודעה על מאגר
המנהל הכללי של גוף שבבעלותו מצוי מאגר מידע יודיע לרשם בכתב את שמו של מנהל המאגר וההודעה תירשם בפנקס.
3. אחריות מנהל מאגר

(א) מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד.
(ב) מנהל מאגר אחראי לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה בתחומים אלה:

(1) קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומטית (להלן - המערכת), ועל תשתיתה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית מפני סיכונים סביבתיים ופגיעות;
(2) קביעת סדרי ניהול של מאגר מידע, וכללים להרשאת גישה למידע, לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע, הכל בהתאם להוראות החוק והתקנות; סדרים וכללים כאמור יחולו גם על נותן שירותים חיצוני לגוף שבבעלותו מאגר המידע;
(3) קיום הוראות תפעול של המערכת תוך אבטחת המידע ושמירה על שלמות המידע;
(4) נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש;
(5) קביעת סדרי בקרה לגילוי פגיעות בשלמות המידע ותיקון ליקויים.

2. סוגי המידע עליהם חלה החקיקה

2.1. כל דיני הגנת הפרטיות חלים על מידע אישי אודות אנשים פרטיים בלבד, להבדיל מתאגידים. מידע סודי ומסחרי של תאגידים מוגן במערכות חוקים אחרות, כדוגמת חוק עוולות מסחריות התשנ"ט 1999

2.2. הקריטריונים העיקריים לחובת רישום מאגר מידע הם שניים (סעיף 8 ג לחוק): האחד, מאגר הכולל מידע אישי כלשהו אודות יותר מ- 10,000 אנשים. השני, מאגר הכולל מידע רגיש על אנשים, ללא קשר למספרם. דהיינו, גם קובץ על שני אנשים יחייב רישום אם הנתונים המוחזקים אודותם בקובץ הם בגדר מידע רגיש. המונח "מידע רגיש" מוגדר בחוק ככולל, בין היתר, "נתונים על אישיותו של אדם...מצב בריאותו ומצבו הכלכלי".

2.3 המידע האישי הקיים בתושייה והמחייב רישום מאגרים הוא בתחומי העובדים, לקוחות וספקים. הרישום מתחייב הן מסוג הנתונים - מידע אישי וכלכלי בנוגע לעובדים וכן מידע כלכלי בנוגע ללקוחות ולספקים, והן בשל כמות הלקוחות - מעל 10,000.

3. רישום המאגרים אצל רשם מאגרי המידע במשרד המשפטים

3.1. רישום כל מאגר נעשה באמצעות ערכת רישום הכוללת טופס בן מס' עמודים, ושובר לתשלום האגרה הכרוכה ברישום (נכון להיום 215 - למאגר).

3.2 חשוב ביותר למלא את כל הפרטים הנדרשים בטפסים בדיוק מרבי.

3.3 מבלי לגרוע מכלליות האמור בסעיף 3.2 לעיל, חייבים להיות ערים במיוחד לסעיף 8(ב) לחוק לפיו "לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר". לפיכך יש חשיבות רבה ביותר לפירוט מלא ומקסימלי של כל המטרות לשמן נועד ועשוי לשמש כל מאגר ומאגר.

4. מאגרי מידע של חב' תושייה

4.1. לקוחות וספקים:

המידע מנוהל במערכות המידע "אופק" ו- "מנוף" בתושייה. לפיכך יש לרשום אצל הרשם מאגר בשם "מאגר לקוחות וספקים".

4.2. עובדים:

4.2.1. נתוני שכר ומשכורות: המידע מנוהל בחברה חיצונית המספקת את השירותים - מלמ"ן בע"מ. לכן יש לרשום אצל הרשם מאגר בשם "מאגר שכר עובדים" כאשר בפרק "מחזיק המאגר" בטופס רישום המאגר יש למלא את כל הפרטים הנדרשים אודות חב' מלמ"ן. המלצתי זו תואמת גם את ההתחייבות החוזית אשר קיימת בדרך כלל בהסכם בין לקוח לבין חברה המספקת שירותים של הכנת משכורות. ואכן גם בהסכמים של חב' מלמ"ן קיים סעיף הקובע כי: "הלקוח, כבעל מאגר המידע הכולל את נתוני העובדים (להלן - "מאגר המידע"), מתחייב לרשום את מאגר המידע אצל רשם מאגרי המידע .... ולהמציא לחברה עותק ממסמכי הרישום ואת מספר מאגר המידע אצל הרשם. כמו כן אחראי הלקוח למסירת כל הדיווחים שיש לבצע ולתשלום האגרות שיש לשלם על פי החוק".

4.2.2. נתוני כוח אדם (משאבי אנוש): המידע מעובד במערכת ה- ERP (SAP) של חב' האם של תושייה. על כן יש לרשום אצל הרשם מאגר בשם "מאגר כוח אדם" כאשר בפרק "מחזיק המאגר" בטופס רישום המאגר יש למלא את כל הפרטים הנדרשים אודות חב' האם של תושייה אצלה מצוי ומוחזק המאגר.

4.2.3. אם המידע אודות עובדי חברות הבנות של תושייה מנוהל, מוזן ומעובד בתושייה עצמה, מומלץ להזכיר בסעיף המטרות של טפסי הרישום של שני המאגרים הנ"ל, כי מנוהלים שם בנוסף לנתוני העובדים של תושייה גם נתוני עובדי חברות הבנות שלה.

4.3. חב' נתוני אשראי בע"מ: תושייה מנוייה בחברת נתוני אשראי בע"מ ומקבלת ממאגריה באופן שוטף נתונים על חוסן כלכלי של לקוחות וספקים.
שליפת מידע ממחשבי חב' נתוני אשראי בע"מ בדרך של שאילתות או דו"חות, אינה מחייבת כשלעצמה רישום של מאגר על ידי תושייה. כל עוד אין תושייה יוצרת לעצמה קבצים משלה על סמך נתוני חב' נתוני אשראי בע"מ במבנה משלה, ו/או לצורך עיבודים נוספים משלה, אין לראות בתושייה מחזיקה או מנהלת מאגר מידע ואין עליה כל חובת רישום של מאגר בנושא.

4.4. מאגרים "היסטוריים": אם המאגרים ההיסטוריים של תושייה אשר נרשמו על ידי תושייה אצל הרשם לפני שנים כבר אינם נחוצים, מוצע למוחקם לחלוטין מהמחשבים ולהודיע לרשם על אי קיומם יותר. להודעה לרשם יש לצרף תצהיר של מנהל בתושייה אשר נערך בפני עו"ד. בתצהיר יש לציין כי המאגר אכן בוער וכי המאגר או מידע מתוכו לא הועברו מתושייה לצד ג' - סעיף 10(ב3) לחוק. מאידך אם בכוונת תושייה להמשיך באחזקת המאגרים האלה למרות שאין היא עושה בהן שימוש, דינם ימשיך להיות כדין כל מאגר פעיל אחר.

5. מאגרי מידע של חברות בנות של תושייה

5.1. לקוחות/ספקים: כל חברת בת היא אישיות משפטית נפרדת בפני עצמה, וככזו חובת הרישום של מאגריה מוטלת עליה ולא על תושייה. המידע מנוהל במערכות מקומיות (מערכות "אילנות" או "שחקים") של כל חברת בת. לכן על כל אחת מחברות הבנות (ולא תושייה האם) לרשום אצל הרשם מאגר לקוחות על שמה.

5.2. עובדים - בהנחה שכל המידע אודות עובדי חברות הבנות מנוהל, מוזן, ומעובד על ידי מנהלי כוח אדם ופקידים בתושייה עצמה (חב' האם) יחד עם המידע על עובדיה שלה כמפורט בסעיפים 4.2.1 ו- 4.2.2 לעיל, אין צורך לרשום מאגרי כוח אדם נפרדים לכל חברת בת, ודי ברישום המאגר על ידי תושייה. ואולם אם המידע מנוהל, מוזן או מעובד בפועל גם בחברות הבת, יש לרשום מאגר של כוח אדם בכל חברת בת, בדומה לאמור ביחס לתושייה בסעיפים 4.2.1 ו- 4.2.2 לעיל.

6. מאגרי מידע של סוכנים של תושייה

לקוחות: המידע מנוהל על ידי הסוכנים במערכות מקומיות (מערכות "אילנות" או "שחקים" או אחרות). הואיל והסוכנים הם גופים משפטיים בפני עצמם והם אינם בבעלות או שליטת תושייה, חובת הרישום כדין היא באחריותם ומעניינם בלבד. ואולם לאור העובדה שלגופו של עניין ומבחינה מהותית מדובר בלקוחות של תושייה לכל דבר ועניין, מומלץ לשלוח לסוכנים מכתב מאת תושייה המפנה את תשומת ליבם לצורך ברישום כחוק של מאגרי הלקוחות המתופעלים על ידם.

7. מנהל המאגר

7.1. זהותו - כל עוד לא מונה מנהל מאגר אחר, נחשב המנכ"ל למנהל המאגר (סעיף 1 בתקנות). בהנחה שבכוונת תושייה כי מנהל מערכות המידע יוסמך לשמש כמנהל המאגר, על המנכ"ל להוציא כתב הסמכה פורמלי למנהלת מערכות המידע לגבי כל אחד ממאגרי המידע שירשמו. את שם המנהל יש למלא גם בטופס הרישום של כל מאגר ואליו יש לצרף את העתק מכתב ההסמכה (לגבי רישום מאגרים של חברות הבנות הכוונה באמור לעיל למנכ"ל של כל אחת מהן ולא למנכ"ל חב' תושייה האם).

7.2. תפקידיו ואחריותו של מנהל המאגר מתוארים בתקנה 3 על כל סעיפי המשנה שלה כפי שצוטט בסעיף 1.3 לעיל. לשון התקנה ברורה ופשוטה ואיני מוצא צורך להוסיף עליה.

8. הממונה על אבטחת מידע בארגון

על פי סעיף 17.ב(א) לחוק כל גוף המחזיק לפחות חמישה מאגרי מידע החייבים ברישום, חייב למנות אדם ללא עבר פלילי ובעל הכשרה מתאימה כממונה על אבטחת המידע. הואיל ועל פי האמור בסעיף 4 לחוות דעת זו עולה כי רק מאגר הלקוחות והספקים הוא מאגר אשר תושייה היא המחזיקה בו, פטורה תושייה ממינוי ממונה כאמור (אלא אם היא מחזיקה בנוסף גם ביותר משלושה ממאגרים "ישנים").

9. הוראות חוק נוספות בתחום הגנת הפרטיות

יודגש כי בחוות דעתי זאת התייחסתי לנושאים המרכזיים בקשר לרישום וניהול מאגרי מידע, והכל על פי המידע אשר נמסר לי בנוגע למאגרי המידע של תושייה, בנוגע לנתונים המצויים בהם, ובנוגע לאופן השימוש בהם.
סעיפים נוספים בחוק וכן סעיפים נוספים בתקנות עוסקים במגוון של נושאים אחרים אליהם לא התייחסתי בחוות דעת זו. אי ההתייחסות נובע או משום שנושא כלשהו לחלוטין אינו רלוונטי לעבודת תושייה כפי שהוצגה לי, או בשל כלליותו ו/או נדירותו של הנושא, או בשל היות הדברים מובנים מאליהם. המדובר בהוראות המתייחסות למשל לניהול רשומות על מצב בריאות, ניהול מידע בטחוני, העברת מידע לחו"ל, ביצוע דיוור ישיר, מתן זכות עיון וזכות תיקון למי שפרטיו מופיעים במאגר, ועוד. אם וכאשר ייוצרו בתושייה נסיבות שיצריכו התייחסות גם לנושאים מסוג זה, מוזמנת תושייה לעיין בסעיפי החקיקה המתאימה ו/או לקבל ייעוץ משפטי נוסף במידת הצורך.

10. ההיבט האזרחי, הפלילי, והעונשי

10.1. פגיעה בפרטיות של אדם היא עוולה כמו כל עוולה אחרת על פי דיני הנזיקין. רוצה לומר, אדם אשר נגרם לו נזק עקב אי ההקפדה על השימוש הנאות במידע אודותיו, רשאי לתבוע מהמזיק את נזקיו בתביעה אזרחית לפיצויים כספיים. גם בהקשר זה חשוב להקפיד שלא לעשות במידע אישי אודות עובדים, לקוחות וספקים, כל שימוש למטרות זרות, דהיינו שימוש החורג ממסגרת המטרות לשמן נאגר המידע מלכתחילה.

10.2. ואולם חשוב לזכור תמיד כי אי ציות לחקיקה בתחום הגנת הפרטיות הוא גם בגדר עבירה פלילית אשר דינה קנס ואף מאסר, וזאת מעבר ל"כתם" שבהרשעה בפלילים.

10.3. ראוי גם לציין כי בשנת 2004 הותקנו תקנות חדשות אשר קבעו קנסות מנהליים קצובים לעבירות על חוק הגנת הפרטיות, דהיינו, תאגידים שאינם מקיימים את החוק עלולים להיקנס גם ללא משפט.