איסוף וצילום תעודות זהות: מה מותר ומה אסור?
אם העסק שלכם מבקש מלקוחות צילום תעודת זהות או מספר תעודת זהות, ייתכן שאתם חשופים לקנסות ולתביעות: מדובר במידע אישי ייחודי ורגיש, שהשימוש בו מוסדר בחוק, בפסיקה ובהנחיות רגולטוריות. הרשות להגנת הפרטיות פרסמה גילוי דעת שמבהיר מתי מותר לאסוף ולהשתמש במספרים ובצילומים, והטילה קנסות על שימוש אסור בצילום תעודות זהות. עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, ועם התחלת הביקורת של הרשות, רמת הסיכון והחשיפה – עולות משמעותית. לפיכך, נדרשת התאמה מיידית של נהלי האיסוף, עיבוד המידע, וחובת היידוע.
כללים לאיסוף ושימוש במספרי ותמונות תעודות זהות
מה כוללת תעודת הזהות?
לפי חוק מרשם האוכלוסין, תעודת זהות היא מסמך ייחודי המונפק לכל תושב הנמצא בישראל אשר מלאו לו 16 שנים. התעודה כוללת, לצד תמונת תווי הפנים של בעל התעודה, את הנתונים הבאים: מספר תעודת הזהות; שם המשפחה, השם הפרטי והשמות הקודמים; שמות ההורים; תאריך הלידה ומקומה; המגדר; וכן תאריך הנפקת התעודה ותוקפה, המשמשים לעתים לצורך אימות תקינות התעודה ולצורך זיהויו של אדם כמחזיק התעודה. כמו כן, בספח תעודת הזהות מופיעים בנוסף המצב האישי (רווק, נשוי, גרוש, בן זוג בברית הזוגיות, פנוי או אלמן); המען; שם בן/ בת הזוג ומספר תעודת הזהות שלו/ שלה; שמות הילדים; מינם; תאריכי לידתם; מספר תעודת הזהות שלהם; ואזרחותם (ככל שהם אזרחי ישראל).
מספר תעודת הזהות: מידע מוגן על פי דין
מספר תעודת הזהות הוא מספר ייחודי, “מפתח”, המאפשר גישה למידע אישי. ככזה, יש להתייחס אליו כאל “מידע” לפי חוק הגנת הפרטיות. בית המשפט העליון, ב-בג”ץ 6824/07 מנאע נ’ רשות המסים, פסק כי –
“מן המספר ניתן ללמוד מידע ונתונים הנוגעים למעשיו, עיסוקיו, טעמו ומאפייניו של בעליו במגוון תחומים עד כי נוצרת זהות בין האדם לבין מספר הזהות שמאחוריו. … שליטה של אחר במידע מעין זה, לא כל שכן הצלבתו עם מקור מידע נוסף, ניתוחו והעברתו לצדדים שלישיים, וקבלת החלטות בהסתמך על מידע זה, פוגעים בפרטיות.”
נתונים נוספים שבתעודת הזהות: מידע מוגן על פי חוק
בנוסף למספר הזהות, גם פרטים אחרים בתעודת הזהות, כגון מצב משפחתי (ובנסיבות מסוימות גם מקום הלידה), מהווים אף הם מידע מוגן לפי חוק. בנוסף לפריטי המידע לעיל, חלק מהנתונים הנוספים המופיעים על גבי התעודה ובספח, כגון כתובתו של אדם, מהווים “ידיעה על ענייניו הפרטיים של אדם”, וככאלו זכאים להגנה מסוימת. לפיכך, מצילום תעודת הזהות של אדם, ובפרט כאשר הצילום כולל את ספח תעודת הזהות, ניתן ללמוד ולהסיק פרטים אישיים רבים ורגישים.
במילים פשוטות: שליטה של גורם כלשהו במספר תעודת הזהות, הצלבתו עם מאגרי מידע נוספים ו/או שימוש בו למטרות שלא לשמן נמסר – מהווים פגיעה חמורה בפרטיות.
מתי ניתן לצלם תעודות זהות?
א. כאשר קיימת חובה חוקית
כאשר מוטלת חובה חוקית או רגולטורית לדרוש נתונים אלו לצורך מתן השירות, אין שיקול דעת האם לדרוש פרטים אלו. עם זאת, החוק מחייב ליידע את הלקוח, בהתאם להוראת סעיף 11 לחוק הגנת הפרטיות, כי לצורך ההתקשרות הוא מחויב למסור את צילום תעודת הזהות. כך למשל, בנק מחויב לאמת את פרטי הזיהוי של מקבל השירות באמצעות תעודת זהות, ועליו לשמור ברשותו העתק מהתעודה. דוגמה נוספת, כאשר יש צורך לאמת מסמכים אצל נותן שירותים (רו”ח, עורך דין וכיוצ”ב), לצורך ביצוע פעולות.
ב. במסגרת מערכת היחסים בין הצדדים
במקרה בו יש צורך לאסוף את המידע לצורך עסקי-מסחרי (דוגמת זיהוי הלקוח במקרים של רכישה מקוונת באמצעות כרטיס אשראי), ובכפוף לעיקרון המידתיות, צמידות המטרה, וקבלת הסכמה מפורשת. דהיינו, יש לפנות לאדם (נושא המידע) לשם בהודעה שיצוינו בה המטרה שלשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; והאם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו.
חובת היידוע המקדים
חובת היידוע חלה בכל מקום בו איסוף מידע אישי על אודות אדם נעשה בהתבסס על פנייה אליו. זאת, בכל אחת מהאפשרויות דלעיל, בין אם המידע נאסף מכוח הסכמת נושא המידע, ובין אם איסוף המידע נעשה מכוח הסמכה שבדין. חובה זו חלה גם כאשר הפנייה לאדם לקבלת מידע נעשתה בעקבות בקשתו של אותו אדם לקבלת שירות מסוים. ככלל, איסוף מידע מאדם ושימוש בו ללא יידוע מספק של נושא המידע, עלול להוות הפרה של הוראות חוק הגנת הפרטיות.
היידוע צריך להיות בשפה ברורה, פשוטה ונגישה, להינתן בד בבד עם הפניה לאדם, ויכלול פירוט בדבר אופן שמירת המידע (כגון זהות מורשי הגישה למידע), ובדבר זכויותיו של נושא המידע. ככל שהשירות מופנה לציבור מובחן מבחינה מסוימת (כגון גיל, ארץ מוצא או מוגבלות), חשוב ששפת היידוע תהיה מותאמת לאדם, ככל האפשר. בכל מקרה, אי־מסירת הודעת פרטיות משמעותה חשיפה לעיצומים כספיים מצד הרשות להגנת הפרטיות, ולתביעות אזרחיות.
צילום מלא של תעודת הזהות ללא צורך – טעות יקרה
צילום תעודות זהות מהווה “מידע עודף”, שלרוב אינו נדרש לשם מתן השירות, אינו הכרחי ואינו רלוונטי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה (או למטרות המאגר בו הוא נשמר). כידוע, שמירה של מידע עודף מגדילה את הסיכוי לפגיעה בפרטיות ולאבטחת המידע, ועשויה להוות, כשלעצמה, פגיעה בפרטיות. קראו כאן הרחבה בנושא “צמצום מידע עודף“.
תעודת זהות כוללת פרטים רבים אשר לרוב אינם נדרשים לבית העסק ומהווים מידע עודף. לדוגמה, תאריך הלידה (כאשר אין מגבלת גיל לרכישת המוצר), תאריך הנפקת תעודת זהות (נתון חד -ערכי המשמש כמפתח וניתן לעשות בו שימוש לרעה), מידע אודות מצבו המשפחתי של האדם, מידע אודות ילדיו ובן/בת הזוג, וכיוצ”ב. לפיכך, יש להימנע מדרישה לצלם את תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לתכלית האיסוף. כאשר נדרש צילום של תעודת הזהות, יש להסתפק בצילום החלק הקדמי של התעודה, ללא הספח ו/או החלק האחורי, על מנת לצמצם את איסוף המידע הרגיש והפגיעה בפרטיות, וכן לאפשר ללקוח להסתיר או להשחיר פרטים מתעודת הזהות בעת מסירת הצילום, ככל שאלו אינם נדרשים לבית העסק.
ככל שיש צורך לשמור את צילום תעודת הזהות במאגרי בית העסק, יש להשחיר את כלל פריטי המידע שאינם נחוצים לשם מתן השירות.
הבהרה: איסוף גורף של מספרי תעודות זהות או צילום תעודת זהות “ליתר ביטחון”, ללא צורך מוכח, עלול להיחשב עיבוד מידע עודף והפרה של עקרונות המידתיות וצמצום המידע. במקרים של שמירה לא מאובטחת, העברה לא מורשית או דלף, החשיפה אינה מסתכמת באחריות הארגון בלבד, אלא עשויה להגיע גם לאחריות נושאי משרה ולעיצומים כספיים משמעותיים. לכן, לפני איסוף או צילום תעודה, יש לקבוע מטרה מוגדרת, לצמצם שדות, להגביל הרשאות, ולהגדיר תקופת שמירה ומחיקה.
מה צריך לכלול בהודעה על צילום תעודת זהות?
על בקשה למסור מספר תעודת זהות או צילום תעודת הזהות, להיות מלווה בהודעה בכתב, הכוללת את הנתונים והפרטים הבאים:
- האם חלה על נושא המידע חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצון ובהסכמה. אם לא מדובר בתרחיש שבו מוטלת חובה חוקית למסור את צילום תעודת הזהות או את מספרה, יש להבהיר כי מסירת המידע לצורך קבלת השירות או המוצר תלויה ברצונו ובהסכמתו של נושא המידע (האדם).
- המטרה אשר לשמה מבוקש המידע. היינו, החובה לפרט בפני הלקוח, בלשון ברורה ופשוטה, מהן המטרות שלשמן העסק מבקש לאסוף את המידע מתעודת הזהות, ומה בכוונת העסק לעשות עם המידע שנאסף.
- למי יימסר המידע ומטרות המסירה. על העסק לפרט בפני הלקוח למי יימסר המידע ולאילו מטרות יימסר.
- האם הלקוח יידרש למסור צילום של תעודת הזהות? ככל שבכוונת העסק לבקש מלקוח למסור צילום של תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת ההתקשרות והליך הרכישה. זאת, על מנת שהלקוח יוכל להחליט בזמן אמת אם ברצונו להמשיך בהליך הרכישה, או לפנות לבית עסק אחר.
טעויות נפוצות שיגררו סנקציות וקנסות: דרישה לצילום מלא ללא יידוע; שמירת מידע עודף ללא צורך; או שימוש במידע למטרה אחרת מזו שנמסרה ללקוח.
איסור שימוש במספר תעודת הזהות או בצילומה למטרות נוספות
בהתאם לעקרון צמידות המטרה, אין לעשות כל שימוש במספר תעודת הזהות של אדם או בצילומה, אלא למטרה שלשמה נמסרו. לפיכך, ככל שמספר תעודת הזהות התבקש (למשל לצורך זיהוי הלקוח בעסקה ספציפית, מסירת משלוח חבילה וכו’), והמספר נמסר על ידי הלקוח למטרה זו – אין לעשות בו שימוש למטרות נוספות או אחרות.
לכמה זמן מותר לשמור צילום או מספר זהות?
לזמן המינימלי ההכרחי בלבד. יש להגדיר לוח מחיקות ולבצע מחיקה אוטומטית או מבוקרת. לפי תקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), על כל בעל מאגר מידע לבחון לפחות פעם בשנה האם הוא מחזיק במידע העולה על הנדרש. בפרט, יש לשקול הסרה של צילומי תעודת זהות או מחיקת מספרי זהות שאינם עוד חיוניים למטרות המאגר. נציין כי קיום קיימות חלופות טובות לזיהוי, כגון שליחת קוד אימות למספר הטלפון הנייד, אפליקציות זיהוי וכיוצ”ב, כך שהצורך לשמור צילומים של אלפי תעודות זהות – מתייתר.
הנוסח המלא של גילוי הדעת – כאן.
הנחיות הרשות להגנת הפרטיות: סקירת חוקיות פעולות זיהוי
| הפעולה הנדרשת | סטטוס משפטי | דרישות הרגולציה והנחיות הרשות |
|---|---|---|
| אימות זהות באמצעות הצגת תעודה | מורשה | אימות חזותי בלבד ללא שמירת עותק או סריקה של המסמך המקורי. |
| צילום התעודה ושימור עותק | ככלל, אסור | פרקטיקה אסורה, למעט במקרים בהם קיימת חובה חוקית מפורשת או הצדקה עניינית משמעותית. |
| רישום מספר הזהות בלבד | מורשה תחת תנאים | בכפוף לחובת יידוע ברורה בדבר מטרת האיסוף, אופן השמירה וזכות הסירוב של הפרט. |
| התניית שירות בצילום תעודה | פגם רגולטורי | אין להתנות מתן שירות בצילום תעודת זהות במידה וניתן לבצע אימות בדרכים חלופיות שפגיעתן פחותה. |
| ביעור נתונים (מחיקה) | חובה רגולטורית | חובה למחוק עותקי תעודות זהות מיד לאחר השלמת הליך האימות הראשוני, למעט חריגים בחוק. |
מה הדין לגבי צילום תעודות זהות של קטינים?
ככלל, יש להימנע מצילום תעודות זהות של קטינים ולהעדיף אימות חלופי או מסמכים ייעודיים לפי דין, עם יידוע מתאים ואישור הורה כאשר נדרש.
מה עושים כדי לצמצם חשיפה כבר עכשיו?
מנסחים הודעת פרטיות קצרה וברורה בעמדות איסוף, עוברים לצילום חלקי והשחרה, מגדירים לוח מחיקות, מטמיעים חלופות אימות, מסדירים DPA עם ספקים, מגדירים בקרה על גישה ושיתוף, ומדריכים את צוות העובדים.
קנסות ראשונים בגין צילום תעודות זהות בניגוד לדין
הרשות להגנת הפרטיות פרסמה לאחרונה כי היא הטילה קנס מנהלי בגובה 15,000 שקל על שתי חברות בגין הפרה של חוק הגנת הפרטיות. זאת, בעקבות שימוש בפרקטיקה של סריקת תעודות זהות כתנאי לכניסת אורחים לבנייני החברות, ללא מתן הודעות פרטיות כנדרש. החל מיום 15/8/2025, עם כניסתו לתוקף של תיקון 13, סכומי הקנסות המנהליים שיוטלו בגין הפרות של חוק הגנת הפרטיות והתקנות מכוחו צפויים לעלות משמעותית, וכן יתווספו עיצומים כספיים בגין הפרות נוספות שלא היו נתונות לסנקציות בעבר. לפיכך, אנו ממליצים לבחון שוב את פרקטיקות האיסוף ועיבוד המידע, ואת עמידתן בהוראות הדין.
סיכוני סייבר בשימוש בתאריך הנפקת תעודת הזהות כאמצעי לאימות זהות
מערך הסייבר הלאומי פרסם ביום 8/9/2025, קריאה להפסיק את השימוש בתאריך הנפקת תעודת הזהות כאמצעי לאימות זהות במערכות מקוונות, ולעבור לשיטות זיהוי מתקדמות ובטוחות יותר. עמדת המערך היא כי מדובר בפרט סטטי, גלוי ונגיש שאינו עומד בתקני אבטחת מידע בין-לאומיים ומהווה נקודת תורפה חמורה במערכות הזדהות דיגיטליות. על פי הנחיות המערך, שימוש בתאריך הנפקת תעודת זהות כגורם אימות לטובת קבלת שירות מקוון, יוצר מספר סיכונים משמעותיים, ביניהם:
- פגיעות לאיומי התחזות והונאה/ מתקפות ל”הנדסה חברתית” ומתקפות “דיוג”. כאשר תאריך ההנפקה זמין לצד מספר הזהות, ניתן לנצל את המידע כדי להתחזות לבעלי הזהות, או לשכנע את בעל הזהות על מנת לקבל גישה לא מורשית לקבלת שירותים/ למסור מידע נוסף.
- שימוש לרעה בנתונים אישיים במקרה של פריצות מידע. במקרים של דליפות מידע ממאגרים ממשלתיים או פרטיים, פרט תאריך ההנפקה עלול לשמש גורמים עוינים לביצוע התקפות מתוחכמות.
- זיוף זהות. תאריך ההנפקה עשוי לשמש ליצירת מסמכים מזויפים.
- ירידה ברמת האבטחה של מערכות אימות. הסתמכות על נתון שניתן להשיג בקלות מחלישה את מערכות האימות ומקטינה את יכולתן להבחין בין משתמש לגיטימי למתחזה.
- תאריך הנפקה בלתי ניתן לשינוי – שימוש בפרט זה הנחשב ל”סטטי” כאמצעי אימות יוצר חולשה מובנית, שכן לא ניתן לשנותו או לעדכנו במקרה של חשיפה או שימוש לרעה.
- חוסר הלימה עם תקני אבטחת מידע בינלאומיים – יש לפעול בתאימות לתקני אבטחת המידע בתחום (ISO ו – NIST), המחייבים שימוש במנגנוני זיהוי חזקים יותר.
לסיכום, מדגיש מערך הסייבר הלאומי כי תאריך הנפקת תעודת הזהות כגורם אימות השימוש במידע של תאריך ההנפקה כאמצעי אימות הפך לבעייתי נוכח הסיכונים שהוזכרו לעיל בתהליכי זיהוי שונים. לאור התופעה הנרחבת של צילום תעודות הזהות, הגישה למידע זה אינה מוגבלת אך ורק לבעל התעודה, והוא נגיש גם לגורמים אחרים, מה שאינו מאפשר לו כבר להיות גורם אימות. בשורה התחתונה: שימוש בנתונים מתוך תעודות הזהות מהווה הן סיכון בתחום הגנת הפרטיות, והן סיכון בתחום אבטחת המידע והסייבר.
אל תחכו לקנס, לביקורת או לתביעה: שירותים משפטיים בתחום הגנת הפרטיות
צילום תעודות זהות, שימוש, עיבוד או החזקה של מספרי תעודות זהות של לקוחות, הופכים להיות בעיה חוקית-רגולטורית. ההנחיות החדשות של הרשות להגנת הפרטיות, וכן תיקון 13 לחוק הגנת הפרטיות, מציבים בפני גופים פרטיים וציבוריים רף מחמיר של אחריות. כל צילום שאיננו הכרחי, כל הודעה ללקוח שאינה מלאה וברורה, וכל שמירה של מידע עודף, עלולים להפוך בקלות לעילה לקנס כספי משמעותי, לפגיעה ישירה במוניטין ובאמון הציבור, לתביעות ועוד.
משרד עו”ד וולר ושות׳, מהמשרדים המובילים בישראל בתחום הגנת הפרטיות והרגולציה הדיגיטלית, מעניק ייעוץ משפטי ויישומי ברמה הגבוהה ביותר: ניתוח סיכוני פרטיות, בניית נהלים, סקרי ציות, מדיניות, הכשרת עובדים, וליווי משפטי שוטף של גופים ציבוריים ותאגידים. צוות המשרד, הכולל מומחי פרטיות, DPO מוסמכים, אנשי רגולציה וטכנולוגיה, מיישם הלכה למעשה את עקרונות “Privacy by Design” ומסייע לארגונים להיערך לדרישות הדין החדשות. אל תחכו למכתב אכיפה, לביקורת פתע של הרשות להגנת הפרטיות, לעיצום כספי או לתביעה. פעלו כבר עכשיו. צרו קשר עוד היום.
