הגדרות יסוד בהגנת הפרטיות: מאגר מידע, עיבוד, בעל שליטה ונושא מידע

אדם במרכז, מוקף באייקונים תלת-ממדיים המייצגים סוגי מידע אישי כמו מידע רפואי, פיננסי, מיקום גיאוגרפי, טביעת אצבע, מצלמה, כתובת דוא

חוק הגנת הפרטיות, התשמ”א–1981, שנחשב במשך שנים לחוק מתקדם ברמה השוואתית, עבר רפורמה משמעותית עם חקיקת תיקון 13 בשנת 2023. תיקון זה לא רק מיישר קו עם מגמות משפטיות עולמיות ובראשן רגולציית ה-GDPR האירופית, אלא גם מעגן בחוק סטנדרטים חדשים של אחריות, שקיפות וזכויות פרט. סקירת מושגי היסוד בעולמות הגנת הפרטיות בישראל: מאגר מידע, עיבוד, בעל שליטה, מחזיק, מידע אישי, מידע רגיש, פרט מזהה ונושא מידע.

מאגר מידע

מאגר מידע מוגדר בחוק הגנת הפרטיות כ”אוסף של מידע המוחזק באמצעים אלקטרוניים, שאינו לשימוש אישי בלבד”. בפשטות, זהו אוסף נתונים אודות אנשים, המקובצים יחד למטרה כלשהי. החוק מחריג מאוסף כזה מידע המיועד לשימוש אישי/ביתי של אדם, שלגביו החוק לא יחול, וכן מאגרי מידע של מערכת הביטחון שלהם הסדרים מיוחדים. החל מתיקון 13, החוק מגדיר “מאגר מידע” באופן יותר טכני, ואף מחיל על אוסף שיטתי של מידע אישי גם אם אינו ממוחשב את חלק מחובות החוק. מאגר מידע כולל פריטי מידע אישי (נתונים על אנשים מזוהים או ניתנים לזיהוי).

לדוגמה: מאגר לקוחות של חברה, הכולל שם, כתובת, רכישות ופרטי קשר; מאגר עובדים של ארגון; מאגר מטופלים בבית חולים; מאגר תמונות ממצלמות אבטחה; ואפילו רשימת דיוור אלקטרוני. החוק ייחד פרק שלם להגנה על הפרטיות במאגרי מידע, ובו חובות כמו רישום מאגר, אבטחת מידע ויידוע נושאי המידע. מאגר מידע שסווג כ*“מאגר מידע כהגדרתו בחוק”* יהיה כפוף לכל חובות החוק (לעומת מידע מזדמן שלא מאורגן במאגר). בעבר, היו מקרים שפנו לבתי המשפט בשאלה האם אוסף נתונים מסוים הוא “מאגר מידע” לפי החוק – למשל רשימת לקוחות קטנה. בפסיקה נקבע גישת פרשנות מרחיבה: גם אוסף מידע לא ממוחשב (כמו קלסר כרטיסיות) וגם אוסף מצומצם, יכולים להיחשב מאגר אם מאופיינים בניהול שיטתי . תיקון 13 צמצם את חובת רישום מאגרי המידע רק לסוגי מאגר חשובים, אך עדיין כל מאגר מידע כפוף לחובות איסוף ועיבוד הוגנים לפי החוק . כלומר, גם אם אין חובה לרשום מאגר, הוא חייב לפעול בהתאם לעקרונות הגנת הפרטיות (יידוע, אבטחה, שימוש למטרה, זכויות נושאי מידע וכד’).

בעל מאגר מידע / בעל שליטה במאגר

“בעל מאגר מידע” (Data Owner) היה המונח המקורי בחוק הגנת הפרטיות לצד הגדרת הגורם האחראי המרכזי על מאגר המידע. תיקון 13 שינה מונח זה ל-“בעל שליטה במאגר מידע“, בהשראת מושג ה-Controller בדין האירופי , על מנת לחדד שהקריטריון הוא שליטה במטרות ובתכנים. שינוי סמנטי זה מבקש להבהיר, למשל, שהגורם הקובע את השימוש, הוא בעל השליטה, אף אם המידע מוחזק פיזית במקום אחר. ככלל, הבעלים/בעל השליטה הוא כתובת האחריות העיקרית מול הרשות להגנת הפרטיות ומול נושאי המידע.

היותו “בעל המאגר” מטיל עליו את מרבית החובות לפי החוק. בין היתר, עליו לרשום את המאגר אם נדרש, לפרט את מטרותיו, למנות מנהל מאגר, לקבוע נהלי אבטחת מידע, ליידע את נושאי המידע על איסוף נתוניהם, לאפשר זכות עיון ותיקון, ולוודא שהשימוש במידע תואם את המטרה לה נאסף. מבחינת אחריות משפטית, בעל השליטה יהיה הנתבע העיקרי בתביעות אזרחיות על פגיעה בפרטיות שנגרמה כתוצאה מניהול המאגר. החוק מתיר שיהיו למאגר מידע מספר בעלים משותפים, ובמצב כזה, האחריות תחול במשותף.

נציין כי הבעלים בפועל לא חייב להיות הבעלים הקנייני של התשתית: גם חברה המפעילה שירות המאוכסן בענן נחשבת בעלת המאגר, לא ספקית הענן. לעומת זאת, גורם חיצוני המעבד מידע עבור הבעלים ייחשב “מחזיק” ולא בעלים.

מחזיק במאגר מידע

המונח “מחזיק במאגר מידע” מתייחס לגורם חיצוני לבעל השליטה במאגר, אשר יש לו גישה פיזית או שליטה טכנית במידע האישי, אך אינו קובע את מטרות העיבוד. דוגמאות נפוצות כוללות ספקי שירותי מחשוב, חברות דיוור, קבלני משנה לניתוח נתונים וספקי ענן.

בעקבות תיקון 13 לחוק הגנת הפרטיות, הורחבה ההגדרה של “מחזיק”, כך שכעת כל גורם חיצוני המעבד מידע אישי עבור בעל השליטה נחשב כמחזיק, גם אם בעבר לא נכלל בהגדרה זו. החובות המוטלות על המחזיק כוללות, בין היתר, יישום אמצעי אבטחת מידע בהתאם לרמת האבטחה הנדרשת, פעולה בהתאם להוראות בעל המאגר בלבד, והימנעות משימוש עצמי במידע. הפרת חובות אלו עלולה להוביל לאחריות אזרחית ואף פלילית, לרבות קנסות מנהליים המוטלים על ידי הרשות להגנת הפרטיות. בנוסף, החוק מחייב עריכת הסכם עיבוד מידע בין בעל המאגר למחזיק, המפרט את התחייבויות המחזיק להגנת הפרטיות.

מידע אישי

בהתאם לתיקון 13 לחוק הגנת הפרטיות, המונח “מידע אישי” מוגדר כנתון המתייחס לאדם מזוהה או לאדם שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, לרבות באמצעות פרטים מזהים כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתונים הנוגעים למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי של האדם. הגדרה זו מרחיבה את תחולת החוק ומיישרת קו עם הסטנדרטים הבינלאומיים, כגון ה-GDPR האירופי.

בנוסח המקורי של חוק הגנת הפרטיות, “מידע” הוגדר באופן צר יחסית, כרשימה סגורה של סוגי נתונים כמו מצב בריאות, מצב כלכלי, דעות פוליטיות ועוד. ההגדרה המעודכנת של “מידע אישי” בתיקון 13 לחוק הגנת הפרטיות מרחיבה את תחולת החוק, כך שכל נתון המתייחס לאדם מזוהה או שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ייחשב כמידע אישי. הגדרה זו כוללת פרטים מזהים כגון שם, מספר זהות, מזהים ביומטריים, נתוני מיקום, מזהים מקוונים, וכן נתונים הנוגעים למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי של האדם. הרחבה זו מיישרת קו עם הסטנדרטים הבינלאומיים, כגון ה-GDPR האירופי, ומבטיחה הגנה רחבה יותר על פרטיות הפרטים.

חשיבות הגדרת “מידע אישי”

חשיבות ההגדרה בכך שהיא מציירת את גבול תחולת החוק: כללי הגנת הפרטיות חלים על עיבוד מידע אישי. נתונים אישיים יכולים להיות טריוויאליים (כגון כתובת אימייל, תאריך לידה) או רגישים (כגון מידע רפואי או פיננסי). כאשר מידע אישי נאסף, נשמר או נמסר – כפוף הדבר לחובות החוק: קבלת הסכמה או עילת עיבוד חוקית, שימוש למטרה מוגדרת, שמירת אבטחה, מתן אפשרות לעיון ותיקון ועוד. ההגדרה הרחבה נועדה לכסות גם מאפיינים חדשים של עידן הדיגיטל – למשל מזהים מקוונים ונתוני התנהגות – שכיום ברור שהם “מידע אישי” כי ניתן לקשרם לאדם . דוגמה: כתובת IP או היסטוריית גלישה – בהינתן שהם מקושרים למנוי אינטרנט, הם מידע אישי לכל דבר. ראוי לציין שהחוק מחריג במפורש מידע שאינו על אדם (למשל נתוני תאגיד) – הגנת הפרטיות מגנה רק על אנשים. כמו כן, הוא לא מגן על מידע שאדם פרסם ברבים על עצמו ללא הגבלה (כיוון שאז כבר ויתר במידה מסוימת על פרטיותו, אם כי עדיין קיימות אפשרויות תביעה במקרה של שימוש פוגעני). בסיכום, “מידע אישי” הוא מושג יסוד שמגדיר מה החוק מבקש להגן – כל פיסת מידע הקשורה לאדם פרטי, שיש להתייחס אליה בכבוד לפרטיותו.

מידע רגיש

מהו מידע רגיש?

“מידע רגיש” מהווה תת-קבוצה של מידע אישי, הנחשב לפרטי ואישי במיוחד ולכן זכאי להגנות מיוחדות. החוק מגדיר מספר סוגי נתונים כ”מידע רגיש”, כגון מצב בריאותו של אדם, מצבו הנפשי, מצב כספיו, דעותיו או אמונתו, עברו הפלילי, וגם מידע על נטיותיו המיניות. בעבר, החוק כלל רשימה זו כהגדרה סגורה למידע רגיש. תיקון 13 שינה את המינוח וקבע קטגוריה חדשה רחבה יותר – “מידע רגיש במיוחד” – המקבילה ל”מידע רגיש” לפי הסטנדרטים המודרניים. עם זאת, עדיין בחוק נותר המונח “מידע רגיש” לציון סוגי נתונים חשאיים.

סיווג המידע כ”מידע רגיש” מחייב התייחסות מיוחדת, הן מבחינת חובות החוק והן מבחינת ההשלכות המשפטיות. כך, למשל, הסכמת אדם נדרשת באופן מפורש וברור כאשר מדובר באיסוף מידע רגיש – ולא די בהסכמה משתמעת. גם חובת האבטחה של מידע רגיש מוגברת: תקנות אבטחת המידע מכתיבות שרק מאגר ברמת אבטחה בינונית ומעלה רשאי להכיל מידע רגיש. בנוסף, בעבר חובת הרישום של מאגר מידע חלה אוטומטית אם הוא מכיל מידע רגיש. אמנם כיום חובת הרישום צומצמה, אך עדיין קיימת חובת דיווח לרשות אם מאגר מכיל מידע רגיש במיוחד על למעלה מ-100,000 איש. דוגמה למידע רגיש: תיקים רפואיים, נתוני כרטיס אשראי וחשבון בנק, תיקים סוציאליים, פרטי הרשעות או חקירות פליליות, אמונה דתית או נטייה מינית. מן הראוי לציין שהרשימה אינה כוללת דברים כמו תמונה או כתובת – אלה מידע אישי “רגיל”.

מידע רגיש במיוחד

מידע רגיש במיוחד הוא מונח חדש שנוסף בחוק בתיקון 13, המשקף קטגוריית מידע אישי הדורשת הגנה חמורה במיוחד, בדומה למונח “Special Categories of Personal Data” שבתקנות GDPR . החוק מונה מספר סוגי מידע הנחשבים “רגישים במיוחד”:

מידע גנטי (נתונים על המטען הגנטי של אדם);
מזהה ביומטרי (טביעות אצבע, תמונת פנים וכדומה);
מידע על עבר פלילי (הרשעות או חשדות פליליים);
הערכה לגבי מאפייני אישיותו של אדם (כגון פרופיל פסיכולוגי או הערכה מקצועית אישית);
נתוני מיקום ותעבורה (נתונים אודות מיקומו הגיאוגרפי ותנועותיו של אדם, למשל נתוני GPS או איכון טלפון)

זוהי רשימה שברובה חורגת מהגדרת “מידע רגיש” הישנה ומוסיפה תחומים חדשים, שננוסח החוק הקודם לא ציין מפורשות. ההתייחסות הנפרדת לקטגוריה זו נועדה להחיל עליה הגנות מוגברות: תיקון 13 קבע חובת דיווח לרשות להגנת הפרטיות על מאגר המכיל מידע רגיש במיוחד על למעלה מ-100 אלף אנשים . משמעות הדרישה – גם אם המאגר פטור מחובת רישום – על בעל השליטה לדווח לרשות על קיום המאגר והפרטים הנחוצים.

מידע רגיש במיוחד לרוב גם יהיה בעל פוטנציאל נזק גבוה אם ידלוף או ינוצל לרעה. לכן, לצד החובות המשפטיות, צפויה גם הנחיה רגולטורית שמאגר המכיל מידע כזה יחויב ברמת אבטחת מידע גבוהה (למשל הצפנה חזקה, מגבלות גישה נוקשות). באופן כללי, הכנסת קטגוריה זו היא חלק מההתאמה של החוק הישראלי לנורמות בינלאומיות, והיא מסמנת למחזיקי המידע: אם אתם אוספים פרטי מידע הנוגעים לזהות הפיזית, הביולוגית או האישיותית העמוקה של אדם – חלה עליכם אחריות כבדה במיוחד להגן עליהם.

פרט מזהה

פרט מזהה הוא מונח המתייחס לפריט מידע המאפשר את זיהויו של אדם באופן ייחודי. דוגמאות לפרטים מזהים: שם מלא, מספר תעודת זהות, מספר דרכון, כתובת מגורים מלאה, טביעת אצבע, תמונת פנים, כתובת דואר אלקטרוני אישית, מספר טלפון נייד, או מזהה טכנולוגי ייחודי (כגון כתובת MAC של מכשיר). פרטים מזהים משמשים כמפתחות לקישור מידע אל אדם ספציפי. חוק הגנת הפרטיות קובע שאם ניתן לזהות אדם באמצעות “פרט מזהה” – הרי שהמידע עליו ייחשב “מידע אישי”. למשל, כתובת IP כשלעצמה אינה שם אדם, אך אם היא מקושרת למנוי אינטרנט – היא פרט מזהה. מאגרי מידע מחזיקים לעיתים “פרטי זיהוי” לצד נתונים. כך, לדוגמה, במסד נתונים רפואי: מספר ת”ז הוא הפרט המזהה המקשר בין רשומה רפואית לבין האדם. בהקשר חוקי, החשיבות היא שאם מסירים את הפרטים המזהים, ייתכן שהמידע יאונדס ויפסיק להיחשב “מידע אישי”. לכן, הפרדת פרטים מזהים מיתר הנתונים היא טכניקה נפוצה להגנת פרטיות. עם זאת, בעידן הביג דאטה, גם שילוב של נתונים לא ישירות מזהים יכול יחדיו ליצור זיהוי (למשל צירוף תאריך לידה, מיקוד ומין מזהה אדם בחדות גבוהה).

תיקון 13 מגדיר “אדם ניתן לזיהוי” כמי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה. כלומר, פרט מזהה הוא כל נתון שמחבר נקודתית לאדם, אך גם אם אין “פרט מזהה” יחיד – שילוב נתונים מספיק עלול להיחשב מזהה באותה מידה. על כן, בהיבטי ציות, יש להגן לא רק על טבלאות “פרטי הזיהוי” אלא גם על נתונים שעלולים לחשוף זהות. דוגמה נפוצה לפרט מזהה בישראל הוא מספר הזהות (9 ספרות) – מרבית המאגרים משתמשים בו כמקשר ראשי. גם כתובת דוא”ל אישי (שנושא את שם האדם) נחשבת מזהה. סיווג נכון של “מהו פרט מזהה” מסייע לבצע פסאודונימיזציה – החלפת הפרטים המזהים בקוד בדוי – כך שהמאגר עדיין שימושי אנליטית אך פחות פוגע בפרטיות.

נושא מידע

המונח “נושא מידע” מתייחס לאדם פרטי אשר אודותיו נאסף, נשמר או מעובד מידע אישי במסגרת מאגרי מידע. למרות שהמונח לא הוגדר במפורש בנוסח המקורי של חוק הגנת הפרטיות, הוא הפך למונח מקובל בשיח המשפטי והרגולטורי, במיוחד בעקבות תיקון 13 לחוק, אשר קרב את הדין הישראלי לסטנדרטים הבינלאומיים, דוגמת ה-GDPR האירופי. נושא המידע הוא בעל זכויות מהותיות כלפי הגורמים המעבדים את המידע עליו. זכויות אלו כוללות, בין היתר, את הזכות לעיין במידע שנאסף עליו, הזכות לדרוש תיקון או מחיקה של מידע שגוי או שאינו נחוץ, והזכות להגביל את עיבוד המידע במקרים מסוימים. בנוסף, נושא המידע רשאי להגיש תלונה לרשות להגנת הפרטיות במקרה של הפרת זכויותיו, ואף לתבוע פיצויים בגין נזקים שנגרמו לו עקב עיבוד בלתי חוקי של המידע.

תיקון 13 לחוק הגנת הפרטיות חיזק את מעמדו של נושא המידע על ידי הרחבת חובות היידוע וההסכמה של הגורמים המעבדים את המידע. כעת, על הגורמים הללו ליידע את נושא המידע על זכויותיו במעמד איסוף המידע, ולהבטיח כי עיבוד המידע נעשה בהתאם לעקרונות החוק, תוך שמירה על פרטיותו וכבודו של האדם.

עיבוד מידע

עיבוד מידע הוא מושג רחב המתאר כל פעולה או סט פעולות הנעשות במידע אישי, בין אם באופן אוטומטי ובין אם ידני. דוגמאות לעיבוד: איסוף מידע, הקלטה, ארגון וסידור במאגר, אחסון, עריכה ושינוי, שליפה, צפייה או עיון, שימוש, ניתוח, העברה לגורם אחר, הפצה, גילוי וחשיפה, מחיקה והשמדה – כל אלה נחשבים פעולות עיבוד. תיקון 13 לחוק הגנת הפרטיות הוסיף לראשונה הגדרה מפורשת של “עיבוד” – “כל פעולה במידע, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו” . ההגדרה מכוונת להיות מקיפה ככל האפשר, כדי לוודא שכל התהליכים שעובר מידע אישי יבוצעו תחת הוראות הדין. כך למשל, איסוף מידע חייב להיות הוגן ובידיעת האדם; שימוש במידע מותר רק למטרה שלשמה נמסר (עקרון צמידות המטרה); העברה או מסירה של מידע לגורם שלישי כפופה לתנאים ולהסכמת הנושא; העתקת מידע למחשב נייד או ענן – חייבת לשמור על אבטחתו; מחיקה של מידע כשהוא כבר לא נחוץ – נחשבת גם היא עיבוד נדרש (להימנע משמירה בלתי מוצדקת).

באמצעות מושג “עיבוד”, החוק חל לא רק על שמירת המידע אלא גם על פעולות כמו צפייה ועיון: גם מי שרק מורשה לצפות במידע במערכת מבצע “עיבוד” ומחויב למשל בכללי הסודיות ואי-הפצה. ההגדרה הרחבה גם מוודאת שגורמים חיצוניים (מעבדי מידע) המבצעים פעולות על הנתונים מטעם אחרים, יחשבו כ”מעבדים” הכפופים לחוק (ראה ערך “מחזיק”). בעולם של עיבודים אוטומטיים מורכבים (כמו אלגוריתמי ביג דאטה), המונח “עיבוד” כולל גם ניתוח ופרופילינג – אף שזה לא נזכר במפורש, ברור שניתוח נתונים הוא עיבוד. לסיכום, כל פעולה הנעשית עם מידע אישי – החל מאיסופו ועד מחיקתו – היא “עיבוד” החייב לקיים את דרישות חוק הגנת הפרטיות ועקרונותיו.

משרד וולר ושות’ – המובילים בייעוץ משפטי בתחום הגנת הפרטיות

משרד עורכי דין וולר ושות’ מתמחה בליווי משפטי ורגולטורי בתחום הגנת המידע והפרטיות, לרבות היערכות לתיקון 13 לחוק הגנת הפרטיות, ניהול סיכונים וכתיבת נהלים, הכשרות, מדיניות ורגולציה פנים-ארגונית. בין אם אתם גוף ציבורי, עמותה או תאגיד – אנחנו כאן כדי לסייע בהבנה, יישום והטמעה של הוראות החוק. השירותים שלנו כוללים ניתוח מבני מידע, בדיקות ציות, ניסוח הסכמים עם מחזיקים, וליווי שוטף מול הרשות להגנת הפרטיות. בואו לבנות איתנו את תשתית הציות שלכם – כדי להגן על המידע, לשמור על המוניטין ולצמצם סיכונים.