הגנת פרטיות באירועי חירום

במדינת ישראל, שאלת האיזון בין צורכי ביטחון והתמודדות עם מצבי חירום לבין שמירה על הזכות החוקתית לפרטיות, מרכזית תמיד. הרשות להגנת הפרטיות פרסמה ביום 18/9/2024 (ועדכנה ביום 13/8/2025) מסמך מדיניות מקיף העוסק בהגנה על פרטיות בתקופות חירום, תוך הדגשת הקווים המנחים שצריכים להנחות רשויות וגופים ציבוריים ופרטיים גם בעיתות משבר. המסמך מתכתב באופן ישיר עם תיקון 13 לחוק הגנת הפרטיות, התשמ”א–1981, ומבסס לראשונה מנגנוני אכיפה וסנקציות משמעותיים. בכך הוא יוצר מדריך מעשי לארגונים, ומחדד את האחריות המשפטית להבטחת פרטיות גם כשהנסיבות דורשות תגובה מהירה וחריגה. סקירה.

עקרונות מרכזיים

הסכמה מדעת: כלל בסיסי בשגרה ובחירום

העיקרון הראשון שמדגישה הרשות הוא עקרון ההסכמה. גם בשעת חירום, נקודת המוצא היא כי שימוש במידע אישי מחייב הסכמת נושא המידע או הסמכה מפורשת בחוק. חריגה מכך תתאפשר רק כאשר מתקיים צורך חיוני מובהק, ובנסיבות שלא ניתן לקבל בהן הסכמה סבירה. בכך משמרת הרשות את מעמד הזכות לפרטיות כזכות יסוד, שלא ניתן להפקיעה אלא בהתאם לדרישות החוק והמידתיות. הדוגמאות מהעבר, ובראשן השימוש באמצעי מעקב טכנולוגיים בתקופת הקורונה, ממחישות את הצורך בהצבת גבולות ברורים. החלטות שהתקבלו אז תחת לחץ זמן עוררו ביקורת ציבורית ומשפטית, והדגישו כי פגיעה רחבת היקף בפרטיות עלולה לערער אמון הציבור ברשויות גם בשגרה.

חובת יידוע – גם בדיעבד

חוק הגנת הפרטיות והפסיקה הישראלית קבעו כי איסוף מידע אישי מחייב, כעיקרון יסוד, מתן יידוע מוקדם לנושא המידע באשר למטרות השימוש במידע, לזהות האחראי על העיבוד, לזכויות הנתונות לו ולפרטי יצירת הקשר עם מחזיק המאגר. מטרת החובה היא לאפשר שקיפות והגברת שליטת הפרט במידע האישי שלו.

אלא שבשעת חירום – בין אם מדובר במתקפת סייבר, אירוע ביטחוני רחב היקף או מגפה – פעמים רבות לא מתאפשר לקיים את חובת היידוע בזמן אמת. לדוגמה, כאשר נדרש איסוף מיידי של נתוני מיקום או בריאות לצורך הצלת חיים, אין אפשרות מעשית לפנות לכל נושא מידע ולקבל את הסכמתו המודעת תוך יידוע מלא. עם זאת, הרשות מדגישה כי מצב זה אינו מעניק לגורם האוסף פטור מחובת היידוע. לכל היותר ניתן לדחות את מועד קיום החובה, אך לא לוותר עליה כליל.

במילים אחרות, גם אם השיקולים המבצעיים והלחץ התפעולי מונעים יידוע מיידי, הרי שמיד עם חלוף הסכנה המיידית או עם התייצבות המצב, על הגוף האוסף להשלים את החובה ולהודיע לנושאי המידע על עצם האיסוף, מטרותיו והיקפו. בכך נשמרת הליבה של הזכות לפרטיות – ההכרה בזכותו של אדם לדעת כי מידע אודותיו נאסף, ולעמוד על זכויותיו כלפי המחזיק במידע.

עיקרון זה מגלם מחויבות כפולה: מצד אחד, הכרה במציאות הקשה של מצבי חירום והצורך בגמישות מבצעית; ומצד שני, שמירה על אמון הציבור ועל תוקפה של חובת השקיפות גם בזמנים יוצאי דופן. הרשות אף מדגישה כי רק במקרים קיצוניים, בהם קיימת מניעה מוחלטת ליידוע במועדו, ניתן להצדיק דחייה בהשלמת החובה – וגם אז יש להוכיח כי נעשה כל מאמץ למזער את הפגיעה בזכויות הפרט.

עקרון צמצום המידע

רשות או גוף פרטי האוסף מידע אישי בתקופת חירום נדרש להפעיל עקרון צמצום מידע (Data Minimization). יש לאסוף אך ורק את המידע הדרוש לצורך ההתמודדות עם האירוע, ולהימנע מהשארת מידע במאגרים מעבר לנדרש. לאחר החזרה לשגרה, יש לבצע בחינה יזומה ולמחוק מידע שהפך לעודף. מסר זה חשוב במיוחד לאור תיקון 13, אשר קובע חובות מוגברות לעניין ניהול מאגרי מידע והערכת סיכונים.

אבטחת מידע מוגברת

בעתות חירום מתרבים ניסיונות תקיפת סייבר מצד גורמים עוינים, ובמיוחד כאשר מערכות המדינה נתונות בלחץ. מסמך הרשות קובע כי דווקא אז יש להקפיד הקפדה יתרה על דרישות תקנות אבטחת המידע. ארגונים נדרשים להכין מראש תרחישי חירום, לוודא חוסן טכנולוגי, ולאמץ נוהלי תגובה מהירה לאירועי אבטחת מידע. היערכות מוקדמת היא מפתח להפחתת סיכונים.

מידע על נפטרים – רגישות כפולה

סוגיה ייחודית שהועלתה במסמך נוגעת למידע אישי של נפטרים. אף שאין לנפטר עצמו זכות לפרטיות, הרי שהמידע עשוי לכלול פרטים על בני משפחתו או על צדדים שלישיים שהיו עמו בקשר. הרשות מדגישה כי יש לנהוג בזהירות יתרה בשאלת מסירת מידע לבני משפחה או פרסום פרטים לציבור, תוך ניסיון לכבד את רצונו המשוער של הנפטר ואת פרטיות המעורבים.

עקרונות מידתיות וצמידות המטרה

הקו המנחה לאורך המסמך הוא עקרון המידתיות. שימוש באמצעי הפוגע בפרטיות עשוי להיות מוצדק במצב חירום – אך אין לראות בכך היתר גורף. מה שנחשב מידתי בזמן חירום אינו לגיטימי בהכרח בשגרה או בתקופת “שגרת חירום”. לפיכך יש לקבוע מנגנוני בקרה ברורים להפסקת השימוש באמצעים הפוגעניים עם תום מצב החירום.

מסקנות והמלצות לארגונים

לארגונים ציבוריים ופרטיים מומלץ לנקוט במספר צעדים מעשיים:

1. גיבוש נהלי חירום לפרטיות – לקבוע מראש מסגרות פעולה שיאפשרו תגובה מהירה תוך שמירה על כללי החוק.

2. ביצוע הערכת סיכונים ייעודית – לבחון אילו סוגי מידע עשויים להידרש, באילו תנאים, ולכמה זמן.

3. הטמעת מנגנוני מחיקה ובקרה – להבטיח כי עם החזרה לשגרה תתבצע מחיקה של מידע עודף.

4. שקיפות ותקשורת עם הציבור – להבהיר מראש ככל הניתן את מדיניות האיסוף והשימוש במידע.

5. חיזוק אבטחת הסייבר – לוודא אמצעי הגנה מוגברים, לרבות הדרכת עובדים והיערכות מול מתקפות מתוחכמות.

קישור למסמך הרשות לגנת הפרטיות בנושא עקרונות הגנת פרטיות בהתמודדות עם אירועי חירום – כאן.

סיכום

המסמך החדש של הרשות להגנת הפרטיות ממחיש כי גם בזמני חירום (ואולי דווקא בהם) נדרשת הקפדה על שמירה על הזכות לפרטיות. תיקון 13 לחוק מעניק לרשות כלים אכיפתיים משמעותיים, ולכן ארגונים שלא יתאימו את עצמם עלולים להיחשף לאחריות משפטית ולפגיעה תדמיתית. במשרד וולר ושות’ אנו מלווים רשויות מקומיות, גופים ציבוריים ועמותות בהיערכות למצבי חירום ובהתאמה לדרישות הדין. ניסיוננו מלמד כי היערכות מוקדמת, הכוללת ניתוח משפטי, טכנולוגי וארגוני, היא הדרך הבטוחה ביותר לצמצום סיכונים משפטיים ושמירה על אמון הציבור. צרו קשר עכשיו.