top image

העברת מידע בין גופים ציבוריים: דיני הגנת הפרטיות

מסך מחשב מציג העברת נתונים בין גופים ציבוריים עם סמל מגן ונעילה, בהשראת תקנות הגנת הפרטיות

תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ״ו–1986, מהוות נדבך מרכזי במארג החקיקתי שנועד להסדיר את אופן החזקת מאגרי המידע, שמירתם, והעברת מידע בין גופים ציבוריים. התקנות הותקנו בהתאם לסעיפים 23ז ו‑36 לחוק הגנת הפרטיות, התשמ״א–1981, ובאישור ועדת החוקה, חוק ומשפט של הכנסת. תכליתן המרכזית של התקנות היא כפולה: מחד, להבטיח את שלמות המידע ופרטיותו של אדם. מאידך, לאפשר לגופים ציבוריים למלא את חובותיהם כלפי הציבור תוך שימוש יעיל במידע.

 

האם נדרשת הסכמת האזרח להעברת מידע בין גופים ציבוריים?

אחת השאלות הנפוצות ביותר בתחום היא האם גוף ציבורי חייב לקבל את הסכמתו של האזרח לפני שהוא מעביר מידע אישי אודותיו לגוף ציבורי אחר. התשובה תלויה במקור הסמכות להעברת המידע ובמטרת ההעברה.

כאשר הדין מסמיך גוף ציבורי להעביר מידע לצורך מילוי תפקידו החוקי של הגוף המקבל, ההעברה עשויה להתבצע גם ללא קבלת הסכמה פרטנית של נושא המידע. עם זאת, עצם קיומה של סמכות להעברת מידע אינו פוטר את הגוף הציבורי מהחובה לפעול בהתאם לעקרונות המידתיות, צמצום המידע והגבלת השימוש למטרה שלשמה נמסר המידע.

במקרים אחרים, כאשר אין הוראת חוק מפורשת או כאשר מדובר בשימוש משני במידע, עשויה להידרש הסכמה של נושא המידע או מקור סמכות חלופי. לכן, כל בקשה להעברת מידע חייבת להיבחן לגופה, תוך בדיקת מקור הסמכות, נחיצות המידע והפגיעה האפשרית בפרטיות.

ניהול תקין של הליך זה מפחית סיכונים משפטיים ומחזק את אמון הציבור בגופים הציבוריים המחזיקים במידע אישי.

 

עקרון צמידות המטרה בהעברת מידע בין גופים ציבוריים

אחד מעקרונות היסוד בדיני הגנת הפרטיות הוא עקרון צמידות המטרה. משמעותו היא שמידע אישי שנאסף למטרה מסוימת אינו יכול לשמש באופן חופשי לכל מטרה אחרת, גם כאשר מדובר בגופים ציבוריים.

כך למשל, מידע שנאסף לצורך גביית ארנונה, מתן שירותי רווחה או רישום למערכת חינוך אינו יכול לעבור באופן אוטומטי לשימושים אחרים שאינם קשורים למטרת האיסוף המקורית. כל העברת מידע חייבת להיות קשורה לתכלית חוקית ומוגדרת ולהתבצע בהיקף המידע הנדרש בלבד.

הפרת עקרון צמידות המטרה עלולה להיחשב שימוש בלתי מורשה במידע ולהוביל להליכי אכיפה, לביקורת ציבורית ולפגיעה באמון הציבור. מסיבה זו נדרשים הגופים הציבוריים לבחון לא רק האם ניתן להעביר מידע, אלא גם האם המטרה החדשה תואמת את המטרה המקורית שלשמה נאסף.

 

העברת מידע בין רשויות מקומיות

במציאות המוניציפלית, קיימים שיתופי פעולה רבים בין רשויות מקומיות. אשכולות אזוריים, תאגידים משותפים, פרויקטים אזוריים, מערכות חינוך משותפות ומערכי חירום אזוריים מחייבים לעיתים העברת מידע אישי בין רשויות שונות.

אולם העובדה שמדובר בשתי רשויות ציבוריות אינה יוצרת היתר אוטומטי להעברת מידע. כל העברה חייבת להישען על מקור סמכות מתאים ולעמוד בדרישות הדין. על הרשות המוסרת לבחון האם המידע דרוש לביצוע תפקידו של הגוף המקבל והאם ניתן להשיג את המטרה באמצעות היקף מידע מצומצם יותר.

ככל שהמידע רגיש יותר, כך נדרשת בחינה מחמירה יותר של ההצדקה להעברה ושל אמצעי ההגנה הננקטים. מומלץ להסדיר העברות קבועות באמצעות נהלים, החלטות ועדה והסכמים בין הרשויות.

 

העברת מידע בין רשות מקומית לתאגיד עירוני

רשויות מקומיות ותאגידים עירוניים מקיימים ממשקי עבודה יומיומיים בתחומי התרבות, הספורט, החינוך, המים, התחבורה, הפיתוח הכלכלי והשירותים העירוניים. פעילות משותפת זו יוצרת צורך תדיר בהעברת מידע אישי בין הגופים.

למרות הקרבה הארגונית בין הרשות המקומית לבין התאגיד העירוני, אין לראות בהם בהכרח גוף אחד לצורך דיני הגנת הפרטיות. כל העברת מידע חייבת להיבחן בהתאם למקור הסמכות, למטרת ההעברה, לסוג המידע ולהיקפו. אין די בכך שהתאגיד נמצא בשליטת הרשות המקומית. בפרט יש לבחון האם המידע נחוץ לצורך ביצוע תפקיד סטטוטורי, האם קיימים הסדרי אבטחת מידע מתאימים, האם נחתמו הסכמים המסדירים את השימוש במידע והאם נשמר עקרון צמצום המידע.

 

העברת מידע בין גופים ציבוריים – מנגנוני פיקוח ובקרה

הקמת ועדה ייעודית

התקנות מחייבות כל גוף ציבורי למנות ועדה להעברת מידע, בראשות מנכ״ל הגוף או מי מטעמו, ובהשתתפות היועץ המשפטי והממונה על אבטחת המידע. לוועדה סמכות לדון ולהכריע בכל בקשה למסירת מידע או לקבלתו, ובכך להבטיח כי כל העברת מידע תעמוד בתנאי החוק ותיבחן בשים לב לעקרון המידתיות.

אבטחת מידע בעת המסירה

מנהלי המאגרים של שני הגופים (המוסר והמקבל) נושאים באחריות אישית ומוסדית לנקיטת פעולות אבטחה שיבטיחו כי המידע יועבר ויישמר ברמת ההגנה השווה לזו של המאגר המוסר. אחריות זו כוללת גם בקרת גישה ורישום מדוקדק של ההעברה.

נוהל מסירה

התקנות קובעות כי לא ניתן לבצע העברת מידע דרך קבע ללא עריכת נוהל מסודר, החתום בידי מנהלי המאגרים, הכולל פירוט של מנגנוני האבטחה, בקרת הגישה ותיעוד המידע שנמסר.

טיפול במידע עודף

התקנות מחייבות הפרדה ומחיקה מיידית של מידע עודף. זהו מידע אשר אינו דרוש למטרה שלשמה הועבר. הוראה זו נועדה לצמצם סיכונים של שימוש לא מורשה או החזקת מידע החורגת מהנדרש.

 

שקיפות (זכות הציבור לדעת)

במסגרת החובות שנקבעו בתקנה 7(ו), מחויב מנהל המאגר לנהל רשימה פומבית של כלל מאגרי המידע שאליהם מועבר מידע דרך קבע, לרבות פירוט סוגי המידע המועבר. על פי הסעיף –

"מנהל מאגר מידע ינהל רשימה של כל מאגרי הגופים, למעט מאגרי מידע המנויים בסעיף 13(ה) לחוק, שאליהם נמסר מידע דרך קבע ממאגר המידע של הגוף הציבורי וסוג המידע המועבר; הרשימה תעמוד לעיון הציבור ויחולו עליה הוראות סעיף 6(ב) לחוק חופש המידע; הרשימה תעמוד לעיון הציבור באתר האינטרנט של הגוף הציבורי, ובאין אתר אינטרנט, במשרד הראשי ובמשרדים המחוזיים, אם ישנם."

 

ניהול מאגרי מידע מוגבלים

פרק ד' לתקנות מחיל הסדרים מיוחדים על מאגרי מידע המכילים מידע מוגבל. במסגרת זו קבע החוק כי –

"קבצים נתיקים ותדפיסי מחשב המכילים מידע מוגבל והמופקים עבור גוף ציבורי אחר יופקו בלווית כתובת בולטת לעין בכל עמוד: "מכיל מידע מוגן לפי חוק הגנת הפרטיות – המוסרו שלא כדין עובר עבירה"; התדפיסים האמורים יימסרו כנגד תעודות משלוח ואישור קבלה מאת הגוף הזכאי לקבלת המידע על פי החוק."

 

 

אירוע אבטחת מידע במהלך העברת מידע בין גופים ציבוריים

העברת מידע בין גופים ציבוריים היא אחת מנקודות הסיכון המרכזיות בתחום הגנת הפרטיות. טעויות אנוש, הרשאות שגויות, משלוח לקובץ תפוצה שגוי, שימוש באמצעי העברה בלתי מאובטחים או מתקפות סייבר עלולים לגרום לחשיפת מידע אישי במהלך ההעברה.

כאשר מתרחש אירוע כזה, על הגוף הציבורי לפעול במהירות לצמצום הנזק, לתעד את האירוע, לבצע תחקור ולבחון האם קיימת חובת דיווח לרשות להגנת הפרטיות. בנוסף, יש לבחון את ההשלכות על נושאי המידע ואת הצורך בעדכון הנהלים והבקרות הארגוניות.

אירוע אבטחת מידע אינו נבחן רק לפי היקף המידע שנחשף אלא גם לפי סוג המידע, מספר האנשים שנפגעו, אופי החשיפה והאמצעים שננקטו למניעת הישנות המקרה.

ארגונים ציבוריים המעבירים מידע באופן שוטף חייבים לשלב את ניהול סיכוני הפרטיות כחלק בלתי נפרד ממערך ניהול הסיכונים הארגוני והטכנולוגי שלהם.

 

משמעות מעשית לגופים ציבוריים

  1. כל גוף ציבורי מחויב להקים ועדה ייעודית ולהסדיר בנוהל כתוב את אופן ההעברה והשימוש במידע.
  2. אי‑קיום חובות האבטחה עלול להעמיד את המנהלים בפני אחריות פלילית ואזרחית.
  3. פרסום רשימות המאגרים והמידע המועבר מונע חשש לניצול לרעה, ומאפשר ביקורת ציבורית.
  4. עדכון: התאמה להוראות תיקון 13 לחוק. התקנות עומדות בהלימה עם תיקון מס' 13 לחוק הגנת הפרטיות,לרבות מינוי ממונה הגנת הפרטיות, חובות דיווח, והדגשת חשיבות ההסכמה המודעת.

 

סיכום

תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו-1986, מציבות סטנדרט מחייב לניהול ושמירה על מידע אישי בישראל. התקנות מחייבות הקמה של מנגנוני פיקוח ובקרה, מינוי בעלי תפקידים ייעודיים והטמעת נהלים ברורים שיבטיחו כי כל מידע ישמש אך ורק למטרה שלשמה נאסף.

 

משרד עורכי דין וולר ושות' מלווה גופים ציבוריים ופרטיים בהטמעת ההוראות, בהדרכות ובייעוץ שוטף. צלצלו עכשיו.

 

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 29/11/2022. עידכון אחרון: 03/06/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין