TL;DR תקציר מנהלים: פרטיות בחירום
גם בעתות חירום, חוק הגנת הפרטיות אינו מושעה. ניהול מאגרי מידע, ניטור עובדים ושימוש במידע אישי מחייבים איזון קפדני בין צרכי החירום ודרישות גורמי הביטחון, לבין עקרון המידתיות.
במדינת ישראל, האיזון בין צורכי הביטחון וההתמודדות עם מצבי חירום, לבין שמירה על הזכות החוקתית לפרטיות – מרכזיים ונוכחים תמיד. הרשות להגנת הפרטיות פרסמה ביום 18/9/2024 (ועדכנה ביום 13/8/2025) מסמך מדיניות מקיף העוסק בהגנה על פרטיות בתקופות חירום, תוך הדגשת הקווים המנחים שצריכים להנחות רשויות וגופים ציבוריים ופרטיים גם בעיתות משבר. המסמך מתכתב באופן ישיר עם תיקון 13 לחוק הגנת הפרטיות, התשמ”א-1981, ומבסס לראשונה מנגנוני אכיפה וסנקציות משמעותיים. בכך הוא יוצר מדריך מעשי לארגונים, ומחדד את האחריות המשפטית להבטחת פרטיות גם כשהנסיבות דורשות תגובה מהירה וחריגה. סקירה.
מה העקרונות המרכזיים בהגנת הפרטיות בשעת חירום?
הסכמה מדעת: כלל בסיסי בשגרה ובחירום
העיקרון הראשון שמדגישה הרשות הוא עקרון ההסכמה. גם בשעת חירום, נקודת המוצא היא כי שימוש במידע אישי מחייב הסכמת נושא המידע או הסמכה מפורשת בחוק. חריגה מכך תתאפשר רק כאשר מתקיים צורך חיוני מובהק, ובנסיבות שלא ניתן לקבל בהן הסכמה סבירה. בכך משמרת הרשות את מעמד הזכות לפרטיות כזכות יסוד, שלא ניתן להפקיעה אלא בהתאם לדרישות החוק והמידתיות. הדוגמאות מהעבר, ובראשן השימוש באמצעי מעקב טכנולוגיים בתקופת הקורונה, ממחישות את הצורך בהצבת גבולות ברורים. החלטות שהתקבלו אז תחת לחץ זמן עוררו ביקורת ציבורית ומשפטית, והדגישו כי פגיעה רחבת היקף בפרטיות עלולה לערער אמון הציבור ברשויות גם בשגרה.
חובת יידוע – גם בדיעבד
חוק הגנת הפרטיות והפסיקה הישראלית קבעו כי איסוף מידע אישי מחייב, כעיקרון יסוד, מתן יידוע מוקדם לנושא המידע באשר למטרות השימוש במידע, לזהות האחראי על העיבוד, לזכויות הנתונות לו ולפרטי יצירת הקשר עם מחזיק המאגר. מטרת החובה היא לאפשר שקיפות והגברת שליטת הפרט במידע האישי שלו.
אלא שבשעת חירום (מתקפת סייבר, אירוע ביטחוני רחב היקף, מגיפה וכיוצ”ב) – פעמים רבות לא מתאפשר לקיים את חובת היידוע בזמן אמת. לדוגמה, כאשר נדרש איסוף מיידי של נתוני מיקום או בריאות לצורך הצלת חיים, אין אפשרות מעשית לפנות לכל נושא מידע ולקבל את הסכמתו המודעת תוך יידוע מלא. עם זאת, הרשות מדגישה כי מצב זה אינו מעניק לגורם האוסף פטור מחובת היידוע. לכל היותר, ניתן לדחות את מועד קיום החובה, אך לא לוותר עליה כליל.
במילים אחרות, גם אם השיקולים המבצעיים והלחץ התפעולי מונעים יידוע מיידי, הרי שמיד עם חלוף הסכנה המיידית או עם התייצבות המצב, על הגוף האוסף להשלים את החובה ולהודיע לנושאי המידע על עצם האיסוף, מטרותיו והיקפו. בכך נשמרת הליבה של הזכות לפרטיות – ההכרה בזכותו של אדם לדעת כי מידע אודותיו נאסף, ולעמוד על זכויותיו כלפי המחזיק במידע.
עיקרון זה מגלם מחויבות כפולה: מצד אחד, הכרה במציאות הקשה של מצבי חירום והצורך בגמישות מבצעית. מצד שני, שמירה על אמון הציבור ועל תוקפה של חובת השקיפות גם בזמנים יוצאי דופן. הרשות אף מדגישה כי רק במקרים קיצוניים, בהם קיימת מניעה מוחלטת ליידוע במועדו, ניתן להצדיק דחייה בהשלמת החובה. גם אז, יש להוכיח כי נעשה כל מאמץ למזער את הפגיעה בזכויות הפרט.
עקרון צמצום המידע
רשות או גוף פרטי האוסף מידע אישי בתקופת חירום נדרש להפעיל עקרון צמצום מידע (Data Minimization). יש לאסוף אך ורק את המידע הדרוש לצורך ההתמודדות עם האירוע, ולהימנע מהשארת מידע במאגרים מעבר לנדרש. לאחר החזרה לשגרה, יש לבצע בחינה יזומה ולמחוק מידע שהפך לעודף. מסר זה חשוב במיוחד לאור תיקון 13, אשר קובע חובות מוגברות לעניין ניהול מאגרי מידע והערכת סיכונים.
אבטחת מידע מוגברת
בעתות חירום מתרבים ניסיונות תקיפת סייבר מצד גורמים עוינים, ובמיוחד כאשר מערכות המדינה נתונות בלחץ. מסמך הרשות קובע כי דווקא אז יש להקפיד הקפדה יתרה על דרישות תקנות אבטחת המידע. ארגונים נדרשים להכין מראש תרחישי חירום, לוודא חוסן טכנולוגי, ולאמץ נוהלי תגובה מהירה לאירועי אבטחת מידע. היערכות מוקדמת היא מפתח להפחתת סיכונים.
מידע על נפטרים – רגישות כפולה
סוגיה ייחודית שהועלתה במסמך נוגעת למידע אישי של נפטרים. אף שאין לנפטר עצמו זכות לפרטיות, הרי שהמידע עשוי לכלול פרטים על בני משפחתו או על צדדים שלישיים שהיו עמו בקשר. הרשות מדגישה כי יש לנהוג בזהירות יתרה בשאלת מסירת מידע לבני משפחה או פרסום פרטים לציבור, תוך ניסיון לכבד את רצונו המשוער של הנפטר ואת פרטיות המעורבים.
עקרונות מידתיות וצמידות המטרה
הקו המנחה לאורך המסמך הוא עקרון המידתיות. שימוש באמצעי הפוגע בפרטיות עשוי להיות מוצדק במצב חירום – אך אין לראות בכך היתר גורף. מה שנחשב מידתי בזמן חירום אינו לגיטימי בהכרח בשגרה או בתקופת “שגרת חירום”. לפיכך יש לקבוע מנגנוני בקרה ברורים להפסקת השימוש באמצעים הפוגעניים עם תום מצב החירום.
| נושא | פרטיות בעת שגרה | פרטיות בעת חירום |
|---|---|---|
| איזון אינטרסים | קיים איזון סטנדרטי וקבוע בין האינטרס הציבורי לזכויות הפרט. | נקבע איזון דינמי המצדיק סטייה מהליכים רגילים לטובת דחיפות ויעילות. |
| עיקרון ההסכמה | לרוב נדרשת הסכמה מפורשת ומיודעת לכל פעולה הפוגעת בפרטיות. | הסתמכות על הגנות משפטיות (“חובה חוקית”) בשל קושי אובייקטיבי בקבלת הסכמה. |
| חובת היידוע | חובה ליידע את הפרט מראש על מטרת האיסוף וזהות בעל המאגר. | החובה חלה עקרונית, אך בנסיבות קיצוניות ניתן לבצע “יידוע מאוחר” בהזדמנות הראשונה. |
| מידתיות | שימוש באמצעים סטנדרטיים, מקובלים. | שימוש באמצעים קיצוניים באופן זמני בלבד לצורך הצלת חיים או ניהול המשבר. |
| עדרון צמידות המטרה | המידע משמש אך ורק למטרה המקורית והספציפית לשמה נמסר. | הגבלת השימוש למטרות הנובעות ישירות מהחירום בלבד. |
| צמצום מידע | איסוף ושמירה של המידע המינימלי ההכרחי להשגת המטרה. | איסוף רחב בשל אי-וודאות; חובת הערכה ומחיקת מידע עודף בתום האירוע. |
| אבטחת מידע | עמידה בתקנות אבטחת המידע הקבועות בחוק ובשגרה. | דרישה להקפדה יתרה בשל עלייה בסיכוני סייבר ובתנאי לחץ המגבירים דליפות. |
| נרמול | – | חשש ששימוש באמצעי קצה יהפוך לפרקטיקה קבועה; דרישה ל”גמילה” בסיום החירום. |
מתי חובה לדווח על אירוע אבטחה בחירום?
מצב חירום אינו מעניק לארגונים פטור מחובות הדיווח הקבועות בדין. על פי תיקון 13 לחוק הגנת הפרטיות, חובת הדיווח על אירועי אבטחת מידע חמורים נותרת שרירה וקיימת גם בעתות משבר. עם זאת, יישום החובות דורש רגישות משפטית מיוחדת, תוך איזון בין אילוצי המצב לבין השמירה על זכויות הנושאים במידע, בהתאם להנחיות המעודכנות והקפדניות של הרשות להגנת הפרטיות.
צ’ק-ליסט דיווח מהיר לארגונים בחירום:
כדי שארגון יחשב כמי שפעל ב”תום לב” וכחוק, עליו לבצע את השלבים הבאים:
-
זיהוי ובידוד: עצירת הזליגה וניתוק מערכות נגועות.
-
סיווג האירוע: האם מדובר ב”אירוע חמור” המחייב דיווח לפי חוק?
-
דיווח פורמלי: שליחת הודעה מקוונת לרשות להגנת הפרטיות (בפורמט המעודכן ל-2026).
-
גיבוש תוכנית יידוע: קבלת החלטה מושכלת לגבי המועד הנכון להודעה לציבור/לעובדים.
הערת מומחה (עו”ד רועי וולר): “בשעת חירום, הרשות להגנת הפרטיות אינה מחפשת ‘להכשיל’ ארגונים, אך היא מגלה אפס סובלנות לארגונים שהסתירו אירועי דליפה תוך ניצול הערפל המלחמתי. דיווח נכון ומתוזמן הוא תעודת הביטוח של המנכ”ל מפני אחריות אישית.”
מסקנות והמלצות לארגונים
לארגונים ציבוריים ופרטיים מומלץ לנקוט במספר צעדים מעשיים:
-
גיבוש נהלי חירום לפרטיות – לקבוע מראש מסגרות פעולה שיאפשרו תגובה מהירה תוך שמירה על כללי החוק.
-
ביצוע הערכת סיכונים ייעודית – לבחון אילו סוגי מידע עשויים להידרש, באילו תנאים, ולכמה זמן.
-
הטמעת מנגנוני מחיקה ובקרה – להבטיח כי עם החזרה לשגרה תתבצע מחיקה של מידע עודף.
-
שקיפות ותקשורת עם הציבור – להבהיר מראש ככל הניתן את מדיניות האיסוף והשימוש במידע.
-
חיזוק אבטחת הסייבר – לוודא אמצעי הגנה מוגברים, לרבות הדרכת עובדים והיערכות מול מתקפות מתוחכמות.
קישור למסמך הרשות לגנת הפרטיות בנושא עקרונות הגנת פרטיות בהתמודדות עם אירועי חירום – כאן.
סיכום
גם בזמני חירום (ואולי דווקא בהם) נדרשת הקפדה על שמירה על הזכות לפרטיות. במצבי חירום, טעויות בניהול מידע עלולות לעלות ביוקר. פנו אלינו היום לביצוע הערכת סיכונים ייעודית והתאמת נהלי הפרטיות שלכם לדרישות הרשות העדכניות.
במשרד וולר ושות’ אנו מלווים רשויות מקומיות, חברות ממשלתיות, גופים ציבוריים ועמותות בהיערכות למצבי חירום ובהתאמה לדרישות הדין. ניסיוננו מלמד כי היערכות מוקדמת, הכוללת ניתוח משפטי, טכנולוגי וארגוני, היא הדרך הבטוחה ביותר לצמצום סיכונים משפטיים ושמירה על אמון הציבור. צרו קשר עכשיו.
נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.
פורסם: 1/09/2025. עודכן לאחרונה: 28/02/2026.
תחום: הגנת הפרטיות ואבטחת מידע.
