רקע
הרשות להגנת הפרטיות (להלן: הרשות) פרסמה לאחרונה כי הוטלו קנסות מנהליים קצובים על שני תאגידים גדולים, בעקבות הפרת הוראות סעיף 11 לחוק הגנת הפרטיות, התשמ"א–1981 (להלן: החוק), הקובע את חובת היידוע בעת איסוף מידע אישי מאדם.
במסגרת הליכי פיקוח שקיימה הרשות להגנת הפרטיות עלה, כי תאגידים אלה נהגו לאסוף באמצעות עמדות רישום דיגיטליות, צילומי תעודות מזהות של אורחיהן, לרבות תעודות זהות, ומידע אישי אודותיהם, כתנאי לכניסתם לבנייני משרדיהם, וזאת מבלי שניתנה הודעה כנדרש על פי החוק.
בתום הליכי הפיקוח, הרשות קבעה כי מדובר בהפרה של סעיף 11 לחוק הגנת הפרטיות (הקובע חובת יידוע בקשר לאיסוף המידע ובין היתר לעניין מטרתו, האם מסירת המידע היא מחויבת על פי דין או תלויה בהסכמתו של אדם, ולמי יועבר המידע), והטילה על כל אחת מהחברות קנס מנהלי בסך 15,000 ש"ח.
דרישות הדין וגילוי הדעת של הרשות להגנת הפרטיות
הרשות להגנת הפרטיות הדגישה בפרסום אודות שני המקרים, כי בגילוי דעת שפרסמה הרשות בנושא בשנת 2024 (להלן: גילוי הדעת) הובהר, כי מספר תעודת זהות הוא בבחינת "מפתח" המאפשר גישה למידע אישי נוסף על אדם, ולכן מהווה מידע מוגן לפי חוק הגנת הפרטיות. כפי שעולה מגילוי הדעת, פניה לאדם לקבלת מספר תעודת זהות שלו או סריקתו, תלווה בהודעה לפי הוראות סעיף 11 לחוק, שבה יצוין:
1. האם מסירת המידע מחויבת לפי חוק או תלויה ברצונו ובהסכמתו של האדם – יש להבהיר לאדם אם מסירת המידע נדרשת על פי חוק, או אם הדבר נעשה לפי הסכמתו של האדם;
2. הצגת מטרת האיסוף – יש לפרט את התכלית שלשמה נאסף המידע.
3. למי יימסר המידע ומטרות המסירה – יש לפרט האם תתבצע העברה של המידע לגורם שלישי (כגון חברת שליחויות, ספק טכנולוגיה וכיו"ב), ולשם מה.
(יוער, כי בעקבות תיקון 13 לחוק הגנת הפרטיות, החל מאוגוסט 2025 על ההודעה לכלול מרכיבים נוספים ובין היתר בקשר להשלכות אי הסכמתו של אדם למסור מידע, ולזכותו לעיון במידע ולתיקון המידע).
צמצום מידע עודף ושימוש באמצעי זיהוי חלופיים
בהתאם לגילוי הדעת, צילום תעודת זהות אף עשוי לכלול מידע פרטי עודף, שאינו נדרש למתן השירות – כגון כתובת מגורים, מצב משפחתי, שמות קרובי משפחה, מספרי זהות של בני משפחה ועוד. לכן מדגישה הרשות, כי במקרים בהם נדרש לאמת את זהותו של אדם לצורך מתן שירות, יש להימנע מלדרוש צילום של תעודת הזהות כולה, וראוי לעשות שימוש בחלופות פחות פוגעניות בפרטיות, לדוגמא:
– שליחת קוד חד-פעמי (OTP) מראש לצורך זיהוי;
– הצגת תעודת זהות בלבד, מבלי לצלמה או לשמור את פרטיה;
– שימוש בצילום תעודת זהות תוך השחרת פרטים שאינם חיוניים לשירות.
לסיכום
הליכי פיקוח אלה מבטאים צעדי אכיפה של הרשות להגנת הפרטיות ביחס לדיני הגנת הפרטיות, ובהתייחס לגילוי הדעת של הרשות להגנת הפרטיות (במקרה זה – בשים לב למגמה מתרחבת של עסקים, חברות שירותים וחברות שליחויות הדורשים מלקוחות למסור מספר או צילום של תעודת זהות לצורך קבלת שירות).
ייתכן כי בכך מבקשת הרשות גם "לאותת" לתאגידים ולעסקים במשק, על כוונתה להשתמש בסמכויותיה ובכלי האכיפה המוקנים לה לפי חוק, אשר צפויים אף להתרחב משמעותית לאחר כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות באוגוסט 2025. הרשות מציינת בפרסום אודות מקרים אלה, כי לאחר כניסתו לתוקף של תיקון 13 לחוק, העיצומים הכספיים על הפרות מסוג זה עלולים להגיע לסכומים גבוהים משמעותית מאלה שהוטלו במקרים אלה.
בשים לב למקרים אלה, ולתחולתו של תיקון 13 החל מאוגוסט 2025, ראוי כי ארגונים יבחנו מחדש את הפרקטיקות הנוהגות בקשר ליישום דיני הפרטיות, לרבות נהלי היידוע בעת איסוף מידע אישי; נהלי זיהוי בכניסת אורחים או בקבלת שירותים; מדיניות הפרטיות בארגון; ואת יתר ההיבטים הרגולטוריים הנוגעים לפעילותם, הדורשים היערכות לקראת כניסתו של תיקון 13 לתוקף.
נשמח לסייע ולעמוד לרשותכם בבחינה של הפרקטיקות לאיסוף מידע אישי, בגיבוש מדיניות פרטיות ובעדכונה, ובהיערכות ליתר הנושאים הרלוונטיים לאור תיקון 13 לחוק.
למידע נוסף על פעילויות האכיפה המנהלית שנקטה הרשות להגנת הפרטיות
לעיקרי עמדת הרשות להגנת הפרטיות בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות
*האמור כאן אינו מהווה חוות דעת או תחליף לייעוץ נקודתי, ואנו ממליצים לפנות לקבלת ייעוץ משפטי ממוקד בנושאים הכלולים בפרסום זה. אנו עומדים לרשותכם לכל שאלה ו/או הבהרה.
*העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו – AI במשרדנו, בסיועה של שחר טלמון, מתמחה במחלקת טכנולוגיה, מיזוגים ורכישות.