אתמול (14.06.2023) פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") טיוטת גילוי דעת להערות הציבור בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות.
כפי שעולה מגילוי הדעת, בעת האחרונה ישנה מגמה הולכת וגוברת של בתי עסק הדורשים מלקוחותיהם למסור את מספר תעודת הזהות שלהם, ולעיתים אף עולה דרישה למסירת צילום תעודת הזהות עצמה (למשל, בעת קבלת משלוח על-ידי שליח, לצורך כניסה למקום כלשהו ואף לצורך קבלת מידע כללי, שעל פני הדברים אינו מצריך כל תהליך הזדהות).
במסגרת גילוי הדעת חוזרת הרשות על עמדתה זה מכבר (המגובה בפסיקת בית המשפט העליון), לפיה מספר תעודת הזהות הוא מספר ייחודי, אשר מלווה את האדם כל ימי חייו וכי הוא בבחינת "מפתח", המאפשר גישה למידע אישי נוסף על אדם, ומשכך הוא מהווה "מידע" הכפוף להוראות חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק"). הרשות מבהירה כי בנוסף למספר הזהות, גם פרטים אחרים המופיעים בתעודת הזהות, כגון, מצב משפחתי ובנסיבות מסוימות גם מקום הלידה, מהווים אף הם "מידע" מוגן בהתאם לחוק ואף חלק מהנתונים הנוספים המופיעים על גבי התעודה ובספח, כגון כתובתו של אדם, מהווים "ידיעה על ענייניו הפרטיים של אדם", וככאלו זכאים להגנה מסוימת לפי החוק.
משכך, גילוי הדעת מפרט את עמדת הרשות בעניין איסוף ושימוש במספרי וצילומי תעודת זהות, כדלקמן:
1. צמצום המידע הנאסף – צילום תעודת זהות כולל פרטים רבים אשר לרוב אינם נדרשים לבית העסק ועשויים להוות מידע עודף (דהיינו מידע שאינו הכרחי ואינו רלוונטי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה), כגון תאריך הלידה (כאשר אין מגבלת גיל לרכישת המוצר), תאריך הנפקת תעודת זהות (נתון חד-ערכי המשמש כמפתח וניתן לעשות בו שימוש לרעה), מידע אודות מצבו המשפחתי של האדם, מידע אודות ילדיו ובן זוגו הנמצאים בספח תעודת הזהות ועוד.
לפיכך, על פי גילוי הדעת יש להימנע מדרישה לצלם את תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לתכלית האיסוף. כמו כן, במקרים בהם בית העסק מבקש צילום של תעודת זהות, יש לאפשר ללקוח להסתיר פרטים מתעודת הזהות בעת מסירת הצילום, ככל שאלו אינם נדרשים לבית העסק. ככל שיש כוונה לשמור את צילום תעודת הזהות במאגרי החברה, יש להשחיר את כלל פריטי המידע שאינם נחוצים לשם מתן השירות. הרשות מדגישה כי במקרים המתאימים, בהם נדרש לאמת את זהותו של אדם לצורך מתן שירות או קבלת משלוח, ניתן לעשות שימוש באמצעי אימות זהות אחרים, שפגיעתם בפרטיות פחותה, כגון אימות באמצעות קוד שנשלח ללקוח מבעוד מועד.
2. חובת היידוע – בהתאם להוראות החוק, תנאי לקבלת מידע אישי מאדם הוא הסכמה מדעת של אותו אדם למסירת המידע. כדי להבטיח כי זו מתקיימת, על מבקש המידע להציג לאדם גילוי האם חלה עליו חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו ובהסכמתו, המטרה אשר לשמה מבוקש המידע ולמי יימסר המידע ומטרות המסירה, כך שבפני אותו אדם תעמוד תמונה מלאה לשם גיבוש החלטה מושכלת האם להסכים למסירת המידע אודותיו.
הרשות מדגישה כי ככל שבכוונת בית העסק לבקש מלקוח למסור צילום של תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת הליך הרכישה, גם כאשר הדרישה מבוצעת בפועל על ידי חברת השליחויות הפועלת מטעמו של בית העסק וזאת, על מנת שהלקוח יוכל להחליט בזמן אמת אם ברצונו להמשיך בהליך הרכישה או לפנות למשל לבית עסק אחר. נציין כי ככל שחלה חובה חוקית לדרוש למסור את צילום תעודת הזהות לצורך מתן השירות אין לבית העסק שיקול דעת האם לדרוש פרטים אלו, וכל שנדרש ממנו הוא ליידע את הלקוח, בהתאם להוראת סעיף 11 לחוק כי לצורך ההתקשרות הוא מחויב למסור את צילום תעודת הזהות (למשל, בנק מחויב לאמת את פרטי הזיהוי של מקבל השירות באמצעות תעודת זהות, ועליו לשמור ברשותו העתק מהתעודה).
3. שימוש במידע למטרות שלשמן נמסר – בעל מאגר מידע אינו רשאי לעשות כל שימוש במספר תעודת הזהות של אדם או בצילומה, אלא למטרה שלשמה נמסרו לו. לפיכך, ככל שמספר תעודת הזהות התבקש למשל לצורך זיהוי הלקוח בעסקה ספציפית, והמספר נמסר על ידי הלקוח למטרה זו, אין לעשות בו שימוש למטרות אחרות.
4. בחינה עתית של הצורך בשמירת מספרי תעודת זהות או צילומיהן במאגר – תקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות") קובעת כי: "בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר". לדעת הרשות, מתקנה זו ניתן ללמוד כי בתום השימוש במספר תעודת הזהות או בצילומה, כאשר בעל המאגר עצמו מגיע למסקנה כי המידע אינו דרוש עוד, ולמעשה מדובר במידע עודף, אי-צמצומו עשוי להוות הפרה של התקנות. המשך שמירת המידע כאשר בעל המאגר עצמו סבור כי מדובר במידע עודף, עשוי להוות הפרה גם של עקרון צמידות המטרה כאמור לעיל. הדברים אמורים גם ביחס לצילום תעודת זהות שנשמר למשל בטלפון הנייד שבאמצעותו נאסף. כמו-כן, עמדת הרשות היא כי במסגרת הבחינה השנתית שמחויב בעל מאגר מידע לערוך מכוח תקנה 22(ג) לתקנות, עליו לכלול התייחסות ספציפית ומפורשת לצורך בשמירת מספרי תעודת זהות או צילומי תעודת זהות במאגר.
5. מידתיות – עמדת הרשות היא כי במקרים מסוימים המפורטים בגילוי הדעת, יש לבחון, טרם איסוף מספרי תעודת זהות או צילומי תעודת זהות, האם מדובר באמצעי היעיל והמתאים להשגת המטרה, האם ניתן להשיג את מטרה זו באמצעי שפגיעתו בפרטיות פחותה, והאם התועלת מהשגת המטרה עולה על הפגיעה בפרטיות הנובעת מעצם האיסוף והשימוש במידע זה.
יודגש כי גילוי הדעת הוא בגדר טיוטה להערות הציבור בלבד ועשויים לחול בו שינויים אם וכאשר יפורסם בגרסתו הסופית.
לעיון במסמך המלא יש ללחוץ: כאן
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות (בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com) או לעו"ד רועי לאור, שותף במחלקה (בטלפון 03-6074588 או בדוא”ל roeel@gkh–law.com).