top of page
shield-icon-cyber-security-digital-data-network-protection-future-technology-digital-data-

עקרונות היסוד של הגנת הפרטיות

חוק הגנת הפרטיות, התקנות הנגזרות ממנו ופרסומי הרשות להגנת הפרטיות מגדירים מספר עקרומות יסוד  הדומים לחוקים ותקנות בינלאומיות בתחום זה.

להלן סיכום קצר של עקרונות אלה:

Image by Gioele Fazzeri

צמידות מטרה

על פי עקרון צמידות המטרה שימוש במידע יכול להיעשות אך ורק בהתאם למטרה לשמה הוא נאסף או הועבר מלכתחילה, או לשם מטרות נלוות חיוניות באם קיימות (כגון לצורך התדיינות משפטית).

ברגע שהמטרה אינה תקיפה יותר - יש לפנות לעיקרון "צמצום המידע" המופיע בהמשך ולפעול בהתאםם.

הסכמה מדעת

סעיף 1 לחוק הגנת הפרטיות קובע כי "לא יפגע אדם בפרטיות של זולתו ללא הסכמתו". 

ההסכמה או אי ההסכמה של אדם לפגיעה בפרטיות, מבטאת שליטה של האדם בעצמו ובמידע הנוגע אליו.
חוק הגנת הפרטיות קובע כי הסכמה לפגיעה בפרטיות צריכה להיות הסכמה מדעת.
 
הכוונה לכך שלאדם יינתן המידע הנדרש על מנת להחליט אם ברצונו להסכים לפגיעה או לא. למשל, האם להסכים להעברת מידע או סרטון עליו הלאה, ולמי. כדי להסכים, על האדם להבין שאת משמעות הפעולה המבוקשת.
בנוגע לילדים הסכמה לפרסום תמונה, סרטון, ציטוט וכדומה, על ידי אחר, תלויית אישור הורים או אפוטרופוס.

 

Image by Chris Liverani
Image by Christina @ wocintechchat.com

שקיפות

הדין הישראלי מתיר איסוף ושימוש במידע אישי על אודות אדם מכוח הסכמתו או כאשר האיסוף והשימוש נעשים מכוח הסמכה שבדין.

 
בשני המקרים, הדרישה להסכמה מדעת ולשימוש במידע מחייבת את מבקש המידע להציג לאדם נתונים בנוגע לאיסוף המידע עליו והשימוש בו.
 
כך תעמוד בפניו תמונה מלאה בטרם יחליט האם להסכים למסירת המידע.
 
עיבוד מידע במערכות טכנולוגיות מתבצע במקרים רבים ללא פירוט אופן פעולת האלגוריתם, הקריטריונים שהוגדרו לו, והמידע המוזן אליו.
 
מצב זה הוא בעייתי במיוחד במערכות טכנולוגיות המשתמשות לקבלת החלטות על אודות אדם. (מה שנקרא בלשון העם "פרופילינג").
 
על יסוד הגישה הרואה בשליטה במידע מאפיין מרכזי של הזכות לפרטיות, שימוש כזה במידע אישי עלול להוות פגיעה בפרטיות.
 
מעבר לכך, בשנים האחרונות גובר השימוש במערכות בינה מלאכותית אשר נועדו לעבד מידע רב באופן "עצמאי", ולא על בסיס קריטריונים מוגדרים מראש.
 
מערכות אלו יכולת לשנות את הקריטריונים שעל בסיסם הן מקבלות החלטות, וזאת בין היתר, על סמך החלטות קודמות או מידע סטטיסטי.
 
דבר זה עלול להביא לכך שנושא המידע יתקשה להבין איזה מידע נאסף עליו, איזה שימוש נעשה בו ולאילו מטרות.
 
העדר השקיפות עלול לפגוע גם ביכולת הבקרה והפיקוח על פעילות המערכות וההחלטות המתקבלות במסגרתן.
 
לפיכך, על גורמים האוספים מידע אישי מאדם על-ידי מערכות אוטומטיות מוטלת החובה ליידע את נושא המידע ולספק לו מידע על אודות מטרות השימוש ולמי יימסר המידע.
 

צמצום מידע

 אין להחזיק "מידע עודף" - מידע אישי אשר אינו רלוונטי או הכרחי לשם השגת המטרה שלשמה הוא נאסף מלכתחילה או למטרות המאגר בו הוא נשמר.

לפחות פעם בשנה יש לבחון את המידע האישי הנאסף בארגון ולוודא כי יש בו צורך וגם ... למחוק אותו במידע ואינו נדרש.

הסיכונים באיסוף מידע עודף מתבטאים בשלושה מישורים עיקריים:

פגיעה בפרטיות בשל איסוף ושימוש במידע עודף שאינו נדרש ליישום המטרה שלשמה התקבלה ההסכמה –איסוף ושימוש במידע שלא למטרה שלשמה ניתנה הסכמה הוא אסור ומהווה פגיעה בפרטיות, ובעקרונות ההסכמה וצמידות המטרה.

 

הפגיעה חמורה אף יותר בנסיבות שבהן האיסוף אינו נעשה מכח ההסכמה (אלא מכח הוראה בדין) או כאשר ההסכמה ניתנה במסגרת פערי כוחות בין הצדדים. במקרים אלו יש להקפיד שהמידע שייאסף יהיה אך ורק כזה הנדרש לשם השגת מטרת האיסוף או המאגר.

פגיעה בפרטיות כתוצאה משמירת מידע עודף – עצם השמירה של מידע עודף מהווה סיכון לפרטיות מאחר ונפתח הפתח לשימוש במידע זה למטרות ולשימושים נוספים, לרבות תוך עיבודו, הצלבתו עם מידע נוסף, והעברתו לאחרים.

זליגת וחשיפת מידע עודף – מאחר ומאגרי מידע אינם חסינים מפני זליגת מידע וחשיפתו, שמירת מידע עודף יוצרת סיכון אבטחה מיותר ואף הפרה של חובת אבטחת המידע הקבועה בחוק. מאחר ולרוב נושא מידע גם אינו מודע לכך שנשמר לגביו מידע עודף, נפגעת יכולתו לצמצם את נזקיו.

Image by freestocks
Image by Tom Roberts

שלמות וסודיות

תקנות הגנת הפרטיות (אבטחת מידע) קובעות סט של בקרות אבטחת מידע הנדרשות. רמתן נגשקת ברמת הרגישות של המידע וכמותו.

להבנתי, אבטחת מידע הוא נושא חשוב ומרכזי. יחד עם זאת זהו נושא משלים להגנת הפרטיות ואימו חלק אינגרלי ממנו.

חוקים כמו ה-GDPR רואים באבטחת מידע נושא חשוב, אך הם מציינים כי "צריך לעשות מה שצריך לעשות".

בין יתר הבקרות אליהן מתייחסות תרנות אבטחת המידע:

* מינוי ממונה על אבטחת מידע

* מדיניות ונהלים בתחום אבטחת המידע

* ביצועי סקרי סיכונים ומבדקי חדירה.

* הדרכה

* ניהול הרשאות

* זיהוי ואימות

* ניטור ובקרה

* דיווח על אירועי אבטחת מידע

* התקנים ניידים

* ניהול מאובטח של מערכות המאגר

* אבטחת תקשורת

bottom of page