📷📷
במסגרת שירות משפטי לסיווג רמת האבטחה של מאגרי המידע שלהם, לצורך יישום הוראות תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 (להלן - התקנות), עלה אצל חלק מלקוחותינו צורך לפרש את תחולת חוק הגנת הפרטיות תשמ"א-1981 (להלן - החוק) ביחס לנתונים אודות נושאי מידע שהם תאגידים, במאגר לחוד או יחד עם בני אדם.
הבסיס בחוק לניתוח המשפטי שלהלן נעוץ בהגדרת המונחים בסעיף 3 – ""אדם", לענין סעיפים 2, 7, 13, 14, 17ב, 17ג, 17ו, 17ז, 23א, 23ב ו-25 - למעט תאגיד" – קרי, הוראות החוק לא יחולו על תאגיד בעניינים הללו:
· סעיף 2 – רק אדם עלול להיות מושא למעשים המהווים "פגיעה בפרטיות".
· סעיף 7 – רק נתונים אודות אדם באים בגדר הגדרות "מאגר מידע", "מידע" וכן "מידע רגיש".
· סעיף 13 – רק לאדם הזכות לעיין במידע שעליו אצל בעל מאגר המידע.
· סעיף 14 – רק לאדם הזכות לפנות לבעל המאגר, ואם מדובר בתושב חוץ – למחזיק המאגר, במידה שהמידע עליו אינו נכון, שלם, ברור או מעודכן, ולבקש לתקנו או למוחקו.
· סעיף 17ב. – רק אדם יכול להיות ממונה על אבטחת מידע.
· סעיף 17ג. – כדיוור ישיר נחשבת פניה אישית רק לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר.
· סעיף 17ו. - רק אדם זכאי לדרוש, בכתב, מבעל מאגר מידע המשמש לדיוור ישיר, שמידע המתייחס אליו יימחק ממאגר המידע. באופן דומה, רק אדם זכאי לדרוש כי מידע המתייחס אליו לא יימסר לאדם, לסוג בני אדם או לאנשים מסויימים.
· סעיף 17ז. וסעיף 23א. - ההוראות הנ"ל יחולו על ידיעות הנוגעות רק לענייניו הפרטיים של אדם, אף שאינם בגדר מידע, כשם שהן חלות על מידע.
· סעיף 23ב. - מסירת מידע מאת גוף ציבורי אסורה, זולת אם המידע פורסם לרבים על פי סמכות כדין, או הועמד לעיון הרבים על פי סמכות כדין, או שאדם אשר המידע מתייחס אליו נתן הסכמתו למסירה.
· סעיף 25 – רק אדם שנפגע בפרטיותו ותוך ששה חדשים לאחר הפגיעה מת בלי שהגיש תובענה או קובלנה בשל אותה פגיעה, רשאים בן-זוגו, ילדו או הורהו, ואם אין לו כאלה - אחיו או אחותו, להגישה, תוך ששה חדשים לאחר מותו.
תמצית ענייננו בוטאה היטב בדברי כבוד השופט אברהם טננבוים מבימ"ש השלום ירושלים בתיק ק"פ (ירושלים) 102/05 - בנק המזרחי המאוחד בעמ ואח' נ' שאול שאולי (מיום 21/07/2005):
"נכון הוא שסעיף 4 לחוק הפרשנות קובע כי בכל מקום שמדובר אדם מדובר גם על תאגיד, אך ברור שמותר האדם מן התאגיד. לא בכל מקום ניתן להתייחס אליהם כזהים... המחוקק ביקש במפורש ובלשון ברורה להוציא את התאגיד מחוק הגנת הפרטיות. שכן המחוקק אמר במפורש כי אדם לעניין סעיף 2 למעט תאגיד".
הדעה הרווחת בפסיקה היא כי אין פרטיות לתאגיד במשפט הישראלי, ומשתקפת היטב בדבריו של כב' השופט ד"ר גבריאל קלינג מביהמ"ש המחוזי ת"א בתיק ה"פ (ת"א) 1484/00 - לירן נ. ממ"י ואח' (מיום 11/07/20001):
"אין תאגיד מוגן על-פי החוק בפני בילוש או התחקות (סעיף 2(1) לחוק הגנת הפרטיות), העתקת מכתב או שימוש בתוכנו (סעיף 2(5) לחוק הגנת הפרטיות). כן אין תאגיד זכאי לבקש תיקון של מידע המצוי על אודותיו במאגר מידע (סעיף 14 לחוק הגנת הפרטיות)".
עם זאת, אין חולק כי לתאגיד עומדת הזכות להתגונן מפני פגיעה במסמכיו, בסודיותו ובדרכי התנהלותו – אולם לא בחוק הפרטיות תרופתו, אלא בדרכים אחרות:
בחוק עוולות מסחריות תשנ"ט-1999, המגדיר "גזל סוד מסחרי":
"(א) לא יגזול אדם סוד מסחרי של אחר.
(ב) גזל סוד מסחרי הוא אחד מאלה:
(1)נטילת סוד מסחרי ללא הסכמת בעליו באמצעים פסולים, או שימוש בסוד על ידי הנוטל, לענין זה אין נפקא מינה אם הסוד ניטל מבעליו או מאדם אחר אשר הסוד המסחרי נמצא בידיעתו;
(2)שימוש בסוד מסחרי ללא הסכמת בעליו כאשר השימוש הוא בניגוד לחיוב חוזי או לחובת אמון המוטלים על המשתמש כלפי בעל הסוד;
(3)קבלת סוד מסחרי או שימוש בו ללא הסכמת בעליו, כאשר המקבל או המשתמש יודע או שהדבר גלוי על פניו, בעת הקבלה או השימוש, כי הסוד הועבר אליו באופן האסור על פי פסקאות (1) או (2) או כי הסוד הועבר אל אדם אחר כלשהו באופן אסור כאמור לפני שהגיע אליו."
ולחילופין - בעבירה על סעיף 496 לחוק העונשין:
"המגלה מידע סודי שנמסר לו אגב מקצועו או מלאכתו, שאינו סוד רשמי בסימן ה' לפרק ז', ואינו נדרש לגלותו מכח הדין, דינו - מאסר ששה חודשים".
זאת ע"פ פסקי דין שונים - כב' השופטת חני הורוביץ מבימ"ש השלום חיפה בק"פ 3011/97 - קואופרטיב הנמל החדש בע"מ נ. אפרים קאושינסקי ואח' (מיום 11/06/98), וכן בע"פ (חיפה) 981/98 – קואופרטיב הנמל החדש נ. אפרים קאושינסקי. בנוסף, לפי כב' השופטת נורית רביב מבימ"ש השלום ת"א בק"פ 15/03 - סהר תעשיות שלטים (1986) בע"מ נ. אליאב פריאל ואח' (מיום 06/03/2005).
לסיכום - מן האמור לעיל משתמעות מספר השלכות מהותיות של מיעוט התאגיד מהגדרת "אדם", על יישומם של החוק והתקנות גם יחד:
1. פגיעה בפרטיות יכולה להיות רק נגד אדם - לא נגד תאגיד.
2. מידע או מידע רגיש הם נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו – לא על נתוניו של תאגיד.
3. רק אדם שעיין במידע שעליו ומצא כי אינו נכון, שלם, ברור או מעודכן, רשאי לפנות לבעל/מחזיק (אם הוא תושב חוץ) מאגר המידע בבקשה לתקן את המידע או למוחקו - תאגיד אינו רשאי לעשות זאת.
4. רק אדם בעל הכשרה מתאימה יהיה ממונה על אבטחת מידע – לא ניתן למנות לכך תאגיד.
5. דיוור ישיר משמעו פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע – פניה לתאגיד אינה דיוור ישיר.
6. כל אדם זכאי לדרוש, בכתב, מבעל מאגר מידע המשמש לדיוור ישיר, שמידע המתייחס אליו יימחק ממאגר המידע, או שהמידע המתייחס אליו לא יימסר לאדם, לסוג בני אדם או לאנשים מסויימים, - תאגיד אינו זכאי לכך.
בריאות ושמחה - בכלל, ובעת הזאת במיוחד!
עו"ד יוסי ברוך (CISA/CRISC, במדיניות ציבורית MA)
נייד: 050-6245457
דוא"ל: yblaw4u@gmail.com
Comentários