מאת: ; ;

מספר תעודת זהות ככלי בעל סיכונים - עמדת הרשות להגנת הפרטיות ומה שעסקים צריכים לדעת

לאור הקנס שהוטל לאחרונה על חברות הייעוץ הבינלאומיות בגין דרישה לסריקת תעודות זהות ללא יידוע מראש, חשוב להבין את עמדת הרשות להגנת הפרטיות בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות.
המאמר שלהלן יפרט את הסוגיות המרכזיות בגילוי הדעת שפרסמה הרשות ויסביר מדוע הפרות בתחום זה עלולות להוביל לסנקציות משמעותיות.
 

מספר תעודת זהות כ"מפתח" רגיש למידע אישי

מספר תעודת הזהות אינו רק מספר זיהוי טכני – הוא מהווה "מפתח" המאפשר גישה למידע אישי נוסף על אדם. כפי שקבע בית המשפט העליון בפרשת בג"ץ 6824/07 מנאע נ' רשות המיסים, "מן המספר ניתן ללמוד מידע ונתונים הנוגעים למעשיו, עיסוקיו, טעמו ומאפייניו של בעליו במגוון תחומים עד כי נוצרת זהות בין האדם לבין מספר הזהות שמאחוריו"
יתרה מכך, לפי הרשות להגנת הפרטיות, משעה שניתן לאדם מספר תעודת זהות, לא ניתן לשנותו, גם במקרים בהם נעשה בו שימוש לרעה. משכך, מספר תעודת הזהות מהווה מידע מוגן לפי חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "חוק הגנת הפרטיות").
 

צילום תעודת זהות: איסוף מידע עודף ורגיש

הרשות מדגישה כי צילום תעודת זהות כולל פרטים רבים אשר לרוב אינם נדרשים לבית העסק ומהווים מידע עודף, כגון:

  • תאריך הלידה (כאשר אין מגבלת גיל לרכישת המוצר)
  • תאריך הנפקת תעודת זהות (נתון חד-ערכי המשמש כמפתח)
  • מידע אודות המצב המשפחתי
  • מידע אודות ילדים ובני זוג (בספח)
איסוף ושמירה של מידע עודף מגדילים את הסיכוי לפגיעה בפרטיות ולכשלי אבטחת מידע, ועשויים להוות כשלעצמם פגיעה בפרטיות המנוגדת לחוק.
 

חובות בתי עסק בעת איסוף מספרי תעודות זהות

הרשות מבחינה בין שני תרחישים מרכזיים:

  1. חובה חוקית לאסוף את המידע : כאשר מוטלת על בית העסק חובה חוקית לדרוש את מספר תעודת הזהות או צילומה (כמו במקרה של בנקים או חברות אשראי חוץ-בנקאיות), עליו ליידע את הלקוח, בהתאם להוראת סעיף 11 לחוק הגנת הפרטיות, כי לצורך ההתקשרות הוא מחויב למסור את המידע.
  2. איסוף ללא חובה חוקית : במקרים בהם בית העסק דורש לקבל את המידע מבלי שמוטלת עליו חובה חוקית לעשות כן (כגון ברכישה מקוונת באמצעות כרטיס אשראי), על בית העסק לקבל את הסכמת הלקוח וליידע אותו כי מסירת המידע תלויה ברצונו ובהסכמתו.


חובת היידוע ועקרון צמידות המטרה

בעת איסוף מספר תעודת זהות או צילומה, על בית העסק להציג ללקוח את הפרטים הבאים:

  • האם חלה חובה חוקית למסור את המידע או שמסירתו וולונטרית
  • המטרה שלשמה מבוקש המידע
  • למי יימסר המידע ולאילו מטרות
בהתאם לעקרון צמידות המטרה, הקבוע בסעיפים 2(9) ו-8(ב) לחוק הגנת הפרטיות, בית העסק אינו רשאי לעשות כל שימוש במספר תעודת הזהות של אדם או בצילומה, אלא למטרה שלשמה נמסרו לו.
 

המלצות מעשיות לעסקים

הרשות ממליצה על הצעדים הבאים:

  1. להימנע מדרישה לצלם את תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לתכלית האיסוף.
  2. במקרים החריגים בהם נדרש צילום, יש להסתפק בצילום החלק הקדמי של התעודה ללא הספח, ולאפשר ללקוח להסתיר פרטים שאינם נדרשים.
  3. ככל שיש צורך לשמור את צילום תעודת הזהות, יש להשחיר את פריטי המידע הלא נחוצים.
  4. לשקול שימוש באמצעי אימות זהות אחרים שפגיעתם בפרטיות פחותה, כגון אימות באמצעות קוד שנשלח ללקוח או הצגת תעודת הזהות ללא צילומה.
  5. בתום השימוש במספר תעודת הזהות או בצילומה, יש לבחון את הצורך בהמשך שמירתם, בהתאם להוראת תקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017
     

סיכום: אי-ציות עלול להוביל לסנקציות משמעותיות

כפי שעולה מהקנס שהוטל על חברות הייעוץ הבינלאומיות, הרשות להגנת הפרטיות נוקטת בגישה אכיפתית בנוגע לאיסוף בלתי ראוי של תעודות זהות. עסקים חייבים להיות ערים לחובותיהם החוקיות בתחום זה ולנקוט באמצעים הדרושים למניעת הפרות.

מינוי ממונה על הגנת הפרטיות בארגון מהווה צעד משמעותי בהבטחת עמידה בהוראות החוק. ממונה כזה יוכל לסייע בגיבוש מדיניות נאותה לאיסוף ושימוש במספרי תעודות זהות, להטמיע פרקטיקות של צמצום מידע, ולוודא שהארגון מיישם את עקרון צמידות המטרה וחובת היידוע.
 
 

לשיחת ייעוץ
חייגו 03-6109100

או השלימו את הפרטים הבאים

הדפסת המאמר

דירוג המאמר

 

1 ע"י 1 גולשים

הוסף תגובה

זקוקים לעורך דין?

חייגו: 03-6109100 או השאירו פרטים
אני מאשר/ת בזאת לדורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות' לשלוח לי ניוזלטרים/דיוור של מאמרים, מידע, חידושים, עדכונים מקצועיים והודעות, במייל ו/או בהודעה לנייד. הרשמה לקבלת הדיוור כאמור תאפשר קבלת דיוור שבועי ללא תשלום. ניתן בכל עת לבטל את ההרשמה לקבלת הדיוור ע"י לחיצה על מקש "הסרה" בכל דיוור שיישלח.