תיקון 13 לחוק הגנת הפרטיות, התשמ"א–1981 (להלן: החוק), שנכנס לתוקף לאחרונה, מהווה את הרפורמה המשמעותית ביותר בתחום זה מזה עשרות שנים. בין היתר, התיקון הגדיר מחדש את חובות בעלי מאגרי המידע, את מנגנוני הפיקוח ואת החובה לנקוט אמצעי אבטחה הולמים בהתאם לרמת הרגישות של המידע.
אחד ממוקדי השינוי המרכזיים הוא סעיף 3 לחוק, המגדיר מהו “מידע בעל רגישות מיוחדת”.
ההגדרה כוללת, בין היתר:
“מידע רפואי על אדם, מידע גנטי, מידע ביומטרי, מידע על דעותיו ואמונותיו, מידע על עברו הפלילי, וכן מידע על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית.”
לצד ההגדרה שבחוק, תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז–2017, קובעות שלוש רמות אבטחה – בסיסית, בינונית וגבוהה – בהתאם לסוגי המידע ולסיכון הנשקף מפריצתו. מאגר הכולל “מידע בעל רגישות מיוחדת”, כהגדרתו בחוק, מחויב לכל הפחות, ברמת אבטחה בינונית, הכוללת דרישות מחמירות יותר לניהול הרשאות גישה, גיבויים, בקרה, תיעוד וניהול סיכונים.
אחת הסוגיות המעוררות שאלות פרשניות היא מעמדו של מאגר עובדים – מאגר המכיל, כמעט בכל ארגון, מידע אישי רב: פרטי זהות, סטטוס משפחתי, פרטי שכר, ימי מחלה ועוד. השאלה שעלתה היא: האם מאגר כזה נחשב באופן מובנה למאגר בעל מידע רגיש?
מחד, סעיף 3 לחוק מציין “מידע על צנעת חיי המשפחה”, מה שעשוי לכלול נתונים על מצב משפחתי של עובד. מאידך, בתוספת הראשונה לתקנות האבטחה קיימת החרגה מפורשת לגבי מאגרי עובדים, שנועדה להקל על מעסיקים. החרגה זו אינה כוללת את סעיף 1(3)(א) לתוספת הראשונה לתקנות – “מידע על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית” – מה שמותיר ספק לגבי אופי המאגר.
על רקע אי ־ הבהירות הזו, עמדת הרשות להגנת הפרטיות הינה דו ־ שלבית:
- סטטוס אישי ומשפחתי כשלעצמו – למשל “נשוי”, “רווק”, “מספר ילדים" – אינו נכלל בגדר “מידע בעל רגישות מיוחדת” שבסעיף 1(3)(א) לתוספת הראשונה לתקנות. משמעות הדבר היא שמאגר עובדים המכיל רק נתונים מסוג זה אינו נדרש לרמת אבטחה בינונית.
- נתונים הנוגעים להיעדרויות וימי מחלה – נתונים אלה אינם נחשבים אוטומטית כ-“מידע רפואי”. עם זאת, אם מדובר במספר רב של ימי מחלה, באופן שעשוי ללמד על מצב בריאותי מסוים, הרי שמדובר במידע המעיד “על מצב בריאותו של אדם” לפי סעיף 3(2) לחוק, ועל כן המאגר כולו עשוי להיחשב בעל רגישות מיוחדת ולחייב רמת אבטחה בינונית בהתאם לתקנה 2 לתוספת הראשונה.
במילים אחרות, מדובר בשאלה כמותית ומהותית גם יחד: לא כל נתון על ימי מחלה יוצר חובת אבטחה מוגברת, אך ככל שהנתונים עשויים לחשוף דפוס רפואי או מידע על מצב בריאותי, כך משתנה בהתאם חובת האבטחה הנדרשת.
המשמעות המעשית למעסיקים ולבעלי מאגרים היא ברורה:
יש לבחון לא רק איזה סוג מידע נשמר, אלא גם מה היקפו והקשרו. מאגר הכולל מידע רפואי – אפילו באופן חלקי או עקיף – ידרוש אמצעי הגנה מחמירים יותר, בעוד שמאגר הכולל נתונים אדמיניסטרטיביים בלבד עשוי להידרש לרמת אבטחה בסיסית בלבד.
לבסוף, יש לזכור כי כל מקרה נבחן לפי נסיבותיו. גם מאגר עובדים “פשוט” יכול להפוך למאגר רגיש, בהתאם לאופן שבו נאסף ונשמר בו המידע. מטרתו של תיקון 13 הינה מעבר מתפיסה טכנית לתפיסה מהותית של הגנת הפרטיות.
צוות המשרד מלווה חברות וארגונים בבדיקת סיווג מאגרי מידע, בהטמעת נהלי אבטחת מידע ובהיערכות לתיקון 13. נשמח לסייע גם לכם לוודא שמאגר העובדים שלכם מנוהל בהתאם לדרישות החוק והתקנות.