ההתנהלות השוטפת של מרבית העסקים כיום מלווה באיסוף מידע בקשר לאנשים ואגירתו, למשל איסוף מידע בקשר עם לקוחות, ספקים וכדומה. חשוב לזכור כי לפי חוק הגנת הפרטיות, ישנם מקרים שבהם בעלות על מאגר מידע כאמור אף תחייב רישומו לפי חוק הגנת הפרטיות.במאמר זה נפרט בתמצית מהו מאגר מידע, מי נדרש לרשום מאגר מידע ובאילו מקרים, כיצד רושמים מאגר מידע ומהן הסנקציות החלות בגין אי רישום מאגר מידע.
מהו מאגר מידע?
כדי להבין מהו מאגר מידע יש להתייחס תחילה למונח "מידע", המוגדר על פי חוק הגנת הפרטיות כאוסף נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. כמו כן, ישנה התייחסות פרטנית בחוק הגנת הפרטיות למידע המוגדר כ"מידע רגיש", שהוא, בין היתר, מידע על מצב בריאותי או כלכלי של אדם.
"מאגר מידע" מוגדר בחוק הגנת הפרטיות כאוסף נתוני מידע המוחזק באמצעי מגנטי או אופטי ומיועד לעיבוד ממוחשב. בהגדרה זו לא ייכללו אוסף נתונים שמיועד לשימוש אישי ולא למטרות עסק, וכן אוסף נתונים הכולל רק שם, מען ודרכי התקשרות, שאינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי האנשים הכלולים בו.
מתי חלה חובה לרשום מאגר מידע?
בעל מאגר מידע חייב לרשום את מאגרי המידע הבאים:
1. מאגר שבו נאגר מידע על מעל ל-10,000 אנשים;
2. מאגר המכיל מידע רגיש;
3. מאגר הכולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה;
4. המאגר הוא של גוף ציבורי (למשל משרדי ממשלה, רשות מקומית וכדומה);
5. מאגר המשמש לשירותי דיוור ישיר.
כיצד רושמים מאגר מידע?
כדי לרשום מאגר מידע יש להגיש בקשה לרישום מאגר מידע לרשות הגנת הפרטיות. בבקשה זו יפורטו זהות בעל המאגר, המחזיקים במאגר, מנהל המאגר, סוגי המידע השמורים במאגר והשימוש שנעשה במידע.על רשם מאגרי המידע לרשום את המאגר בתוך 90 ימים מיום הגשת הבקשה לרישום, למעט אם לרשם היה יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או שהמידע הכלול בו נאסף בניגוד לדין.ככל שהרשם לא רשם את מאגר המידע בתוך תקופת 90 הימים כאמור, ולא הודיע למבקש על סירובו לרשום או על השהיית הרישום, המבקש יהיה רשאי לנהל או להחזיק את המאגר אף שאינו רשום.
מה הן ההשלכות של אי רישום מאגר מידע?
ניהול מאגר מידע, החזקתו או שימוש בו בניגוד להוראות חוק הגנת הפרטיות הינם עברה פלילית שדינה מאסר של שנה. כמו כן, ניהול או החזקת מאגר מידע שלא נרשם עלול לגרור חיוב בקנס מנהלי (חלקו סכום חד פעמי וחלקו עבור כל יום בו העבירה נמשכת).
סיכום
בשנים האחרונות נראה כי המחוקק שם דגש על ההגנה על מידע פרטי הנאגר ואבטחתו. בהתאמה, גוברות החובות החלות לפי חוק על בעלים, מנהלים ו/או מחזיקים במאגרי מידע (גם אם אינם בעלי המאגר) , וכך גם חשיפתם לסנקציות, לרבות בגין אי רישום מאגר מידע החייב ברישום. מכאן, מוצע להסתייע בגורם משפטי הבקיא בדיני הגנת הפרטיות לבחינה אם מידע שנאגר במסגרת עסק מהווה מאגר מידע המחויב ברישום.