הרשות להגנת הפרטיות בישראל נקטה בצעד תקדימי כאשר הטילה קנסות מנהליים על שתיים מחברות הייעוץ וראיית החשבון הגדולות בעולם, ארנסט אנד יאנג (EY) ו-PwC ישראל. הקנסות, בסך 15,000 ש"ח לכל אחת, הוטלו בעקבות בקשת החברות מאורחיהן לסרוק את תעודות הזהות שלהם בכניסה למשרדיהן בתל אביב, ללא יידוע מספק על מטרת הסריקה והשימוש בפרטים האישיים, כפי שנדרש על פי חוק הגנת הפרטיות.
הרשות מצאה כי החברות לא סיפקו לאורחים שמסרו את תעודות הזהות שלהם, מידע נדרש על פי סעיף 11 לחוק הגנת הפרטיות. הסעיף כולל דרישה לספק את מטרת איסוף המידע, השימוש בו, למי יימסר, ומהן מטרות המסירה. העדר יידוע מספק מהווה הפרה של החוק, במיוחד כאשר מדובר באיסוף מידע רגיש כמו תעודות זהות. הרשות להגנת הפרטיות הבהירה כי קיימים אמצעי זיהוי חלופיים שפגיעתם בפרטיות פחותה, כגון שליחת קוד לסלולרי או הצגת תעודת זהות ללא צילומה או שמירתה.
יתרה מכך, הרשות פרסמה לפני כשנה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות, בו הבהירה את עמדתה ביחס ללגיטימיות ולחוקיות דרישות אלו. המסמך מדגיש בין היתר כי יש להתייחס למספר תעודת זהות ולצילום תעודת זהות כאל מידע מוגן לפי חוק הגנת הפרטיות. הרשות עוד ממליצה להימנע מדרישת צילום של תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת הזהות דרוש לשם מתן השירות. במקרים בהם נדרש צילום, יש להסתפק בצילום החלק הקדמי של התעודה, ללא הספח והחלק האחורי, ולאפשר ללקוחות להסתיר או להשחיר פרטים שאינם נדרשים.
הפרקטיקה של צילום תעודות זהות על ידי שליחים או בכניסה לבניינים הפכה לנפוצה, אך לפי עמדת הרשות, מדובר בפגיעה בפרטיות. כך לדוגמה, מקרה שבו שליח דרש מלקוח לצלם את תעודת הזהות משני צדדיה כתנאי לקבלת חבילה שנשלחה אליו, מבלי לקבל אמצעי זיהוי אחר, מהווה הפרה של החוק. הרשות מדגישה בגילוי הדעת כי ברוב המקרים יש להימנע מדרישת צילום תעודת זהות כולה, שכן היא כוללת פרטים רבים שאינם נדרשים, כמו תאריך הלידה, מצב משפחתי, מידע אודות ילדים ובן הזוג, המוגנים עצם היותם מידע אישי על ידי חוק הגנת הפרטיות.
הרשות להגנת הפרטיות הבהירה כי בכוונתה להמשיך ולפקח באופן פעיל על יישום הוראות החוק, תוך חתירה להגברת מודעות הציבור לזכויותיו ולעידוד עמידת הגופים השונים בחובותיהם החוקיות. לקראת כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות באוגוסט הקרוב, הרשות מתכננת להגביר את פעולות האכיפה ולהחיל באופן מיידי את ההוראות החדשות באמצעות סמכויות ואמצעי האכיפה הנרחבים שניתנו לה (זאת לאחר שניתנה לגופים השונים במשק שנה שלמה להתארגנות לציות להוראות התיקון). במסגרת זו, תפורסמנה הנחיות מעודכנות שיתייחסו לשינויים שנקבעו בתיקון, והרשות תנקוט בסנקציות משמעותיות כלפי מפרי החוק, לרבות הליכים אזרחיים ואף אכיפה פלילית, במקרים של פגיעה בפרטיות.
המקרה של EY ו-PwC מדגיש את החשיבות של העמידה בהוראות חוק הגנת הפרטיות ובכללן סעף 11, המחייב את הפונה לקבלת מידע לנהוג בשקיפות, ליידע ולהשיג הסכמה מדעת באיסוף מידע אישי, במיוחד כאשר מדובר במידע רגיש כמו תעודות זהות. הרשות להגנת הפרטיות מבהירה כי תמשיך לפעול בנחישות לאכיפת החוק ולהבטחת זכויות הפרטיות של האזרחים.
לסיכום, פעולת האכיפה שננקטה נגד שתי פירמות מהגדולות והמשפיעות בישראל ובעולם מסמלת שינוי מהותי ועמוק בגישתה של הרשות להגנת הפרטיות. מדובר במסר חד וברור לכלל הגופים במשק: איסוף מידע אישי, לרבות מידע רגיש, אינו עניין טכני גרידא אלא פעולה משפטית המחייבת עמידה מדוקדקת בהוראות החוק. החוק מחייב שקיפות, יידוע, צמידות למטרה, מזעור המידע הנאסף והשגת הסכמה מדעת מצד האדם שממנו נאסף המידע.
המקרה הנוכחי ממחיש עד כמה גם גופים מתקדמים ובינלאומיים עלולים להיתקל באכיפה רגולטורית כאשר הנהלים הפנימיים שלהם אינם תואמים את דרישות הדין המקומי. הפעם, הקנסות שהוטלו היו יחסית נמוכים (15,000 ש"ח לכל חברה), אך עצם פרסום הקנסות הוא המסר האמיתי: לאחר כניסתו לתוקף של תיקון 13, סכומי הקנסות צפויים להיות גבוהים משמעותית.
