הרשות להגנת הפרטיות פרסמה לאחרונה (25.3.2021) טיוטה של גילוי דעת בנושא צמצום המידע האישי המצוי במאגרי המידע של ארגונים שונים, הן פרטיים והן ציבוריים.
הרשות מנמקת כי "נוכח העלייה בהיקף התרחשותם של אירועי אבטחת מידע חמורים, הרשות להגנת הפרטיות מפרסמת מסמך המדגיש את הסיכונים לפרטיות העלולים להיגרם כתוצאה מאיסוף, שמירה ושימוש במידע עודף, ואת החשיבות והתועלת בצמצומו של מידע זה".
במסמך, אשר מפורסם בשלב הראשון לקבלת התייחסויות והערות מאת הציבור, מפרטת הרשות המלצות ודגשים לארגונים במשק ולגופים ציבוריים כיצד לפעול במטרה להביא לצמצום האיסוף, השמירה והשימוש במידע עודף. הרשות מציינת כי אי-צמצום מידע עודף על-ידי בעל המאגר שמצא כי מידע שכזה שמור אצלו, עשוי בנסיבות מסוימות להוות הפרה של תקנות הגנת הפרטיות (אבטחת מידע).
הרשות מדגישה במסמך את עיקרון צמידות המטרה ולפיו, כאשר מידע שנאסף חורג מהמטרה שלה הסכים מושא המידע או שמטרה זו כבר מומשה, יש למחוק אותו כך ששמירתו מהווה הפרה של החוק. בהקשר זה מדגישה הרשות גם את הוראת תקנה 2(ג) לתקנות אבטחת המידע, המחייבת על ארגון לבחון אחת לשנה אם אין במערכותיו מידע אישי עודף שיש למחוק אותו. בהקשר זה קובעת הרשות כי רצוי שבדיקה כזו תיערך מספר פעמים לאורך השנה, בהתאם לסוג המידע השמור ומטרת איסופו, וזאת על מנת להימנע ממצב בו מידע עודף נשמר במאגר ללא הצדקה לפרקי זמן ארוכים.
עוד הדגישה הרשות כי על גורמים אשר אוספים מידע מתוקף הסכמה או הסמכה שבחוק, להקפיד על כך שהמידע שייאסף יהיה רלוונטי ונדרש לשם השגת מטרת איסוף המידע ומטרת המאגר בו הוא נשמר. הרשות ממליצה לכלל הגורמים הרלוונטיים להטמיע את עיקרון צמצום המידע העודף במסגרת פעילותם ומדגישה כי שמירת מידע שלא למטרה לשמה הוא נמסר ולמטרת המאגר, או שלא לצורך מטרות נלוות החיוניות עבורן, כגון לצורך התדיינות משפטית או חובה חוקית לשמירת המידע, מגדילה את הסיכון לפגיעה בפרטיות ולהפרת חובות אבטחת המידע. הרשות מזכירה גם כי גופים ציבוריים המקבלים מידע על פי תקנות העברת מידע בין גופים ציבוריים מחויבים במחיקת מידע עודף מיד עם קבלת הנתונים. בנסיבות בהן מגיע בעל מאגר למסקנה כי מידע מסוים השמור במאגר הוא עודף, ואינו פועל לצמצום מידע זה, קובעת הרשות כי התנהלות זו עלולה להוות הפרה של הוראות תקנות אבטחת המידע וכי בעל המאגר אף עלול להיות חשוף בגינה לתביעות אזרחיות. במקרים ספציפיים בהם עשויה להתקיים חובה סטטוטורית לצמצום מידע עודף – כגון חובה לתקן או למחוק מידע בתנאים הקבועים בסעיף 14 לחוק הגנת הפרטיות – מורה הרשות כי על הגורמים הרלוונטיים לפעול לצמצום המידע בהקדם בהתאם לקבוע בהוראות הדין.
הרשות מזמינה את הציבור להעביר לה התייחסויות והערות למסמך ולהשפעותיו עד לתאריך ה-29.04.21.
