תזכיר החוק פורסם, אם כן, לצד כוונת הממשלה לקדם את תיקון חוק הגנת הפרטיות שהתקבל בקריאה ראשונה בכנסת ה-20, אשר עסק בהרחבת סמכויות האכיפה של הרשות להגנת הפרטיות ובמיוחד קביעת סמכות אכיפה לתקנות אבטחת המידע, שנכנסו לתוקף בחודש מאי 2018.

חוק הגנת הפרטיות התקבל בשנת 1981 ותוקן באופן משמעותי לאחרונה בשנת 1996. תזכיר החוק, ככל ויקודם, מהווה בהקשר זה בשורה של ממש. יחד עם זאת יש לזכור שתזכיר חוק דומה פורסם ב-2012 ולא קודם לכדי הצעת חוק. יש לקוות שהפעם גורלו של התזכיר יהיה שונה.

על-פי התזכיר תצומצם חובת רישום המאגרים, מתוך ההבנה כי היא מיושנת ומיותרת. החובה תיוותר רק ביחס להיקף מאגרים מצומצם יותר מתוך הבנה כי "יש חשיבות בשימור מוגבל של החובה באופן שיאזן בין תועלות מסוימות הכרוכות בו לבין ההקלה שצמצומו יביא בנטל הרגולטורי". האיזון הזה יושג, לדעת המציעים, בכך שתחול חובת רישום מאגרי מידע רק על מאגרים הכוללים רשימות על לפחות 100,000 מושאי מידע, שיש בהם רגישות מיוחדת בשל סוגי המידע הכלולים בהם, בשל סוג בעל המאגר (גוף ציבורי או לא), בשל מטרת עיבוד המידע וכדומה.

כאמור בכוונת משרד המשפטים לפרסם בשבועות הקרובים תזכיר חוק נוסף, לתיקון חוק הגנת הפרטיות, אשר "ישלים את מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת ימינו". במסגרת תזכיר חוק זה יכללו סוגיות מהותיות, כגון הרחבת הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסמכה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים את אחריותם של בעל מאגר המידע והמחזיק במאגר. הסיבה שהדבר ייעשה במסגרת תזכיר נוסף ונפרד, ולא במסגרת התזכיר שפורסם עתה, נומקה במשרד המשפטים בכך שהמדובר בסוגיות מורכבות "המחייבת איזון בין אינטרסים וזכויות, ומחוסר רצון לעכב את קידום שאר הצעות החוק הדחופות והבשלות שעל הפרק".

התיקונים המוצעים בחוק הגנת הפרטיות והתיקון שעוד יוצע, באים להתאים את החוק למציאות של ימינו אנו תוך פזילה לעבר תקנות המידע האירופאיות – ה-GDPR – ומתוך רצון להתאים את משטר הפרטיות בישראל למקובל באירופה, במסגרת בחינה שעושים האירופאים בנושא בימים אלו במטרה לבדוק, האם להמשיך ולאפשר מעבר חופשי של מידע אישי מאירופה לישראל.

הפוסט המחוקק הישראלי מתעורר: הצעה לצמצום חובת רישום מאגרי המידע הופיע ראשון בדן חי ברשת

עיקר ממצאי הרשות מצביעים על ליקויים הנוגעים בעיקר בנוגע לעמידה בהוראות החוק בתחום עיבוד המידע האישי באמצעות מיקור חוץ, קיום הוראות החוק ותקנות אבטחת המידע ביחס לנהלי אבטחה, מבדקי חדירות ותוכנית עבודה שנתית.

במסגרת הדין וחשבון שלה מפרסמת הרשות ממצא נוסף לפיו  חלק מהמכונים הרפואיים אינם מקפידים כנדרש ליידע את ציבור המטופלים בדבר זכויותיו על פי חוק הגנת הפרטיות, לרבות החובה להציג את מקור המידע, הזכות לעיין במידע והזכות לתקן את המידע המצוי במאגר המידע, ככל והוא שגוי. הרשות מביעה גם תקווה כי פרסום הדו"ח יוביל לכך, שהגופים בתחום ישכילו לנהל את המידע של מטופליהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם.

ממצאי הליך פיקוח הרוחב עולה כי על-אף שמרבית המכונים הרפואיים הינם בעלי היכרות עם דרישות החוק והתקנות והטמיעו את עיקרי הדרישות, עדיין נמצאו ליקויים משמעותיים באופן יישום הוראות החוק והתקנות, והנחיית הרשות היא כי על הגופים המשתייכים למגזר זה ליישם את הנקודות הבאות:

1. בקרה ארגונית וממשל תאגידי- הגופים נדרשים לוודא את רישום כלל מאגרי המידע שבבעלותם בהתאם להוראות החוק. בנוסף, על הגופים לוודא כי מונו כדין הגורמים הנדרשים בחוק ובתקנות, לרבות הוצאות כתב מינוי רשמי למנהל המאגר ולממונה אבטחת המידע. כמו כן, לוודא כי קיימים נהלי אבטחת מידע בארגון הכוללים התייחסות לנושאים כגון: אבטחה פיזית, הרשאות גישה וכו'. יש להכין תוכנית עבודה לנושא אבטחת מידע והגנת הפרטיות, ואף לערוך מיון עבור עובדים חדשים אשר מקבלים גישה למאגר.
2. ניהול מאגרי מידע- על הגופים לקבל את הסכמת נושא המידע כנדרש בחוק עבור שמירת פרטיו במערכת הארגון, תוך מתן הודעה בעת איסוף המידע, הכוללת התייחסות לשאלה האם חלה חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה. בנוסף, על הגופים האוספים מידע להקפיד על אופן השקיפות בפני המטופל בעת קבלת ההסכמה ומסירת המידע על ידו, ולהקפיד בכל פנייה בכתב, בדפוס או באמצעי אחר המהווה פניה בדיוור ישיר לפי החוק. כמו כן, על הגופים להקפיד ליידע ולאפשר לנושאי המידע לעיין במידע על אודותיהם, המוחזק במאגר מידע.
3. אבטחת מידע- על הגופים לוודא בניית מנגנוני הרשאות במאגרי המידע של הארגון, בהתאם לתקנות הגנת הפרטיות שיבטיחו הפרדת סמכויות, ויאפשרו גישה של העובדים בעלי הגישה למידע לנתוני המאגר. בנוסף, הרשות ממליצה כי הגורמים הרלוונטיים בגופים יקיימו דיון אודות הצורך בחיבור אמצעים נתיקים. במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין הנתונים באמצעות שיטות הצפנה מקובלות. מעבר לכך, יש לנקוט באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו נשמרים השרתים והתשתיות המחזיקים את ו/או המאפשרים גישה אל מאגרי המידע, על פי תקנות הגנת הפרטיות.
4. עיבוד מידע אישי במיקור חוץ- על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע, לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות על הגופים, בעלי המאגר, לוודא עריכת הסכם מול כל גורם חיצוני שמחזיק במאגר, כאשר יש לקבוע במפורש בהסכם את כל הוראות תקנות הגנת הפרטיות.

הרשות להגנת הפרטיות קובעת לבסוף כי תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות. ניכר, כי עצם קיום הליך פיקוח הרוחב עורר אצל המפוקחים תהליך בחינה עצמית והנעה לשיפור עצמי באופן הציות לחוק ולתקנות, כאשר בסיום ההליך כאמור, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושא משרה ותוכנית מסודרת לתיקונם.

קישור למסמך שפרסמה הרשות מצורף בלינק הבא :

https://www.gov.il/BlobFolder/reports/medical_labs_privacy/he/medical_labs_privacy_repoet (1).pdf

הפוסט פרטיות החולים – הרשות להגנת הפרטיות מפרסמת דו"ח ממצאי פיקוח הרוחב במכונים רפואיים הופיע ראשון בדן חי ברשת

במציאות המורכבת עקב משבר הקורונה, ההחלטה על מעבר של תלמידים וסטודנטים ללמידה מרחוק הינה החלטה מתבקשת. עם זאת, יש להכיר בכך שלהחלטה זו עשויה להיות השלכה על פרטיותם של תלמידים וסטודנטים, לרבות מבחינת ההגנה על מידע הנוגע אליהם. הרשות להגנת הפרטיות מודה בכך במסמך המיוחד שהוציאה, כאמור, אגב המשבר. במסמך מפרטת הרשות דגשים והמלצות להתנהלות בתקופת משבר הקורונה, נכונה ולהגנה על פרטיות ומידע אישי במסגרת שימוש ביישומי למידה מרחוק.

בפתח המסמך מדגישה הרשות כי יישומים דיגיטליים ללמידה מרחוק הם ברובם יישומים האוספים מידע על משתמשים, לרבות מידע רגיש, ויישומים אלה אינם חסינים מפני חדירה ומפני מצבים של דלף מידע. מצב זה, שרלוונטי בעיקר לשכבת גיל צעירה, עשוי להביא לכך שמידע רגיש רב עליהם עשוי להיחשף, לדלוף ולהגיע לידי גורמים שמידע זה אינו אמור להיות בחזקתם. על-פי רוב, מידע זה נאסף ונשמר במאגרי מידע של החברות שהיישומים נמצאים בבעלותם ותחת ניהולם.

למשתמשים ביישומים הדיגיטליים ללמידה מרחוק, כגון תלמידים (והוריהם) וסטודנטים יש תפקיד משמעותי בצמצום ומזעור האפשרות לפגיעה בפרטיותם. בשל כך הרשות ממליצה ליישם מספר כללים פשוטים והם: שימוש בסיסמאות חזקות למחשב וליישומי הלמידה מרחוק בהם משתמשים, יש לוודא כי המחשב הביתי בו משתמשים כולל מערכת הפעלה מעודכנת ותוכנת Anti-Virus והרשת הביתית מאובטחת על-ידי תוכנת חומת אש מעודכנת. מומלץ שמצלמת המחשב תהיינה מכוסה באופן קבוע, למעט כאשר נדרשים להשתמש בהן. בנוסף, יש להקפיד לא לציין פרטים אישיים מסגרת הרישום ו/או השימוש ביישומי למידה מרחוק, כגון כתובת מגורים, אלא רק את הפרטים המינימאליים הנדרשים במסגרת הליך הלמידה עצמו. כמו כן, לא לחשוף את עצמנו ואת בני משפחתינו בעת קיום שיח ויזואלי בעת השימוש ביישומים ללמידה מרחוק (כגון מערכות ZOOM או Skype). מהצד השני הרשות מדגישה כי , יש לכבד את הפרטיות של שאר המשתמשים ביישום כאשר פרסום ו/או העברת צילום/סרטון אינטימי של אדם ללא הסכמתו ברשתות חברתיות מהווים עבירה פלילית.

הרשות מפרטת עוד במסמך שהופץ דגשים לגורמים המבקשים להפעיל תוכניות ללמידה מרחוק, (וביניהם מוסדות חינוך, רשויות מקומיות, מוסדות להשכלה גבוה) העשויים למזער את אפשרות הפגיעה בפרטיות המשתמשים ביישומים טכנולוגיים ללמידה מרחוק: בעת הליך בחינת ובחירת זהות היישום הדיגיטלי יש לבחון היבטים של הגנה על פרטיות ומידע, ולפעול כך ששיקולים של אבטחת מידע יהוו שיקולים מרכזיים בהליך בחירת סוג וזהות היישום בו מבקשים לעשות שימוש. בכל הנוגע לשימוש ביישומים דיגיטליים ללמידה מרחוק במסגרת פעילות מוסדות חינוך, הרשות ממליצה כי מוסדות חינוך ו/או רשויות מקומיות יפעלו מול הגורמים הרלוונטיים במשרד החינוך על מנת לוודא כי היישום הדיגיטלי בו הם מבקשים לעשות שימוש ללמידה מרחוק מאושר על-ידי המשרד, וכי הוא עומד בהקשר זה בכל כללי אבטחת המידע הנדרשים. בנוסף, הרשות ממליצה כי יש להגביר את המודעות ולחדד את הכללים הרלוונטיים ביחס לאופן השימוש במידע ודרכים להגנה עליו בקרב תלמידים, סטודנטים ועובדים הוראה.

הרשות ממליצה להגביר את הניטור והפיקוח על פעילות היישומים הטכנולוגיים והחברות במסגרתם הם פועלים, וזאת, בין היתר, בכל הנוגע לעמידה בכללי אבטחת מידע. התקשרות גורמים ציבוריים ופרטיים (שהם בעלי מאגרי המידע) עם חברות חיצוניות, לשם שימוש ביישומים טכנולוגיים לקיום מערך למידה מרחוק, הכרוך במתן גישה למאגרי המידע, מהווה פעולה של מיקור חוץ, כמשמעה בתקנה 15 לתקנות אבטחת מידע. בעל מאגר מחויב, בין היתר: לבחון, לפני ביצוע ההתקשרות, את סיכוני אבטחת מידע בהתקשרות זו, לקבוע מפורשות בהסכם עם הגורם החיצוני כללים הנוגעים לאופן השימוש של הגורם החיצוני במידע שבמאגר, לרבות ביחס למטרות השימוש במידע, סוג עיבוד המידע שהגורם החיצוני רשאי לעשות. בנוסף, לנקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם בכלל ובהוראות תקנות אבטחת מידע, בפרט.

הרשות להגנת הפרטיות מבינה את הפגיעה בפרטיותם של תלמידים וסטודנטים במצב החירום הנוכחי. לפיכך, על כל הגורמים הרלוונטיים לפעול בעניין באחריות ותוך הקפדה על עקרונות הגנת הפרטיות וההגנה על המידע.  פרסום זה על-ידי הרשות, בזמן עיצומה של תקופה מורכבת, הינו סיוע והעלאת המודעות בקרב סטודנטים ,תלמידים והוריהם, ובקרב גורמים המנהלים תהליכי למידה מרחוק, ביחס לחשיבות הנושא.

קישור למסמך שפרסמה הרשות מצורף בלינק הבא :

https://www.nevo.co.il/ancayot/%d7%9e%d7%a9%d7%a8%d7%93%20%d7%94%d7%9e%d7%a9%d7%a4%d7%98%d7%99%d7%9d/2020/%d7%94%d7%92%d7%a0%d7%aa%20%d7%a4%d7%a8%d7%98%d7%99%d7%95%d7%aa%20%d7%91%d7%9c%d7%9e%d7%99%d7%93%d7%94%20%d7%9e%d7%a8%d7%97%d7%95%d7%a7.pdf

הפוסט למידה מרחוק בעקבות נגיף הקורונה – הרשות להגנת הפרטיות מפרסמת מדריך הופיע ראשון בדן חי ברשת

השימוש המודרני בשירותי האינטרנט ובמערכות מבוססות 'ענן' בפרט, מעלה באופן בולט, בעיקר לחברות בתחום המסחרי, את החשש לחשיפה מפני מתקפות סייבר שונות. מספר חברות כבר חוו אירועי סייבר, כדוגמת השבתת מערכות ואתרי אינטרנט של הארגון עקב דרישת כופר, חדירה ותקיפת מערכות מידע, לרבות גניבה של מידע עסקי ו/או אישי רגיש.

הגופים המופקדים על הפיקוח והחשיפה לאיומי סייבר כוללים את הרשות להגנת הפרטיות,  הרשות לניירות ערך, רשות שוק ההון והמפקח על הבנקים, כאשר הם מחייבים, בין היתר, דיווח על אירועי סייבר חמורים או מהותיים.

כך למשל הוטלה לאחרונה חובת דיווח חדשה לרשות להגנת הפרטיות מכוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017, ביחס לאירוע סייבר הנוגע למידע אישי. במקרה שכזה – המוגדר כ"אירוע אבטחה חמור" – חובת הדיווח לרשות היא בתוך 72 שעות. בנוסף, ככל ומדובר בתאגיד מדווח, חלה עליו גם חובת דיווח לציבור לפי דיני ניירות ערך. 

על פי העמדה שפורסמה, הרשות לניירות ערך מבחינה בין חובות הגילוי בדיווח מידי, גילוי בתשקיף (ובדו"ח התקופתי) וגילוי בדו"ח הדירקטוריון, כמפורט להלן:

1. גילוי בדיווחים מידיים – בהתאם לתקנה 36 לתקנות הדוחות, תאגיד מדווח נדרש לדווח מידית על כל אירוע או עניין החורגים מעסקי התאגיד הרגילים, אשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד. בנוסף, הדיווח יכלול כל פרט חשוב להערכת השלכות האירוע על עסקי התאגיד, ובכלל זה תיאור האירוע, תיאור הנזק, הערכת הנזק ודיווחים משלימים על האירוע.
2. גילוי בתשקיף ובדו"ח תקופתי – המתחלק לשניים: (א) גילוי מכוח תקנה 39 לתוספת הראשונה לתקנות ניירות ערך, המטילה חובות גילוי ביחס לגורמי הסיכון הכלליים של התאגיד ואף סיכוני סייבר. תאגיד, שבו קיים סיכון סייבר מהותי, נדרש לכלול דיווח על תיאור הסיכון, מדיניות הגנה, אופני הפיקוח, יישומה ובדיקת יעילותה. (ב) גילוי מכוח תקנה 36 לתוספת הראשונה לתקנות פרטי תשקיף, המטילה חובות גילוי במקרה של אירוע או עניין החורגים מעסקי התאגיד הרגילים. יש לכלול תיאור תמציתי של עיקרי האירוע, זהות או סוג התוקפים, נסיבות התקיפה, משך זמן התקיפה, הערכה האם התקיפה הסתיימה, היקף וסוג הנזק וכדומה.
3. גילוי בדו"ח הדירקטוריון – בהתאם לתקנה 10 ולתקנה 6 לתוספת הראשונה לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש"ל–1970, ככל שהתאגיד סבור כי התקיימה תקיפת סייבר בעלת השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים, עליו לכלול במסגרת דו"ח הדירקטוריון את הסברי הדירקטוריון בעניין תוך התייחסות לשאלה כיצד השפיע האירוע על הדוחות הכספיים.

הפוסט הרשות לניירות ערך הטילה חובת גילוי על מתקופות סייבר הופיע ראשון בדן חי ברשת

מערכת הבחירות לרשויות המקומיות הולכת ומתחממת ותגיע לשיאה ב-30 באוקטובר, היום בו אזרחי ישראל יתייצבו בקלפיות ברחבי הארץ ויבחרו מי מבין המועמדים ראוי להיבחר לתפקיד ראש הרשות שלהם ומי מבין הרשימות ראויה להיות הנציגה שלהם במועצה. מדובר במערכת בחירות מורכבת ביותר המתרחשת בו זמנית ב-203 ערים ומועצות מקומיות ובעוד 54 מועצות אזוריות – בסה"כ 257 יישובים.

מטבע הדברים, במערכת בחירות כל כך מורכבת, נוטלים חלק מאות מתמודדים ואלפי רשימות, שלכולם מטרה אחת משותפת: למצוא חן בעיני קהל הבוחרים הרלוונטי ולהשפיע עליהם כדי שיבחרו בהם. בדיוק בנקודה זו טמונה הבעיה המרכזית של כל המתמודדים. איך מגיעים לכמה שיותר בוחרים באמצעות מאגרי המידע הרלוונטיים עבורם ואיך עושים בהם שימוש נכון וחוקי?

הרי ברור לכל פוליטיקאי מתחיל ולכל איש שיווק, שמאגרי המידע הם סוד ההצלחה. מידע הוא כוח. רק מי שיש בידיו רשימת כתובות וטלפונים מעודכנת של קהל היעד הרלוונטי עבורו – יידע להגיע אל קהל היעד שלו בדרך הטובה ביותר: בין אם זה על ידי שיחת טלפון, שליחת הודעת דוא"ל או מסרון, פוסט מותאם/מטורגט בפייסבוק, שליחת מכתב או איגרת לכתובת המגורים, ואף ביקורי בית.

מאחר שמדובר במאגרי מידע שעל פי רוב חסויים והשימוש בהם אסור או מוגבל, עולות שאלות משפטיות מורכבות באשר לאופן ולדרכים בהן ניתן לעשות שימוש חוקי באותם מאגרי מידע כל כך חשובים וקריטיים עבור אלה המעוניינים לשים את ידם על אותם מאגרים.

עו"ד דן חי, ממשרד דן חי ושות', המתמחה בהגנה על הפרטיות, סוקר את המותר והאסור בתחום מאגרי המידע:

1. מה זה בכלל "מאגר מידע" על פי החוק?

מאגר מידע ייחשב אוסף נתונים של מידע אישי, שאינו מיועד רק לשימוש אישי, הכולל יותר משם, כתובת ודרך התקשרות, או אם כולל רק נתונים אלו – אינו המאגר היחיד בידי בעליו.

2. אילו מאגרי מידע חייבים ברישום על-פי חוק?

בחמישה מקרים יש לרשום את מאגר המידע אצל 'רשם מאגרי המידע', העומד בראש הרשות לגנת הפרטיות שבמשרד המשפטים (הגוף האחראי על אכיפת החוק בנושא זה): (1) כאשר המאגר הינו של גוף ציבורי; (2) כאשר יש במאגר רשומות מידע על יותר מ-10,000 אנשים; (3) כאשר המידע אינו נאסף ישירות ממושאי המידע במאגר; (4) כאשר המאגר משמש לשירותי דיוור ישיר (שימוש או העברה של רשימות מהמאגר לצד ג' עבור צרכיו של צד ג'); (5) כאשר יש במאגר מידע רגיש. 

3. באילו מאגרי מידע על תושבים מותר למתמודדים ולרשימות להשתמש ובאילו אסור?

מותר להשתמש רק במאגר מידע אשר הושג בדרך חוקית ושהמידע המצוי בו נאסף בדרך חוקית. כך, למשל, מאגר שהועלה בדרך לא חוקית לרשת, אסור לשימוש. המאגר המוכר ביותר שעלה בדרך לא חוקית לרשת הוא מאגר "אגרון" – מאגר מרשם התושבים שנגנב לפני מספר שנים והועלה לרשת תחת שם זה.

4. איזו דרך חוקית קיימת כדי להשיג מאגרי מידע של תושבים?

ישנן מספר דרכים מגוונות ליצור מאגר מידע באופן חוקי, כמו איסוף מידע ישירות ממושאי המידע, למשל בעת עריכת אירועי בחירות, כנסים, ביקורי בית וכיו"ב; או איסוף מידע ברשת אשר אין הגבלה בתנאי השימוש של האתר הרלבנטי לאסוף אותו (כאשר יש הגבלה קיים ויכוח אם מותר לאסוף את המידע או לא). בתקופה שלפני הבחירות מתקבל בידי המועמדים גם ספר הבוחרים – יש להקפיד לעשות בו שימוש על פי החוק ובהתאם לתנאים לשימוש בו. הרשות להגנת הפרטיות הוציאה הנחיה מפורטת בעניין פנקס הבוחרים ושימוש במידע האישי הכלול בו.

5. האם מותר למתמודדים לעשות שימוש במספרי טלפון סלולרי של תושבים?

עקרונית, כאשר המידע נאסף באופן חוקי, ובכלל זה מספרי הטלפון הסלולרי, ניתן לעשות בהם שימוש רק כאשר ניתנת הסכמה מראש של הנמענים. אולם כשמבקשים לשלוח מסרים פוליטיים או תעמולת בחירות, לא תידרש הסכמה מראש מאחר שבחוק התקשורת, הידוע בכינויו חוק ה'ספאם', נקבע כי תעמולת בחירות לא מהווה 'ספאם'.

6. האם מתמודדים רשאים לשלוח מידע לתושבים באמצעות הדואר האלקטרוני?

חוק ה'ספאם' מחריג עצמו מתעמולת בחירות ולא חל עליו. לכן אין מניעה לשלוח הודעות דואר אלקטרוני, העוסקת בתעמולת בחירות. מפרסמים שהן עמותות או חברות לתועלת הציבור, המבקשים לשלוח הודעות דואר-אלקטרוני לשם קבלת תרומה או לשם דברי תעמולה, יוכלו לעשות כן גם ללא קבלת הסכמה מוקדמת, אולם רק עד שהנמען הודיע להם כי הוא אינו מעוניין בכך – ואז יש להסירו מרשימות התפוצה.

הצלחה לכל המתמודדים.

הפוסט המדריך לשימוש במידע לקראת הבחירות ברשויות המקומיות הופיע ראשון בדן חי ברשת

במסגרת ההנחיה מדגישה הרשות גם את חובות אבטחת המידע החלות על המתמודדים והרשימות, כמו גם מגבלות על רכישת מידע מסוחרי מידע, הוראות חוק הגנת הפרטיות בנושא דיוור ישיר ושירותי דיוור ישיר והפצת רשימת חברי המפלגה או הסיעה למתמודדים בבחירות.

המידע המצוי בפנקס הבוחרים הינו מידע אישי רגיש, הנגזר ממרשם האוכלוסין ונמסר לסיעה במועצת הרשות המקומית או לנציג רשימת מועמדים, וזאת לצורך שתי מטרות בלבד: התמודדות בבחירות לרשויות המקומיות ויצירת קשר עם ציבור הבוחרים.

בפועל, השימושים בפנקס הבוחרים כוללים העברת מידע למטות הבחירות ולפעילים, טיוב נתונים והשלמתם על-ידי רכישת מידע מפולח ומאופיין, ביצוע סקרים, משלוח הודעות מוקלטות לבוחרים, המרצת בוחרים להגיע לקלפי ועוד.

פנקס הבוחרים כאמור הינו מאגר מידע, כהגדרתו בחוק הגנת הפרטיות. לכן, חלות עליו הוראות פרק ב' לחוק – הגנה על הפרטיות במאגרי מידע. במערכות בחירות קודמות עלה חשש כי רשימות בוחרים דלפו שלא כדין לגורמים פרטיים שונים, תוך פגיעה חמורה בפרטיות ציבור הבוחרים, דבר המהווה עבירה לפי הוראות החוק – ומכאן מסמך רענון הנהלים של הרשות.

חשוב לציין, כי על-פי חוק הגנת הפרטיות, בנסיבות מסוימות עלול השימוש במידע – שלא למטרה – להוות עבירה מנהלית עם קנס בצידה, ואף עבירה פלילית שדינה עד 5 שנות מאסר. לא זו אף זו, חוק הבחירות קובע אף הוא כי שימוש במידע למטרות אחרות גורר סנקציה שדינה מאסר עד שנתיים.

על-פי חוק הגנת הפרטיות, מוטלת על המתמודדים ורשימותיהם האחריות לאבטחת המידע שברשותם. תקנות אבטחת המידע שנכנסו לתוקף במאי השנה, מפרטות את עקרונות האבטחה הקשורים בניהול ושימוש במידע השמור, דוגמת פנקס הבוחרים.

שמירה על עקרונות אלה בעת שימוש במידע מפנקס הבוחרים ובעת שימוש במידע אישי, יסייעו בהגנה על הזכות לפרטיות והגנה על המידע האישי של אזרחי מדינת ישראל. 

הפוסט הרשות להגנת הפרטיות מרעננת נהלים: פנקס הבוחרים ושימוש במידע האישי בבחירות לרשויות המקומיות הופיע ראשון בדן חי ברשת