גם בחירום או במלחמה חלילה: כך תשמרו על פרטיות המידע שלכם

הגנה על פרטיות במצבי חירום: עקרונות מנחים פורסמו במסמך שבו מדגישה הרשות להגנת הפרטיות את הצורך להגן על הזכות לפרטיות גם בעתות חירום | המסמך מדגיש את העקרונות לצמצום הפגיעה בפרטיות האזרחים בעת התמודדות עם אירועי חירום

אבטחת מידע, הגנה על הפרטיות | צילום : Maksim Kabakou, שאטרסטוק

בעיצומה של המלחמה הנוכחית, ובעוד העיניים נשואות גם לזירה הצפונית, הרשות להגנת הפרטיות מפרסמת מסמך חשוב המביא את שאלת הפרטיות בעת מצבי חירום אל קדמת הבמה. המסמך עוסק בשאלות מורכבות הנוגעות לאיזון בין הצורך להתמודד בדחיפות וביעילות עם אירועי חירום – כמו מלחמות, אסונות טבע, אירועי טרור ומגפות – לבין החובה להגן על הזכות לפרטיות גם, ואולי במיוחד, בעתות חירום. 

הרשות מזהירה כי במצבי חירום עלולות להיווצר מחלוקות משמעותיות בנוגע למידת הפגיעה בפרטיות הנדרשת לצורך התמודדות עם אירועי חירום, האמצעים הטכנולוגיים שיש להשתמש בהם לצורך כך, ופרק הזמן בו ייעשה שימוש במידע האישי. כזכור, במהלך מגפת הקורונה, התעוררה מחלוקת קשה סביב השימוש באמצעים טכנולוגיים פוגעניים כמו מעקב דיגיטלי אחר חולים, שהעלו שאלות כבדות משקל לגבי פרטיות.

הרשות קוראת לכל הגורמים המעורבים להקפדה יתרה על העקרונות המוצגים במסמך (כמו המידתיות וצמידות המטרה) ולפעול בהתאם להם, במטרה להבטיח שהפגיעה בפרטיות תתרחש רק כאשר הדבר הכרחי, ובאופן המינימלי ביותר. המסמך מבהיר כי הכרה בשימוש באמצעי הפוגע בפרטיות כמידתי בעת התמודדות דחופה עם אירוע חירום, אינה מהווה הכרה במידתיות השימוש באמצעי בעת שגרה (או בעת תקופת "שגרת חירום"). לפיכך יש לנקוט באמצעים שכאלו במשורה, רק כאשר מדובר באירועי חירום הדורשים זאת, ולהקפיד על הפסקת השימוש בהם בעת שגרה.

הרשות להגנת הפרטיות מבהירה כי על אף האתגרים שבמצבי חירום, יש להקפיד שלא להפר את הזכות לפרטיות מעבר לנדרש לצורך התמודדות עם מצבי החירום, ולוודא שהפגיעה בה במצבים אלו תהיה מוצדקת, מידתית ותוך כיבוד זכויות נושאי המידע ככל האפשר. מדובר במשימה מורכבת אך הכרחית, במיוחד כאשר מדובר בזכות יסוד כמו הזכות לפרטיות, שגם בעיתות חירום יש להגן עליה.

בין העקרונות המרכזיים במסמך:

הסכמה מדעת

המסמך מדגיש את עיקרון ההסכמה, וקובע כי גם בעת חירום, ברירת המחדל היא שפגיעה בפרטיותו של אדם חייבת להתבסס על הסכמתו או על הסמכה מפורשת בדין. לפי המסמך, גם בתקופת חירום יש לעשות מאמץ שלא לנקוט בפעולות הפוגעות בפרטיותו של אדם ללא הסכמתו, או לכל הפחות להקפיד הקפדה יתרה שלא לפגוע בפרטיות מעבר לנדרש בנסיבות שכאלו. עם זאת, הרשות מכירה בכך שבנסיבות מסוימות עשוי להתעורר קושי לקבל הסכמת האדם, ואז ייבחן האם המצב עומד בחריג לכלל ההסכמה, לפיו אם ניתן להצביע צורך מהותי וחוסר יכולת סבירה לקבל הסכמה, תינתן הגנה מכוח החוק.

חובת יידוע

בעת חירום עלול להתעורר קושי לעמוד בחובת היידוע בטרם איסוף המידע. המסמך מבהיר כי במידה ולא היה ניתן לקיים את החובה במועדה כנדרש בחוק, עדיין יש לקיימה לכל הפחות במועד מאוחר יותר, ובהזדמנות הראשונה האפשרית. המסמך מדגיש כי קיום הליך יידוע מאוחר יכול להיות מיושם אך ורק במקרים קיצוניים בהם הייתה לגורם האוסף את המידע מניעה מוחלטת ליישם את חובה במועד הנדרש על-פי דין.

צמצום מידע

על גורמים המבקשים לאסוף ולהשתמש במידע אישי למטרת התמודדות עם אירוע החירום לבצע הערכה זהירה ביחס למידע האישי הנדרש למטרה זו, ולהקפיד לאסוף ולהשתמש אך ורק במידע זה. הערכה זו רצוי שתיעשה, ככל הניתן, בסמוך לקרות אירוע החירום. על גורמים אלו להקפיד לבחון, לכל הפחות אחת לשנה, האם המידע השמור במאגריהם (אשר נאסף לצורך התמודדות עם אירוע חירום), לא הפך למידע עודף עם החזרה לעת שגרה. מומלץ שבחינה שכזו תיעשה סמוך למועד סיום תקופת ההתמודדות עם אירוע החירום והחזרה לשגרה, וככל האפשר באופן עתי גם במהלך הימשכו.

אבטחת מידע מוגברת

התמודדות עם אירועי חירום מציבה אתגר ייחודי בנוגע לאבטחת מידע. בעת חירום תיתכן עלייה במספר ובאיכות תקיפות הסייבר מטעם גורמים עוינים. כמו כן, בשל אופיו, התמודדות עם אירוע חירום נעשית על-פי רוב בתנאים של חוסר וודאות, בלחץ של זמן, בתנאים פיזיים שונים מהרגיל, ותוך מעורבות גורמים רבים, פרטים וציבוריים. לאור כך בעת חירום יש להקפיד הקפדה יתרה על עמידה ויישום הדרישות המפורטות בתקנות אבטחת המידע.

מידע על נפטר/ת

הרשות מבהירה כי העברת ופרסום מידע על אודות נפטרים צריכים להיעשות על-פי הוראות הדין. בעניין גישת בני משפחה של נפטר למידע אישי השמור במכשירים הדיגיטליים שהיו ברשותו – רצוי שהחלטות בנושא זה יתקבלו ברגישות, תוך כיבוד רצון הנפטר (ככל שניתן להעריך מה היה רצונו), ותוך כיבוד פרטיותם של אנשים שהיו עימו בקשר שמידע על אודותיהם מצוי במכשיריו.

כתיבת תגובה