האם רשימת אנשי הקשר בטלפון מהווה מאגר מידע?
עו"ד דן אור-חוף*

רשימת קשר הכוללת שמות וכתובות דוא"ל מהווה מאגר מידע כהגדרתו בחוק – כך לפי גילוי דעת שפרסמה הרשות להגנת הפרטיות. לעמדה זו השלכות משמעותיות – מאגר מידע יש לאבטח כראוי, יש לרשום אותו אצל רשם מאגרי המידע, יש לפרסם מדיניות פרטיות ועוד.

האמנם אוסף נתונים כזה מהווה מאגר מידע כמשמעותו בחוק? אנו כלל לא בטוחים בכך. על כך במאמר זה.

כולנו מחזיקים רשימות כאלה

רשימת אנשי הקשר בטלפון נייד כוללת שמות ופרטי קשר של חברים ומשפחה מחד ושל אנשי קשר לצורכי עבודה מאידך. אנו סורקים כרטיסי ביקור בכנסים, מוסיפים ידנית טלפונים וכתובות דואר אלקטרוני וכותבים לעתים את החברה שבה איש הקשר עובד.

אין מדובר רק ברשימות אנשי הקשר בטלפונים. חברות רבות מציעות להצטרף לניוזלטר שלהן דרך אתר האינטרנט. בדרך כלל אין צורך ביותר משם וכתובת דוא"ל כדי להירשם. בנוסף, כמעט כל חברה מחזיקה ברשימת דיוור או תפוצה, הכוללת שמות ודרכים ליצור קשר כדוגמת כתובת, מספרי טלפון וכתובות דואר אלקטרוני.

בעל "מאגר מידע", צריך להגיש בקשה לרישום של המאגר אצל רשם מאגרי המידע במשרד המשפטים. בקשה כזו כוללת עשרות רבות של פרטים שיש למסור, כדוגמת מיהם מקורות המידע, מהם אופני איסוף המידע, למי נמסר המידע מהמאגר, על אילו מערכות תוכנה המאגר נשמר, האם מונה "מנהל מאגר", מה מקור הסמכות החוקית לאסוף את המידע וכך הלאה.

האם נדרש לרשום את אנשי הקשר בטלפון כמאגר מידע? האם נדרש לרשום את רשימת הקשר לניוזלטר כמאגר מידע? הרשות להגנת הפרטיות עונה על כך בחיוב. זו המסקנה המסתברת מגילוי הדעת החדש שלה.

רישום מאגר הוא רק אחת הדרישות מבעל מאגר מידע. על מאגר מידע חלות כל הוראות פרק ב' לחוק הגנת הפרטיות ואוסף של תקנות מכוחו, ובכלל זה גם חובות אבטחת מידע, פרסום מדיניות פרטיות, מימוש זכות העיון, תיקון מידע ומחיקתו, העברת מידע לחו"ל (כדוגמת שמירה בענן) ועוד. קביעה שהרשימות הנ"ל הן מאגרי מידע מחילות באופן אוטומטי את כלל החובות הללו.

פרק ב' לחוק הגנת הפרטיות אף מעניק לרשם מאגרי המידע (היום אצל הרשות להגנת הפרטיות) סמכויות אכיפה. אם רשימות שמות וכתובות דוא"ל אינן מאגר מידע, הרשם נעדר סמכות לגביהן.

האם זו הפרשנות הנכונה של החוק? אנו בספק

ההגדרות בחוק הגנת הפרטיות ל"מאגר מידע" ו"מידע" אינן אינטואיטיביות. ננסה לפשט אותן. כדי שרשימת שמות וכתובות דוא"ל תהווה מאגר מידע, היא צריכה להתגבר על חמישה מכשולים:

  1. הרשימה חייבת להיות ממוחשבת;
  2. היא משמשת למטרות עסקיות;
  3. היא לא "רשימת קשר" גרידא. הרשימה כוללת, או אפשר להסיק ממנה עוד מידע שיכול להיות פוגעני (כדוגמת רשימת קשר של מטופלי פסיכיאטר);
  4. הנתונים (שם וכתובת דוא"ל) כלולים באחת מהקטגוריות שבהגדרת "מידע", דהיינו: אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;
  5. מלבד הרשימה, יש בידי בעל רשימת הדיוור "אוסף" נתוני מידע נוסף.

האמנם רשימת שמות וכתובות דוא"ל צולחת את חמשת המבחנים הללו? לדעת הרשות, התשובה היא חיובית. יצרנו טבלה המסכמת בתמצית את עמדת הרשות, בעמודה הימנית, ואת סימני השאלה שלנו, בעמודה השמאלית.

 

עמדת הרשות

האמנם?

1.       

כתובת דוא"ל איננה "רק" דרך התקשרות. אפשר להסיק ממנה "מידע" על אדם. כך לדוגמה – advploni@lawyers.com מעידה על הכשרה מקצועית

almoni@gaycenter.com מעידה על צנעת אישות

DannyVeDinna@mail.com מעידה על מעמד אישי

rabbi.joe@nowhere.com מעידה על דעות ואמונות.

 

ההיגיון בנימוק זה חל גם על כתובות פיסיות ולא רק על כתובות דוא"ל. נדגים –

·         הכתובת של משרד עו"ד אור-חוף, מעידה על הכשרה מקצועית.

·         הכתובת של מרכז הלהט"ב, מעידה על צנעת אישות.

·         אינספור כתובות ב – 144 מעידות על מעמד אישי (כתובות משותפות לזוגות).

·         כתובת של בית הכנסת הראשי מעידה על דעות ואמונות.

 

בכל זאת, הרשות (כנראה) איננה חולקת על כך שרשימות קשר עם שמות וכתובות פיסיות בלבד אינן בגדר "מאגר מידע".

 

נרחיק עוד לכת – השם "משה כהן" מעיד על יהדותו של בעל השם; העובדה שאדם עונד טבעת נישואין מעידה על מעמדו האישי; כתובת המגורים מעידה על החתך הסוציואקונומי אליו משתייך אדם; ההשתתפות במצעד הגאווה מעידה (אולי) על נטיה מינית ובוודאי על דעותיו של המשתתף; לבושו של עו"ד מסגיר את הכשרתו המקצועית. היכן עובר הגבול?

 

"מידע" בחוק מוגדר כ"נתונים על אישיותו של אדם…" לא כ"נתונים המעידים על…". להבנתנו, לא כל פרט מידע המשתייך לאדם הוא בגדר "מידע".

 

ספק אם מידע מוסק (כזה שאיננו כלול בנתונים עצמם, אך אפשר להסיק אותו בהסתברות כלשהי) כלול בהגדרה הזו. גם אם כן, לא כל היסק אפשרי יהווה מידע. לדוגמה, העובדה שכתובת הדוא"ל של אדם היא תחת שם המתחם Lawyers.com איננה מעידה בהכרח שהוא עו"ד ובוודאי איננה מספקת נתונים על התארים וההסמכות שלו.

 

לדעתנו, זו עמדה מרחיקת לכת לטעון שרק אם לא ניתן להסיק מכתובות הדוא"ל דבר וחצי דבר, רק אז הן לא תיחשבנה כמאגר מידע. ספק רב אם זוהי תכלית החקיקה וזוהי בוודאי לא היתה כוונת המחוקק.

 

להבדיל מעמדת הרשות, לדעתנו המלה "רק" נועדה להדגיש בפשטות שאין נתונים נוספים, לא שאין מטרות נוספות לנתוני דרכי ההתקשרות. משמעות זו ניכרת היטב בדברי ההסבר לחוק:

"ואף מחשבים למטרות עסק, שאין בהם אלא מספר פרטים מוגבלים, שנועדו בעיקר [לא "רק" – ד.א.] לשמור על קשר עם לקוחות."

 

2.       

כתובת דוא"ל משמשת להזדהות בשירותים אינטרנטיים ומשמשת "מפתח" לגישה למידע נוסף על בעל הכתובת.

 

הפוטנציאל לגישה למידע נוסף איננו קריטריון בחוק כדי לקבוע אם אוסף נתונים הוא "מאגר מידע". ככלל, דרכי התקשרות הן בהגדרתן מפתח לקבלת מידע נוסף. הרי לכך נועדו – לתקשורת בין בני אדם.

 

יתר על כן, רשימת אנשי קשר כוללת כתובות דוא"ל, כדרך להתקשרות עם בעלי הכתובות. זו המטרה – שימוש בכתובת כדרך התקשרות. העובדה שבעל הכתובת משתמש בה גם לצרכים אחרים איננה מעלה או מורידה.

 

עוד ובנוסף, גם שם בלבד, ללא כתובת דוא"ל, משמש להזדהות בשירותים אינטרנטיים ויכול לשמש לגישה למידע נוסף על בעליו. בנוסף, יותר ויותר תהליכי רישום אינטרנטיים מחייבים מסירה גם של מספר הטלפון לצורכי אימות כפול בדרך של קבלת קישור במסרון. האם מהסיבה הזו גם רשימת שמות, או רשימת מספרי טלפון, ללא כל פרט נוסף, תהווה "מאגר מידע"?

 

3.       

תכלית החקיקה היא להגן על מידע על בני אדם ועל זכויותיהם. אם לא נראה ברשימת שמות וכתובות דוא"ל כ"מאגר מידע", לא נעניק הגנה על הנתונים הללו וכך נימצא חותרים תחת התכלית.

 

זו לטעמנו קביעה לא מדויקת. בנפרד מפרק ב' לחוק הגנת הפרטיות, העוסק במאגרי מידע, החוק מגן גם על "ידיעה על עניין פרטי של אדם" (ראו את סעיף 2(9) לחוק הגנת הפרטיות). שלוש הגנות לפחות קיימות לכתובות דוא"ל, אף אם אינן בגדר "מידע":

1.       סעיף 29א לחוק הגנת הפרטיות מאפשר לתבוע עד 100,000 ש"ח ללא צורך בהוכחת הנזק בגין שימוש בידיעה על עניין פרטי, שלא למטרה לשמה היא נמסרה.

2.       סעיף 17ז לחוק הגנת הפרטיות, המצביע בבירור ש"מידע" ו"ידיעה על עניין פרטי של אדם" אינם היינו הך, מחיל את ההוראות והמגבלות בעניין דיוור ישיר גם על ידיעה על עניין פרטי. ראו גם את סעיף 23א לחוק הגנת הפרטיות המבהיר אף הוא ש"מידע" ו"ידיעה על עניין פרטי" הם מושגים נפרדים.

3.       כתובות דוא"ל זוכות להגנה גם מכוח סעיף 30א לחוק התקשורת (חוק "דואר הזבל"). אף מכוח חוק זה אפשר לתבוע בגין שימוש בלתי מורשה בכתובות דוא"ל.

4.       

רשימות רבות מהסוג הזה יוצרות איפיון פוגע בפרטיות והן לא רק רשימות קשר (רשימת לקוחות של עורכי דין העוסקים בגירושין, רשימת לקוחות של פסיכיאטר).

 

מעניין שבשתי הדוגמאות שהרשות הציגה, בעלי הרשימות (עורכי דין ופסיכיאטרים) מחויבים לסודיות, אבטחה ודיסקרטיות ממילא, מכוח חובות אתיות החלות עליהם.

דווקא במקרים הללו, אין צורך אמיתי בהוספת חובות "מאגרי המידע".

מכל מקום, אלה דוגמאות בלבד. המהלך האינדוקטיבי שביצעה הרשות בגילוי דעתה (מספר דוגמאות שמהן יש לגזור את הכלל), הוא כלל לא הכרחי. בוודאי יש רשימות המוחזקות על ידי עסקים, שאינן יוצרות איפיון הפוגע בפרטיות.

לדוגמה, חברה המציעה להירשם לניוזלטר שלה באמצעות האתר ומבקשת אך ורק את שם הנרשם וכתובת הדוא"ל שלו.

5.       

עסק מחזיק כמעט תמיד נתונים נוספים (פרטי עסקאות, נתוני גביה וכיו"ב) ולכן לא מדובר רק בשם "שם, מען ודרכי התקשרות".

 

גם הטיעון הזה איננו יכול להצדיק את עמדת הרשות. אם יש נתונים נוספים, אזי אוסף הנתונים אכן דורש בחינה אם מדובר ב"מאגר מידע".

אולם, השאלה שעל הפרק נוגעת לרשימות קשר הכוללות שמות ודרכי התקשרות כדוגמת כתובות דוא"ל. כפי שהוצג לעיל, כאלה יש למכביר.

 

אין מדובר רק ברשימות אנשי הקשר בטלפונים. חברות רבות מציעות להצטרף לניוזלטר שלהן דרך אתר האינטרנט. בדרך כלל אין צורך ביותר משם וכתובת דוא"ל כדי להירשם. בנוסף, כמעט כל חברה מחזיקה ברשימת דיוור או תפוצה, הכוללת שמות ודרכים ליצור קשר כדוגמת כתובת, מספרי טלפון וכתובות דואר אלקטרוני.

בעל "מאגר מידע", צריך להגיש בקשה לרישום של המאגר אצל רשם מאגרי המידע במשרד המשפטים. בקשה כזו כוללת עשרות רבות של פרטים שיש למסור, כדוגמת מיהם מקורות המידע, מהם אופני איסוף המידע, למי נמסר המידע מהמאגר, על אילו מערכות תוכנה המאגר נשמר, האם מונה "מנהל מאגר", מה מקור הסמכות החוקית לאסוף את המידע וכך הלאה.

האם נדרש לרשום את אנשי הקשר בטלפון כמאגר מידע? האם נדרש לרשום את רשימת הקשר לניוזלטר כמאגר מידע? הרשות להגנת הפרטיות עונה על כך בחיוב. זו המסקנה המסתברת מגילוי הדעת החדש שלה.

רישום מאגר הוא רק אחת הדרישות מבעל מאגר מידע. על מאגר מידע חלות כל הוראות פרק ב' לחוק הגנת הפרטיות ואוסף של תקנות מכוחו, ובכלל זה גם חובות אבטחת מידע, פרסום מדיניות פרטיות, מימוש זכות העיון, תיקון מידע ומחיקתו, העברת מידע לחו"ל (כדוגמת שמירה בענן) ועוד. קביעה שהרשימות הנ"ל הן מאגרי מידע מחילות באופן אוטומטי את כלל החובות הללו.

פרק ב' לחוק הגנת הפרטיות אף מעניק לרשם מאגרי המידע (היום אצל הרשות להגנת הפרטיות) סמכויות אכיפה. אם רשימות שמות וכתובות דוא"ל אינן מאגר מידע, הרשם נעדר סמכות לגביהן.

האם זו הפרשנות הנכונה של החוק? אנו בספק

ההגדרות בחוק הגנת הפרטיות ל"מאגר מידע" ו"מידע" אינן אינטואיטיביות. ננסה לפשט אותן. כדי שרשימת שמות וכתובות דוא"ל תהווה מאגר מידע, היא צריכה להתגבר על חמישה מכשולים:

1.       הרשימה חייבת להיות ממוחשבת;

2.       היא משמשת למטרות עסקיות;

3.       היא לא "רשימת קשר" גרידא. הרשימה כוללת, או אפשר להסיק ממנה עוד מידע שיכול להיות פוגעני (כדוגמת רשימת קשר של מטופלי פסיכיאטר);

4.       הנתונים (שם וכתובת דוא"ל) כלולים באחת מהקטגוריות שבהגדרת "מידע", דהיינו: אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;

5.       מלבד הרשימה, יש בידי בעל רשימת הדיוור "אוסף" נתוני מידע נוסף.

האמנם רשימת שמות וכתובות דוא"ל צולחת את חמשת המבחנים הללו? לדעת הרשות, התשובה היא חיובית. יצרנו טבלה המסכמת בתמצית את עמדת הרשות, בעמודה הימנית, ואת סימני השאלה שלנו, בעמודה השמאלית.

הגיגים נוספים – מה חסר ומה לשפר?

כדברי כב' נשיא בית המשפט העליון בדימוס, מאיר שמגר, במאמר: מדיניות משפטית על סף המילניום הבא [משטרה וחברה, 2000, גיליון 4, ע' 3]:

"המשפט כמושג וכמסגרת החובקת כללים כמתואר, אינו יכול על כן לקיים ייעודו בהעדר התאמה שוטפת או תקופתית מעת לעת, של היקפו ושל תוכנו, לנתונים ולצרכים החדשים שנולדו. משמע, שינויי העתים יוצרים דרישות חדשות ומתחדשות המחייבות מדי פעם גם את מציאתם או המצאתם של פתרונות חדשים".

שירות הדואר הפיסי הופך לשירות לקבלת מוצרים הנרכשים באופן מקוון. פחות ופחות נעשה בו שימוש לצורכי משלוח דואר. את הדואר הפיסי החלפנו בממשקים דיגיטליים להחלפת מסרים כשדואר אלקטרוני הוא אחד הנפוצים שבהם.

אולם בעוד המעבר לדיגיטל דורש התאמה וקריאה נכונה של החוק, הוא איננו מנביע בהכרח נקיטה בגישה מחמירה. קביעת הרשות יוצרת לדעתנו מעמסה רגולטורית מיותרת על מחזיקי רשימות אנשי קשר, היכולה אף להביא לאבסורד (רישום הטלפונים כמאגרי מידע אצל רשם מאגרי המידע).

פרק ב' לחוק הגנת הפרטיות הוסף לחוק לאחר חקיקתו. פרק זה, העוסק במאגרי מידע הגדיר "מידע" כרשימת קטגוריות נתונים מסוימת והפריד בינה לבין "ידיעה על עניין אישי". בכך גילה המחוקק את דעתו שלא כל נתון על אדם הוא בהכרח "מידע" לצורך דיני מאגרי המידע. המחוקק הישראלי יצר הסדר אחר מזה הקיים בדין האירופי שאיננו מתייחס כלל למאגרי מידע, הן לפי הדין הקודם – דירקטיבת הגנת המידע והן לפי הקיים, ה – GDPR. להבדיל מגישת הרשות להגנת הפרטיות בגילוי דעתה, אין לגזור גזירה שווה בין הדינים.

גילוי הדעת של הרשות איננו תקנה בת פועל תחיקתי, דהיינו, הוא איננו בגדר הוראת חוק מחייבת. עם זאת, עמדת רגולטור היא תמיד חשובה. בהעדר נימוקים כבדי משקל, מוטב להתיישר עם עמדות מסוג זה. אולם נדמה שאת העמדה הנוכחית יש לקחת עם קורטוב של מלח. בכל הכבוד לרשות להגנת הפרטיות, אנו סבורים שגילוי הדעת שגוי.

 

וזאת לומר לסיום – במרבית המקרים, כתובות דוא"ל מהוות "ידיעה על עניין אישי של אדם" ויש להתייחס אליהן באופן הולם – לכבד את הדיסקרטיות בהן, לכבד את בעליהן ולהצדיק את האמון שנתנו בנו כשמסרו לנו אותן – לא רק בגלל ששימוש בלתי מורשה עלול להוליד תביעה על פגיעה בפרטיות, אלא בגלל שכך ראוי לנהוג. 

*הכותב הוא עו"ד ובעל משרד העוסק בדיני הגנת מידע, סייבר וטכנולוגיות, מרצה בתוכנית ללימודי הסייבר באוניברסיטת תל אביב (הגנת מידע בעידן הדיגיטלי), חבר המועצה הציבורית להגנת הפרטיות, יו"ר פורום KnowledgeNet לעוסקים בהגנת מידע וסייבר ובעל הסמכת Certified Information Privacy Professional בארצות הברית ובאיחוד האירופי.