גם כתובות דואר אלקטרוני הן מידע אישי לפי חוק הגנת הפרטיות
מאת: מערכת Telecom News, 28.11.18, 14:55
לידיעת כל הגורמים במשק ועסקים המחזיקים במידע אישי על אנשים: על פי גילוי הדעת מהיום של הרשות להגנת הפרטיות, אוסף של שמות וכתובות דואר אלקטרוני מהווה מאגר מידע לצורך נקיטת אמצעי הגנה.
הרשות להגנת הפרטיות פרסמה היום מסמך גילוי דעת בו מוצגת עמדתה, שבעידן הדיגיטלי ניתן להסיק מכתובות דואר אלקטרוני מידע אישי רגיש. כתובות הדואר האלקטרוני משמשות כמפתח להזדהות בשירותים דיגיטליים רבים ואינן "רק פרטי התקשרות".
הצורך במענה על הסוגיה עלה בעקבות שאלות רבות, שהגיעו אל הרשות, שביקשו להבין האם החובות, שחלות לגבי מאגרי מידע לפי חוק הגנת הפרטיות, חלות גם על רשימה ממוחשבת המכילה רק כתובות דואר אלקטרוני של אנשים לצד שמותיהם.
הסוגיה התעוררה משום שבמצבים מסוימים, סעיף 7 לחוק הגנת הפרטיות מחריג מאותן חובות אוסף נתונים המכיל "רק דרכי התקשרות" של אנשים.
גילוי הדעת, שפרסמה היום הרשות להגנת הפרטיות, מוסיף פרשנות לסעיף זה, לפיה אוסף של שמות וכתובות דואר אלקטרוני אינו נכנס לגדר אותו חריג ולכן מהווה מאגר מידע.
כתובת דואר אלקטרוני הפכה במרוצת השנים לשכיחה ולאמצעי נפוץ ליצירת קשר עם אנשים. נוכח כך, עסקים רבים במשק, קטנים וגדולים, מחזיקים כיום לצרכים עסקיים מידעהשכולל כתובות דואר אלקטרוני של אנשים.
לפי חוק הגנת הפרטיות על ארגונים ועסקים המחזיקים במידע אודות אנשים, למטרות עסקיות או ציבוריות, חלה החובה להגן עליו.
"מידע" על פי החוק הוא "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". על פי גילוי הדעת, ניתן ללמוד מכתובות דואר אלקטרוני מידע אישי כמו תחום עיסוק, מצב משפחתי, גיל ועוד ועל כן הן לא רק דרכי התקשרות.
זאת ועוד, כתובות דואר אלקטרוני משמשות היום רבים כאמצעי להזדהות ברשתות חברתיות ושירותים מקוונים רבים אחרים, ומכאן שהן עשויות לשמש גם "מפתח" המאפשר לזהות אדם בוודאות רבה ולקשר בין פרטי מידע שונים עליו המוחזקים במאגרים שונים. זה גם ההיגיון שבבסיס הפרשנות, שניתנה בדיני האיחוד האירופי לכתובת דואר אלקטרוני כ-"personal data".
הרשות להגנת הפרטיות מזכירה, שלפי חוק הגנת הפרטיות על כל גורם במשק, שמחזיק במידע אישי על אנשים, חלה חובה להגן עליו ולקבל את הסכמתם לשימוש בו, אלא אם השימוש נובע מהסמכה בחוק.
כ"כ, אסור להעבירו ללא הסכמה לגורמים נוספים ולא ניתן להשתמש בו למטרה אחרת ויש להבטיח, שרמת אבטחת המידע תהיה בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).