האם שמות וכתובות אימייל מהווים מאגר מידע תחת חוק הגנת הפרטיות? (מיתר ליקוורניק גבע לשם טל ושות')
ביום 28.11.18 פרסמה הרשות להגנת הפרטיות במשרד המשפטים גילוי דעת בנושא תחולת חוק הגנת הפרטיות, התשמ"א 1981 ("החוק") על רשימות ממוחשבות המכילות שמות של אנשים לצד כתובות הדואר האלקטרוני שלהם.
בבסיס הסוגיה המשפטית עומדות ההגדרות הקבועות בחוק ל"מידע" ו"מאגר מידע".
כך, על פי הגדרות החוק, "מידע" פירושו "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו"; ו"מאגר מידע" פירושו "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט –
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;"
כך, לכאורה, על פי חריג מספר 2 בהגדרת מאגר מידע, ניתן לטעון כי כתובת דוא"ל מהווה רק "דרך התקשרות" ולפיכך ככל שבידי גוף מסוים מצויה רשימה של שמות וכתובות דואר אלקטרוניות (בכפוף לכך שלבעל המאגר לא קיים אוסף נוסף על כתובות הדוא"ל ושהרשימה עצמה אינה יוצרת "אפיון שיש בו פגיעה בפרטיות"), לא יהיה מדובר במאגר מידע לגביו חלות הוראות החוק.
אולם, על פי עמדת הרשות בגילוי הדעת, כתובת דוא"ל עשויה להוות "מידע" אשר יהווה יותר מ"רק" דרכי ההתקשרות, ובמקרים מסוימים אף להכיל מידע רגיש (לגביו תחול חובת רישום של מאגר המידע, ללא תלות במספר נשואי המידע שבמאגר). כך למשל, על פי עמדת הרשות, כתובת דוא"ל של אדם יכולה ללמד על הכשרתו של אדם (לדוגמא: @Lawyers), צנעתו האישית (לדוגמא: @gaycenter), על "מעמדו האישי" (ניתן ללמוד מכתובת דוא"ל משותפת לבני זוג) ועל דעותיו ואמונותיו (לדוגמא: Socialist@ או Rabbi.Joe@).
בנוסף, על פי עמדת הרשות, כיום, כתובת דוא"ל משמשת לשם הזדהות ברשות חברתיות ושירותים ומקוונים ועלולה לשמש כ"מפתח" לזיהוי אדם וקישור פרטיו.
משמעות גילוי הדעת של הרשות הינה למעשה, הרחבה של הגדרת "מידע" ובאופן ישיר, החלת החובות אשר חלות תחת דיני הגנת הפרטיות גם על רשימת כתובות דוא"ל. בכך נמשכת מגמת הרשות לעקוב אחר התקדימים באיחוד האירופי בתחום הפרטיות, אשר מגדירים כתובות דוא"ל כ"נתונים אישיים".
יחד עם זאת, לצד גילוי הדעת, ניתן לעלות טיעונים כנגד עמדת הרשות: ראשית, עמדתה של הרשות מהווה שינוי של החוק הקיים שלא במסגרת הליך חקיקה מסודר. כך, המחוקק, בהוספת החריג שבסיפא לחריג 2 כאמור, הביע את עמדתו וכוונתו לגבי באילו מקרים אוסף שמכיל רק שמות ודרכי התקשרות בכל זאת ייחשב כמאגר מידע תחת החוק, ופעולת הרשות כעת מהווה הרחבה דה פקטו של הוראות החוק.
בנוסף, אף לגופם של דברים, קיים מרחק משמעותי בין כתובת הדוא"ל ובין מה שניתן ללמוד ממנה. כך, האם באמת ניתן להגיד כי כל אדם אשר כתובת הדוא"ל שלו מסתיימת ב – @Lawyers הינו עורך דין (להבדיל לדוגמה ממזכיר/ה אשר עובדים במשרד עורכי דין)? האם כל כתובת דוא"ל שמסתיימת ב- @gaycenter מעידה על הנטיות המיניות של האדם? האם כל כתובת דוא"ל שנושאת שתי שמות בהכרח מעידה על יחסים זוגיים בין השניים? וניתן כמובן להרחיב בדוגמאות הללו.
אולם, עד שנושא זה יתגלגל לפתחו של בית המשפט ויוכרע על ידו (או עד שהסוגיה תובהר/תחודד במסגרת תיקון שיתבצע לחוק), גופים אשר מחזיקים רשימות כתובות דוא"ל אשר עד כה לא סווגו כ"מאגר מידע", נדרשים לבחון באם נדרשים צעדים כלשהם ביחס לרשימות אלו (לרבות לעניין רישום מאגרי מידע, והאופן בו מידע אישי נאסף, נשמר ונעשה שימוש במידע) על מנת לעמוד בדרישות החוק בכלל, ובדרישות תקנות הגנת הפרטיות (אבטחת מידע), אשר נכנסו לתוקף במאי 2018 בפרט.
משרד עורכי דין : מיתר ליקוורניק גבע לשם טל ושות'