פרטיות, אבטחת מידע וסייבר

 לשאלות בתחום, אנא צרו קשר עם עו"ד דלית בן-ישראל, שותפה, ראש תחום IT ופרטיות במשרדנו - dbenisrael@nblaw.com

חידוש מעקבי השב"כ אושר בכנסת באופן זמני עד 22.7.20- עדכון מיום 1.7.20

לאור הגידול בהיקף התחלואה בנגיף הקורונה והעובדה שהסרת המגבלות הגדילה באופן משמעותי את מספר המגעים האפשריים של מי שיאובחן כחולה בעתיד, והעדר חלופה אזרחית ראויה בעת הזו, החליטה הממשלה ביום 24.6.20 לחזור ולהניח על שולחן הכנסת את הצעת החוק לסיוע השב"כ בהתפשטות המגפה, שבעבר הוחלט בממשלה שלא לקדמה. בהליך מהיר, אישרה הכנסת בו ביום בקריאה ראשונה את הצעת חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה) התש"ף-2020 ("הצעת החוק"), וזו הועברה לדיון בועדת החוץ והביטחון לשם הכנתה לקריאה שנייה ושלישית.

ועדת החוץ והבטחון של הכנסת, אישרה ביום 30.6.20, ברוב קולות, את הצעת החוק לקריאות שניה ושלישית כהסדר זמני, למשך שלושה שבועות בלבד (עד ליום 22.07.20). ההסדר הזמני פוצל מהסדר כולל שלפיו הוצע לאפשר לממשלה להכריז על הסמכת השב"כ לתקופה של שלושה חודשים, ולאחר מכן להאריכה בעוד שלושה חודשים, וההסדר הכולל ידון בוועדה במהלך שלושת השבועות הקרובים מתוך כוונה להסדיר חקיקה ראשית בנושא. פיצול הצעת החוק קיבל לאחר מכן גם את אישור מליאת הכנסת.


ביום 1.7.20 אישרה הכנסת את החוק בקריאה שניה ושלישית (ס"ח 2816).
 
הצעת החוק מסמיכה את שב"כ לסייע במהלך תקופה זו במקרים פרטניים וייחודיים בהם לא ניתן להשלים את החקירה האפידמיולוגית בשיטות אחרות או ביום בו היו יותר מ-200 חולים ביום שקדם לו. ראש הממשלה רשאי (לאחר המלצת ועדת השרים) לבקש את אישור ועדת החוץ והביטחון להוסיף נסיבות חריגות נוספות בהן יהיה השב"כ מוסמך לסייע. אם לא יימצא הצורך בהמשך ההסתייעות תבטל הממשלה את הסמכה, כאשר גם הכנסת רשאית לבטל את הסמכת השב"כ בנושא.

 
לנוסח ההודעה של ועדת חוץ ובטחון ראו בקישור


שאר עיקרי הצעת החוק פורטו בעדכון שפרסמנו באתר זה ביום 20.5.20, ונמצאים בהמשך כותר זה.
 

הגנה על מידע של לקוחות ומבקרים הנאסף במסגרת המגיפה 

אנו מזכירים כי לאור פתיחת המשק והחובות החלות על בעלי העסקים לקיום הנחיות "התו הסגול" אוספים בתי עסק ומקומות עבודה מידע אישי רגיש על מבקרים ולקוחות. בהמשך כותר זה נכללות הנחיות של רשות הגנת הפרטיות בישראל בנושא שפורסמו בעבר. מצאנו לנכון להביא בפניכם גם תמצית הנחיות שפורסמו לאחרונה על ידי רשות הפרטיות הבריטית (ICO) הישימות במידה שווה גם בישראל. ההנחיות מבוססות על 5 עקרונות: 


(1)    יש לאסוף ולשאול רק את המידע הספציפי הנדרש לפי חקיקת הקורונה. אסור לבקש מסמכי זיהוי או מספר זהות, למעט אם הדבר נדרש ממילא לפי הנוהלים במקום (כגון וידוא גיל בבר המוכר אלכוהול או מתקן בטחוני המחייב מסירת ת.ז. כתנאי לכניסה למתקן).  
(2)    עקרון השקיפות - יש ליידע את נשואי המידע מדוע המידע נדרש ומה עושים עם המידע שלהם. ניתן לעשות זאת על ידי פרסום מודעה במקום העסק או הודעה באתר האינטרנט או בע"פ.
(3)    יש לשמור את המידע באופן מאובטח.
(4)    אין להשתמש במידע למטרות אחרות. אסור להשתמש במידע למטרת איתור מגעים או שיווק ישיר או ניתוח אנליטי.
(5)    יש למחוק את המידע בתום התקופה המותרת לפי החיקוק הרלבנטי. יצויין שבישראל - רשות הגנת הפרטיות פרסמה הנחיות ביחס למשך שמירת המידע ומחיקתו.

עדכון לגבי אפליקציות לניטור חולי קורונה – עדכון מיום 26.5.20

בהמשך לשיח הציבורי בעניין בחינת חלופות לניטור חולי קורונה, פרסמה הרשות להגנת הפרטיות סקירה מקצועית במסגרתה הוצגו החלופות הטכנולוגיות ומדרג מודלים אפשריים בהיבטי פרטיות לניטור דיגיטלי, לרבות שיטות טכנולוגיות שונות הנוהגות במדינות שונות בעולם. 


למסמך המלא

לשם העמקת בחינת החלופות כאמור פרסמה הרשות קול קורא ובו הזמנה לציבור להגיש הצעות/עמדות ביחס לחלופות אלטרנטיביות לניטור לשם צמצום התפשטות נגיף הקורונה במקום הסתייעות בשב"כ לאיסוף מידע טכנולוגי
 

תזכיר חוק הסמכת השב"כ לאיסוף מידע טכנולוגי לסיוע במאבק בקורונה – עדכון מיום 20.5.20

ביום 20.5.20 פורסם תזכיר חוק הסכמת שירות הבטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה), תש"פ-2020 ("התזכיר"), שבהתאם להחלטת בג"צ, נועד להחליף את ההסדר הקיים בדבר איסוף מידע טכנולוגי על ידי השב"כ באמצעות הסמכה של הממשלה מכח חוק השב"כ. להלן עיקרי התזכיר:

 

  • תנאי להפעלת השב"כ הינו הכרזה של הממשלה כי קיים צורך מיידי וממשי בהסתייעות בשב"כ לפי החוק המוצע בשל חשש ממשי להתפשטות רחבת היקף של המחלה ובהעדר חלופה מתאימה, על בסיס המלצה של צוות שרים ייעודי שימונה לבחינת הנושא. ההכרזה תונח על שולחנה של ועדת החוץ והבטחון של הכנסת. מוצע לקבוע כי יראו ביום תחילתו של החוק כאילו ניתנה הכרזה כאמור על ידי הממשלה, לאור חוות הדעת של משרד הבריאות כי הסרת המגבלות על הציבור, המגדילה באופן משמעותי את מספר המגעים האפשריים של מי שיאובחן בהמשך כחולה, מחייבת איתור מהיר של הנדרשים לשהות בבידוד. אולם, על הממשלה לבטל את ההכרזה כאשר נסיבות אלה לא תתקיימנה עוד. לאחר ביטול ההכרזה, תהיה הממשלה רשאית לשוב ולחדשה, ככל שיהיו נסיבות שיצדיקו זאת.

  • תכלית ההסמכה הינה לאיתור מגעים קרובים של חולה מאומת בלבד. 

  • בתזכיר יש הגדרה מצמצמת של סוגי המידע שהשב"כ רשאי לאסוף ושמשרד הבריאות רשאי לקבל, לגבי כל אחד מבין אדם חולה ומגע קרוב.

  • התזכיר קובע סייגים ומגבלות לשמירה, העברה ושימוש במידע לפי החוק, על מנת לצמצם את הפגיעה בפרטיות, ובפרט כי העיבוד על ידי השב"כ וההעברה למשרד הבריאות יבוצעו ככל הניתן באופן ממוכן. 

  • פרטי הפניה לבקשת הסיוע והמידע שימסר למשרד הבריאות, ישמרו בשב"כ על מחשביו בלבד, בנפרד מכל מידע אחר המצוי ברשותו, וזאת לתקופה של 14 יום ממועד העברת המידע למשרד הבריאות ואז ימחקו. נקבעו הוראות ביחס לאופן שמירת המידע במשרד הבריאות להבטחת סודיות וחסיון המידע, וכן חובת מחיקה בחלוף 60 יום מתום תוקפו של החוק (זמן שנועד לצורך תחקור פנימי). 

  • הודעה לאדם שהיה במגע עם חולה לא תכלול פרטים מזהים על החולה. 

  • דברי ההסבר מבהירים כי המידע הטכנולוגי שהשב"כ יעבד במסגרת הסיוע למשרד הבריאות הינו מידע המצוי בידו לפי כל דין ולא מידע נוסף או אחר. 

  • הממשלה תמנה צוות שרים לבחינת חלופות להפעלת השב"כ ולבחינה באופן רציף של הצורך בהמשך ההסתייעות בשב"כ, אשר ידווח לממשלה אחת לחודש. בפני הצוות תונח חוות דעת של הרשות להגנת הפרטיות.

  • נקבעו חובות דיווח עיתי ובלוחות זמנים קצרים הן לוועדת הכנסת לענייני השירות והלן ליועמ"ש לממשלה. 

  • מוצע לקבוע כי שימוש במידע שלא לתכלית הקבוע בחוק, מהווה עבירה פלילית הנושאת עונש של 3 שנות מאסר. 

  • מוצע כי החוק יחוקק כהוראת שעה למשך תקופה של 3 חודשים, אשר ניתנת להארכה על ידי הכנסת לבקשת הממשלה, לתקופה של 3 חודשים נוספים. 

  • שאר התנאים בתזכיר דומים במהותם לקיים בהסכמת השב"כ שבה נעשה שימוש עד היום.

עדכון ביחס להצהרת בריאות ושאלון תסמינים בכניסה למקומות עבודה ובתי עסק – עדכון מיום 14.5.20

רשות הגנת הפרטיות פרסמה ביום 14.5.20 עדכון לפיו, בהתאם להוראות הדין המעודכנות, לא חלה יותר על מעסיקים החובה לדרוש מעובדיהם, או מאנשים אחרים הנכנסים למקום העבודה, למלא טופס הצהרה בדבר מצבם הבריאותי, הכולל פרטים אישיים. 


לאור האמור:


1.    לקוחות, ספקים ומבקרים - חל איסור על איסוף ושמירת מידע אישי על אודות לקוחות וספקים, לרבות לצורך מילוי חובת תשאול הנכנסים למקום. עסקים וארגונים שכבר החלו לאסוף ולשמור מידע כאמור, נדרשים להיערך להפסיק את הפרקטיקה הזו בהקדם. כלומר – תשאול יכול להיות רק בעל פה וללא חתימה על טפסים או תיעוד מדידת חום.


2.    ביחס לתשאול של עובדים, מעסיק רשאי לבקש הסכמה של עובדיו להשיב על התשאול בכתב או באמצעות מערכת מקוונת. לגבי מערכת מקוונת רק, בכפוף לתנאים שלהלן: (א) המערכת תשמור מידע אישי למשך הזמן הקצר החיוני למניעת כניסת עובדים אשר ענו בחיוב על שאלות התשאול. בכל מקרה, לא ישמר המידע מעבר לשעות ספורות. (ב) מעבר לפרק הזמן הקצר כאמור בסעיף א' לעיל, למעביד לא תהיה כל גישה למידע, והוא לא יעשה בו כל שימוש אחר
 

פרטיות תלמידים במסגרת כניסה למוסדות חינוך – עדכון יום 7.5.20

לאור החזרה ההדרגתית של ילדים למוסדות החינוך, הורים לילדים השבים למוסדות החינוך נדרשים, מכח סעיף 2(ב)(3) לצו בריאות העם (נגיף הקורונה החדש) (הגבלת פעילות מוסדות חינוך) (הוראת שעה), תש"ף-2020 ("הצו"), לחתום על הצהרת בריאות יומית בדבר העדר תסמיני קורונה, דוגמת הנוסח הקיים למקומות עבודה. משרד החינוך פרסם הנחיות בעקבות הצו, המחייבות לכלול בהצהרת הבריאות גם את גיל הילד, הכיתה בה הוא לומד ופרטי קשר של הוריו (ניתן לשלוח גם הצהרה מקוונת באמצעות תוכנות הניהול של המוסד החינוכי). בהנחיות משרד החינוך נקבע כי טפסי הצהרות הבריאות יאספו ויתוייקו לצורך תיעוד על ידי מנהל בית הספר וכי ינוהל רישום יומי של שעת הגעה ויציאה של כל תלמיד שיתוייק בתיק בית הספר.

רשות הגנת הפרטיות פרסמה מסמך המפרט את הכללים המרכזיים לגבי מידע בריאותי ביחס לילדים הנדרש כתנאי לכניסת תלמידים למוסדות חינוך. המסמך קובע כי לילדים בישראל קיימת זכות לפרטיות מכח מספר מקורות (חוק הגנת הפרטיות, חוק יסוד: כבוד האדם וחירותו, אמנת האו"ם בדבר זכויות הילד, חוק זכויות התלמיד, תשס"א-2000). במסמך נקבע כי על מוסדות החינוך להימנע מאיסוף מידע בריאותי על התלמיד או בני משפחתו מעבר לנדרש בצו או בהנחיות משרד החינוך, והתניית כניסה למוסד בהסכמה למסירת מידע נוסף אינה מהווה הסכמה תקינה על פי הדין. על ההורים אין חובה לדווח מידת חום מדוייקת של הילד, אלא רק אם היא מתחת ל-38 מעלות. על המוסדות להימנע משימוש במידע למטרות נוספות מעבר לבחינת אפשרות הכנסת התלמיד למוסד החינוך. אין להעביר את המידע שנאסף לצד שלישי שאינו רשאי לקבלו על פי דין ובתוך המוסד החינוכי יש להימנע מחשיפת המידע לתלמידים אחרים או עובדים שהמידע אינו דרוש להם לביצוע תפקידם. על מוסדות החינוך להימנע משימוש בטכנולוגיות האוספות מידע אישי מזוהה או בר זיהוי שלא אושרו על ידי משרד החינוך או העוקבות אחר התלמידים הנכנסים למוסדות החינוך, כגון מערכות ביומטריות או מערכות זיהוי פנים, אשר עשויות לפגוע באופן קשה בפרטיות התלמידים. שימוש כזה חייב להיעשות לאחר הליך בחינה מסודר ובכלל זה ביצוע תסקיר פגיעה בפרטיות ובחינת חלופות פחות פוגעניות. על מוסדות החינוך לבחון את הצורך בהמשך שמירת המידע שנאסף, בהתאם לתקנות אבטחת המידע.

המסמך המלא בקישור. 

רשות הגנת הפרטיות מפרסמת הנחיות לגבי פרטיות בכניסה למקומות עבודה ומקומות מסחר במסגרת התמודדות עם נגיף הקורונה - עדכון מיום 1.5.20

לקראת חזרה הדרגתית של המשק לתנאי שגרה מפרסמת הרשות להגנת הפרטיות כללים מרכזיים בנושאי שמירה על הפרטיות בהקשר של הבדיקות המבוצעות בכניסה למקומות עבודה ולמקומות מסחר, בעיקר ביחס למי שאינם עובדים אלא נותני שירותים ולקוחות. הרשות מבהירה כי על גופים הנדרשים לפי תקנות שעת חירום לערוך בדיקות ותשאולים לאנשים הנכנסים לבית העסק להימנע מאיסוף מידע מעבר לנדרש בתקנות ולהימנע, ככל הניתן, מהצגת שאלות נוספות בהיבטי בריאות מעבר למתחייב מהתקנות ובפרט לבקש פרטי זיהוי. ככל שנחשף מידע אישי העלול להביא לזיהוי אדם במסגרת הליך התשאול, על מקומות העבודה והמסחר שלא לאסוף אותו. ככל שנאסף מידע כזה ברגיל כגון על ידי מצלמות אבטחה, אסור להשתמש בו לצרכים שונים, מומלץ למחקו תוך ימים ספורים ואין להעבירו לגורמים נוספים. על הגופים להשתמש במידע אך ורק לצורך מניעת כניסה של מי שעשויים להחשב כבעלי פוטנציאל להדבקה וסיכון. כל שימוש אחר במידע עשוי להחשב כפגיעה בפרטיות. מומלץ למקומות עבודה ומסחר להימנע משמירת המידע הנקלט במסגרת שימוש באמצעים טכנולוגיים למדידת חום אלא לבצע המדידה "בזמן אמת" בלבד, במיוחד כאשר ניתן לזהות את נשוא המידע. ככל שניתן לשמור המידע באופן חריג לאור מצב החירום, יש למחקו תוך ימים בודדים. עמדת הרשות הינה כי, הגם שניתן על פי הדין לעבד מידע אישי בהסכמה מדעת של נשוא המידע, על מקומות עבודה ומסחר להימנע מלבקש הסכמה מאנשים לאיסוף ושימוש במידע במסגרת בדיקת הנכנסים לבתי העסק מעבר לקבוע בתקנות ולמפורט במסמך ההנחיות של הרשות, זאת לאור פערי הכוחות בין הצדדים.

בנוסף, פנתה הרשות להגנת הפרטיות למשרד האוצר בבקשה כי "התו הסגול" יותאם לתקנות לשעת חירום בהיבטי פרטיות וימנע שמירת מידע עודף על עובדים ולקוחות.

רשות הגנת הפרטיות מוסיפה הבהרה למסמך ההנחיות בכניסה למקומות עבודה ומסחר – עדכון מיום 8.5.20

הרשות מדגישה כי בהתאם להוראות הדין המעודכנות ליום 8.5.20, על מעסיקים לא חלה החובה לדרוש מעובדיהם, או מאנשים אחרים הנכנסים למקום העבודה כגון לקוחות, למלא טופס הצהרה בדבר מצבם הבריאותי עם כניסתם לשטח מקום העבודה ובית העסק, ובוודאי לא כזה המחייב ציון פרטים אישיים. לפיכך, עמדת הרשות היא כי דרישת מעסיקים ובעלי עסקים למלא טופס שכזה עשויה להיחשב כפגיעה בפרטיותם של לקוחות ועובדים.

למסמך המלא

רשות הגנת הפרטיות מפרסמת מסמך שאלות ותשובות מעודכן בעקבות התפשטות נגיף הקורונה –עדכון מיום 7.4.20

ביום 7.4.20 עדכנה רשות הגנת הפרטיות את מסמך השאלות ותשובות שפורסם ביום 23.3.20. רשות הגנת הפרטיות מבהירה כי החוקים והתקנות העוסקים בהגנה על הפרטיות אינם עומדים בדרכם של שירותי הבריאות וגופים נוספים במאבק נגד התפשטות נגיף הקורונה, אך עם זאת, יש לקחת בחשבון שיקולים חשובים בעת הטיפול במידע האישי בהקשרים אלה ולבצע את האיזונים הנדרשים. הרשות מזכירה כי הזכות לפרטיות אינה מוחלטת ולרשויות יש יכולת לפגוע בפרטיות הציבור מתוקף הסכמה מפורשת בדין, לתכלית ראויה ובמידה שלא עולה על הנדרש. בעת מצב חירום אשר מנוע את האפשרות להסדיר את השימוש במידע באופן חוקי, כדוגמת הקבלת הסכמה מנשוא המידע או הסמכה בחיקוק, ניתן להסתמך על ההגנות בגין פגיעה בפרטיות שבסעיף 18 לחוק הגנת הפרטיות – חובה חוקית, מוסרית, חברתית או מקצועית ועניין ציבורי. הגנות אלה ניתן להפעיל בדיעבד ולא מלכתחילה, ורק כל עוד שוררת שעת החירום. עם זאת, עמדת הרשות להגנת הפרטיות היא כי גם במצבי חירום, כאשר קיימת הצדקה לכאורה לפגיעה בפרטיות, יש להקפיד לפעול בהתאם לעקרונות ההגנה על פרטיות, ועל כך שהפגיעה הנגרמת אינה חורגת מהנדרש בנסיבות העניין. עקרון מרכזי הוא שימוש במידע אך ורק למטרה שלשמה נאסף (כגון מניעת התפשטות הנגיף, חקירה אפידמיולוגית, הבטחת שלומם של עובדים בסיכון, ועוד) ולא לבצע שימוש נוסף במידע ללא הסכמת נשוא המידע. לאחר סיום תהליך האיסוף יש לבחון את הצורך בהמשך החזקת המידע, ובנסיבות בהן אין בו יותר צורך, מומלץ להביא למחיקתו, בפרקי הזמן הקצרים ביותר האפשריים (אף פחות ממחיקת מידע עודף אחת לשנה לפי תקנה 2(ג) לתקנות אבטחת המידע). 

בהמשך הפרסום, מפרטת הרשות רשימה של שאלות ותשובות פרטניות, שחלקן כבר כיסינו באתר זה בעבר, ומפורטות מטה, עם התוספת שהתווספו לאור מסמך הרשות. בנוסף מתייחסת הרשות גם להיבטי הגנה על מידע אישי של עובדים, סטודנטים ותלמידים בעבודה מרחוק, לאור המצב שנוצר.

 

הרשות להגנת הפרטיות הודיעה כי למרות המצב היא ממשיכה לפעול בהתאם לסמכויות המוקנות לה על-פי החוק, לרבות בתחום האכיפה, שכן גם במיוחד במצב חירום קיימת חשיבות להגנה על הזכות לפרטיות, תוך שהרשות מודעת לכך שהמדינה פועלת במתכונת של מצב חירום וגופים פועלים עם כח אדם מצומצם. עוד הודיעה הרשות כי אין שינוי במועדים בהם נדרש לעמוד מכח חוק הגנת הפרטיות, לרבות דיווח על אירוע אבטחת מידע חמור. אולם, ככל שמתעוררות נסיבות מיוחדות המצדיקות דחיית מועד, יש לפנות בפניה פרטנית לרשות.

קישור למסמך המעודכן.

"קו חם" של הרשות להגנת הפרטיות – עדכון מיום 22.3.20

הרשות להגנת הפרטיות הודיעה ביום 22.3.20 כי הקימה "קו חם" לסיוע במתן פתרונות פרקטיים ומהירים בתחומי פרטיות, וצוות הרשות זמין בכל עת למתן פתרונות בנושאי פרטיות ועיצוב פתרונות תומכי פרטיות בכל נושא הרלוונטי לפעילות החירום בעת הזו. הרשות מדגישה כי פתרונות ישימים אלה יינתנו על ידי הרשות בלוחות זמנים קצרים ביותר כמתבקש בנסיבות. ניתן לעמוד עם הרשות בקשר דרך עמוד הפייסבוק של הרשות להגנת הפרטיות או במייל: ppa@justice.gov.il.

שאלות ותשובות נבחרות מתפרסמות באתר הרשות

כללים לגבי שימוש במצלמות במחלקות קורונה בבתי חולים

ביום 6.4.20 פרסמה הלשכה המשפטית של משרד הבריאות הנחיות לבתי החולים לגבי שימוש במצלמות במחלקות הקורונה בבתי החולים, אשר נועדו לאפשר, בגלל הצורך בצמצום מגע עם החולים, את השימוש במצלמות תוך שמירה על פרטיותם וכבודם של החולים. בנוהל נקבע כי המצלמות יופעלו רק במחלקות בבתי חולים בהם מאושפזים חולים בנגיף הקורונה. יש לקבל החלטה על הצורך במצלמה באופן פרטני ביחס לכל חולה או קבוצת חולים במצב דומה, וככל הניתן למקם את המצלמות ביחס לכל חולה באופן פרטני וכן שבכל חדר יהיה חלק שלא יצולם. להבדיל ממטופלים בטיפול נמרץ, לגבי מטופלים במצב קל יש להפעיל שיקול דעת פרטני אם יש סיבה מיוחדת לצילום לצורך השגחה עליהם. המצלמות יותקנו בחדרי המאושפזים בלבד ולא במרחב הציבורי או במרחב הפרטי. נדרש שילוט לגבי המצלמות ויידוע העובדים והחולים על קיומן. הצילום יעשה בהסכמת המטופל או אם לא התנגד לכך לאחר שקיבל הסברים. מטופל רשאי לבקש להפסיק את הצילום, והבקשה תבוצע אלא אם קיים סיכון בלתי סביר לחולים אחרים או לצוות ובתנאי שיש דרך חלופית להשגיח עליו, ואם אין כזו ויש צורך בהשגחה על המטופל (על פי החלטת מנהל מחלקה ובאישור היועץ המשפטי של בתי החולים) – ימשך הצילום לזמן המינימלי הנדרש. הצילום לא יכלול הקלטה. הצפיה תעשה רק ככל שנדרש ובשטח בית החולים (ללא גישה מרחוק). יש לאפשר למטופל הפסקה זמנית של הצילום. הצילום לא ישמש לכל מטרה אחרת מלבד השגחה על המטופל ותקשורת עימו.

האם ניתן לבקש מהעובדים והמבקרים בבית עסק למסור מידע ביחס לנסיעות שביצעו לאחרונה למדינות בחו"ל ומידע רפואי כגון הופעת תסמינים, חום וכדומה?

לאור חובתו של המעסיק לדאוג לבריאותם של עובדיו במקום העבודה ולקיים תנאי בטיחות וגיהות במקום העבודה, רשאי המעסיק לשאול עובדים ומבקרים האם שבו מחו"ל ומאיזו מדינה או אם הם מגלים תסמינים למחלה. אולם, יש להקפיד על תשאול של מידע מינימלי הנדרש לצורך ההגנה על שאר העובדים והמבקרים במקום, ולא לשאול בפירוט על התסמינים או מידע נוסף שאינו חיוני למטרה זו.

ביום 31.3.2020 פורסם תיקון לתקנות שעת חירום (נגיף הקורונה החדש - הגבלת פעילות), התש"ף - 2020 ("תקנות הגבלת פעילות"), לפיו חלה חובה לתשאל כל מי שנכנס  למקום העבודה: (1) האם אתה משתעל; (2) האם חום גופך 38 מעלות ומעלה או שהיה לך חום כאמור בשבוע האחרון; (3) האם היית במגע קרוב עם חולה קורונה בשבועיים האחרונים ("שאלון התסמינים"). מעבר לשלושת הפרטים כמפורט בתקנות הגבלת הפעילות, אסור לדרוש מעובדים פרטים נוספים. ביום 19.4.20 התפרסם תיקון לתקנות שעת חירום (הגבלת מספר העובדים במקום עבודה בשל התפרצות נגיף הקורונה החדש), התש"ף-2020 ("תקנות הגבלת עבודה") שתוקפו עד ליום 30.4.20, המאפשר למקום עבודה להעלות את מספר העובדים המירבי ללא תקרה, בתנאי שיתקיימו מספר תנאים, ביניהם: (1) שאלון התסמינים; (2) תבוצע מדידת חום באמצעי לא פולשני בכניסה למקום העבודה.

שאלון התסמינים של העובדים מכיל מידע רגיש ועל כן על המעסיק לקיים ביחס אליו את הוראות חוק הגנת הפרטיות לגבי איסוף ושימוש במידע, לרבות שימוש במידע רק למטרה לשמה נמסר, אבטחת המידע ומתן זכות עיון לעובדים. יובהר כי התקנות מטילות את חובת מילוי שאלון התסמינים על עובדים בלבד, אולם רשות הפרטיות קובעת כי לאור מצב החירום ועל מנת למנוע הדבקה של עובדים ואנשים השוהים במשרדי החברה, בקשה שגם מבקרים ימלאו הצהרת בריאות היא לגיטימית, תוך הבהרה כי לא קיימת חובה למסור את המידע. במקרה כזה, יש לאסוף מידע מצומצם ככל האפשר ולמחקו תוך זמן סביר. אין הצדקה לדרוש ממבקרים ועובדים למלא שאלון רפואי מפורט לעניין זה, אלא אם קיים צורך מיוחד (כגון אוכלוסיה פגיעה במיוחד, לדוגמה בית אבות) ואין לדרוש הצהרת בריאות חתומה כתנאי לכניסה למשרדים.

 

חלק מרשויות הפרטיוּת באירופה (צרפת, דנמרק, אירלנד, לוקסמבורג, פינלנד, ספרד) פרסמו הנחיות מפורטות בעניין הגנת הפרטיות של המידע האישי בקשר עם נגיף הקורונה. הרשות הצרפתית קבעה במפורש כי על המעסיקים להמנע מאיסוף שיטתי וכוללני של מידע רפואי, ובכלל זה חיוב מדידת חום מכל עובד ומבקר על בסיס יומי. 

 

יודגש כי השימוש במידע יתאפשר רק למטרה שעבורה נאסף, כגון מניעת התפשטות הנגיף, הגנה על שאר העובדים והמבקרים וכו', ולא ניתן יהיה לעשות שימוש במידע זה למטרה אחרת. עוד יובהר כי רשות הגנת הפרטיות הודיעה כי יש לבחון אפשרות מחיקת המידע במועד המוקדם ביותר שבו המידע אינו נדרש עוד למטרה שלשמה נאסף.

האם רשאי מעביד למדוד לעובד חום או לבדוק אותו?

עד לפרסום תקנות שעת חירום הרלבנטיות, הדעה הרווחת היתה כי זהו צעד פוגעני מבחינת פרטיות העובדים, ודומה כי ניתן להגיע לאותה תוצאה של הרחקת עובדים שקיים חשש כי הם חולים ממקום העבודה באמצעות חיוב העובד למדוד בעצמו את החום ולהודיע אם אינו חש בטוב. יצויין כי רשות הגנת הפרטיות בישראל לא נתנה דעתה במפורש לנושא זה במסגרת המסמך שפרסמה ביום 23.3.20 לגבי היבטי פרטיות בעקבות נגיף הקורונה, אולם השאלה התייתרה לאחר שהחובה נקבעה בתקנות (פירוט להלן). מאידך, רשות הפרטיות הצרפתית קבעה במפורש כי על המעסיקים להימנע מאיסוף שיטתי וכוללני של מידע רפואי, ובכלל זה חיוב מדידת חום מכל עובד ומבקר על בסיס יומי. 

במסגרת השינויים התכופים לתקנות שעת החירום המתפרסמים בתקופה האחרונה, תחילה פורסמו תקנות הגבלת הפעילות אשר חייבו כל מעסיק לבדוק חום בכניסה למקום העבודה באמצעי לא פולשני. לאחר מכן הוחלפה הדרישה  בכך שהעובד ימדוד את חומו בביתו לפני צאתו לעבודה ויחתום על הצהרה מתאימה בנוסח שפורסם (שבה נדרש להצהיר גם על העדר שיעול וקשיי נשימה). לאחר מכן, שוב תוקנו תקנות הגבלת הפעילות וכעת הדרישה היא כי המעסיק יבצע מדידת חום באמצעי שאינו פולשני לנכנסים למקום (הן עובדים והן מבקרים). יצויין בהקשר זה כי על המעסיקים להימנע ככל הניתן משמירת המידע בדבר חום גופם של העובדים, ולשמור רק מידע רלבנטי ביחס לעובד שחומו עלה על 38 מעלות ונשלח לביתו. יש להקפיד על מניעת הגישה למידע למי שאינו נדרש לכך ומחיקת המידע בהקדם האפשרי.

רשות הגנת הפרטיות הבהירה כי את הצהרות הבריאות של העובדים, וניתן להבין כי הכוונה גם לשאלון התסמינים, ניתן לשמור לכל היותר למשך תוקפן של תקנות שעת החירום הרלבנטיות או עד סוף מצב החירום, לפי המוקדם.

מה רמת האבטחה שיש להחיל ביחס למידע על עובדים חולים או נגועים?

מידע לפיו אדם חזר מאזור מסויים או נמצא בבידוד, יהווה מידע אישי אך לא מידע רפואי. מידע אישי שמעסיק אוסף בקשר עם הדבקות בנגיף הוא מידע רפואי רגיש, אשר מסווג ברמת אבטחה בינונית, לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

 

לפי קביעת רשות הפרטיות, במקרים מסויימים תחול על המאגר אף רמת האבטחה הגבוהה, דהיינו אם יש במאגר מעל 100,000 עובדים או אם לאור המצב מספר מורשי הגישה למאגר הינו 100 ומעלה.

יצויין כי רשות הגנת הפרטיות בישראל הבהירה כי הגם שמצב החירום מחייב את הגופים השונים לפעול במהירות, אין במצב החירום כדי להצדיק אי עמידה בהוראות הדין הרלבנטיות לעניין אבטחת מידע.

כיצד מאזנים במקום העבודה בין חובת הפרטיות כלפי עובד בבידוד בית או החולה בנגיף לבין הצורך למנוע התפשטות המחלה?

כאשר העובד מצוי בבידוד מבלי שאובחן כנשא או חולה, רשאי המעסיק לגלות לשאר העובדים מידע נדרש בלבד וככל הניתן לא ספציפי ומפורט. על פי העקרון האמור, מותר לגלות מידע על העובד, כגון: שב ממדינה ברשימת המדינות המחייבות בידוד בית של 14 יום; נמצא בבידוד בית (ללא ציון הסיבה כאשר הבידוד נובע מטעם של המצאות במקום כלשהו בישראל שבו היה חולה מאובחן); נעדר עקב בידוד של בן משפחה; וכדומה. 

כאשר קיים חשש כי עובד נדבק בנגיף, רשאי המעביד לגלות לשאר העובדים רק את המידע הרלבנטי המינימלי הנדרש בנסיבות כדי ליידע אותם בדבר היותו של העובד חולה או נשא, אך יש לשקול את רמת הפירוט, ובפרט, להמנע ככל הניתן מחשיפת שם העובד ומידע אישי ופרטי אודות העובד. בין היתר, יש לשקול אם ניתן להשיג אותה מטרה של מניעת התפשטות הנגיף בעזרת גילוי מצומצם יותר של מידע, כגון ציון שעובד בקומה פלונית חלה ומבקשים מכל מי שעובד בקומה להיכנס לבידוד בית.

​רשות הפרטיות מבהירה במסמך מיום 23.3.20 כי, ככל שחשיפת שם העובד נדרשת כדי להתריע בפני אנשים אשר באו עימו במגע, היא תותר בהתאם להגנות שבסעיף 18 לחוק הגנת הפרטיות, כל עוד תעשה בתום לב ורק לגורמים הרלבנטיים שהיו בקשר עם העובד ולא לכלל הציבור. ככל שפרסום נקודתי אינו אפשרי, מעסיקים יהיו רשאים לפרסם את המידע במעגלי דיווח רחבים יותר. באיחוד האירופי נקבע כי מקום בו קיים הכרח לפרסם את שם העובד שנדבק בנגיף למטרות מניעת הדבקה נוספת, יש להודיע על כך לעובד הנוגע בדבר מראש וחובה להגן על כבודו.

האם מותר לשתף מידע על אנשים שנדבקו בנגיף עם אחרים?

ככלל, מלבד חובות דיווח לרשויות הבריאות, מידע בדבר היותו של אדם בבידוד, חולה או נשא של הנגיף הוא מידע אישי רגיש, המוגן לפי דיני הפרטיות, שאין לחשוף אותו לאחרים.

ככל הנראה בנסיבות החריגות של נגיף הקורונה, שהוכרז על ידי ארגון הבריאות העולמי כמגיפה עולמית, ניתן יהיה להתבסס על ההגנה שבסעיף 18(2)(ב) לחוק הגנת הפרטיות, התשמ"א-1981, כדי להכשיר מסירת מידע בעניין הדבקות בנגיף בנסיבות ספציפיות בהן המידע חיוני להצלת חיים - "הפגיעה נעשתה בנסיבות שבהן היתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה". יובהר כי בפרסום רשות הגנת הפרטיות מיום 23.3.20 מדגישה הרשות כי הגנה זו ניתן להפעיל בדיעבד ולא מלכתחילה, ורק כל עוד שוררת שעת החירום. עוד מבהירה הרשות כי משמעות הדבר היא שבנסיבות מסויימות, כגון מצב החירום הנוכחי, פגיעה בפרטיות עשויה להיחשב מוצדקת וככזו היא תהיה מוגנת מבחינת הוראות הדין. בעדכון מיום 7.4.20 מבהירה רשות הפרטיות כי רשות מקומית אינה רשאית לפרסם פרטים על היותו של אדם חולה בקורונה אשר יביאו לזיהויו.

 

סביר להניח ששיתופי מידע יבחנו על ידי הרשויות ובתי המשפט בשים לב למצב החירום והאינטרס הציבורי במניעת התפשטות המחלה. רשות הפרטיות בישראל הודיעה כי יש לבחון את מידתיות וסבירות הבקשה לקבלת מידע על ידי גוף ציבורי בהתייחס לרגישות המידע בנסיבות של כל מקרה ומקרה (ככל שהמידע רגיש יותר יש צורך בהגנה רבה יותר על הפרטיות). עוד קובעת הרשות כי בנסיבות החירום הנוכחיות העברת מידע בגין גופים ציבוריים נדרשת באופן מהיר לצורך הגנה על אינטרסים ציבוריים ראויים יטה האיזון בין מטרת העברת המידע לפגיעה בפרטיות, לכיוון מתן אפשרות להעברת מידע בין גופים ציבוריים, בין היתר לאור סעיף 18 לחוק הגנת הפרטיות. על הגורם המעביר את המידע לבחון את אבטחת המידע אצל המקבל. יש לוודא שהמידע ימחק כשלא יהיה בו צורך או בסיום תקופת החירום, המוקדם מביניהם. הרגולטור הבריטי הודיע כי יתחשב במצב שנוצר, בבואו לבחון עמידת ארגונים בחובות להגנת המידע האישי. 

יצויין בהקשר זה כי ממשלת איטליה פרסמה ביום 9.3.2020 צו המקים מסגרת משפטית מיוחדת לאיסוף ולשיתוף מידע אישי רפואי בקשר עם נגיף הקורונה בין גופי בריאות ציבוריים וחברות פרטיות שהן חלק ממערכות הבריאות, למשך תקופת צו החירום. לולא צו זה, שיתוף המידע על פי דיני הפרטיות לא היה מתאפשר.

מהן זכויות האנשים שמידע עליהם נאסף בתקופת החירום?

ככלל, על פי חוק הגנת הפרטיות לאנשים עליהם נאסף מידע יש זכות לעיין במידע שנאגר עליהם בתוך פרק זמן קצוב, ולבקש את מחיקתו או תיקונו אם מתברר כי המידע אינו שלם, מדוייק או מעודכן. רשות הגנת הפרטיות הודיעה כי על הגופים האוספים מידע כחלק מפעילות למניעת התפשטות נגיף הקורונה להיערך על מנת לקיים את הוראות החוק ביחס לזכויות נשואי המידע. עם זאת, הרשות מבהירה כי ככל שקיים קושי לעמוד במועדים למתן זכות העיון לאור מצב החירום, הרשות תתחשב בכך.

גם חלק מרשויות הגנת הפרטיות באירופה פרסמו כי יקלו במקרים של אי עמידה במועדים למתן מענה לפניות נשואי מידע בעקבות מגיפת הקורונה.

היבטי אבטחת מידע והמשכיות עסקית בעבודה מרחוק

לאור כמות העובדים הנמצאים בבידוד בית, ונוכח המדיניות הצפויה לפיה עובדים רבים יעבדו מהבית, על בתי העסק והחברות לשים לב ביתר שאת לרמת אבטחת המידע בארגון ולגלות עירנות לאירועי סייבר, אשר הסיכונים להתרחשותם יגדלו באופן טבעי ככל שיגדל היקף העבודה מרחוק.

 

מומלץ לארגונים לקיים תרגילי המשכיות עסקית וחיבור מרחוק של כמות עובדים המדמה עבודה מלאה מרחוק, כדי לבחון ולתקן במידת הצורך, מבעוד מועד, את השרידות ואת יכולת ההמשכיות העסקית של הארגון. כמו כן, מוצע לתרגל טיפול באירועי אבטחת מידע ולוודא שצוות התגובה מוכן לפעולה, במידת הצורך. 

מערך הסייבר הלאומי הפיץ ביום 11.3.2020 מסמך המלצות לארגונים ולציבור הכולל הנחיות מורחבות להגנה על ממשקי העבודה מרחוק, על מנת לצמצם את סיכוני הסייבר עקב העבודה מרחוק. במסמך נקבע כי בעת מתן אישור עבודה מרחוק חשוב לבצע הדרכת מודעות קצרה לעובדים, לרבות נעילת המכשיר, הגדרת נעילה אוטומטית וניתוק בסיום השימוש.

ביום 24.3.20 פרסמה רשות הגנת הפרטיות מידע ודגשים בהתנהלות הטכנולוגית לאור הצורך בעבודה מרחוק ומדגישה כי על גופים, כגון מקומות עבודה ומוסדות חינוך, אשר עברו למודל של למידה או עבודה מרחוק, להקפיד על ביצוע הפעולות הנדרשות לשם אבטחת המידע של המשתמשים במערכות הממוחשבות שלהם. בהתאם, על הגופים השונים לוודא שהם עומדים בהוראות תקנות הגנת הפרטיות (אבטחת המידע), התשע"ז-2017. כמו כן, מזכירה הרשות כי יש סיכון רב בהעברת מידע ארגוני, בוודאי מידע חסוי או רגיש, ברשתות חברתיות, במערכות למסרים מידיים או במייל פרטי, ובדרך כלל העברה כזו של מידע אישי על תשתית פומבית אסורה. פרסום הרשות מתייחס באופן ספציפי לאמצעים טכנולוגיים כגון ZOOM, gmail ועוד.

ביום 1.4.20 פרסמה הרשות להגנת הפרטיות מסמך המסמך מציג דגשים והמלצות להתנהלות נכונה ולהגנה על פרטיות ומידע אישי במסגרת שימוש תלמידים וסטודנטים ביישומי למידה מרחוק.

גם רשות הפרטיות באירלנד פרסמה הנחיות בנושא.

האם יש הנחיות פרטניות שחלות על חברות ישראליות הפועלות גם באירופה או יש להן סניפים באירופה וחל עליהם ה-GDPR?

הגנה על זכויות נשואי המידע גם בזמן המגפה - עדכון מיום 5.6.20 -

 

מועצת הגנת המידע האירופאית (ה-EDBP) פרסמה הצהרה בתגובה לצו של רשות הפרטיות ההונגרית מיום 4.5.20, לפיו תשהה מימוש זכויות נשואי מידע לאור המגפה. המועצה קובעת כי גם בנסיבות החירום הנוכחיות ממשיך ה-GDPR להיות בתוקף ומאפשר בו זמנית עיבוד מידע אישי הנדרש כדי להילחם במגפה ובה בעת הגנה על זכויות יסוד וחירויות הפרט. נקבע כי גם בעת מגפה, לא ניתן להצדיק ריקון מוחלט של זכות היסוד לפרטיות. סעיף 23 ל- GDPR מאפשר למדינות האיחוד להגביל בחקיקה את היקף החובות והזכויות מכח ה- GDPR כאשר המגבלה מכבדת את מהותן של זכויות וחירויות הפרט והיא חיונית ומידתית בחברה דמוקרטית להגנה על אינטרס ציבורי חשוב של מדינות האיחוד, ובפרט בתחום הבריאות הציבורית. החקיקה צריכה להיות ברורה, צפויה, מוגבלת בהיקפה, לזמן קצוב ומוגדר (לא למפרע) ומידתית. יש לפרש את סעיף 23 ככלל כמגן על מימוש זכויות נשואי המידע, באופן שהגבלה על זכויות נשואי המידע יש להחיל בנסיבות מצומצמות בלבד ובכל מקרה לא ניתן לשלול אותן אלא להגבילן בלבד. קיום המגפה כשלעצמה אינו סיבה מספקת להגביל את זכויות נשואי המידע, אלא יש לבחון האם המגבלה נחוצה כדי להגן על אינטרס ציבורי חשוב.
בכוונת ה- EDPB לפרסם הנחיות מפורטות לגבי סעיף 23 ל-GDPR בקרוב.

מספר רשויות פרטיות אירופאיות פרסמו הנחיות בנושא, לא כולן אחידות אך הבסיס שלהן זהה - איזון בין הטיפול

במצב החירום ובלימת ההתפשטות של הנגיף לבין הגנת הפרטיות. רוב ההנחיות כוללות הוראות פרטניות ביחס לאיסוף מידע אישי ורפואי על ידי מעביד במקום העבודה וחלקן מתייחסות גם לשימוש בנתוני מיקום.

לריכוז של תמצית חלק מההנחיות בעברית בלינק הבא.

הנחיות נוספות של רשות הפרטיות הספרדית - תקציר באנגלית בלינק הבא.

רשות הפרטיות הבריטית.

רשות הפרטיות של פינלנד.

רשות הפרטיות של אירלנד.

רשות הפרטיות באיטליה.

רשות הפרטיות בפולין.

שוויץ אמנם אינה חלק מהאיחוד, אולם רשות הפרטיות שלה פרסמה תקציר ידידותי עם הנחיות בנושא גם בשפה האנגלית.

שאר ההנחיות, כגון של רשות הפרטיות בפינלנד ובלוקסמבורג, אינן באנגלית.

מקור מידע נוסף ביחס להנחיות במדינות נוספות, גם מחוץ לאירופה, נמצא בקישור הבא.

ביום 16.3.20 פורסמה הצהרה של ראש מועצת הגנת המידע האירופאי (EDPB) לגבי עיבוד מידע אישי בקשר למגיפת הקורונה. בהצהרה נאמר כי גם בזמנים מיוחדים אלה יש להבטיח הגנה על הגנת מידע אישי ועל כן יש לקחת בחשבון מספר היבטים כדי להבטיח את חוקיות עיבוד המידע האישי. ה-GDPR מאפשר למעסיקים ולרשויות הבריאות לעבד מידע אישי בהקשר למגיפות ללא צורך בהסכמת נשואי המידע, כגון לטובת אינטרס ציבורי או למען הגנה על אינטרסים חיוניים או לשם קיום חובות חוקיות. על עיבוד מידע אלקטרוני כגון מידע על מיקום סלולרי, חלים כללים נוספים לפי הדינים בכל מדינה באירופה, שבבסיסם העקרון שבמידע על מיקום בעל הטלפון יכול המפעיל הסלולרי להשתמש רק אם הוא אנונימי או בהסכמת בעל הטלפון. על כן, רצוי שרשויות יפעלו ראשית לעבד מידע בנוגע מיקום באופן אנונימי, כך שלא יזהה אנשים, כגון מידע על ריכוז מכשירים סלולריים במקום כלשהו. רק כאשר לא ניתן לעבד מידע אנונימי, רשאיות המדיניות באירופה להחיל, לפי ה- ePrivacy Directive, אמצעים חקיקתיים שמטרתם הגנה על בטחון הציבור. במקרה של חקיקת חירום כאמור נדרשים אמצעי הגנה נאותים, כגון זכות ערעור לנשואי המידע.

ביום 19.3.20 פרסמה מועצת הגנת המידע האירופאי (EDBP) מסמך הנחיות בדמות הצהרה. על פי ההנחיות, דיני הגנת המידע, כגון ה- GDPR, אינם מונעים נקיטת אמצעים מודרניים למלחמה במגיפה, אולם גם בזמנים חריגים אלה, יש להבטיח את הגנת המידע האישי. יש לעבד מידע אישי החיוני להשגת מטרות המלחמה במגיפה רק למטרות מוגדרות וספציפיות. חובה לנהוג בשקיפות ביחס לפעולות עיבוד המידע האישי ולהודיע לאנשים עליהן. יש לנקוט באמצעי אבטחת מידע נאותים ונוהלי סודיות שיבטיחו גילוי המידע האישי רק למורשים. מצב חירום מתיר באופן לגיטימי פגיעה בחירות ובלבד שהפגיעה היא מידתית ומוגבלת לתקופת החירום. 

נתוני מיקום – רשויות נדרשות ראשית לפעול לעיבוד נתוני מיקום באופן אנונימי (דהיינו, אגרגטיבי באופן שאינו בר זיהוי) כדי לייצר דוחות על ריכוז מכשירים סלולריים באזור מסויים. אולם, סעיף 15 ל- ePrivacy Directive מאפשר למדינות האיחוד לחוקק חוקים להגנת בטחון הציבור אם האמצעים במסגרתם חיוניים, מידתיים וראויים בחברה דמוקרטית. במדינות בהן תחוקק חקיקה כאמור, על המדינות להחיל אמצעי הגנה ראויים, כגון מתן זכות לקבלת סעד משפטי. עיבוד נתוני מעקב חייב להיות כפוף לאמצעי הגנה ובקרה מוגברים, ובכלל זה החלת כללי מידתיות בהקשר למשך והיקף עיבוד המידע, שמירת המידע לזמן מוגבל ביותר והגבלת השימושים.

עובדים – מעסיק רשאי לדרוש מידע בריאותי מעובד רק ככל שהחוק המקומי במדינה האירופאית מתיר זאת. מעסיק רשאי לעבד מידע רפואי רק אם החובה החוקית החלה על המעסיק מחייבת זאת. מעסיק צריך לדווח לעובדיו על מקרי הדבקות בנגיף ולנקוט באמצעי מנע, אולם חל איסור לתקשר מידע עודף שאינו חיוני. מקום בו קיים הכרח לפרסם את שם העובד שנדבק בנגיף למטרות מניעת הדבקה נוספת, והדבר מותר על פי החוק המקומי, יש להודיע על כך לעובד הנוגע בדבר מראש וחובה להגן על כבודו. מעסיקים רשאים לאסוף מידע אישי כדי למלא את חובותיהם ולארגן את העבודה בעת החירום, בכפיפות לדין המקומי.

ההצהרה המלאה נמצאת בקישור הבא.

ביום 8.4.20 פרסמה נציבות אירופה (European Commission) מסמך המלצה על גישה כלל אירופאית לשימוש בטכנולוגיה ומידע לצורך המאבק והיציאה ממשבר הקורונה, בפרט בנוגע לשימוש ביישומים למכשירים ניידים ושימוש בנתוני מיקום אנונימיים. מטרת המסמך לגבש גישה אחידה ויעילה עבור הרשויות באירופה לקבלת מידע מדוייק על מנת להבין את התפשטות המגיפה והשפעותיה תוך שמירה על הזכות לפרטיות ולהגנת המידע האישי. המסמך המפורט יפורסם ביום 15.4.20. על מדינות האיחוד האירופאי לדווח לנציבות עד ליום 31.5.20 על האמצעים שננקטו על ידי כל מדינה על פי ההמלצות.

הנחיות באירופה לגבי אפליקציות מעקב ורפואה מרחוק ולגבי שימוש בנתוני מיקום

מועצת הגנת המידע האירופאי (EDPB) פרסמה ביום 14.4.20 עמדה התומכת בפיתוח אפליקציות למלחמה במגיפה, אך בתנאי שהליך הפיתוח יהיה מתועד, מבוסס על עקרונות של עיצוב לפרטיות ופרטיות כברירת מחדל, ולאחר שיערך תסקיר פגיעה בפרטיות. כמו כן הובהר כי קוד המקור של האפליקציות צריך להיפתח לציבור, לצורך ביקורת נרחבת ככל הניתן של הקהילה המדעית. יש עדיפות לאפליקציות וולונטריות שיעודדו אנשים רבים להשתמש בהן. הבסיס החוקי לעיבוד המידע הינו חיוניות ביצוע משימה למען אינטרס ציבורי. אמצעי איתור לא מחייבים איתור ומעקב אחר משתמשים בודדים, אלא איתור מגעים עם חולה מאומת ובהתאם יש לתכנן את האפליקציות. איתור המגעים באמצעות האפליקציות חייב להיעשות רק על ידי רשויות הבריאות ומומלץ ששלבי ההמשך של הטיפול לא יהיו ממוכנים ובכל מקרה ימסר לאדם שקיבל הודעה באמצעות האפליקציה טלפון אנושי לחזור אליו. ההודעות שישלחו על ידי האפליקציה לא יכולות לכלול מידע מזהה ואין לאפשר זיהוי מחדש של אנשים באמצעות האפליקציה. שמירת המידע במכשיר הקצה של נשוא המידע ולא אצל בעל המאגר עומדת במידה רבה יותר בעקרון המינימיזציה, אולם לא נשללת האפשרות לשמירה מרכזית של המידע שיאסף. בכל מקרה, בתום המשבר המידע חייב להמחק או להיפך ללא מזוהה. 

ביום 21.4.20 פרסמה ה- EDBP הנחיות מפורטות לגבי שימוש בנתוני מיקום וכלים למעקב אחר מגעים (הנחיות 04/2020). ההנחיות קובעות כי ראוי לפתח גישה אירופאית אחידה מבוססת על עקרונות של יעילות, חיוניות ומידתיות ביחס לעיבוד מידע למלחמה במגיפה. כל אמצעי שיבחר צריך להיות מוגבל בזמן, בשימוש בהיקף מינימלי וכפוף לבדיקה תקופתית והערכה מדעית. השימוש באפליקציות לאיתור מגעים עם חולה מאומת חייב להיות וולנטרי ולא להתבסס על מעקב אחר תנועות אלא עם מידע בדבר קרבה של משתמשים. נתוני מיקום ניתן להעביר אך ורק לרשויות או צדדים שלישיים אם הם אנונימיים ואם מדובר במידע על מיקום המשתמש או המכשיר - רק בהסכמה מראש של המשתמש. כאשר נעשה שימוש בנתוני מיקום, ההעדפה צריכה להיות לשימוש במידע בלתי מזוהה. ההנחיה עוסקת גם בדרישות ביחס להפיכת מידע לאנונימי. נקבע כי מעקב שיטתי ובהיקף נרחב על מיקום או מגעים בין אנשים הינה חדירה משמעותית לפרטיותם וניתן להצדיקה רק בהתבסס על שימוש וולונטרי על ידי המשתמשים. המטרות צריכות להיות מוגדרות ולשלול שימוש למטרות שאינן קשורות במאבק בנגיף. יש לתת משקל לעקרונות העיצוב לפרטיות ומזעור המידע שנאסף. על האפליקציות לעשות שימוש בנתוני קרבה ולא בנתוני מיקום מדוייקים. צריך ליישם אמצעים שימנעו זיהוי של אנשים. המידע צריך להשמר במכשיר הקצה ורק מידע רלבנטי מינימלי חיוני ישמר בשרתי בעל האפליקציה. על האפליקציות לכלול אמצעי אבטחה משמעותיים, שבחלקם מפורטים בהנחיה. יש לשמור את המידע רק לתקופת המשבר ולמחקו או להפכו לאנונימי לאחר מכן. אין לעשות שימוש בעיבוד ממוחשב בלבד ויש לנקוט באמצעי בקרה. קוד המקור של האפליקציות צריך להיות פתוח לציבור.
 

מה הסמכויות של השב"כ והמשטרה לגבי איסוף מידע על חולים וחייבי בידוד בית? עדכון פסק הדין בבג"צ והארכת הסמכת השב"כ עד לקידום חקיקה – עדכון מיום 4.5.20

ביום 16.3.20 הותקנו תקנות להסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה באמצעות איסוף מידע טכנולוגי על חולים - תקנות שעת חירום (הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש), התש"ף-2020 ("תקנות השב"כ"), כפי שתוקנו ביום 31.3.20 וכן תקנות נוספות להסמכת המשטרה לקבל מידע על נתוני מיקום של חולי קורונה - תקנות שעת חירום (נתוני מיקום), התש"ף-2020 כפי שתוקנו והוארכו מספר פעמים, לאחרונה עד ליום 22.4.20 ("תקנות נתוני המיקום").
התקנות הותקנו מכח סמכות הממשלה לפי סעיף 39 לחוק-יסוד: הממשלה, המסמיך את הממשלה, במצב חירום, להתקין תקנות שעת חירום כדי "להגן על המדינה, ביטחון הציבור וקיום האספקה והשירותים החיוניים". התקנת התקנות התאפשרה לאור הכרזת הכנסת על מצב חירום מתאריך 17.2.20 עד לתאריך 17.6.20.
 

סיוע שירות הבטחון הכללי למאבק בקורונה
 
תקנות השב"כ הסמיכו את שירות הבטחון הכללי ("שב"כ") לקבל, לאסוף ולעבד "מידע טכנולוגי" לשם ביצוע בדיקה, בנוגע לתקופה של 14 הימים שלפני אבחונו של חולה, שמטרתה זיהוי נתוני מיקום ונתיב תנועת החולה, וזיהוי אנשים שבאו במגע קרוב עמו, וזאת לצורך סיוע למשרד הבריאות בביצוע חקירה אפידמיולוגית לצמצום ולמניעת התפשטות נגיף הקורונה. 

התקנות היו בתוקף התקנות ל- 14 יום ובתום תקופת תוקפן על משרד הבריאות והשב"כ למחוק את כל המידע שנאסף. אולם, משרד הבריאות בלבד רשאי לשמור את המידע למשך 60 יום נוספים, לצורך תחקור פנימי. 

לאור ביקורת ציבורית נרחבת וכן ארבע עתירות שהוגשו לבג"צ כנגד תוקפן (בג"צ 2109/20, 2135/20, 2141/20, 2187/20), החליטה הממשלה שלא להאריך את השימוש באמצעי המעקב הטכנולוגיים באמצעות תקנות לשעת חירום. ביום 1.4.20 פורסמה הודעה על החלטת הממשלה על הסמכת השב"כ לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה לפי חוק שירות הבטחון הכללי, התשס"ב-2002, במקום תקנות השב"כ ("ההחלטה"). ההחלטה ביטלה את תקנות השב"כ והינה בתוקף עד ליום 30.4.20. 

הסמכויות שהוקנו לשב"כ בהחלטה זהות לאלה שהוקנו מכח תקנות השב"כ שפקעו, אלא שההסכמה כפופה לאישור ועדת הכנסת לענייני השירות. אולם, בהחלטה, בניגוד לתקנות שקדמו לה, יש פירוט יתר והגדרות מדוייקות יותר וכן דגש על השמירה על פרטיותם וחסיונם של החולים שהמידע אודותיהם נאסף ונעשה בו שימוש. ההחלטה מגדירה מהו המידע הטכנולוגי שהשב"כ רשאי לאסוף כ-"נתוני תקשורת מסוג נתוני זיהוי, נתוני מיקום ונתוני התקשרויות, למעט תוכן שיחה כמשמעותו בחוק האזנת סתר, התשל"ט-1979, כפי שאושר על ידי ועדת הכנסת לענייני השירות". עוד הובהר בהחלטה כי משרד הבריאות רשאי לעשות שימוש רק בפרטי המידע הדרושים מתוך המידע הטכנולוגי שהוגדרו כ: לגבי חולה - נתוני מיקום ונתיבי תנועה של בתקופה של 14 יום לפני האבחון; לגבי אנשים שבאו במגע עם חולה: שם, ת.ז., טלפון, תאריך לידה, מועד החשיפה ומיקומה, אם הדבר אפשרי ודרוש. השימוש במידע הינו כדי לתת הנחיות לחולים, לאנשים שבאו במגע קרוב עימם ולציבור הרחב אולם רק משרד הבריאות יהיה בקשר עם האנשים ולא השב"כ. גם המונח "מגע קרוב עם חולה" הובהר ככולל מגע העלול להביא להדבקה בהתאם להנחיות משרד הבריאות, בהתאם לנוהל שיפרסם משרד הבריאות באתר האינטרנט שלו, שיתעדכן מעת לעת ויובא לידיעת ועדת הכנסת. ההחלטה כוללת הוראות לגבי אבטחת מידע: שמירת המידע הטכנולוגי בנפרד ואיסור על שמירתו או העברתו בענן. ההחלטה קובעת כי סוגי המידע הטכנולוגי ותנאים נוספים לשימוש בו, לרבות אופן איסוף המידע, שמירתו, העברתו למשרד הבריאות ומחיקתו יוסדרו על ידי השב"כ בנוהל. נקבע שגם על היועמ"ש של משרד הבריאות לקבוע נוהל ייעודי, אשר יכלול הוראות לגבי הפניה לשב"כ, אופן השימוש בפרטי המידע הדרושים, החזקתו ומחיקתו, לרבות קביעת מספר מצומצם של בעלי תפקידים המוסמכים לעיין בפרטי המידע. שני הנוהלים טעונים אישור היועץ המשפטי לממשלה. בעוד שהנוהל של משרד הבריאות יפורסם באתר האינטרנט שלו הרי שנקבע בהחלטה במפורש כי הנוהל של השב"כ יהיה חסוי ולא יפורסם. המפתח לבחינת האיזונים בין הסמכויות הנרחבות מאד לשב"כ ולמשרד הבריאות לבין ההגנה על הזכות הבסיסית לפרטיות, טמון באותם נוהלים שלא תהיה שקיפות ביחס לתוכנו של האחד מהם, הגם שיש לברך על כך שבניגוד לתקנות השב"כ, לכל הפחות הנוהל של משרד הבריאות יפורסם.

נקבע כי השימוש במידע יעשה על ידי בעלי תפקיד ספציפיים במשרד הבריאות שחתמו על הצהרת סודיות בו תובהר להם המשמעות הפלילית של שימוש במידע בניגוד להחלטה וכל פעולותיהם בקשר עם המידע יתועדו. השב"כ יאסוף מידע טכנולוגי על פי פניה פרטנית של משרד הבריאות עם פרטים אישיים של האדם שעליו מבוקש לאסוף מידע, כאשר החידוש בהחלטה הינו כי הודעה תשלח לנשוא המידע שנערכת בעניינו בדיקה באמצעים טכנולוגיים. נוסח ההחלטה עוסק במגבלות על השימוש במידע שנאסף על ידי השב"כ אך לא ניתנה הדעת ביחס למידע המועבר על ידי משרד הבריאות לשב"כ, שאף הוא מידע אישי שעל השב"כ למחוק ולהמנע מעשיית כל שימוש בו.

ההחלטה מדגישה כי הן השב"כ והן משרד הבריאות אינם רשאים לעשות שימוש במידע לכל מטרה אחרת מלבד המטרות המפורטות בהודעה או להעביר את המידע לרשויות אחרות אלא לטובת אזהרת הציבור מפני חשש להדבקות. שימוש במידע הטכנולוגי ובפרטי המידע הדרושים שלא למטרה המצויינת מהווה עבירה פלילית.

במטרה לצמצם את הפגיעה בפרטיות, נקבע כי הודעת משרד הבריאות לאדם כי שהה במגע קרוב עם חולה לא תכלול פרטים מזהים על אודות החולה, ותכלול גם את הדרכים לבירורים בנושא ולבחינה חוזרת של הנתונים שעל בסיסם התקבלה ההודעה.

השב"כ מחוייב למחוק את פרטי המידע הדרושים לאחר שבוע. מידע עודף שנאסף או שנוצר בעת איסוף ועיבוד המידע הטכנולוגי לא יועבר על ידי השב"כ למשרד הבריאות ויימחק מיד. בכל מקרה, המידע יימחק על ידי השב"כ בסוף תקופת ההסמכה. משרד הבריאות מחוייב למחוק את המידע בתום תוקפה של ההחלטה, למעט שמירה למשך 60 יום נוספים לצורך תחקיר פנימי. הובהר כי ההוראות לעניין שמירה ומחיקה של המידע יחולו גם על מידי שנאסף לפי תקנות השב"כ.

ההודעה קובעת כי שר הבריאות ישקול, במהלך תוקף ההסכמה, אם ניתן לוותר על הסיוע של השב"כ, בהתחשב בהגבלות שהוטלו על הציבור וקיום אפשרויות חלופיות להגשמת מטרת ההחלטה, ויודיע על כך לממשלה ולוועדת הכנסת.

בהמשך לביקורת של הציבור והחלטת בג"צ לגבי הפיקוח על סיוע השב"כ למשרד הבריאות, קובעת ההחלטה כי, משרד הבריאות והשב"כ ידווחו לועדת הכנסת לענייני השירות אחת ל-6 ימים ובנוסף ליועץ המשפטי לממשלה, על ביצוע ההחלטה, ובין היתר, על מספר החולים שעליהם נתבקש וגם נאסף מידע טכנולוגי, הפעולות שנקט משרד הבריאות על בסיס המידע, אירועים מיוחדים ותקלות. כמו כן, ידווח לועדת הכנסת וליועץ המשפטי לממשלה על סטטוס מחיקת המידע בתוך 7 ימים מהמועדים שנקבעו בהחלטה למחיקתו.

במהלך הדיון בעתירות בבג"צ שנערך ביום 16.4.20 נמסר על ידי ב"כ המדינה כי עד כה מתוך כ-10,000 חולים (לא כולל אלה שנדבקו בחו"ל) אותרו 4,611 חולים באמצעות אמצעי המעקב הטכנולוגיים. עוד נמסר בדיון כי האמצעים הטכנולוגיים מופעלים באופן ממוכן בלבד, ללא מגע יד אדם, אלא אם מוגש ערעור. החלטת בג"צ בעתירות תנתן במועד מאוחר יותר.

בפסק הדין שניתן בבג"צ ביום 26.4.20 נקבע פה אחד על ידי הרכב השופטים שהחל מיום 30.4.2020 לא ניתן יהיה להסמיך את השב"כ לסייע בהתמודדות עם התפרצות נגיף הקורונה באמצעות המנגנון הקבוע בסעיף 7(ב)(6) לחוק השב"כ וכי ככל שמבקשת המדינה להמשיך ולהסתייע באמצעים המצויים בידי השב"כ, עליה לפעול לצורך עיגון הסמכה כזו בחקיקה ראשית. חקיקה כזו, מן הראוי כי תהיה זמנית במהותה ותיחקק כהוראת שעה. ככל שיותנע הליך חקיקה, ניתן יהיה להאריך את תוקפה של החלטת ההסמכה לפרק זמן קצר נוסף שלא יעלה על שבועות ספורים על מנת לאפשר את השלמתו של הליך זה. כב' הנשיאה חיות קבעה בפסק דינה כי החלטת ההסמכה של השב"כ מובילה לפגיעה קשה בזכות לפרטיות ולצנעת הפרט, שהיא אחת החשובות שבזכויות האדם, משתי סיבות עיקריות: הראשונה, שהשב"כ הוא הגורם המפעיל את אמצעי המעקב שפותחו להילחם בגורמים עויינים והשניה, העובדה שנבחרו אמצעים כופים ששקיפותם אינה מלאה הפוגעים באוטונומיה של הפרט לשלוט במידע אודותיו.


בהמשך לפסק הדין של בג"צ שהורה כי המשך סיוע השב"כ באיסוף מידע טכנולוגי לטובת המאבק בהתפשטות נגיף הקורונה יהיה כפוף לחקיקה ראשית, אישרה ביום 30.4.20 ועדת המשנה למודיעין ולשירותים חשאיים בכנסת להמשיך באיסוף מידע טכנולוגי על ידי השב"כ עד ליום 5.3.20 בלבד, בניגוד לשבוע שנתבקש על ידי הממשלה.

הממשלה אישרה ביום 4.5.20 לקדם חקיקה להמשך האיסוף של מידע טכנולוגי על ידי השב"כ מתוך כוונה שעד ל- 18.5.20 יופץ להערות הציבור תזכיר חוק להסמכת שב"כ לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה. הערות הציבור יתקבלו תוך 7 ימים ממועד הפצת התזכיר. במקביל, הממשלה מבקשת להאריך את הסמכת שב"כ ב-6 שבועות עד ל-16.6.20 או עד להשלמת החקיקה של הצעת החוק וכניסתו לתוקף של חוק בעניין זה, לפי המוקדם. הנימוק העיקרי להארכת תוקף ההחלטה הינו כי תהליך פתיחת המשק טומן בחובו סיכון רב וכי כאשר מוסרות באופן מדורג מגבלות הפעילות והתנועה קיים צורך באיתור מהיר של האנשים שצריכים לשהות בבידוד. הארכת הסמכת שב"כ הובאה ב-5.5.20 לאישור ועדת הכנסת לענייני שב"כ, אשר אישרה הארכה ל-3 שבועות בלבד, עד ליום 26.5.20. בהחלטת הממשלה נקבע כי אין עדיין חלופה הולמת להפעלת האמצעים הטכנולוגיים של השב"כ אולם, במקביל תמשך בחינת קיום חלופות אחרות לרבות אמצעים חלופיים הנמצאים בתהליכי פיתוח.

 שימוש בנתוני מיקום על ידי המשטרה
 
מלבד הסמכויות שהוקנו לשב"כ בתקנות השב"כ, הוקנו גם סמכויות למשטרה. תקנות נתוני המיקום היוו תיקון זמני של חוק סדר הדין הפלילי (סמכויות אכיפה - נתוני תקשורת), התשס"ח-2007 ("חוק נתוני תקשורת") והקנו סמכות לקצין מוסמך, לבקשת שוטר, להתיר קבלת נתוני מיקום אחרון של מנוי שהינו אדם החייב בבידוד, ממאגר מידע של חברות תקשורת, בלא צו של בית משפט, לצורך פיקוח על קיום הוראות הבידוד. 

ההסמכה היתה לאיסוף מידע באופן מדגמי בלבד ושאינו מתמשך או רציף.


אמנם חוק נתוני תקשורת כולל הוראות עונשיות וכן חובת דיווח של השר לביטחון הפנים לוועדת החוקה, אחת לשנה, על ביצוע החוק, אולם הוראות הדיווח אינן רלבנטיות בהקשר לתקנות נתוני המיקום, ולא נקבע בתקנות מנגנון דומה לזה שנקבע בתקנות השב"כ שהותקנו ביחד עימן. והנה בתיקון תקנות נתוני המיקום התווספה הוראה לפיה ראש אגף חקירות במשטרה ידווח ליועץ המשפטי לממשלה אחת ל-3 ימים על מספר חייבי הבידוד שנתוני המיקום שלהם נדגמו ועל מספר מקרי אי ההתאמה למקום הבידוד מתוכם.

לאור ארבע עתירות שונות שהוגשו לבג"צ לגבי תקנות נתוני המיקום (במסגרתן ניתן עוד ביום 19.3.20 צו ביניים), פורסמה ביום 16.4.20 הצעת חוק סדר הדין הפלילי (סמכויות אכיפה - נתוני תקשורת) (הוראת שעה-נגיף הקורונה החדש) (קבלת נתוני מיקום לצורך פיקוח על קיום הוראות הבידוד), התש"ף – 2020 ("הצעת החוק"). בהצעת החוק הוצע שסמכויות קבלת נתוני מיקום על ידי המשטרה ללא צו בית משפט לצורך אכיפת בידוד בית, יוסדרו באמצעות תיקון חוק נתוני תקשורת ותקנות נתוני המיקום תבוטלנה. התיקון הוצע לתקופה של שלושה חודשים או עד תום תוקפו של צו בריאות העם (נגיף הקורונה החדש) (בידוד בית והוראות שונות) (הוראת שעה), התש"ף-2020, לפי המוקדם. בהצעת החוק התווסף רובד פיקוח נוסף - חובת דיווח חודשית לוועדה מיוחדת בכנסת לעניין הקורונה. עוד נוספה חובת פרסום שבועית של נתונים לציבור על מספר חייבי בידוד הבית שנתוני המיקום שלהם נדגמו, בחלוקה לימים. הצעת החוק עברה קריאה ראשונה. בדיון שהתקיים בהצעת החוק ביום 22.4.20 בועדת החוץ והבטחון של הכנסת הוחלט להקפיא את הצעת החוק ולא לקדמה בשלב זה לאישור לקריאה שנייה ושלישית לאור בעיות ופערים שעלו במהלך הדיונים עליה. במקביל, ב-22.4.20 בלילה פקע תוקפן של תקנות נתוני המיקום. אי לכך, המשטרה תחדל מאיסוף נתוני מיקום לצורך אכיפת בידוד בית, ותמשיך באכיפה באמצעים מבצעיים אחרים.
 

הפסקת השימוש בשב"כ לסיוע במלחמה במגפת הקורונה –

עדכון מיום 8.6.20

חברי קבינט הקורונה של הממשלה החליטו ביום 8.6.20 שלא להגיש להצבעה בכנסת את תזכיר הצעת החוק שנועד לאפשר המשך השימוש בסיוע השב"כ למניעת התפשטות נגיף הקורונה, על ידי איסוף מידע טכנולוגי של חולים מאומתים לצורך איתור מגעים קרובים. הצעת החוק גובשה עקב החלטת בג"צ שקבעה כי המשך השימוש בשב"כ מחייב חקיקה ראשית. בהתאם להחלטה, הצעת החוק לא תקודם בכנסת. בעת הזו הסמכת השב"כ הקיימת הוארכה על ידי ועדת המשנה לשירותים חשאיים של הכנסת ביומיים, דהיינו עד ליום 10.6.20 וצפוי כי לאור האמור, במועד זה תופסק פעילות השב"כ בקשר עם מניעת התפשטות נגיף הקורונה.

 

לשאלות נוספות, הנכם מוזמנים לפנות אלינו

 .האמור הוא בגדר סקירה כללית ואינו ייעוץ משפטי. לייעוץ משפטי הנכם מוזמנים לפנות למומחה התחום המצויין בעמוד הייעודי

התכנים באתר זה מקוריים ומוגנים בזכויות יוצרים. כל הזכויות שמורות לנשיץ ברנדס אמיר ושות׳, עדכון אחרון 12.07.2020. כפוף לתנאי השימוש באתר