הרשות להגנת הפרטיות: כתובת המייל שלכם היא מידע אישי לפי חוק

הרשות קובעת כי גם כתובות דואר אלקטרוני הן מידע אישי לפי חוק הגנת הפרטיות - כך עולה מגילוי דעת שהופץ היום • המשמעות: עסקים וגופים המחזיקים מאגרי כתובות דוא"ל אינם יכולים למסור אותם לגורמים שלישיים

דואר אלקטרוני / אילוסטרציה: SHUTTERSTOCK
דואר אלקטרוני / אילוסטרציה: SHUTTERSTOCK

כתובת המייל של אדם מהווה "מידע אישי", שמסירתו עלולה להיחשב פגיעה בפרטיות בניגוד לחוק הגנת הפרטיות - כך קובעת הרשות להגנת הפרטיות במשרד המשפטים במסגרת גילוי דעת שפרסמה היום (ד').

במסמך מוצגת עמדת הרשות, לפיה בעידן הדיגיטלי ניתן להסיק מכתובות דואר אלקטרוני מידע אישי רגיש, כתובות הדואר האלקטרוני משמשות כמפתח להזדהות בשירותים דיגיטליים רבים ואינן "רק פרטי התקשרות". המשמעות היא שעסקים וגופים המחזיקים מאגרי כתובות דוא"ל אינם יכולים למסור אותם לגורמים שלישיים.

הצורך במענה על הסוגיה עלה בעקבות שאלות רבות שהגיעו אל הרשות להגנת הפרטיות, אשר ביקשו להבין האם החובות שחלות לגבי מאגרי מידע לפי חוק הגנת הפרטיות חלות גם על רשימה ממוחשבת שמכילה רק כתובות דוא"ל של אנשים לצד שמותיהם.

הסוגיה מתעוררת משום שבמצבים מסוימים, סעיף 7 לחוק הגנת הפרטיות מחריג מאותן חובות אוסף נתונים שמכיל "רק דרכי התקשרות" של אנשים. גילוי הדעת שמפרסמת היום הרשות להגנת הפרטיות מוסיף פרשנות לסעיף זה, לפיה אוסף של שמות וכתובות דוא"ל אינו נכנס לגדר אותו חריג ולכן מהווה מאגר מידע.

חובת ארגונים להגן על מידע

כתובת דואר אלקטרוני הפכה במרוצת השנים לשכיחה ולאמצעי נפוץ ליצירת קשר עם אנשים. נוכח כך, עסקים רבים במשק, קטנים וגדולים, מחזיקים כיום לצרכים עסקיים מידע שכולל כתובות דואר אלקטרוני של אנשים. לפי חוק הגנת הפרטיות על ארגונים ועסקים המחזיקים במידע אודות אנשים, למטרות עסקיות או ציבוריות, חלה החובה להגן עליו.

בגילוי הדעת נכתב כי "ניהול ממוחשב של רשימות המכילות שמות וכתובות דוא"ל של אנשים פרטיים הוא כיום עניין שכיח, במיוחד בקרב בעלי עסקים קטנים כגדולים. כאשר מדובר ברשימה שאין בה שדות נוספים פרט לכתובת הדוא"ל ושם בעל הכתובת, עולה שאלה האם רשימת כתובות דוא"ל מזוהות כאמור מהווה 'מאגר מידע' כהגדרתו בחוק הגנת הפרטיות? התשובה לשאלה זו תלויה בפרשנות של לשון החריג להגדרת 'מאגר מידע'. עמדת הרשות להגנת הפרטיות היא שבמבחן התכלית החקיקתית, הפרשנות הסבירה היחידה היא זו ששוללת החלת חריג זה על רשימות מזוהות של כתובות דוא"ל" .

"מפתח" להזדהות ברשתות חברתיות

"מידע" על-פי החוק הוא "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". על-פי גילוי הדעת, ניתן ללמוד מכתובות דוא"ל מידע אישי כמו תחום עיסוק, מצב משפחתי, גיל ועוד, ועל כן הן לא רק דרכי התקשרות.

עוד צוין בגילוי הדעת כי במקרים רבים משמשות כתובות דוא"ל משמשות כאמצעי להזדהות ברשתות חברתיות ושירותים מקוונים רבים אחרים, ומכאן שהן עשויות לשמש גם "מפתח" המאפשר לזהות אדם בוודאות רבה ולקשר בין פרטי מידע שונים עליו שמוחזקים במאגרים שונים. זהו גם ההיגיון שבבסיס הפרשנות שניתנה בדיני האיחוד האירופי לכתובת דוא"ל כ-"personal data".

הרשות להגנת הפרטיות מזכירה כי לפי חוק הגנת הפרטיות על כל גורם במשק שמחזיק במידע אישי על אנשים חלה חובה להגן עליו ולקבל את הסכמתם לשימוש בו, אלא אם השימוש נובע מהסמכה בחוק. כמו כן, אסור להעבירו ללא הסכמה לגורמים נוספים, לא ניתן להשתמש בו למטרה אחרת, ויש להבטיח כי רמת אבטחת המידע תהיה בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע). 

aaaaרוצה להשאר מעודכן/ת בנושא דין וחשבון?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988