ביום 14.6.2023 פורסמה להערות הציבור טיוטת גילוי דעת של הרשות להגנת הפרטיות ("הרשות") בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות ("גילוי הדעת"). גילוי הדעת סוקר את עמדת הרשות ביחס ללגיטימיות ולחוקיות של דרישות בתי עסק למסירת מספר תעודת הזהות של הלקוחות ואף צילום תעודת הזהות עצמה, בהתחשב בהיקף וברגישות המידע שמופיע בתעודת הזהות, והאפשרות לגשת באמצעות מספר תעודת הזהות למידע אישי נוסף על אדם.
עמדת הרשות היא כי הפרטים המופיעים בתעודת הזהות מהווים "מידע" או "ידיעה על ענייניו הפרטיים של אדם", כהגדרתם בחוק הגנת הפרטיות, התשמ"א-1981 ("החוק") ולפיכך יש לנהוג ביחס לפרטים אלו בהתאם להוראות החוק והתקנות שהותקנו מכוחו, ובכלל כך תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בהתאם, איסוף מספרי תעודות וצילומיהם מקום בו הדבר אינו נדרש, שמירתם לאחר שהוגשמה המטרה לשמה המידע נאסף או שימוש במידע זה שלא למטרה שלשמה נמסר עשויים להוות הפרה של ההוראות הקבועות בחוק והתקנות שהותקנו מכוחו.
בתוך כך, עמדה הרשות, בין היתר, על הדגשים הבאים:
- במקרים המתאימים, בהם נדרש לאמת את זהותו של אדם לצורך מתן שירות או קבלת משלוח, יש להעדיף שימוש באמצעי אימות אחרים, חלף תעודת הזהות, אשר פגיעתם בפרטיות פחותה (למשל, שליחת קוד ייעודי ללקוח).
- ככל שבכוונת בית העסק לבקש מלקוח למסור מספר תעודת זהות או צילום תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת הליך הרכישה, אף אם הדרישה מבוצעת בפועל על ידי חברת השליחויות הפועלת מטעמו של בית העסק. במסגרת זו, יש לפרט:
– האם חלה על הלקוח חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו ובהסכמתו;
– המטרה שלשמה מבוקש מספר או צילום תעודת הזהות ומה בכוונת בית העסק לעשות עם המידע שנאסף;
– למי יימסר המידע ומטרות המסירה. - תעודת הזהות כוללת פרטים שעשויים במקרים מסוימים להוות "מידע עודף", שאינו נדרש להשגת המטרה לשמה המידע נאסף. לפיכך, יש להימנע מלדרוש צילום של תעודת הזהות כולה, למעט במקרים חריגים בהם כלל המידע המופיע על גבי תעודת זהות דרוש לשם מתן השירות. ככל שאדם מבקש להסתיר פרטים מסוימים בעת צילום תעודת הזהות שלו, ופרטים אלו אינם נדרשים לשם מתן השירות, יש לאפשר לו להסתירם.
- טרם שמירת צילום תעודת זהות במאגרי החברה, יש להשחיר את כלל פריטי המידע שאינם נחוצים לשם מתן השירות.
- יש לבחון באופן עיתי, לפחות פעם בשנה, האם שמירת מספר תעודת הזהות או צילומה נדרש עוד למטרה לשמה נמסר ולצמצם מידע עודף. במסגרת בחינה זו, יש לכלול התייחסות ספציפית ומפורשת לצורך בשמירת מספרי תעודות הזהות או צילומיהן במאגר.
- ככל שמספר תעודת הזהות התבקש לצורך זיהוי הלקוח בעסקה ספציפית, והמספר נמסר על ידי הלקוח למטרה זו, אין לעשות בו שימוש למטרות אחרות.
צוות הסייבר והגנת המידע בגורניצקי מלווה ארגונים רבים בהטמעת דרישות הדין בקשר עם הגנת סייבר ואבטחת מידע וישמח לעמוד לרשותכם בכל שאלה בנושא.
עדכון זה הוכן בסיועה של מליסה פוירון.