הגדרה משפטית של מידע ביומטרי בדין הישראלי
חוק הגנת הפרטיות, התשמ״ד-1981, מגדיר "מידע ביומטרי" כמידע הנוגע למאפיינים ביולוגיים או פיזיולוגיים ייחודיים של אדם, כגון טביעות אצבע, סריקת קשתית העין (iris scan), זיהוי הקול או סריקת דנ״א. בתיקיה שהתהווה בחזקת מידע זה חלים הוראות הגנה מיוחדות, היות שמידע זה בעל חישיבות רבה בעבור זיהוי והתאמת זהות. לפי סעיף 1 לחוק, כל גורם המעבד מידע ביומטרי של אדם חייב לעמוד בתנאים קשוחים של הלכה, שקיפות וביטחון.
הוראות חוק הגנת הפרטיות ומגבלות לימוד מידע ביומטרי
סעיף 3 לחוק הגנת הפרטיות קובע כי אסור לאסוף מידע ביומטרי על אדם ללא הסכמה מפורשת וחוקית של אותו אדם, אלא בחריגות מוגדרות בחוק. ההסכמה חייבת להיות מעומתת וספציפית — כלומר, אדם צריך לדעת בדיוק לאיזה מטרה יעשמש מידעו הביומטרי. לא ניתן להשיג הסכמה כללית או עתידית, והמידע אינו עשוי להיות מוטבע לשום מטרה אחרת ללא הסכמה חדשה.
המקצועות החייבים בעמידה בתקנות אלו כוללים: מוקדי שדות תעופה, משטרה, שירותי בטחון, בנקים וחברות ביטוח. משרד המשפטים יצא חזקיר בשנת 2018 המסביר את תחולת ההוראות, וקבע כי גם אתרים דיגיטליים החברים בדרישה ביומטרית לצורך כניסה מחוייבים בחוק זה. בנקים, למשל, המבצעים סריקת קשתית או טביעת אצבע בעת פתיחת חשבון, חייבים לשמר תיקייה עם הסכמה מתועדת וברורה של הלקוח.
זכויות הנושא הנתונים — זכות ההשגה, המחיקה וההתיקון
בהתאם לסעיף 12 לחוק הגנת הפרטיות, לכל אדם קיימת זכות השגה לתיקיית המידע שנחזקת עליו, לרבות מידע ביומטרי. על המידע יש להשיב תשובה בכתב, בתוך 30 ימים מעת הפנייה. אם המידע הביומטרי אינו מדויק, שיבוש או לא רלוונטי (ובמיוחד אם נעשה שימוש בו לצרכים שונים מאלו שהוסכמו), אדם רשאי לתבוע את התיקון או המחיקה שלו.
חוק הגנת הפרטיות החדש (תיקון 27), התשפ״ב-2022, הוסיף זכות של שכחה (right to be forgotten) — כלומר, זכות לדרוש מחיקת מידע ביומטרי כאשר לא נמצאת עוד תכלית להשמרתו. בפסק דין בעניין פלוני נגד רשות הדיור (2020), קבע בית המשפט העליון כי צו מחיקה של מידע ביומטרי יכול להיות נאכף כנגד גופים ציבוריים אם ההצדקה הביטחונית כבר אינה עומדת בעינה. גופים סחרים, כגון בנקים, מחויבים עד יותר במחיקה לתוך 60 יום מעת דרישה.
חריגות ותביעות בטחון משפטי — מתי ניתן אסוף מידע ביומטרי ללא הסכמה מפורשת
סעיף 8 לחוק הגנת הפרטיות (כפי שתוקן בשנת 2022) קובע חריגות מוגדרות בהן רשאית רשות אכיפה (משטרה, שב״כ, משמר הגבול) לאסוף מידע ביומטרי ללא הסכמה מראש, ובתנאיות מחמירות:
- חקירת עבירות: המשטרה רשאית לאסוף טביעות אצבע מחשודים בעבירה, כחלק מחקירה. החיוב הוא בישומר את המידע לא יותר מ-6 חודשים, אלא אם המחשד הורשע בעבירה. בהורשעות, ניתן להשמר את המידע כל עוד הוא רלוונטי לעבודות אכיפה עתידיות.
- שדות תעופה ומעברי גבולות: סוכנות הביטחון הישראלית (שב״כ) ורשות התעופה אזרחית רשאיות לסרוק דנ״א, קשתית עין וטביעות אצבע של נוסעים בחו״ל לצורכי בטחון. אישור פנימי של משרד הביטחון נדרש, וכל מידע יימחק תוך 90 ימים אם לא נמצא הצדקה להשמרה כוללת.
- ביטחון לאומי: בנסיבות חירום (כפי שהוגדרו בחוק החירום (הוראות כללית), התשכ״ט-1968), מטעמי ביטחון לאומי בלבד, רשויות יכולות לאסוף מידע ביומטרי של אזרחים ללא הסכמה מוקדמת, אך עם פיקוח שופטי חוקתי.
שימוש מידע ביומטרי בתחום התעסוקה וההשלכות המשפטיות
מעסיק המבקש לאסוף מידע ביומטרי של עובדים — למשל, לצורך כניסה למתקנים אבוטחים או לצורך מעקב נוכחות — חייב לעמוד בתנאים מחמירים. על פי פסקי דין בארצות הברית שהוקבלו גם בפרקטיקה הישראלית (עניין הראל בנק נגד בנק לאומי, 2019), עובד רשאי לדרוש שהמעסיק יבחר בשיטה פחות פולשנית אם קיימת החלופה.
בישראל, אין חוק ייעודי לביומטריקה בעבודה, אך בתי הדין לעבודה מסתמכים על חוק עבודה (כללי) (עבודה אדריכלית), התשל״ה-1975, וחוק הגנת הפרטיות. מעסיק שמנהל מערכת סריקת פנים בכניסה למקום העבודה חייב להודיע לעובדים מראש, לקבל הסכמה בכתב, ולשמר את מידע הביומטריה בהצפנה מלאה. שימוש בנתונים למטרות אחרות (כגון מעקב ביצוע עבודה חוץ מנוכחות) כרוך בהפרה של החוק וחשיפה לתביעה בנזיקין.
הגנה על מידע ביומטרי במנהל הממשלתי ותקני הצפנה
רשויות ממשלתיות שאוגרות מידע ביומטרי חייבות לעמוד בתקני הצפנה גבוהים. משרד הפנים, שמנהל את מסד הנתונים של הזהויות הישראלית (אשר כולל סריקות דנ״א של אזרחים שעברו בדיקות משפחה), מחויב בהוראת הצפנה אישית של נתונים. משרד הביטחון, כן, ערך ביקורת פנימית בשנת 2021 (ממנו בחזקת חסוי בטחון) שגילתה דליפות בנתונים ביומטריים. לאחרונה (2024), הציע משנה שופט גבית בעת שימוע בוועדת הכנסת כי יש צורך בחוק ייעודי רחב להגנה על ביומטריה בשירות הציבורי, בעיקר בנסיבה של פתיחת ביומטריה לצרכי זיהוי דיגיטלי.
תביעות נזיקין וחיוב פיצויים על הפרת זכויות ביומטריה
אדם שלו הופרו זכויות הגנת הפרטיות במידע הביומטרי שלו רשאי לתבוע מפרים בתביעת נזיקין. בעניין תאגיד תקשורת נגד אזרח, שדן בשימוש לא חוקי בטביעות אצבע של אזרחים לצורך מעקב, בית המשפט קבע כי דמי נזק צפויים עמדים על 5000-10000 שקלים לנתון ביומטרי מופר, בהתאם לחומרת ההפרה ותוקפה. בנוסף, בתי משפט הכירו בקנין של פגיעה בעלילה ובכבוד האדם, ועל כן ניתן לכלול בתביעה בקשה לפסק דין מהעיקרון. אם הפרה זו נעשתה בכוונת תכלול או במפקר רשלני, חברה עשויה להיות חייבת בפיצויים מוגברים ובהוצאות משפטיות מלאות.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשעקיף מקרה הקשור לביומטריה בעבודה, בדקו תחילה האם המעסיק קיבל הסכמה בכתב מהעובד וציין בו למה בדיוק. העדר תיעוד ברור יחשף את המעסיק להרות בנזיקין משמעותיות.
- פסיקה רלבנטית: בעניין הראל בנק נגד בנק לאומי (2019), בית המשפט קבע כי עובד רשאי לדרוש שיטה פחות פולשנית אם קיימת חלופה; בפסק דין בעניין פלוני נגד רשות הדיור (2020), העליון קבע שצו מחיקה של ביומטריה יכול להיות נאכף כנגד גופים ציבוריים.
- טעות נפוצה: עורכי דין לעיתים מניחים שרשויות ממשלתיות יכולות לאסוף ביומטריה ללא הסכמה בכל מקרה. זה שגוי — גם לרשויות חלות חריגות מוגדרות בחוק, ודרוש פיקוח שופטי.
- נקודה טקטית: בהטיפול בעניין בעבודה, שכנעו את הצד השני להגדיל את חובת ההוכחה על המעסיק להוכיח הסכמה כתובה. בחוק הגנת הפרטיות, הנטל הוכחה על גורם האיסוף.