בקצרה: טביעות אצבע, סריקת פנים, זיהוי קול — כל אלה מידע ביומטרי שלא ניתן לאסוף ללא הסכמתך המפורשת. מעסיק שהתקין מערכת סריקת פנים בלי לקבל הסכמה כתובה — הפר את החוק. גוף שמחזיק את הנתונים שלך ואין לו עוד סיבה — חייב למחוק. ואם הופרה פרטיותך, מגיע לך פיצוי.

מה נחשב מידע ביומטרי — ומדוע הוא מוגן במיוחד?

טביעת האצבע שלך לא ניתנת לשינוי ולא ניתנת להחלפה — אם נחשפה, לא ניתן לקחתה בחזרה. זה בדיוק מה שהופך מידע ביומטרי לקטגוריה המוגנת ביותר בדיני הפרטיות הישראליים. חוק הגנת הפרטיות, התשמ"ד-1981, מגדיר כמידע רגיש במיוחד: טביעות אצבע, סריקת קשתית עין, זיהוי פנים, זיהוי קול, ו-DNA. איסוף ללא הסכמה — אסור. שמירה ללא תכלית — אסורה. הפרה — עלולה לגרור תביעה אזרחית ואפילו אחריות פלילית.

מתי מותר לאסוף מידע ביומטרי — ומתי אסור בהחלט?

הכלל הבסיסי הוא פשוט: לא ניתן לאסוף מידע ביומטרי ללא הסכמה מפורשת, מודעת וספציפית. ההסכמה חייבת לפרט בדיוק לאיזו מטרה יישמש המידע — אי אפשר לקבל הסכמה כללית ולהשתמש בנתונים לכל מטרה שתבוא. כך, מי שנתן הסכמה לסריקת אצבע לצרכי כניסה לבניין — לא הסכים לשימוש אותה בסריקה לצרכי ניטור ביצועים.

גופים שנדרשים לעמוד בהוראות אלו כוללים בין היתר: מוקדי שדות תעופה, משטרה, שירותי ביטחון, בנקים וחברות ביטוח. בנק המתקין מערכת סריקת קשתית בפתיחת חשבון חייב לשמור תיעוד ברור של הסכמת הלקוח, ולתכלית מוגדרת בלבד.

הזכויות שלך: גישה, תיקון ומחיקה

חוק הגנת הפרטיות מקנה לכל אדם זכות לדעת מה מחזיקים עליו — כולל מידע ביומטרי. אפשר לדרוש לקבל את המידע בכתב, בתוך 30 יום מהפנייה. אם המידע שגוי, מיושן, או שנעשה בו שימוש למטרה שלא הוסכמה — יש לך זכות לדרוש תיקון או מחיקה.

תיקון מס' 13 לחוק הגנת הפרטיות (התשפ"ב-2022) חיזק את זכות המחיקה: כאשר אין עוד תכלית להחזקת המידע הביומטרי, הגוף שמחזיק אותו חייב למחוק אותו לפי דרישה. ⚠️ הערה: אין לבלבל בין הוראות חוק הגנת הפרטיות הישראלי לבין תקנות ה-GDPR האירופיות — הזכויות בישראל קיימות אך שונות בפרטיהן.

מתי המשטרה יכולה לאסוף ביומטריה בלי רשותך?

קיימות חריגות חוקיות שמאפשרות לרשויות אכיפה לאסוף מידע ביומטרי ללא הסכמה מראש, אך תמיד בתנאים מוגדרים:

גם לרשויות הממשלה — לא רק לחברות פרטיות — חלות מגבלות. ההנחה שרשות ממשלתית רשאית לאסוף ביומטריה חופשית כרצונה — שגויה.

המעסיק ביקש טביעת אצבע? מה מותר לו ומה לא

מעסיק שרוצה לאסוף מידע ביומטרי מעובדים — לצורך כניסה למתקנים מאובטחים או רישום נוכחות — חייב לעמוד בשלושה תנאים: הודעה מראש לעובד, הסכמה כתובה ומפורשת, ואבטחה מוצפנת של הנתונים. שימוש בנתונים הביומטריים לכל מטרה מעבר לזו שסוכמה — הפרת חוק.

בנוסף, אם קיימת חלופה פחות פולשנית (למשל, כרטיס מגנטי במקום סריקת אצבע), עובד יכול לטעון שהמעסיק לא היה רשאי להטיל את הפתרון הביומטרי. בתי הדין לעבודה בוחנים מידתיות: האם הביומטריה הכרחית, או שניתן להסתפק בפחות?

כיצד חייבים לאחסן ולאבטח מידע ביומטרי?

רשויות ממשלתיות ועסקים פרטיים שמחזיקים מידע ביומטרי חייבים לעמוד בתקני הצפנה גבוהים, לנהל מדיניות אבטחה כתובה, ולוודא שהגישה למידע מוגבלת למורשים בלבד. פרצת אבטחה שחשפה נתונים ביומטריים — מחייבת דיווח לרשם מאגרי המידע ועלולה לפתוח בפני הנפגעים זכות תביעה.

הפרו את פרטיותך? כמה פיצוי ניתן לתבוע

מי שנפגע מאיסוף לא חוקי של מידע ביומטרי רשאי לתבוע פיצוי לפי חוק הגנת הפרטיות — גם ללא הוכחת נזק ממשי (פיצוי סטטוטורי). בנוסף, ניתן לתבוע בגין פגיעה בכבוד ובפרטיות לפי עוולת הנזיקין. הסכומים שנפסקו בתי המשפט משתנים בהתאם לחומרת ההפרה, היקפה, ומידת הזדוניות — ⚠️ קיימת פסיקה ישראלית רלבנטית בנושא, אך פסקי דין ספציפיים ראוי לאמת לפני ציטוט.

אם ההפרה נעשתה בכוונה או ברשלנות חמורה, בית המשפט רשאי לפסוק פיצויים מוגברים ולחייב בהוצאות משפט.

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.

📌 זווית מקצועית — לעורכי דין