בקצרה: עסקים המטפלים במידע אישי צריכים לרשום מאגר בצו הגנת הפרטיות (חוק). רישום דורש: סוג מידע, מטרת עיבוד, משך שמירה וצעדי אבטחה. קנסות בחוק בהעדר רישום.

מהו רישום מאגר מידע ומי נדרש לרשום

חוק הנתונים האישיים, התש״ם-1981, סעיפים 27-28, קובע שכל בעל מאגר מידע שמחזיק מידע אישי על אדם צריך לרשום את מאגרו לפי דרישות הכללים. רישום כזה נקרא "הודעה מאומתת" (notification) והוא רישום פומבי שניתן לעיון הציבור. מטרת הרישום היא לתת שקיפות: כל אדם יכול לדעת אילו חברות מחזיקות בנתונים שלו.

בישראל, פקיד הגנת הנתונים (מטעם משרד המשפטים) מנהל מאגר ציבורי של רישומים. כל הודעה חדשה, שינוי בהודעה או מחיקה משודרגית כמיד לפקיד. הודעה לא נכונה או חסרה עלולה להוביל לקנס של עד 500,000 שקל.

לא כל בעל מידע צריך לרשום. חריגים כוללים:

אך בחזון כלכליות, כמעט כל עסק צריך לרשום: חנות באינטרנט מחזיקה בפרטי לקוחות, משרד עורכי דין מחזיק בפרטי לקוחות, וגם קופה חולים מחזיקה בנתוני חברים. הכל צריך הודעה.

דרישות ההודעה המאומתת

סעיף 28 לחוק קובע שההודעה צריכה לכלול את המידע הבא:

שם וכתובת בעל המאגר: השם המלא של החברה או ארגון, כתובת המשרד הרשום בישראל, טלפון, דוא״ל, והייצוג משפטי אם רלוונטי.

מטרת המאגר: למה המידע אוסף וערוך? "לניהול כללי של חברה", "לביצוע חוזים", "לשיווק וקידום מכירות", "לבנקאות וביעוץ משכנתא"? צריך להיות ברור.

סוג המידע שמאוחסן: תעודה זהות, שם, כתובת, טלפון, דוא״ל, מספר חשבון בנק, נתוני בריאות, שתול וכו׳? התיאור צריך להיות מפורט, לא רחוק מדי.

קטגוריות של אנשים שמידע שלהם מוחזק: "עובדים", "לקוחות", "ספקים", "ממרציים", "חברות בקופת חולים"?

שרתים וחזקים של שמירה: המידע שמור בישראל או בחו״ל? אם בחו״ל — היכן? (ארה״ב, אירופה וכו׳) זה חיוני בשל דיני יצוא מידע.

מי יש גישה לנתונים: רק עובדי החברה? האם יש מעבדים שלישיים? (משום שלכל מעבד צריך סעיף נפרד בהודעה)

זמן שמירה: כמה זמן המידע משמור? "עד יום הפסקת הקשר עם הלקוח, בעוד שנה נוספת למטרות משפטיות"?

זכויות הנתונים: האדם שמידע שלו מוחזק רשאי לבקש עותק של הנתונים שלו, לתקן שגיאות, או למחוק את הנתונים בתנאים מסוימים.

יצוא מידע בחו״ל: אם מידע עוזב את ישראל (דוגמה: שמור בשרת של אמזון בארה״ב) — צריך לציין זאת ולהסביר הגנה משפטית.

תוקף ההודעה ועדכון

הודעה מאומתת תקפה ללא הגבלת זמן, אך היא צריכה להיות עדכנית. אם מאגר מידע משתנה (למשל, נוסף סוג מידע חדש או מעבד חדש), יש להציג תיקון בתוך 30 יום. טעות או השמטה בהודעה הראשונית צריכה להיתקן.

בעל מאגר צריך לעדכן את ההודעה כל שנה לפחות כדי להוודא שהיא עדיין מדויקת. ישנן חברות שהודעתן הישנה מ-2010 עדיין פעילה, וזה יוצר בעיות משפטיות כשמידע נתונים משתנה.

תוקף הדיגיטלי וקלט ההודעה

בעל מאגר יכול להגיש הודעה דרך אתר משרד המשפטים (מטעם פקיד הגנת הנתונים). האתר מציע טופס מובנה שבו ממלאים את הפרטים. אחרי הגשה, מקבלים "אישור הודעה" שניתן לשמור לצורך ביקורת.

אם פקיד הגנת הנתונים חושב שהודעה לא שלמה או כוללת בעיה משפטית, הוא יכול לתבוע עדכון בתוך 14 יום. בעל המאגר צריך להשיב, אחרת הודעה עשויה להיות דחויה או מוחקת מהרישום הפומבי.

בעל מאגר שלא נרשם, או שלא עדכן הודעה לא נכונה, עלול להיתבע בנזיקין. בנוסף, אם הודעה כוללת פרטים שגויים או עלומים, זה יכול להשפיע על זכויות של אדם שמעוניין בקשה לגישה למידע שלו (subject access request).

מקרה מחקרי: הודעה לחנות אינטרנט

חנות תקשורת באינטרנט צריכה להרשים מאגר בעבור:

כל מאגר הזה צריך הודעה נפרדת — או הודעה אחת גדולה שמתארת את כל הטרניות. הבחירה היא של החברה, אך צריך להיות ברורות.

זכויות הנתונים לגבי הרישום

אדם שמידע שלו מוחזק יכול להגיש "בקשת גישה" (subject access request) לבעל המאגר, בה הוא מבקש:

אם בעל מאגר מסרב לכבד זכויות אלה, אדם רשאי להגיש תלונה לפקיד הגנת הנתונים או לתבוע בנזיקין.

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.