הגנת הפרטיות
מדיניות הגנת הפרטיות של האוניברסיטה
רקע
- במסגרת חוק הגנת הפרטיות והתקנות שתוקנו מכוח החוק, נדרשת האוניברסיטה ליישם כללים הנוגעים להבטחת הפרטיות והגנת המידע האישי. בנוסף, קיימות בנושא הנחיות פרטניות של הרשות להגנת הפרטיות במשרד המשפטים, וכן רגולציה של האיחוד האירופאי (GDPR – EU General Data Protection Regulation).
נקודות עיקריות
- חוק הגנת הפרטיות מגדיר מהי פגיעה בפרטיות ובאילו מצבים היא מוצדקת. נקבע בו שהפגיעה בפרטיות היא עוולה אזרחית המאפשרת תביעת פיצויי נזיקין, וכן עבירה פלילית שעונשה המקסימלי שנת מאסר.
- החוק מסדיר את פעילותם של מאגרי מידע באוניברסיטה הכוללים מידע פרטי ורגיש.
- החוק מגדיר כעבירה חשיפת מידע אודות אדם, אשר באמצעות חשיפה זו ניתן לזהותו באופן חד משמעי.
- על כל עובד לשמור בקפידה על סודיות המידע המוגן על פי החוק הגנת הפרטיות.
- במקרה שעובד חושש כי מידע מוגן דלף לגורמים לא מורשים, עליו לדווח מידית לממונה אבטחת המידע.
הגדרות
- "החוק" - חוק הגנת הפרטיות, התשמ"א-1981, והתקנות שתוקנו מכוחו, לרבות "תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017".
- "חוק התקשורת" - חוק התקשורת (בזק ושידורים), התשמ"ב – 1982 .
- "מידע אישי" - כל מידע אודות אדם מזוהה או ניתן לזיהוי באמצעים סבירים; כגון למשל, פרטים אודות שמו של אדם, כתובתו, פרטי התקשרות עמו, מספר תעודת זהות ומספר כרטיס אשראי.
- "מידע רגיש" - מידע אישי על צנעת חייו האישים של אדם, מצבו הרפואי או הנפשי, דעותיו הפוליטיות ואמונותיו הדתיות, נטיותיו, הרגליו ומעשיו המיניים, וכן מידע גנטי, מידע כלכלי, לרבות מידע אודות הרגלי הצריכה של אדם, מידע אודות עברו הפלילי של אדם, נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח – 2007, ומידע שהוא מאפיין אנושי פיזיולוגי, ייחודי, הניתן למדידה ממוחשבת ומשמש לזיהוי.
- "מאגר מידע" - אוסף נתוני מידע אישי, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף.
- "בעל מאגר" - מי שיש ברשותו מאגר מידע והוא קובע את מטרות העיבוד של המידע האישי בו.
- "מנהל מאגר" - מי שמנהל בפועל את המאגר ומערכותיו, אחראי לאבטחת המידע במאגר בהתאם להוראות הדין, ע"י יישום דרישות והמלצות האבטחה. כמו כן, אחראי למתן הרשאות הגישה למאגר, בהתאם לרמות השונות הנדרשות.
- "מחזיק המאגר" - מי שמעבד מידע מטעמו של בעל/מנהל המאגר.
- "עיבוד מידע" - איסוף, אחזקה, שימוש, העברה, מחיקה או השמדה של מידע אישי.
- "נושא מידע" - אדם שמידע אישי אודותיו נאסף ונאגר ע"י בעל המאגר.
עקרונות
- עיבוד הוגן וחוקי - האוניברסיטה מעבדת מידע אישי באופן הוגן וחוקי ואוספת מידע אישי רק בהסכמה של נושא המידע או בהתאם להוראות כל דין וממקורות הפועלים כדין.
- הגבלת המטרה - האוניברסיטה מעבדת מידע אך ורק למטרות שלשמן נמסר המידע.
- מידע עודף - האוניברסיטה אינה אוספת מידע מעבר לנדרש לצורך מימוש המטרות שלשמן הוא נמסר.
- שקיפות - האוניברסיטה מפרטת בפני נושאי המידע את מטרות השימוש במידע שנאסף; העברות מידע מטרותיהן וזהות הנעברים (נושאי מידע מועבר); קיומן של זכויות עיון, תיקון והתנגדות.
- זכות עיון, תיקון והתנגדות - האוניברסיטה מעניקה לנושאי מידע זכות לעיין במידע אישי אודותיהם; לתקנו במידה שנמצא לא מדויק או מעודכן; ולהתנגד לשימוש בו למטרות דיוור ישיר, והכל בהתאם להוראות הדין.
- סודיות ואבטחה - האוניברסיטה שומרת על סודיות מידע אישי ומיישמת מנגנונים טכנולוגיים וארגוניים נגד אובדנו, פגיעה בשלמותו, גישה אליו ללא הרשאה או שינויו שלא כדין. מידע רגיש יזכה לדרגת אבטחה גבוהה והגישה אליו תחייב תהליכי זיהוי או אימות זהות הולמים.
- אחריות - האוניברסיטה מיישמת מנגנונים ארגוניים להבטחת האחריות של מנהליה, עובדיה, וספקיות שירותים עימם היא עובדת - לקיום המדיניות והעקרונות, ולהטלת סנקציות במידה של הפרתם.
הממונה על הגנת הפרטיות של האוניברסיטה (DPO – Data Protection Officer)
עו"ד מיטל דהרי – פריימסק