הרשות להגנת הפרטיות ממליצה לארגונים ולגופים ציבוריים לצמצם מידע עודף

נוכח העלייה בהיקף התרחשותם של אירועי אבטחת מידע חמורים, הרשות להגנת הפרטיות פרסמה מסמך עם המלצות ודגשים לארגונים במשק ולגופים ציבוריים כיצד לפעול במטרה למזער את הסיכונים כתוצאה משימוש במידע עודף. הרשות מזמינה את הציבור להעביר לה התייחסויות והערות למסמך ולהשפעותיו עד לתאריך ה-29.04.21.

מידע אישי עודף הוא מידע אשר נאסף ונשמר במאגרי מידע, אולם אינו רלוונטי לשם השגת המטרה שלשמה נטען שהוא נאסף מלכתחילה או למטרות המאגר בו הוא נשמר. מידע עשוי להיות עודף כבר במועד שבו נאסף, ויכול להפוך לעודף בחלוף הזמן. מידע עשוי להיחשב עודף, בין היתר, בשים לב להיקפו, לסוגו ולמשך שמירתו.

לגישת הרשות להגנת הפרטיות יש להימנע ככל האפשר מאיסוף ושמירה של מידע אישי שאינו הכרחי למטרת האיסוף או למטרת המאגר שבו הוא שמור. לפיכך, מומלץ כי ארגונים וגופים ציבוריים יקפידו לאסוף ולשמור אך ורק את המידע המינימלי הנדרש וההכרחי למטרות האמורות.

איסוף או שמירה של מידע עודף גם מייצרים, לגישת הרשות, סיכון מיותר לאבטחת המידע. בהתאם לתקנות הגנת הפרטיות (אבטחת המידע) על בעל מאגר מידע לבחון, אחת לשנה, אם המידע שהוא שומר במאגר אינו חורג מן הנדרש ביחס למטרות המאגר. הרשות ממליצה שבדיקה כזו תיערך כמה פעמים לאורך השנה, בהתאם לסוג המידע השמור ומטרת איסופו,  וזאת על מנת להימנע ממצב שבו מידע עודף נשמר במאגר ללא הצדקה לפרקי זמן ארוכים.

לעניין זה מבהירה הרשות כי אי  צמצום מידע בנסיבות שבהן בעל המאגר בחן והגיע בעצמו למסקנה כי מידע השמור במאגר שנמצא בבעלותו הוא אכן עודף, עשוי להוות הפרה של התקנות ופגיעה בפרטיות, ובעל המאגר אף עלול להיות חשוף בגינה לתביעות אזרחיות.

בנוסף, הרשות מדגישה כי צמצום מידע עודף – הן בשלב האיסוף הראשוני והן לאורך תקופת שמירתו של המידע – מסייעים במזעור הסיכונים לפגיעה בפרטיות, העשויים לנבוע מהמשך החזקתו והשימוש בו.

עוד מציינת הרשות, כי צמצום מידע עודף אף עולה בקנה אחד עם האינטרס הפנימי של ארגונים אשר מחזיקים במידע אישי למזעור סיכונים לפרטיות והפרות של החוק. במסגרת כך מזכירה הרשות את היתרונות שבמינוי ממונה הגנה על הפרטיות כגורם המתאים בארגון לבחינת הצעדים למזעור הסיכון לפגיעה בפרטיות.