כתובות דואר אלקטרוני הן מידע אישי לפי חוק הגנת הפרטיות
לאחרונה פרסמה הרשות להגנת הפרטיות גילוי דעת לפיו גם אוסף של כתובות דואר אלקטרוני לצד שמות בעליהן מהווה מאגר מידע.
לעמדת הרשות, כתובת דואר אלקטרוני היא בעלת מאפיינים ייחודיים הכוללים פרטים על אישיותו, מצבו המשפחתי או עיסוקו של האדם. בנוסף, כתובת הדואר האלקטרוני משמשת לעתים גם למטרות נוספות מעבר ליצירת קשר. למשל, כשם משתמש באתרי אינטרנט שונים – מה שהופך את הכתובת למידע ולא רק למען.
המונח מידע בחוק מוגדר באופן מאוד רחב. הוא כולל נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצבו הבריאותי והכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. לכן, מאגר הכולל מידע זה, בכפוף לשני חריגים, הוא מאגר מידע שיש לטפל בו בהתאם להוראות החוק והתקנות – ובכלל זה, תקנות אבטחת המידע.
שני החריגים להגדרת מאגר מידע הם קיומו של אוסף לשימוש אישי שאינו למטרות עסק; וקיומו של אוסף הכולל רק פרטי השם, המען ודרכי ההתקשרות ובלבד. שהם כשלעצמם אינם יוצרים אפיון שיש בו פגיעה בפרטיות ובלבד שבעל המאגר אינו מחזיק במאגר מידע נוסף.
גילוי הדעת של הרשות עוסק בחריג השני. עד למועד פרסום גילוי הדעת, לשאלת סיווגה של כתובת דוא"ל כ"מידע" לא ניתנה תשובה חד משמעית. היו שסברו שכתובת דוא"ל מהווה דרך התקשרות גרידא – כמו מספר טלפון. מנגד היו שנקטו בגישה מחמירה יותר וטענו שהיא מהווה "מידע". זאת משום שעצם היווצרות הרשימה, יצרה אפיון שיש בו מן הפגיעה בפרטיות. למשל, רשימת מטופלים של פסיכולוג. גם אם הרשימה כוללת אך ורק כתובת פיזית ומספר טלפון, העובדה שזו רשימת לקוחות של פסיכולוג, יש בה כדי לכלול אפיון שיש בו פגיעה בפרטיות.
הרשות קובעת: אוסף הכולל כתובות דוא"ל לצד שמות בעליהן מהווה מאגר מידע:
-
כתובת דואר אלקטרוני מהווה "מידע"
במקרים רבים ניתן להסיק מהכתובת דוא"ל עצמה נתונים אישיים נוספים אודות בעליה. למשל, ניתן להסיק נתונים על "הכשרתו המקצועית" של אדם (במקרים בהם הכתובת כוללת אזכור לתפקידו ולארגון בו הוא מועסק) ועל "צנעת אישותו" (במקרים בהם הכתובת כוללת ביטוי בעל מאפיינים מסוימים מהם ניתן ללמוד על כך). כתובת דואר אלקטרוני יכולה לתת מידע על "מעמד אישי" (במקרים של כתובת דוא"ל משותפת לבני זוג).
-
זו אינה "רק דרכי התקשרות"
ברבות השנים השימוש בכתובת דוא"ל לשם הזדהות ברשתות חברתיות ושירותים מקוונים הפך לרווח. מכאן שכתובת דוא"ל עשויה לשמש גם "מפתח" המאפשר לזהות אדם ולקשר בין פרטי מידע שונים עליו שמוחזקים במאגרים שונים. גם כאשר אין רצף האותיות המרכיב אותה כולל כשלעצמו "מידע" כהגדרתו בחוק.
-
כתובת דואר אלקטרוני עשויה ליצור "איפיון שיש בו פגיעה בפרטיות"
ברובם המוחלט של המקרים, בעלי עסקים מנהלים רשימה ממוחשבת של כתובות דוא"ל מזוהות לצורך שמירת קשר עם לקוחותיהם. "אפיון שיש בו פגיעה בפרטיות" לגבי אותם לקוחות, יווצר כל אימת שעצם הימצאותו של לקוח ברשימה מאפיין אותו באופן שחודר את מעטה הפרטיות שלו. כמו כן, ברשות בעל עסק המבקש לשמור על קשר עם לקוחותיו, יימצאו לרוב נתונים אישיים נוספים, כדוגמת פרטי תשלום ופרטי עסקאות שחושפים מידע על הרגלי צריכה. כך, גם טרם פרסום גילוי הדעת, לא היה מקום להחריג רשימות אלה מהגדרת מאגר מידע שכן התמלאו תנאי ה"חריג לחריג".
עמדת הרשות, לפיכך, היא כי התכלית החקיקתית של חוק הגנת הפרטיות היא למנוע שימוש לרעה במידע ולהגן על זכויותיו של האדם שהמידע הוא אודותיו. הפירוש הסביר היחיד, המגשים את תכלית החקיקה הוא כזה הרואה בכתובת דוא"ל לא "רק כדרך התקשרות", ולכן אוסף של שמות וכתובות דוא"ל ולא אינו מקיים את תנאי החריג להגדרת "מאגר מידע" שכן אין מדובר ברק שם ודרכי התקשרות.
בהתאם, כתובות דואר אלקטרוני הן מידע אישי. לכן אם הינך מחזיק, רשימה הכוללות שמות וכתובות דואר אלקטרוני (שאינה לצרכים אישיים), הרי שהינך מחזיק מאגר מידע. בהתאם הינך כפוף להוראות החוק והתקנות החלות על מאגרי מידע ועליך לרשום מאגר מידע בהתאם לתנאים הקבועים בחוק. כמו כן, עליך להגן על המאגר והמידע הכלול בו בהתאם לתקנות אבטחת המידע.
צוות המשרד עומד לרשותכם בנושא זה ובנושאים שונים הקשורים לפרטיות והגנת המידע.