ב- 14 ביוני 2023 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות (להערות הציבור), וזאת, לשיטת הרשות, נוכח ריבוי המקרים בהם יחידים מתבקשים לספק את מספר תעודת הזהות שלהם ואף למסור צילום של תעודת הזהות שלהם על מנת לקבל מוצר או שירות, או לצורך אישור כניסתם למקום מסוים. טיוטת גילוי הדעת סוקרת את עמדת הרשות להגנת הפרטיות ביחס ללגיטימיות ולחוקיות של דרישות אלו, בהתחשב ברגישות המידע ובהיקפו.
במסגרת טיוטת גילוי הדעת, מפרטת הרשות את סוגי המידע הרבים אשר נכללים בתעודת הזהות, לרבות שם [ושמות קודמים], שמות ההורים, תאריך הלידה ומקומה, המין, וכדומה (ואף מידע נוסף בספח הקשור לסטטוס המשפחתי, כתובת, פרטי בן הזוג והילדים). הרשות מדגישה כי, בנוסף לפריטי המידע אשר צוינו לעיל (ואשר הינם בגדר "מידע" או " ידיעה על ענייניו הפרטיים של אדם" כהגדרת המונחים תחת חוק הגנת הפרטיות התשמ"א-1981 ("חוק הגנת הפרטיות")), מספר תעודת הזהות עצמו הינו בגדר מידע אישי בהיותו ה"מפתח" המאפשר גישה למידע האישי האמור. על כן, איסוף ו/או שימוש בפריטי המידע לעיל כפופים להוראות חוק הגנת הפרטיות.
בטיוטת גילוי הדעת מבהירה הרשות כי מלבד המקרים החריגים בהם כלל המידע המופיע בתעודת הזהות נחוץ לבעל העסק על מנת לספק ללקוח את השירות המבוקש, או במקרים בהם בעל העסק נדרש לצלם את תעודת הזהות על מנת למלא אחר חובה חוקית, לא קיימת הצדקה לדרישה לקבל צילום ו/א לצלם את תעודת הזהות ומידע זה הינו, לשיטת הרשות, בגדר "מידע עודף". כך לדוגמה, כאשר אין מגבלת גיל לרכישת המוצר, צילום תעודת הזהות באופן החושף את גילו של הלקוח, מהווה מידע עודף. בנוסף, על פי הנחיית הרשות במסגרת טיוטת גילוי הדעת – גם אם ביקש בעל העסק מהלקוח לצלם את תעודת הזהות שלו על מנת לאמת את זהותו, על בעל העסק לאפשר ללקוח (אם יבקש זאת) להסתיר את הפרטים מתעודת הזהות אשר אינם נדרשים לצורך אספקת השירות או המוצר, וכן ישחיר בעל העסק את כלל פריטי המידע שאינם אינו נחוצים לו על מנת לספק את השירות או המוצר. עוד מוסיפה הרשות כי גם במקרים החריגים בהם בעל העסק נדרש לאמת את זהותו של הלקוח על מנת לספק את השירות או המוצר, בין אם קיימת חובה חוקית או אחר, ניתן, במקרים המתאימים לעשות שימוש באמצעי זיהוי שפגיעתו בפרטיות פחותה, כגון אימות באמצעות קוד שנשלח ללקוח מבעוד מועד באחד מאמצעי התקשורת אותם סיפק הלקוח.
כמו כן, הודגש בטיוטת גילוי הדעת כי איסוף מספר תעודת הזהות ו/או צילום תעודת הזהות, כפוף לעמידה בהוראת סעיף 11 לחוק הגנת הפרטיות – הקובע כי בטרם איסוף המידע האישי, תינתן לאדם המוסר את תעודת הזהות ו/או צילום התעודה, הודעה הכוללת את הנתונים המפורטים תחת הסעיף, ולרבות : (1) האם חלה על האדם חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו החופשי; (2) המטרה לשמה מבוקש המידע; (3) למי יימסר המידע ומטרות המסירה, וזאת – בין היתר, כתנאי לקבלת הסכמתו מדעת למסירת הפרטים. יתרה מכך, מדגישה הרשות כי ככל שבכוונת בית העסק לבקש מלקוח למסור צילום של תעודת הזהות לצורך קבלת שירות או מוצר, עליו לציין זאת בפני הלקוח טרם השלמת הליך הרכישה (גם כאשר הדרישה מבוצעת בפועל על ידי חברת השליחויות הפועלת מטעמו של בית העסק).
לעניין מאגר המידע הנוצר אצל בעל עסק השומר במאגריו את פרטי תעודת הזהות או את צילום תעודת הזהות, תחת טיוטת גילוי הדעת, קובעת הרשות כי על בעל עסק כאמור למחוק כל מידע עודף אשר אינו נחוץ לו, לרבות מידע השמור במכשיר הנייד ממנו נאסף (לדוגמה הטלפון הנייד של השליח באמצעותו ביצע בעל העסקה את מסירת המוצר). הרשות הבהירה כי נוכח המידע הגלום בתעודות הזהות והסיכונים המיוחדים הגלומים במאגר המכיל מספר רב של מספרי תעודות זהות או צילומי תעודות זהות, במסגרת הבחינה השנתית שמחויב בעל מאגר מידע לערוך מכוח תקנה החוק והתקנות שהותקנו מכוחו, עליו לכלול התייחסות ספציפית ומפורשת לצורך בשמירת מספרי תעודת זהות או צילומי תעודת זהות במאגר.
צוות APM לפרטיות ואבטחת מידע.