הרשות להגנת הפרטיות, מתריעה על הסיכונים לפרטיות הציבור כתוצאה מאיסוף, שמירה ושימוש במידע אישי עודף ומדגישה בפני ארגונים וגופים ציבוריים את הוראות הדין בנושא, כמו גם את החשיבות והתועלת בצמצומו במטרה להקטין את הסיכונים לפרטיות הציבור.
- הרשות להגנת הפרטיות: לא לשימוש כפוי ביישומון המגן
- בעקבות הפריצה לשירביט: המלצה למנות ממונה על הגנת הפרטיות בארגונים
נוכח העלייה בהיקף התרחשותם של אירועי אבטחת מידע חמורים, הרשות להגנת הפרטיות פירסמה מסמך שסקר את הפרקטיקה, בה ארגונים וגופים ציבוריים אוספים, שומרים ועושים שימוש במידע עודף ואת הסיכונים לפרטיות העלולים להיגרם כתוצאה מכך. במסמך, אשר מפורסם בשלב הראשון לקבלת התייחסויות והערות מאת הציבור, מפרטת הרשות המלצות ודגשים לארגונים במשק ולגופים ציבוריים כיצד לפעול במטרה למזער את הסיכונים כתוצאה משימוש במידע עודף.
מידע אישי עודף הוא מידע אשר נאסף ונשמר במאגרי מידע, כך לפי הרשות, אולם אינו רלוונטי לשם השגת המטרה שלשמה נטען שהוא נאסף מלכתחילה או למטרות המאגר בו הוא נשמר. מידע עשוי להיות עודף כבר במועד שבו נאסף, ויכול להפוך לעודף בחלוף הזמן. מידע עשוי להיחשב עודף, בין היתר, בשים לב להיקפו, סוגו ומשך שמירתו.
לגישת הרשות להגנת הפרטיות, יש להימנע ככל הניתן מאיסוף ושמירה של מידע אישי שאינו הכרחי למטרת האיסוף או למטרת המאגר בו הוא שמור. לפיכך, מומלץ כי ארגונים וגופים ציבוריים יקפידו לאסוף ולשמור אך ורק את המידע המינימלי הנדרש וההכרחי למטרות האמורות.
לעמדת הרשות, עיקרון צמצום המידע נלמד בין השאר מעיקרון צמידות המטרה הבא לידי ביטוי בחוק הגנת הפרטיות, ממנו עולה כי איסוף, שמירה ושימוש במידע חייבים להיעשות בהתאם למטרת האיסוף ומאגר המידע.
איסוף או שמירה של מידע עודף גם מייצרים, לגישת הרשות, סיכון מיותר לאבטחת המידע. בהתאם לתקנות הגנת הפרטיות (אבטחת המידע) על בעל מאגר מידע לבחון, אחת לשנה, אם המידע שהוא שומר במאגר אינו חורג מן הנדרש ביחס למטרות המאגר. לעניין זה מבהירה הרשות כי אי-צמצום מידע בנסיבות בהן בעל המאגר בחן והגיע בעצמו למסקנה כי מידע השמור במאגר שנמצא בבעלותו הוא אכן עודף, עשוי להוות הפרה של התקנות ופגיעה בפרטיות.
הרשות הדגישה כי "צמצום מידע עודף, הן בשלב האיסוף הראשוני והן לאורך תקופת שמירתו של המידע, מסייעים במזעור הסיכונים לפגיעה בפרטיות העשויים לנבוע מהמשך החזקתו והשימוש בו". במסמך, הוסיפה הרשות כי צמצום מידע עודף אף עולה בקנה אחד עם האינטרס הפנימי של ארגונים אשר מחזיקים במידע אישי, למזעור סיכונים לפרטיות והפרות של החוק. במסגרת כך מזכירה הרשות את היתרונות שבמינוי ממונה הגנה על הפרטיות כגורם המתאים בארגון לבחינת הצעדים למזעור הסיכון לפגיעה בפרטיות.
