הגנת הפרטיות
אתר הגנת הפרטיות של אוניברסיטת תל אביב >
אוניברסיטת תל אביב פועלת להגנת הפרטיות לפי הנוהל המפורט להלן.
נוהל הגנת הפרטיות
1. פרק א: מ ט ר ה
אוניברסיטת תל אביב מחויבת להגן על הפרטיות, לרבות פרטיות עובדיה, תלמידיה, מי שבא בשעריה, ומי שיש להם קשר מחקרי או מנהלי אחר אליה. נוהל זה נועד לקבוע את מדיניות האוניברסיטה בהיבטים אלה, תוך איזון מתאים עם שיקולים מרכזיים אחרים בחיי האוניברסיטה, כמו קידום המחקר וחופש אקדמי, ביטחון, סדר ציבורי, וניהול תקין.
בעוד שהאוניברסיטה, כמו כל ארגון, מחוייבת לדין הישראלי, קיימים היבטים ייחודיים המאפיינים מוסד אקדמי שמטרותיו העיקריות הן יצור ידע, שימורו והנחלתו למען הציבור לדורותיו. בהיותה גוף הרואה עצמו כמנוע אינטלקטואלי וערכי, בישראל ובעולם, האוניברסיטה מקבלת על עצמה כללים לשמירת הפרטיות גם מעבר לנדרש בחוק זה, כמפורט בנוהל זה.
2. פרק ב: ה ג ד ר ו ת
"האוניברסיטה" |
אוניברסיטת תל-אביב.
|
" ה ו ו ע ד ה " |
הוועדה האמורה בסעיף 3.3 שלהלן.
|
" ה ח ו ק " |
חוק הגנת הפרטיות, התשמ"א -1981, או כל חוק שיבוא במקומו.
|
" ה מ נ ה ל " |
מי שמונה ע"י האוניברסיטה להיות מנהל מאגר.
|
" ה מ א ג ר " |
מאגר מידע של האוניברסיטה.
|
"מידע"
|
נתונים על אדם מזוהה, או שניתן לזהותו באמצעים סבירים, במישרין או בעקיפין, מתוך הנתונים עצמם או במצורף עם נתונים אחרים, בקשר לאישיותו, לגופו, אורחות חייו, מצבו הבריאותי, הכלכלי, אמונותיו ודעותיו, והרגליו, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר. |
"מאגר מידע"
|
מאגר מידע מוגדר בחוק כאוסף נתוני מידע, המוחזק באמצעי דיגיטלי, לרבות מגנטי או אופטי והמאפשר עיבוד ממוחשב.
|
"בעל מאגר מידע"
|
אוניברסיטת תל אביב[1]
|
"מחזיק מאגר מידע"
|
מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש.
|
"פגיעה בפרטיות"
|
כל שימוש במידע האסור על פי דין או על פי נוהל זה, לרבות איסוף מידע ועיבודו. |
"מחקר בבני אדם" |
כל מחקר בו מעורבים בני אדם, לרבות חומר אנושי או מידע על בני אדם, לרבות כאלה הנערכים במסגרת הלימודים לתארים השונים. |
|
|
"ממונה על אבטחת מידע"
|
הגורם האוניברסיטאי הממונה על אבטחת מידע וסייבר (CISO) |
"נושא מידע" |
(Data Subject) האדם שהמידע הוא על אודותיו |
3. פרק ג: בעלי תפקידים
3.1 הממונה על הגנת הפרטיות
- האוניברסיטה תמנה ממונה על הגנת הפרטיות (DPO – Data Protection Officer; להלן: "הממונה") שלו הסמכות המנחה העליונה לענייני פרטיות באוניברסיטה. הממונה יהיה עצמאי בקבלת החלטותיו ובביצוע תפקידו.
- הממונה יהיה בעל ניסיון והיכרות עם מגוון זרועות האוניברסיטה, ובעל רקע או הכשרה בתחום הפרטיות. הממונה לא ימלא תפקידים נוספים שעלולים להעמידו בניגוד עניינים. ככלל, הממונה יהיה חבר סגל אקדמי בכיר קבוע. מינוי של ממונה שאינו חבר סגל אקדמי בכיר מחייב הנמקה.
- הממונה ימונה על ידי הנהלת האוניברסיטה ויגיש להנהלת האוניברסיטה ולסנאט דוח פעילות שנתי בנושא. תקופת המינוי היא לשנתיים, וניתן להאריכה לעד שלוש תקופות כהונה רצופות (סך הכל עד 6 שנים).
- לא יועבר ממונה על הפרטיות מתפקידו במהלך תקופת המינוי אלא בהחלטה מנומקת של הנהלת האוניברסיטה שתאושר על ידי הוועד המנהל.
- לרשות הממונה יועמדו המשאבים הנדרשים למילוי תפקידו.
- לממונה תהיה סמכות לחקור ולקבל גישה לכל מידע באוניברסיטה הנדרש לצורך מילוי תפקידו.
3.2 תפקידי הממונה:
- להוביל את המדיניות האוניברסיטאית בנושאי פרטיות ולפקח על ביצועה, לרבות מתן הנחיות ליחידות וגופי האוניברסיטה השונים בתחום זה.
- להבטיח תיאום בין גופי הביצוע באוניברסיטה המופקדים על הגנת הפרטיות.
- להתריע בפני הנהלת האוניברסיטה על חריגה מנוהל זה.
- לקבל החלטות כאשר נדרש שיקול דעת, תוך הבטחת האיזון הראוי בין החופש האקדמי להקפדה על הפרטיות ובכפוף להוראות כל דין.
- לייצג את האוניברסיטה אל מול גורמי חוץ רלבנטיים בכל הנוגע לענייני פרטיות.
- לבצע את תפקידי הממונה על פי דין.
- לבצע פעולות הסברה והדרכה בתחומי אחריותו.
- לשמש כתובת ארגונית לצורך קבלת פניות בנושאי הגנת הפרטיות ולקשר עם לרשויות הגנת הפרטיות הרלוונטית.
3.3 הוועדה להגנת הפרטיות:
3.3.1 הרכב הוועדה
מוקמת בזה ועדת הגנת הפרטיות שהרכבה כדלקמן:
הממונה על הפרטיות |
- יו"ר |
חבר סגל אקדמי בכיר שהוא חוקר פעיל בתחומים הרלוונטיים לנושא הפרטיות, שימונה על ידי הרקטור |
- חבר |
מנהל רשות המחקר או נציגו |
- חבר |
יו"ר ועדת האתיקה או נציגו |
- חבר |
מנהל אבטחת המידע והסייבר הארגוני (CISO) או נציגו |
- חבר |
היועץ המשפטי או נציגו |
- חבר |
הוועדה תקבע את סדרי עבודתה.
3.3.2 תפקידי הוועדה
3.3.2.1 לסייע לממונה במתן ייעוץ להנהלת האוניברסיטה ולוועד המנהל בעניינים המפורטים בנוהל זה;
3.3.2.2 להציע שינויים ותיקונים לנוהל זה ולנהלים רלוונטיים אחרים;
3.3.2.3 לבחון קיומו של תיאום בין נהלי העבודה של היחידות הרלוונטיות כמפורט בפרק ה להלן, ולייעץ לממונה בנושא;
3.3.2.4 לדון בנושאים חוצי-ארגון בתחום הגנת הפרטיות;
3.3.2.5 למלא את תפקידי הוועדה להעברת מידע בין גופים ציבוריים לפי חוק הגנת הפרטיות, על פי הסמכה של מנכ"ל האוניברסיטה.
3.4 אחראי על זכויות נושאי מידע
מנכ"ל האוניברסיטה ימנה, בתיאום עם הממונה, עובד מנהלי שבנוסף על תפקידו יהיה האחראי על פניות נושאי מידע, בהתאם להוראות פרק ו בנוהל זה. האחראי יהיה כפוף מקצועית לממונה ומנהלית למנכ"ל ויפעל בהתאם להנחיותיהם.
4. פרק ד: עקרונות הגנת הפרטיות באוניברסיטה
4.1 עקרונות
4.1.1 האוניברסיטה תאסוף מידע ותעבדו, תוך שמירת הדין והכללים הרלוונטיים, לפי עקרונות של אתיקה במחקר, ובהתאמה לנהלי האוניברסיטה האחרים, תוך העדפה של איסוף מידע אנונימי, לפי העניין ובמידת האפשר.
4.1.2 איסוף המידע ועיבודו ייעשו בהגינות, תוך כיבוד זכויותיהם של נושאי המידע, בשקיפות, ולשם מימוש תכליות ראויות וחוקיות שקשורות בפעילות האוניברסיטה, וכן לשם ניהולה היעיל והתקין, ובמידה ולמשך זמן שאינם עולים על הנדרש לשם מימוש תכליות אלה.
4.1.3 יחידות האוניברסיטה וכל עובד מעובדיה נדרשים להקפיד במסגרת תפקידם שלא לפגוע בפרטיותו של אדם ללא הסכמתו. במקרה של ספק, יפנה העובד לקבלת הנחיות מהממונים עליו וככל הנדרש יפנו הממונים לקבלת חוות דעתם של הממונה לפי נוהל זה, על מנת שיבחנו את הסוגיה, ויתנו הנחיות מתאימות.
תכליות איסוף המידע ועיבודו
4.2.1 המידע שנאסף ומעובד על ידי האוניברסיטה ומטעמה ישמש אותה למטרות האלה:
- לשם פניה ומתן מידע מתאים למועמדים ורישומם כתלמידים בתכניות הלימודים השונות; ניהול לימודי התלמידים בכל היבטיהם, וקשר עם הבוגרים;
- לשם מחקר, בכל תחום דעת ובכל שיטת מחקר מדעית תקפה, ובכלל זה איסוף המידע, עיבודו, בין באופן מזוהה ובין באופן שאינו מזוהה, ושמירת המידע לפי צורכי המחקר;
- לשם ניהול האוניברסיטה, ובכלל זה ניהול כוח האדם בכל הסגלים, עמידה בהתקשרויות חוזיות כלפי תורמים וצדדים שלישיים אחרים, ובקשר לפעילות של מי שאינם תלמידים או עובדים עם האוניברסיטה או בשטחה;
- לשם ציות להוראות חוק, צווים של בתי משפט ורשויות מוסמכות.
- לכל תכלית ראויה אחרת, בהסכמת נושא המידע.
4.2.2. מידע שנאסף למטרה אחת, לא ישמש למטרה אחרת, אלא בהסכמת נושא המידע, או על בסיס תכלית אחרת מאלה המנויות בסעיף זה, שמתירה שימוש כאמור.
4.3 מחויבויות האוניברסיטה
4.3.1 האוניברסיטה תפעל בקשר להגנת הפרטיות לפי הוראות הדין וכללי הקרנות המממנות מחקר, החלים על פעילותה, לפי העניין.
4.3.2 האוניברסיטה תשתמש במידע שנאסף רק לתכלית ראויה בהתאם להוראות נוהל זה.
4.3.3 האוניברסיטה תקבל מראש את הסכמת נושא המידע, בכפוף להוראות הדין בדבר איסוף מידע ועיבודו המתוכנן, תציין את התכלית שלשמו נאסף המידע, ותציין האם יש חובה בחוק למסור את המידע, והאם המידע יועבר לגורם אחר. ההודעה תכלול גם מידע בדבר זכויות נושא המידע בקשר למידע על אודותיו.
4.3.4 האוניברסיטה לא תעביר מידע שאספה לצדדים שלישיים, אלא בהסכמת נושא המידע, או אם הדבר נדרש או מותר על פי הוראות כל דין ובכפוף לאמור בנוהל זה.
4.3.5 האוניברסיטה מחויבת לפעול לשמירת סודיות המידע ואבטחתו לפי סוג המידע, רגישותו והיקפו, ולפי המקובל בתחום אבטחת המידע.
5. פרק ה: אחריות ומנגנונים ליישום העקרונות
כללי
כל גופי האוניברסיטה, לרבות יחידות האוניברסיטה, עובדיה, תלמידיה, ספקיה מבקריה ואורחיה כפופים להוראות נוהל זה. כל נהלי והוראות האוניברסיטה יבוצעו ויפורשו לפי האמור בנוהל זה.
5.1 אבטחת מידע
- האוניברסיטה, מחזיקי מאגר ומנהלי מאגרי המידע באוניברסיטה מחויבים לשמור על אבטחת המידע בהתאם לרמת האבטחה הנדרשת על פי דין לאותו מאגר, ובהתאם לנהלי אבטחת המידע של אוניברסיטת תל אביב והחוזים להם הם כפופים.
- כל גורם באוניברסיטה המחזיק מאגר מידע חייב לדווח עליו לממונה על אבטחת מידע באמצעות הטפסים האלה:
למאגרים מחקריים – יש למלא את הטופס בנספח א1 לנוהל זה;
למאגרים מנהלתיים – יש למלא את הטופס בנספח א2 לנוהל זה.
- האוניברסיטה, באמצעות הממונה על אבטחת מידע, תקבע נהלים והוראות בקשר לאבטחת המידע ברמה המתאימה, לפי מידת הרגישות של המידע ששמור בהם, גודל המאגרים, ולפי סטנדרטים טכנולוגיים מקובלים, והכל בכפוף לדרישות הדין.
5.2 מחקר
האוניברסיטה מחויבת לקיומו ושגשוגו של מחקר תחת חופש אקדמי, וזאת בצד מחויבותה להגנת הפרטיות של נושאי מחקר. היחידות המנהליות המסייעות לחוקרים מוכוונות לאפשר ביצוע המחקר תוך עמידה בכללי הגנת הפרטיות. עם זאת, עלולים להיווצר מקרים בהם נדרש שיקול דעת למציאת האיזון הראוי בין דרישות המחקר לדרישות הפרטיות. במקרים כאלו יש לפנות לממונה, שבסמכותו להכריע.
מחויבות לאתיקה במחקר: כל מחקר בבני אדם, לרבות מחקר שמשתמש בשאלונים וראיונות, נדרש לאישור ועדת האתיקה האוניברסיטאית, לפי כללי האתיקה המחייבים בקשר לניסויים בבני אדם. נושא הפרטיות הוא חלק מדרישות הגשת בקשה לאישור למחקר לוועדת האתיקה, ועמידה בתנאי ההגנה על הפרטיות מהווה תנאי לקבלת אישור כזה. כחלק ממערכת הגשת המחקר, על המבקשים להתייחס לשאלות הנוגעות לפוטנציאל הפגיעה בפרטיות הנחקרים, ולוודא עם הממונה על אבטחת מידע כמתואר בסעיף 5.1 מהו אופן הטיפול הנדרש במידע.
מחויבות לפרטיות במחקר ממומן: פעילות מחקרית אקדמית אשר ממומנת או נתמכת באמצעות גוף חיצוני לאוניברסיטה, מישראל או מחוצה לה, עשויה לכלול חובות נוספות בנוגע להגנה על פרטיות ואבטחת מידע. במקרה שפעילות זו כוללת איסוף או עיבוד מידע, יש לפנות לרשות המחקר ולוודא עמידה בכללים המחייבים, לפני התחלת כל פעילות הנוגעת למידע.
מחויבות להגנת הפרטיות בהעברת מידע בין גופי מחקר: העברת מידע בין חוקרים וגופי מחקר מחוץ לאוניברסיטה מחויב להסדרה, כמתואר בסעיף 5.5.1.
5.3 פרטיות בהתקנים אוניברסיטאיים דיגיטליים
האוניברסיטה תבצע ניטור של מידע אוניברסיטאי המצוי בהתקנים דיגיטליים שבבעלותה, לרבות התקנים בהם מצוי מידע פרטי, אך ורק בכפוף לנוהל זה ולעקרונות שלהלן:
(א) לגיטימיות – הגבלת המעקב והשימוש במידע שהופק כתוצאה ממנו, למטרות חיוניות לפעילות האוניברסיטה;
(ב) מידתיות – יש לבחון ולבחור את האמצעי אשר יפגע במידה הפחותה ביותר בפרטיותו של האדם;
פעילות הניטור כפופה לאימוץ הוראה מחייבת אשר תסדיר בין היתר את אופן ביצוע הניטור תוך הימנעות מחשיפת המידע הפרטי של המחזיק בהתקנים.
5.4 שימוש במצלמות
ככלל, השימוש במצלמות בקמפוס יעשה תוך בהתאם להוראות כל דין ותוך הקפדה על עקרונות שמירת הפרטיות.
5.4.1. השימוש במצלמות לצרכי אבטחה ייעשה בכפוף לאמור בנוהל מצלמות אבטחה.
5.4.2 השימוש במצלמות לצרכי מחקר יעשה באישור ועדת האתיקה.
5.4.3 השימוש במצלמות לצרכי הוראה יעשה בכפוף לנוהל זה.
5.4.4 השימוש במצלמות לצרכי עבודה יעשה בכפוף לנוהל זה.
5.5 העברת מידע
העברת מידע בין גופים, כאשר נדרש, תעשה תוך הקפדה על הגנת הפרטיות. להלן יפורטו הנחיות להעברת מידע במספר מקרים נפוצים:
5.5.1 העברת מידע לצרכי מחקר
הסכמים לחלופי חומרי מחקר (MTA) לרבות מאגרי מידע (DTA ), אשר כוללים מידע, הם באחריות סגן הנשיא למחקר ופיתוח, ויהיו בהתאם לכללים המפורטים ב: https://research-vp.tau.ac.il/import-export
5.5.2 העברת מידע למיקור חוץ
העברת מידע לצד ג ועיבודו מחייב בחינה מוקדמת של סיכוני אבטחת המידע בהתקשרות וקביעת הוראות חוזיות מפורשות בנושאים כדוגמת מטרות השימוש במידע, סוג העיבוד, משך ההתקשרות, אופן החזרת המידע בסיום ההתקשרות ועוד. כל חוקר או יחידה המעוניינים להתקשר עם צד שלישי חייבים לבצע את הפעולות האמורות לעיל ולתעד את הבחינה מוקדמת האמורה לעיל עם ולוודא עם יחידת הספקה ובמידת הצורך גם עם הלשכה המשפטית, כי בהסכם עם אותו צד שלישי יכללו ההוראות החוזיות המתאימות.
5.5.3 העברת מידע בין גופים ציבוריים
כל גורם באוניברסיטה המבקש למסור מידע לגוף ציבורי או לקבל מידע מגוף כאמור, יפנה אל הוועדה להגנת הפרטיות בבקשה מסודרת על גבי טופס הבקשה לקבלת מידע מאת גוף ציבורי לפי חוק הגנת הפרטיות (טופס א) המצורף לנוהל זה, כשכל הפרטים בו מלאים. רק לאחר שהוועדה אישרה את הבקשה יועבר הטופס לחתימתם של בעלי התפקידים המתאימים.
6. פרק ו: זכויות נושאי המידע
לנושאי המידע יש זכויות לפי חוק ולפי נוהל זה. נושאי מידע יכולים לפנות ולבקש לממש את זכויותיהם כמפורט להלן. הפניות יופנו אל האחראי על זכויות נושאי המידע, כמפורט בסעיף 3.4 לעיל.
- זכות עיון – נושא מידע זכאי לקבל, לבקשתו, אישור מהאוניברסיטה, בדבר החזקת מידע לגביו, וככל שמידע שכזה קיים, לקבל עותק מהמידע על אודותיו. נושא המידע זכאי לקבל פרטים בדבר מקור המידע על אודותיו, הבסיס החוקי ששימש לאיסוף המידע ועיבודו, מטרות האיסוף והעיבוד של המידע, והמשך המתוכנן לשמירת המידע, מי מחזיק במידע, ומה זכויותיו ביחס למידע. זכות זו לא תחול ביחס למידע אשר האוניברסיטה מנועה מלהעבירו, בהתאם להוראות כל דין.
6.2 זכות לתיקון המידע – ככל שהמידע שמוחזק בידי האוניברסיטה איננו מדויק, נושא מידע רשאי לבקש את תיקונו, וזאת בכפוף להוראות אחרות שעשויות לחול על המידע.
6.3 זכות למחיקת מידע – נושא מידע רשאי לבקש מחיקתו של המידע על אודותיו שמוחזק בידי האוניברסיטה, בהתקיים אחד התנאים האלה:
- כאשר אין עוד צורך במידע למטרות לשמן נאסף;
- כאשר העיבוד נעשה על בסיס הסכמתו, והוא מבטל הסכמה זו;
- כאשר המידע הושג או מעובד באופן בלתי חוקי או בניגוד לנוהל זה;
- כאשר הוראות הדין מחייבות מחיקתו של המידע.
האוניברסיטה תפעל למחיקת המידע, אלא אם יש לה אינטרס לגיטימי, או חובה חוקית, מוסרית, חברתית או מקצועית, או תוך ביצוע תפקידיה הרגילים של האוניברסיטה ובמהלך העבודה הרגיל שלא לעשות כך.
6.4 זכות להגבלת השימוש במידע – נושא מידע זכאי לבקש מהאוניברסיטה להגביל את השימוש במידע שעל אודותיו במקרים אלה:
- אם פנה בבקשה לתיקון המידע, וכל עוד הבקשה זו ונבדקת על ידי האוניברסיטה;
- אם עיבוד המידע מנוגד להוראות הדין או הנוהל;
- אם התכלית שלשמה נאסף המידע מוצתה, אולם קיים צורך לגיטימי בשמירתו של המידע על ידי האוניברסיטה.
6.5 זכות להתנגד לשימוש במידע– אם עיבוד המידע לא נעשה על בסיס הסכמה מדעת, אלא על בסיס חוקי אחר, נושא המידע רשאי לבקש מהאוניברסיטה לחדול מאיסוף המידע שעל אודותיו ומעיבודו. בקשה כזו תיבחן על ידי הממונה על הגנת הפרטיות באוניברסיטה, לאור הוראות הדין, ובשים לב לאינטרסים הלגיטימיים של האוניברסיטה.
6.6 זכות לניוד המידע – נושא מידע רשאי לקבל עותק מהמידע על אודותיו בפורמט מקובל וכן רשאי לבקש את העברתו לגורם אחר. בקשה כאמור תיבחן על ידי האוניברסיטה לאור הוראות הדין, ולפי האפשרויות הטכנולוגיות. זכות זו לא תחול במקרים בהם עיבוד המידע נדרש לצורך שמירה על אינטרס ציבורי.
אין במימוש זכות זו כדי למנוע מהאוניברסיטה להוסיף ולהשתמש במידע על אודות נושא המידע, במקרים שבהם מותר הדבר על פי הוראות כל דין, וכדי לממש אינטרס לגיטימי (צורך כשר) של האוניברסיטה, או חובה חוקית, מוסרית, חברתית או ציבורית.
6.7 זכות לביטול הסכמה – ככל שעיבוד המידע מבוסס על הסכמה מדעת, נושא מידע רשאי לבטל, בכל עת, הסכמה זו. זכות הביטול תחול ממועד קבלתה ההודעה באוניברסיטה, ומבלי לפגוע בחוקיות עיבוד המידע שכבר בוצע טרם קבלת ההודעה על ביטול ההסכמה.
6.8 הזכות להתנגד ליצירת פרופיל התנהגותי - נושא מידע רשאי להתנגד לעיבוד המידע וליצירת פרופיל התנהגותי שלו באמצעות עיבוד המידע, למעט באחד מהמקרים הבאים:
- בהתבסס על הנסיבות הספציפיות הנוגעות למקרה, כאשר הבסיס לאיסוף המידע הוא אינטרס ציבורי או אינטרס לגיטימי אחר של האוניברסיטה;
- במקרים בהם השירות הניתן הוא שירות מקוון;
- כאשר מטרת יצירת הפרופיל היא מחקר מדעי, היסטורי או עבור צרכי סטטיסטיקה, בהתבסס על הנסיבות הספציפיות הנוגעות למקרה*
וזאת במקרים בהם עיבוד המידע נחוץ לביצוע משימה שבבסיסה אינטרס הציבור.
6.9 הזכות להתנגד לתהליכים אוטומטים של קבלת החלטות -- כאשר לעיבוד מידע יש השלכות משפטיות או השלכות משמעותיות אחרות על נושא המידע, נושא המידע רשאי להתנגד לתוצרי עיבוד המידע שמתבצע באופן אוטומטי לגביו.
6.10 הגשת תלונה – נושא מידע רשאי להגיש תלונה הנוגעת לשימוש במידע על אודותיו ועיבודו לממונה.
7. הוראה זו חלה מיום פרסומה והיא מחליפה את קודמתה מיום 3.12.1987
נהלים /הצעות /הגנת הפרטיות [226365]
2.2.2021
נספח א
דברי הסבר
הוועדה שמונתה להמליץ על טיוטת הנוהל מצאה לנכון לתת מספר דברי הסבר ביחס לסוגיות מסוימות בנוהל, והכל בהתאם למצב החוקי והמשפטי ששרר בעת דיוני הועדה. להלן דברי ההסבר:
- ביחס לפרק א' – מטרה מבהירה הועדה כי נוהל זה מבקש להסדיר את הגנת הפרטיות בקשר לפעילות האוניברסיטה. הזכות לפרטיות אינה מוגדרת בחקיקה, לא בישראל ולא בעולם, בשל אופייה הדינמי, ותלותה בשינויים חברתיים, כלכליים, וטכנולוגיים. עם זאת, הזכות לפרטיות היא זכות יסוד במשפט הישראלי, ומוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו, שקובע כי "כל אדם זכאי לפרטיות ולצנעת חייו". סעיף 8 לחוק היסוד מתיר פגיעה בתנאים מסוימים ("פסקת ההגבלה"). בצד חוק היסוד, חוק הגנת הפרטיות, התשמ"א-1981, תקנות שהותקנו לאורך השנים מכוחו, והנחיות מחייבות של הרשות להגנת הפרטיות, קובעים במצורף שורה של הוראות בקשר להגנת פרטיות, איסוף מידע, עיבודו, אבטחתו, ועוד. לכך מצטרפים חוקים נוספים (למשל חוק התקשורת, לעניין דבר דואר פרסומי), לפי העניין. האוניברסיטה כפופה לכל אלה, כמו גם ולפסיקה של בתי המשפט בעניין.
האוניברסיטה, הן במתחם הפיזי שלה והן בפעילותה בכלל, היא גוף שיש בו פעילות הוראה ומחקר בהיקפים נרחבים, יש בה שורה של אינטראקציות יומיומיות בין עובדים ועובדות בכל הסגלים, תלמידים ותלמידות, אורחים, נבדקים שמשתתפים במחקרים, מועמדים ללימודים, בוגרים ובוגרות, עובדים לשעבר, ועוד. בכל אלה נוצר מידע רב, ויש צורך להסדיר את גבולות המותר והאסור בקשר לשימושים במידע.
הפרטיות אינה ניצבת לבדה בזירה, ובצידה יש אינטרסים חשובים אחרים כמו קידום המחקר וחופש אקדמי, ביטחון, סדר ציבורי, ניהול יעיל ותקין, ועוד, לפי העניין, ולפעמים יש התנגשות בין אלה לבין הפרטיות. בחלק מהנושאים האלה, יש לאוניברסיטה נהלים שונים, למשל [נהלי אבטחת מידע וסייבר, נוהל מצלמות ציבוריות, פרקטיקה לגבי אתיקה במחקר]. בחלקם, יש הוראות שנקבעו בחוק או בפסיקת בתי המשפט, למשל בקשר לפרטיות עובדים.
ההקשרים האוניברסיטאיים בהם מתעוררת הפרטיות מגוונים: פיסיים ודיגיטליים, מנהליים ומחקריים. הקשרים שונים מעוררים סוגיות שונות שמצריכות התייחסות נפרדת וייעודית. למשל, מחקר המערב בני אדם, בין שהוא מחקר קליני ובין שאינו מחקר קליני, יתנהל בהתאם לדרישות החוק, בהתאם לעקרונות המקובלים בקהילה הבין-לאומית ובהתאם לכללי האוניברסיטה בעניין אתיקה במחקרים מדעיים שמעורבים בהם בני אדם, ובהתאם להחלטות של ועדות האתיקה המוסדיות שהוקמו מכוח כללים אלה (מתוך "תקנון התנהגות ראויה במחקר", הוראת האוניברסיטה 10-025) ובמקרים המתאימים, גם להוראות של הקרנות המממנות. במיוחד, נציין מחקרים במימון אירופי. לפי כללי הקרנות האלה, יש חובה להחיל את הדין האירופי על היבטי הפרטיות של המחקר הממומן, ובעיקר ה General Data Protection Regulation (GDPR). בעת הזו, ה-GDPR מציב דרישות נוספות, מעבר לאלה שיש בדין הישראלי.
הנוהל המוצע מבקש לקבוע את מדיניות האוניברסיטה בהיבטי הפרטיות, בהתאם לדין הישראלי, תוך התאמה לדרישות רלוונטיות בחקיקה זרה או לכללים ייחודיים של קרנות מממנות. בשל מגוון ההקשרים, השינויים והמגוון במדיניות של קרנות מחקר, שינויים טכנולוגיים שמעוררים מצבים חדשים ולא צפויים, ובשל שינויים עתידיים אפשריים בחוק הישראלי, הנוהל המוצע מנוסח כך שמצד אחד, יתאים לעקרונות המשפטיים והאתיים הכלליים בקשר האוניברסיטאי, ומצד שני, אינו מפרט כללים פרטניים לכל מצב. אלה נקבעים בנהלים ותקנונים אוניברסיטאיים אחרים, או ייקבעו בנהלי עבודה פרטניים, שקל יותר לעדכן ולהתאים למצבים חדשים. בהתאם, הנוהל המוצע שואף להיות ניטרלי-לטכנולוגיה.
- ביחס להגדרת המונח "בעל מאגר מידע" בסעיף 2 לנוהל -נכון להיום, כל המידע שבאוניברסיטה רשום כמאגר מידע אחד אצל רשם מאגרי המידע, ועל כן האוניברסיטה היא בעליו של המאגר.
- ביחס להגדרת המונח "מחזיק מאגר מידע" בסעיף 2 לנוהל כל אוסף נתוני מידע, המוחזק באמצעי דיגיטלי, לרבות מגנטי או אופטי והמאפשר עיבוד ממוחשב מהווה מאגר מידע, בין אם המידע מוחזק על גבי מערכות הליבה הממוחשבות של האוניברסיטה ובין אם המדובר במידע המוחזק על גבי התקנים דיגיטליים במשרדו/מעבדתו של חבר הסגל או בביתו. גם במקרים בהם מתקבל המידע ממאגרי מידע חיצוניים לאוניברסיטה עדיין ייחשב מקבל המידע כמחזיק המאגר, גם אם לא בעליו. החוק מטיל חובות לשמירת הפרטיות גם על מחזיק המאגר.
- ביחס להגדרת המונח "פגיעה בפרטיות" בסעיף 2 לנוהל הוראות חוק הגנת הפרטיות קובעות כי אין לפגוע בפרטיותו של אדם ללא הסכמתו. החוק מגדיר כל אחת מהפעולות הללו כפעולות הפוגעות בפרטיותו של אדם:
- בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת
- האזנה האסורה על פי חוק
- צילום אדם כשהוא ברשות היחיד
- פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו
- פרסום תצלומו של נפגע ברבים שצולם בזמן הפגיעה או סמוך לאחריה באופן שניתן לזהותו ובנסיבות שבהן עלול הפרסום להביאו במבוכה
- העתקת תוכן של מכתב או כתב אחר שלא נועד לפרסום, או שימוש בתכנו, בלי רשות מאת הנמען או הכותב
- שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח
- הפרה של חובת סודיות שנקבעה בדין או בהסכם לגבי ענייניו הפרטיים של אדם
- שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה
- פרסומו או מסירתו של דבר שהושג בדרך פגיעה בפרטיות
- פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
עם זאת, אין המדובר ברשימה סגורה והפסיקה הרחיבה את רשימת המקרים המהווים פגיעה בפרטיות.
- ביחס לתפקידי הועדה (סעיף 3.3.2.5 ) – פרק ד לחוק הגנת הפרטיות מסדיר את אופן העברתו של מידע מגוף ציבורי אחד לגוף ציבורי אחר. הוראות פרק זה חלות על ידיעות על עניניו הפרטיים של אדם, אף שאינן בגדר מידע, כשם שהן חלות על מידע. הכללים שנקבעו נועדו לוודא כי קיימת סמכות חוקית להעברת המידע וכי המידע מועבר ונשמר באופן מאובטח בהתאם להוראות כל דין.
על מנת להשלים את הכללים, תוקנו תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו-1986. תקנה 3א קובעת כי על מנת לפקח על ההעברה, יקים כל גוף ציבורי ועדה להעברת מידע. זה נוסח התקנה:
(א) המנהל הכללי של גוף ציבורי ימנה ועדה להעברת מידע לפי פרק ד' לחוק.
(ב) המנהל הכללי יהיה יושב ראש הוועדה, ואולם הוא רשאי למנות את סגנו ליושב ראש הוועדה במקומו או עובד בכיר הכפוף לו ישירות; לענין תקנה זו, "עובד" – לרבות חייל, סוהר או שוטר.
(ג) בין חברי הוועדה יהיו היועץ המשפטי של הגוף הציבורי או נציגו, ועובדים שתחום עיסוקם הוא בניהול מידע ואבטחתו; מספר חברי הוועדה לא יפחת משלושה.
(ד) הוועדה תדון ותחליט אם ובאיזו מידה –
(1) להיעתר לבקשות למסירת מידע מן הגוף הציבורי;
(2) לאשר הגשת בקשות של הגוף הציבורי לקבלת מידע מאת גוף ציבורי אחר.
(ה) הוועדה תקבע הוראות לעניין ההרשאות וההגבלות בעניין הגישה למאגרי המידע; על הוראות אלה יחולו הוראות סעיף 6 לחוק חופש המידע, התשנ"ח-1998 (להלן – חוק חופש המידע).
נכון להיום מונתה על ידי מנכ"ל האוניברסיטה ועדה של שלושה אנשים, בראשה עומד סמנכ"ל מחשוב וטכנולוגיות מידע, וחברים בה נציג היועץ המשפטי וכן עובד בכיר באגף המחשוב וטכנולוגיות מידע. מוצע לבטל את הרכב הוועדה הנוכחי ולקבוע תחתיו כי הוועדה להגנת הפרטיות תמלא גם את תפקידי הוועדה להעברת מידע בין גופים ציבוריים מכוח הסמכתו של מנכ"ל האוניברסיטה.
1. ביחס לסעיף 4.1 – עקרונות - סעיף 4.1.1 מבהיר (א) שהנוהל מבקש ליישם את הדין (חקיקה ופסיקה), שהאוניברסיטה כפופה אליהם; (ב) מדגיש את החשיבות של כללי אתיקה במחקר – שמכל הכללים הקשורים לציר המרכזי של הנוהל המוצע, הוא החשוב והייחודי ביותר (ייחודי – במובן זה שהגנת פרטיות בהיבטי ניהול משותפת לכל ארגון שיש בו מידע. היבטי מחקר ייחודיים למוסדות הוראה ומחקר); (ג) מבהיר שהנוהל המוצע הוא חלק מהמארג האוניברסיטאי הכללי. זה כמובן מובן מאליו, אבל האזכור נועד לבסס את היות הנוהל הציר המרכזי של אותם נהלים אחרים שעוסקים במקטעים נפרדים של פרטיות; (ד) מבהיר שהאוניברסיטה מקבלת את עקרון המינימיזציה: איסוף מידע אישי ועיבודו רק במינימום הדרוש למילוי תכלית ראויה.
סעיף 4.1.2 קובע עקרונות-על, ברמת הפשטה גבוהה. עקרונות אלה משלבים בין עקרונות ישראליים כלליים, עקרונות של הדין האירופי בתחום הפרטיות (סעיף 5 מה-GDPR), ועקרונות הגנת פרטיות ישראליים: (א) הגינות – מקור – GDPR; (ב) כבוד האדם – מקור – חוק יסוד: כבוד האדם וחירותו וכללי אתיקה במחקר; (ג) שקיפות – מקור – GDPR, וגם, משפט מנהלי ישראלי; (ד) קביעת מטרות כללית לאיסוף ועיבוד המידע – מקור – GDPR, וכן עקרונות של משפט חוקתי ומנהלי בישראל, ו"עקרון צמידות המטרה" בדין הישראלי; (ה) מידתיות – מקור – חוק יסוד: כבוד האדם וחירותו.
2. ביחס לסעיף 4.2 - תכליות איסוף המידע ועיבודו - סעיף 4.2 המוצע מגדיר את התכליות הלגיטימיות לאיסוף ועיבוד מידע. התכליות רחבות למדי, יודגש: אלה הן רק התכליות, לא התנאים השונים. לכן, הניסוח רחב המטרות, באופן כללי, הן: (א) ענייני תלמידים; (ב) ענייני מחקר; (ג) ענייני ניהול. עיבוד מידע יותר גם בקשר ל"מי שאינם תלמידים או עובדים" – למשל, משתתפים בכנסים, חוקרים אורחים מכל מיני סוגים, מתנדבים וכו', וכל זה גם בקשר לפעילות עם האוניברסיטה – כלומר קשרים מסוגים שונים, וגם בקשר לנוכחות פיזית.
אנחנו מציעים להשמיט מטרות כלליות נוספות שנזכרו בנוסח הקודם של – (1) "ניהול מערכת הרכש האוניברסיטאי". להבנתנו, אין כאן מידע על בני אדם, וככל שיש, נושא זה בא בגדר אחת המטרות הכלליות הקודמות; (2) "עיבוד מידע נדרש לטובת הציבור או לצורך הפעלת סמכות רשמית של האוניברסיטה." מטרה זו רחבה מדי, ולא ברור מה יש בה שאינו מוגדר במצבים האחרים. כן אנחנו מציעים להוסיף מטרה כללית של ציות לחוק (ה); (3) "עיבוד המידע נדרש לצורך מילוי אינטרסים לגיטימיים של האוניברסיטה או של צד שלישי." – תכלית זו נטמעת בתכליות שפורטו.
סעיף 4.2.2 המוצע משקף את "עקרון צמידות המטרה", שהוא עקרון יסוד בדיני הפרטיות בישראל ובאיחוד האירופי. בתמצית – אם מידע נאסף למטרה א, אי אפשר להשתמש בו למטרה אחרת, אבל אם האדם בו מדובר מסכים – אין קושי. הסיפא, של "או על בסיס תכלית אחרת" יוצרת מרחב תימרון לגיטימי. למשל, אם האוניברסיטה אספה מידע על מועמד (תכלית א) לצורך בדיקת מועמדותו, ונניח שזה משך את בקשתו, וכעת האוניברסיטה בקשת להשתמש במידע כדי לפנות אליו, ולשאול לפשר שינוי דעתו – הגם שזו זה כבר אינה המטרה המקורית, אלא מטרה אחרת, היא לגיטימית, ובהסכמת המועמד – אין בעיה לפנות אליו.
3. ביחס לסעיף 5.1 אבטחת מידע - חוק הגנת הפרטיות והתקנות שלפיו, קובעים רמות שונות של אבטחת מידע מכל סוג של מאגר. תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017 מגדירות שלוש רמות של אבטחת מידע, רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה. האוניברסיטה, מחזיקי מידע ומנהלי מאגרי המידע [כהגדרתם בנוהל] באוניברסיטה חייבים לשמור על אבטחת המידע בהתאם לרמת האבטחה הנדרשת לאותו מאגר ובהתאם לנהלי אבטחת המידע של אוניברסיטת תל אביב (https://computing.tau.ac.il/sites/cc.tau.ac.il/files/media_server/all-units/CC/tau-cybersecurity-policy.pdf) והחוזים החלים עליהם.
4. ביחס לסעיף 5.2 - מחקר, מחויבות לאתיקה במחקר: בקשר לניסויים בבני אדם - יש לפעול לכינון נוהל אוניברסיטאי בנושא
5. ביחס לסעיף 5.3 - פרטיות בהתקנים אוניברסיטאיים דיגיטליים - הפסיקה קובעת כי יכולת המעסיק לנטר את פעילות עובדיו במערכות החברה מוגבלת (למרות שמערכות אלו הן בבעלות המעסיק). כך, על המעקב אחר פעולת העובדים לעמוד בשלושת העקרונות העיקריים הבאים: (א) לגיטימיות – הגבלת המעקב והשימוש במידע שהופק כתוצאה ממנו, למטרות חיוניות למקום העבודה; (ב) מידתיות – יש לבחון ולבחור את האמצעי אשר יפגע במידה הפחותה ביותר בפרטיותו של העובד; (ג) צמידות המטרה – איסוף המידע מוגבל לצורך השגת המטרה הראשונית לשמה נאסף אותו מידע.
6. ביחס לסעיף 5.3 פרטיות בהתקנים אוניברסיטאיים דיגיטליים - פעילות הניטור כפופה לאימוץ נוהל מפורט אשר יסדיר בין היתר את מטרות הניטור, אופן ביצוע הניטור, השימוש במידע ועוד, שיוכן בשיתוף עם ועדי ארגוני העובדים.
7. ביחס לסעיף 5.4.1- שימוש במצלמות - הנוהל המעודכן חייב להתייחס הן למצלמות קבועות והן למצלמות גוף.
8. ביחס לסעיף 5.4.3- שימוש במצלמות - נדרש לנסח נוהל המעגן יישום סעיף זה לרבות הסכמה מדעת, הקלטות, שימוש בהקלטות, שימורן וכד'
9. ביחס לסעיף 5.5 - העברת מידע - לפי החוק, מסירת מידע מהאוניברסיטה אסורה, זולת אם המידע פורסם לרבים על פי סמכות כדין, או הועמד לעיון הרבים על פי סמכות כדין, או שהאדם אשר המידע מתייחס אליו נתן הסכמתו למסירה, וכן במקרים בהם התיר החוק את מסירת המידע.
10. ביחס לסעיף 5.5.3- העברת מידע בין גופים ציבוריים - "גוף ציבורי" מוגדר בחוק כגוף העונה על אחד מאלה:
(1) משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין;
(2) גוף ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת.
אוניברסיטת תל אביב נקבעה בצו הגנת הפרטיות (קביעת גופים ציבוריים), תשמ"ו- 1986 כגוף ציבורי הרשאי לפנות לגופים ציבוריים אחרים בבקשה להעברת מידע מסויים לרבות לצרכי מחקר. מסירת המידע מותרת בין גופים ציבוריים, אם מסירת המידע היא במסגרת הסמכויות או התפקידים של מוסר המידע והיא דרושה למטרת ביצוע חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו או אם מסירת המידע היא לגוף ציבורי הרשאי לדרוש אותו מידע על פי דין מכל מקור אחר; במקרה שבו מקבל המידע הוא משרד ממשלתי או מוסד מדינה אחר ניתן למסור את המידע אם מסירת המידע דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו; אם מקבל המידע הוא רשות בטחון, כפי שהוגדרה בסעיף 19 לחוק, מותרת מסירת המידע לשם מילוי תפקידה של רשות הביטחון, ובלבד שמסירת המידע או קבלתה לא נאסרת בחוק.
אולם לא יימסר מידע כאמור שניתן בתנאי שלא יימסר לאחר או אם העברת המידע נאסרה בחיקוק או בעקרונות של אתיקה מקצועית.
גוף ציבורי המעוניין לקבל מידע מגוף ציבורי אחר, מחויב להודיע על כך לרשם מאגרי המידע.
- ביחס לסעיף 6 – פרק ו' זכויות נושאי המידע- הזכויות המפורטות בפרק זה של הנוהל מבוססות על הזכויות שיש בחוק הגנת הפרטיות, בתוספת הרחבה שהאוניברסיטה מקבלת על עצמה, ברוח ה-GDPR, ליישום העקרונות שנזכרו בפרק ד לעיל.
- ביחס לסעיף 6.2 –זכויות נושאי המידע - זכות לתיקון המידע - למשל, סופיות בקשר לציונים. אי אפשר יהיה לערער על ציון מבחן ישן מכוח הסעיף הזה, גם אם נפלה טעות בציון.
- ביחס לסעיף 6.3 –זכויות נושאי המידע - זכות למחיקת המידע - החוק הקיים בישראל אינו קובע זכות מחיקה של מידע, וזכות זו נוספת מכוח עקרון ההגינות, לפי פרק ד לנוהל זה. הזכות אינה מוחלטת והסייג מבוסס על סעיף 18 לחוק, שקובע הגנות שונות לפגיעה בפרטיות במצבים אחרים, אבל יפה גם כאן.
נספח א1
טופס בעניין מאגרי מידע לצרכי מחקר >
נספח א2
טופס בעניין מאגרי מידע מנהליים >
פניות בנושא הגנת הפרטיות ניתן לשלוח לדוא"ל d0p0o@tauex.tau.ac.il
[1] ("בעל מאגר מידע") -נכון להיום, כל המידע שבאוניברסיטה רשום כמאגר מידע אחד אצל רשם מאגרי המידע, ועל כן האוניברסיטה היא בעליו של המאגר.