תקציר
מצלמות אבטחה שמצלמות אנשים הניתנים לזיהוי מייצרות מידע אישי הכפוף לתקנות פרטיות — ובראשן חוק הגנת הפרטיות הישראלי, תשמ"א-1981, ותקנת הגנת המידע הכללית של האיחוד האירופי (GDPR). חוק הגנת הפרטיות חל על כל ארגון בישראל שאוסף מידע אישי, כולל צילומי מעקב, ומחייב הודעה, הגנה על מידע ועמידה בכללי מאגרי מידע. ה-GDPR חל על כל ארגון שמעבד נתונים של תושבי האיחוד האירופי, ללא קשר למיקום הארגון — כך שעסקים ישראליים עם לקוחות או עובדים אירופאים חייבים לעמוד בדרישותיו. העונשים חמורים: עד 50,000 ₪ פיצוי ללא הוכחת נזק לפי החוק הישראלי, ועד 20 מיליון אירו או 4% מהמחזור השנתי העולמי לפי ה-GDPR. במאמר זה נפרט את הדרישות של שתי המסגרות, נשווה ביניהן ונספק צעדים מעשיים לציות. למידע נוסף על ציות מעקב עסקי, ראו את המדריך שלנו בנושא חוקי פרטיות למצלמות אבטחה בעסקים.
כיצד תקנות פרטיות חלות על מצלמות אבטחה
צילומי וידאו של אנשים הניתנים לזיהוי מהווים מידע אישי הן לפי החוק הישראלי והן לפי ה-GDPR. מצלמת אבטחה שלוכדת פנים, גוף, לוחית רישוי או כל מזהה אחר של אדם — אוספת מידע אישי כהגדרתו בחוקים אלה. זה חל גם אם אף אחד לא צופה בצילומים באופן שוטף והם רק מאוחסנים על מכשיר ההקלטה.
חוק הגנת הפרטיות מגדיר "מידע" ככל נתון הנוגע לאדם מזוהה או ניתן לזיהוי, כולל מידע ביומטרי כגון תמונות פנים. צילומי מעקב עונים על הגדרה זו.
ה-GDPR מגדיר "נתונים אישיים" כ"כל מידע הנוגע לאדם טבעי מזוהה או ניתן לזיהוי". צילומי מעקב הלוכדים תמונת אדם נופלים ישירות בתוך הגדרה זו.
דרישות חוק הגנת הפרטיות הישראלי למערכות מצלמות אבטחה
חוק הגנת הפרטיות, יחד עם תקנותיו, חל על כל ארגון בישראל המפעיל מצלמות אבטחה. הדרישות העיקריות:
| דרישה | יישום למצלמות אבטחה | כיצד לציית |
|---|---|---|
| הגנה מפני פגיעה בפרטיות | צילום אדם ברשות היחיד ומעקב אחר אדם מהווים פגיעה בפרטיות על פי סעיף 2 | הגבילו מצלמות לנכס שלכם ולאזורים ציבוריים; אל תכוונו מצלמות לאזורים פרטיים של אחרים |
| רישום מאגר מידע | אם מערכת המצלמות שומרת צילומים בצורה שיטתית ומזוהה, היא עשויה להוות מאגר מידע | בדקו אם נדרש רישום אצל רשם מאגרי המידע; חלה פטור לגבי מצלמות ביתיות |
| אבטחת מידע | תקנות הגנת הפרטיות (אבטחת מידע) מחייבות אמצעי הגנה על מידע אישי | הצפינו צילומים מאוחסנים, השתמשו בבקרות גישה מבוססות תפקידים, ושמרו יומני גישה |
| מטרה מוגדרת | איסוף מידע חייב להיות למטרה מוגדרת וחוקית | הגדירו ותעדו את המטרה הספציפית של כל מצלמה (למשל "מניעת גניבות") |
| שמירה מוגבלת | מידע לא יישמר מעבר לנדרש למטרה שלשמה נאסף | קבעו לוחות זמנים למחיקה אוטומטית; 30 יום מהווים סטנדרט מקובל |
| הודעה | אנשים זכאים לדעת שנאסף עליהם מידע | הציבו שילוט ברור "המקום מצולם" בכל כניסות לאזורים מנוטרים |
| זכות עיון | אדם זכאי לעיין במידע הנוגע אליו | קבעו נוהל לטיפול בבקשות עיון של אנשים שצולמו; הגיבו תוך 30 יום |
| העברת מידע | העברת צילומים לצד שלישי כפופה להגבלות | אל תשתפו צילומים עם צדדים שלישיים ללא בסיס חוקי; ודאו הסכמי עיבוד מידע עם ספקי ענן |
עונשים על פי החוק הישראלי
- פיצוי ללא הוכחת נזק — עד 50,000 ₪ לכל הפרה על פי סעיף 29א לחוק הגנת הפרטיות (נכון לשנת 2024).
- אחריות פלילית — פגיעה בפרטיות היא עבירה פלילית שדינה עד 5 שנות מאסר.
- קנסות מנהליים — רשות הגנת הפרטיות מוסמכת להטיל קנסות על הפרות של תקנות אבטחת מידע.
- תביעות אזרחיות — נפגעים יכולים לתבוע פיצויים בגין נזק ממשי, עגמת נפש ונזקים עונשיים.
דרישות GDPR למערכות מצלמות אבטחה
ה-GDPR חל על כל ארגון שמעבד נתונים אישיים של אנשים הנמצאים באיחוד האירופי, ללא קשר למיקום הארגון. עסק ישראלי שמצלמותיו לוכדות תושבי האיחוד — למשל מלון, חנות קמעונאית או משרד עם מבקרים או עובדים אירופאים — חייב לעמוד בדרישות. למידע על תמחור התקנת מצלמות אבטחה מסחריות, כולל מערכות מוכנות לציות, ראו את מדריך העלויות שלנו.
| דרישת GDPR | יישום למצלמות אבטחה | כיצד לציית |
|---|---|---|
| בסיס חוקי לעיבוד | יש לזהות בסיס חוקי לפי סעיף 6 לפני לכידת צילומים | רוב העסקים מסתמכים על "אינטרסים לגיטימיים" (סעיף 6(1)(f)); תעדו את מבחן האיזון בין האינטרס שלכם לזכויות הפרט |
| הערכת השפעה על הגנת מידע (DPIA) | נדרשת כאשר מעקב צפוי לגרום לסיכון גבוה לזכויות הפרט | ערכו DPIA לפני פריסת מצלמות באזורים הפונים לציבור, במקומות עבודה, או במרחבים שבהם ייתכנו אנשים פגיעים (ילדים, מטופלים) |
| שקיפות והודעה | יש ליידע אנשים על המעקב באמצעים ברורים ונגישים | הציבו הודעות רב-שכבתיות: שילוט קצר במיקום המצלמה עם מידע מפורט זמין באמצעות קוד QR, אתר אינטרנט או דף מודפס |
| הגבלת מטרה | צילומים ישמשו רק למטרה שנקבעה בעת האיסוף | הגדירו ותעדו את המטרה הספציפית ואל תשתמשו בצילומים למטרות אחרות |
| מזעור נתונים | אספו רק צילומים הולמים, רלוונטיים ומוגבלים לנחוץ | הימנעו מצילום מעבר לנכסכם; השתמשו במיסוך פרטיות לטשטוש מדרכות ציבוריות ונכסים שכנים |
| הגבלת אחסון | צילומים לא יישמרו מעבר לנדרש למטרה שנקבעה | קבעו לוחות מחיקה אוטומטיים; המועצה האירופית להגנת מידע ממליצה על מקסימום 72 שעות למעקב שגרתי, עם אפשרות הארכה ל-30 יום עם הצדקה |
| זכות גישה (סעיף 15) | אנשים יכולים לבקש עותק של צילומים המכילים את תמונתם | קבעו נוהל לבקשות גישה; הגיבו תוך חודש; טשטשו תמונות של אנשים אחרים לפני מסירה |
| זכות למחיקה (סעיף 17) | אנשים יכולים לבקש מחיקת צילומים המכילים את תמונתם | מחקו צילומים מבוקשים אלא אם שמירתם נדרשת לתביעות משפטיות או חריגים אחרים |
| הגנת נתונים מעצם התכנון | הגנות פרטיות חייבות להיות מובנות במערכת המעקב מלכתחילה | בחרו מצלמות עם מיסוך פרטיות מובנה, הצפנה ובקרות גישה; הגדירו תכונות אלה במהלך ההתקנה |
| העברות נתונים בינלאומיות | צילומים המאוחסנים או מעובדים מחוץ לאיחוד האירופי חייבים לכלול הגנות נאותות | השתמשו באחסון ענן באיחוד האירופי או ודאו שסעיפים חוזיים סטנדרטיים (SCC) קיימים עם ספקים מחוץ לאיחוד |
| קצין הגנת מידע (DPO) | נדרש כאשר מעקב מהווה ניטור שיטתי בקנה מידה גדול של אזורים ציבוריים | מנו DPO ופרסמו את פרטי הקשר שלו בכל הודעות המעקב |
עונשי GDPR
- רמה 1: עד 10 מיליון אירו או 2% מהמחזור השנתי העולמי — להפרות הקשורות לאמצעים טכניים, ניהול רשומות ודרישות DPO.
- רמה 2: עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי — להפרות של עקרונות ליבה כולל בסיס חוקי, הגבלת מטרה, זכויות נושאי מידע וכללי העברה בינלאומית.
ישראל כמדינה בעלת "רמת הגנה נאותה"
נקודה חשובה לעסקים ישראליים: האיחוד האירופי מכיר בישראל כמדינה בעלת "רמת הגנה נאותה" (adequacy decision) בתחום הגנת המידע. המשמעות היא שמותר להעביר נתונים אישיים מהאיחוד האירופי לישראל ללא הגנות נוספות כמו SCC, בתנאי שהנתונים מעובדים בהתאם לחוק הגנת הפרטיות הישראלי. עם זאת:
- הכרת ההלימה חלה על המגזר הציבורי ועל מאגרי מידע הרשומים כדין בלבד
- עסקים חייבים עדיין לעמוד בדרישות ה-GDPR כלפי נושאי המידע שלהם
- שינויים בחקיקה הישראלית עלולים להשפיע על המשך ההכרה
צעדי ציות מעשיים לשתי המסגרות
עסקים הכפופים לאחת מהתקנות או לשתיהן צריכים לבצע את הצעדים הבאים כדי לוודא שמערכות המעקב שלהם עומדות בדרישות החוק.
- בצעו ביקורת על כל המצלמות הקיימות. מפו כל מיקום מצלמה, את שדה הראייה שלה, את סוג הנתונים שהיא לוכדת (וידאו בלבד, וידאו עם שמע, וידאו עם אנליטיקה), ואת מיקום אחסון הצילומים.
- הגדירו ותעדו את מטרת כל מצלמה. כתבו הצדקה בת משפט אחד לכל מצלמה (למשל "מצלמה 3: מנטרת כניסת רציף העמסה למניעת גישה בלתי מורשית ולתיעוד משלוחים").
- נסחו הודעת פרטיות ייעודית למעקב. כללו את זהות בעל המידע, מטרת המעקב, הבסיס החוקי, תקופת השמירה, וכיצד אנשים יכולים לממש את זכויותיהם.
- הציבו שילוט עם מידע שכבתי. שלטים פיזיים יכללו את הבסיס — שהצילום מתבצע, מי אחראי, וכיצד לקבל מידע נוסף. קוד QR או כתובת URL המקשרים להודעת הפרטיות המלאה מספקים את דרישת ה"שכבות".
- קבעו תקופות שמירה והפכו את המחיקה לאוטומטית. הגדירו את ה-NVR או מערכת הענן למחוק צילומים אוטומטית בתום תקופת השמירה. תעדו חריגים (למשל צילומים הקשורים לחקירה פעילה).
- יישמו בקרות גישה. הגבילו גישה לצילומים לאנשים מזוהים בעלי צורך מתועד. השתמשו בהרשאות מבוססות תפקידים בתוכנת ה-NVR ושמרו יומני גישה.
- הצפינו צילומים בנייח ובמעבר. השתמשו בהצפנת AES-256 לצילומים מאוחסנים ו-TLS 1.2+ לגישה מרחוק והעלאות לענן. מתקין מצלמות אבטחה מורשה יכול להגדיר הצפנה ובקרות גישה במהלך ההתקנה.
- קבעו נוהל לבקשות גישה. צרו טופס ונוהל לאנשים לבקש גישה או מחיקה של צילומים המכילים את תמונתם. הדריכו את הצוות כיצד לעבד בקשות אלה.
- ערכו הערכת השפעה על הגנת מידע. נדרש על פי ה-GDPR לעיבוד בסיכון גבוה; מומלץ כנוהג מיטבי גם על פי החוק הישראלי. תעדו את הנחיצות והמידתיות של כל מצלמה.
- בדקו הסכמים עם צדדים שלישיים. אם אתם משתמשים באחסון ענן, שירותי ניטור מרחוק או ספקי אנליטיקת וידאו, ודאו שחוזים כוללים הסכמי עיבוד מידע מתאימים.
- הדריכו את כל העובדים שיש להם גישה לצילומים. הם חייבים להבין את ההגבלות המשפטיות על שימוש בצילומים, את האיסור על שיתוף לא רשמי ואת הנוהל למענה לבקשות נושאי מידע.
- בדקו ציות אחת לשנה. תקנות מתעדכנות, מיקומי מצלמות משתנים ופעילות עסקית מתפתחת. קבעו סקירות שנתיות של תוכנית הציות שלכם. הבנת נוף חוקי מצלמות אבטחה הרחב יותר מבטיחה שתוכנית הציות שלכם מכסה את כל התקנות החלות.
למידע נוסף על אופן ההצטלבות של חוקי פרטיות עם מערכות מצלמות עסקיות, ראו את המדריך המפורט שלנו בנושא חוקי פרטיות למצלמות אבטחה בעסקים.