הנחייה 4/2012 - העקרונות לניהול מצלמות אבטחה ופרטיות

למנהלי אבטחה, קב"טים, מנהלי תפעול והנהלה

מצלמה ששומרת על הנכס ≠ מצלמה ששומרת על הפרטיות

הנחיית רשם 4/2012 מגדירה איך לנהל מצלמות אבטחה מול חוק הגנת הפרטיות - 6 עקרונות, זכויות מצולמים ומה השתנה עם תיקון 13.

בדיקת חשיפה - ללא התחייבות או מגן פרטיות 360°

מאמר זה מסכם את הנחיית רשם מאגרי המידע 4/2012 ("שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן") והקשר שלה לחוק הגנת הפרטיות ולתיקון 13. אינו מהווה ייעוץ משפטי; יש לאמת ניסוח מול המקור המעודכן ועם יועץ משפטי לפני החלטות.

ניווט מהיר

מהי הנחיית רשם 4/2012?
מה אומרת הנחיה 4/2012?
עקרונות ההנחיה
זכויות המצולם
מסמכים ובקרות
קשר לתיקון 13
רשימת בדיקה
שאלות נפוצות

מהי הנחיית רשם 4/2012?

הנחיה 4/2012 היא הנחיה רשמית / פרשנות מינהלית של רשות הגנת הפרטיות (לשעבר: רשם מאגרי המידע) לגבי יישום חוק הגנת הפרטיות, תשמ"א–1981, על מצלמות אבטחה כשההקלטות נשמרות במאגר מידע.

לפי הנחיה עצמה (סעיף 1.2–1.3), מטרתה:

להבהיר את עמדת הרשות לגבי תחולת החוק על מצלמות מעקב
לפרט את הפרשנות המשפטית שתשמש את הרשות בפיקוח, ברישום מאגרים ובקנסות מינהליים

בפועל: אי־עמידה בעקרונות ההנחיה עלולה לשקף הפרה של חובות החוק (יידוע, מטרה, עיון, אבטחה וכו'). הרשות מצהירה שתפעל לפי הפרשנות שבהנחיה - ולכן זו נורמת עבודה מצופה, לא "המלצה אופציונלית".

מה אומרת הנחיה 4/2012?

הנחיה פורסמה ב21/10/2012 בנושא "שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן". היא מכסה, בין היתר:

קבלת החלטה על הצבת מצלמות
תכנון, מיקום וזווית צילום
יידוע הציבור (שקיפות)
שמירת צילומים (retention)
זכות עיון של המצולם
אבטחת המידע

היא עדיין רלוונטית היום - גם לאחר תיקון 13, שהוסיף שכבות של אחריותיות, שקיפות מורחבת ואכיפה מנהלית, אך לא ביטל את עקרונות היסוד.

עקרונות ההנחיה - בשפה תפעולית

חמישה עקרונות ליבה של פרטיות + אבטחת מידע כחובה מהחוק. לכל עקרון - שאלת בדיקה אחת שכדאי לשאול על המערכת שלכם.

עקרון 1

לגיטימיות (מטרה)

שאלת בדיקה

למה בכלל מצלמים?

מניעת גניבות, בטיחות, הגנת רכוש - לגיטימי.
לא: "כי כולם מתקינים".

עקרון 2

מידתיות

שאלת בדיקה

האם חייבים מצלמה - או שיש חלופה?

תאורה, שליטה פיזית, אזעקה. גם: האם הזווית רואה יותר מדי?

עקרון 3

צמידות מטרה

שאלת בדיקה

האם משתמשים בהקלטות רק למה שהוגדר?

לא: "לראות מה קרה אתמול" בלי הצדקה תפעולית.

עקרון 4

שקיפות

שאלת בדיקה

האם מי בטווח הצילום יודע שמצלמים?

שילוט, מדיניות, ערוץ פניות - לא רק מדבקה.

עקרון 5

צמצום פגיעה

שאלת בדיקה

האם אוספים ושומרים רק מה שנדרש?

מיקום, זווית, זמן שמירה, הרשאות. מצלמה שרואה יותר מדי - חשיפה, לא "תוספת ביטחון".

עקרון 6

אבטחת מידע

חובה מפרק ב' לחוק הגנת הפרטיות - לא "עניין של IT בלבד". ההנחיה מפרטת איך זה חל על מערכות CCTV:

הרשאות
least privilege; לא "כולם עם סיסמה ל-VMS"

לוגים
מי צפה, מתי, במה

גישה מרחוק
MFA, VPN, אישור מראש

ספקים
תחזוקה, ענן, גיבוי - בהסכם ומתועד

איסורים תפעוליים
אין וואטסאפ, צילום מסך, הצגה ad hoc בדלפק

זכויות המצולם - מה חייבים לאפשר

ההנחיה והחוק לא מדברים רק על "להתקין נכון". גם על מה קורה אחרי שהמערכת עובדת:

יידוע (שקיפות)
שלט, מדיניות, דרך לפנות - טלפון או אימייל. המצולם צריך לדעת שמצלמים ולמה.

עיון
אדם שצולם רשאי, בהתאם לחוק ולתקנות, לבקש לראות צילום שבו מופיע. נדרש נוהל עיון: מי מטפל, תוך כמה זמן, מה מותר לחשוף.

מה לא
בדרך כלל אין להראות הקלטה ללקוח בדלפק, לשלוח בוואטסאפ, או לחשוף צילום של אנשים אחרים בלי טשטוש.

פער בנוהל עיון הוא אחד ממוקדי התלונות הנפוצים - לפעמים יותר מהשילוט עצמו.

איך זה נראה בארגון - מסמכים ובקרות

עקרון	למשל - מה שמצפים לראות
לגיטימיות	תיעוד מטרה + החלטת הנהלה
מידתיות	מפת מצלמות + בחינת חלופות וזוויות
שקיפות	שילוט + מדיניות + יידוע
צמצום	מיקום נכון, retention מוגבל, מחיקה אוטומטית
אבטחה	הרשאות (least privilege), לוגים, בקרה על ספקים

נוהל עיון - חובה תפעולית לזכות העיון של המצולם: מי מטפל, מה מותר לחשוף, מה לטשטש, ואיך מתועדת ההחלטה.

מה השתנה עם תיקון 13?

תיקון 13 לחוק הגנת הפרטיות (בתוקף מאוגוסט 2025) הרחיב את מסגרת האכיפה והאחריותיות. בגדול:

אכיפה מנהלית מורחבת (עיצומים שעשויים להגיע לסכומים משמעותיים - בהתאם לנסיבות)
דגש על תיעוד ויכולת להוכיח שניהלתם סיכון
חובות שקיפות מורחבות

במקום עבודה רלוונטית גם הנחיית רשם 5/2017 (מצלמות במקום העבודה) - מסמך נפרד, משלים.

רשימת בדיקה מהירה - למנהל אבטחה / מנהל ארגון

עברו על הרשימה עם אחראי המערכת. כל סעיף שמסתיים ב-"לא יודע" או "לא בטוח" - פער שכדאי לתעד ולסגור.

תכנון ומיפוי

יש מפת מצלמות מעודכנת + מטרה לכל מצלמה?

איפה מצלמים, למה, ומי אחראי לעדכן כשמשהו משתנה.

נבדקה זווית הצילום מול מרחבים פרטיים?

שכנים, מדרגות משותפות, חדרי הלבשה, משרדים - לא רק "הזווית נראית טוב".

שקיפות ומסמכים

יש שילוט + מדיניות מצלמות?

יידוע למצולמים, ערוץ פניות, והסבר על השימוש במערכת.

שמירה והרשאות

מוגדר retention + מחיקה אוטומטית?

כמה ימים שומרים, מי אישר, והאם זה מיושם ב-VMS - לא רק "כמה שהדיסק מאפשר".

הרשאות VMS מוגבלות ומתועדות?

least privilege, ללא סיסמה משותפת, עם רשימת מורשים מעודכנת.

עיון ושימוש יומיומי

יש נוהל עיון כתוב?

מי מטפל בבקשה, תוך כמה זמן, מה מותר לחשוף ומה לטשטש.

הצוות יודע מה אסור?

הצגה ללקוח בדלפק, צילום מסך, שליחה בוואטסאפ - לא "רק הפעם הזו".

אם על רוב הסעיפים התשובה "לא בטוח" - יש פער. הפער לא תמיד נראה ביום ההתקנה; הוא נראה כשמגיעה בקשה, תלונה או ביקורת.

רוצים לדעת איפה הפערים אצלכם?

בדיקת חשיפה קצרה - ללא התחייבות, ללא השארת פרטים

התחילו בדיקת חשיפה

שאלות נפוצות

האם הנחיה 4/2012 עדיין בתוקף אחרי תיקון 13?
כן - היא נשארת מסגרת פרשנית מוכרת ל-CCTV. תיקון 13 מוסיף חובות ואכיפה, לא מבטל את העקרונות.

האם המתקין אחראי לעמידה בהנחיה?
המתקין אחראי על התקנה טכנית. האחריות הארגונית על בעל המאגר / הנהלה - כולל מדיניות, נוהל עיון והרשאות.

האם שלט מספיק?
שילוט הוא חלק משקיפות - לא מספיק לבד. נדרשת מסגרת ניהולית מלאה סביב המערכת.

האם הפרת ההנחיה = קנס אוטומטי?
לא. האכיפה נסמכת על הוראות החוק והתקנות, בהתאם לנסיבות. אי־עמידה בעקרונות ההנחיה עלולה להעלות סיכון לתלונות, תביעות וסנקציות מנהליות.

מה עושים כשמצולם מבקש לראות הקלטה?
יש נוהל עיון כתוב: מי מאשר, מי מטפל, מה חושפים ומה מטשטשים. בלי נוהל - כל בקשה עלולה להפוך ל"תיכנסו ל-VMS ותראו".

הבהרה: מאמר זה אינו ייעוץ משפטי. לפני פרסום מדיניות, תגובה לתלונה או החלטה רגולטורית - יש להתייעץ עם יועץ משפטי ולאמת מול המקורות הרשמיים.