מליאת הכנסת אישרה אתמול (5.8.24) תיקון משמעותי (תיקון 13) לחוק הגנת הפרטיות, התשמ"א – 1981 (להלן: "תיקון 13", "התיקון", או "התיקון לחוק").
מדובר בתיקון משמעותי, הצפוי להשפיע על ארגונים וחברות רבים במשק, בקשר ליישום דיני הפרטיות ואבטחת המידע והציות להם. התיקון לחוק מבטא חיזוק ניכר לסמכויות הרשות להגנת הפרטיות ולמנגנוני האכיפה לחובות לפי דיני הפרטיות ואבטחת המידע.
התיקון לחוק אומץ אחרי כברת דרך משמעותית שעשתה רגולציית הגנת הפרטיות הגלובאלית. כפי שציינה הרשות להגנת הפרטיות בהודעתה לציבור עם אישור החוק, התיקון נועד להבהרת החקיקה בתחום, לקביעת הסדרים חדשים בנושאים מסוימים, ולחיזוק האכיפה בתחום. זאת, על מנת להתאים את החקיקה לאתגרי העידן הדיגיטלי ולמציאות הטכנולוגית של ימינו, להגביר את ההגנה על הזכות לפרטיות, ולחזק את ההתמודדות כנגד איומי הסייבר הגוברים. הרשות להגנת הפרטיות מדגישה, כי התיקון לחוק מהווה צעד חשוב גם בשים לב להתאמת הדין בישראל לדיני הגנת הפרטיות באירופה וההכרה (שאושררה לאחרונה) במדינת ישראל על ידי האיחוד האירופי כמדינה בעלת תאימות לדין האירופי.
להלן עיקרי התיקון המקיף לחוק הגנת הפרטיות, בשים לב להודעת הרשות להגנת הפרטיות:
1. הרחבה משמעותית של סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות בגין הפרת החוק ובגין אי ציות לדרישות הדין בתחום אבטחת מידע – לראשונה, עוגנה בחקיקה סמכות הרשות להטיל עיצומים כספיים בסכומים גבוהים ומשמעותיים ביותר, בגין הפרת הוראות החוק והתקנות, בין היתר בהתאם לסוג ההפרה ולכמות בני האדם במאגר המידע. כן הוסדרו סמכויות האכיפה המנהלית וסמכויות החקירה הפלילית של חוקרי הרשות. כמו כן, עוגנה סמכות הרשות לפעול לקבלת צו שיפוטי שיורה על הפסקת עיבוד מידע אישי או למחיקת מידע אישי, לשם הפסקת הפרה של הוראות החוק.
יצוין, כי בתיקון לחוק נקבע הסדר לפיו ניתן לבקש מהרשות להגנת הפרטיות חוות דעת מקדמית בעניין עמידת מאגר מידע בדרישות החוק או התקנות לפיו.
2. חובה חדשה למינוי ממונה הגנת הפרטיות בארגונים רבים במשק (בהתאמה לעיסוקי הארגון והיקף עיבוד מידע על ידו) – לראשונה, נקבעה בחקיקה חובת מינוי ממונה על הגנת הפרטיות בגופים ציבוריים ובכל ארגון שעיסוקו העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, או שפעילותו כרוכה במעקב או התחקות שיטתית אחר התנהגות, מיקום או פעולות אדם, בהיקף ניכר. התיקון לחוק מפרט את הכישורים הנדרשים למינוי לתפקיד זה, כמו גם שורה של תפקידים המוטלים על ממונה הגנת הפרטיות. הרשות מציינת, כי תפקידו של ממונה הגנת הפרטיות בארגון הוא לפעול להבטחת קיום הוראות חוק הגנת הפרטיות ותקנותיו ולקידום השמירה על הפרטיות גם מעבר לדרישות החוק.
3. צמצום משמעותי של חובת רישום מאגרי מידע דיגיטליים – במסגרת התיקון תבוטל כמעט לחלוטין החובה החלה על גופים במגזר הפרטי לרישום מאגרי המידע שבניהולם, למעט מאגרים המנוהלים בידי מי שעוסק בסחר במידע. חובת רישום מאגרי מידע תחול אם מתקיים ביחס אליהם אחד מהבאים – (א) מטרתו העיקרית של המאגר הינו לאסוף מידע אישי לצורך מסירתו לאחר כעיסוק או בתמורה (לרבות שירותי דיוור ישיר) ויש במאגר מידע אישי על למעלה מ -10,000 בני אדם; (ב) בעל שליטה במאגר הוא גוף ציבורי (אלא אם מדובר במאגר הכולל מידע אודות עובדי הגוף הציבורי בלבד). במקרה בו מספר בני האדם שאודותיהם קיים מידע בעל רגישות מיוחדת במאגר שאינו חייב ברישום, עולה על 100,000, קיימת חובת הודעה לרשות להגנת הפרטיות על זהות בעל השליטה, מענו, דרכי ההתקשרות עימו (וכן על זהותו של הממונה על הגנת הפרטיות במאגר המידע לפי העניין) ויש למסור לרשות העתק ממסמך הגדרות המאגר.
ראוי לציין, כי אין בשינוי לעניין חובת הרישום כדי לגרוע מההוראות המהותיות החלות ביחס למאגרי מידע ולאבטחתם לפי החוק.
4. התאמת ההגדרות בחוק להתפתחויות הטכנולוגיות, החברתיות והמשקיות ולחקיקת פרטיות מודרנית, ובאופן המרחיב או מפרט את סוגי המידע המוגנים ואת מנעד השימושים בהם. בין היתר, שולבו הגדרות כגון "בעל שליטה במאגר מידע", "עיבוד, שימוש" במידע, ועודכנו הגדרות "מידע " ו"מחזיק". בנוסף, נקבעה הגדרה מודרנית ומפורטת של סוגי מידע אישי שיהוו "מידע בעל רגישות מיוחדת", תוך התאמה לסטנדרטים בינלאומיים כפי שהתגבשו במדינות מובילות בעולם, לרבות ברגולציית הגנת המידע של האיחוד האירופי (GDPR).
5. הרחבת הסמכות לפסוק פיצויים ללא הוכחת נזק – הורחבה סמכות בתי המשפט לפסוק פיצוי כספי ללא הוכחת נזק לאזרח התובע בגין הפרת הוראות החוק מכוח עילות נוספות הקבועות בחוק ביחס למאגרי מידע (לדוגמא: במקרים של פנייה לאדם לקבלת מידע אישי ללא הודעה כנדרש לפי דיני הפרטיות ומבלי שניתנה התייחסות לדרישת הודעה מצד האדם; אי מתן אפשרות לזכות עיון במידע; אי ביצוע שינויים לתיקון מידע).
6. קביעת איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי ועבירות פליליות חדשות במאגרי מידע – נוסף לחוק פרק ייעודי של עבירות פליליות במאגרי מידע, לרבות עיבוד מידע ללא הרשאה של בעל השליטה במאגר המידע, והטעיה מכוונת של אדם בעת פניה אליו לקבלת מידע אישי אודותיו. כן נקבע לראשונה בחוק איסור גורף על ביצוע כל פעולה במידע אישי שנאסף באופן לא חוקי.
7. קביעת הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים – החקיקה קובעת חובת מינוי מפקח פרטיות פנימי בכלל גופי הביטחון, שיונחה מקצועית על ידי הרשות להגנת הפרטיות. המפקח הפנימי יפקח על נהלי הגוף הביטחוני ומדיניותו בתחום הגנת הפרטיות, יברר הפרות של חוק הגנת הפרטיות, יקיים הכשרות והדרכות בנושאי פרטיות, וימסור דיווחים לראש הרשות.
מועד תחילה: בהתאם להוראות התחולה, התיקון ייכנס לתוקף תוך שנה מיום פרסומו, כלומר ייכנס לתוקף כפי הנראה, במהלך אוגוסט 2025 (בהתאם למועד הפרסום ברשומות).
לסיכום, מדובר איפוא, בהתפתחות חקיקתית בעלת השלכות לארגונים רבים במשק, המתוארת לעיל בתמצית בלבד, והכוללת הוראות מפורטות בנושאים אלה ובעניינים נוספים.
ראוי כי ארגונים וחברות יבחנו את השלכות הוראות החקיקה החדשה ביחס לפעילותם, ואת אופן עמידתם בהוראות דיני הפרטיות ואבטחת המידע בשים לב לסוגי המידע המעובד על ידם ולאופי עיסוקם, כמו גם בשים לב להוראות ולחובות החדשות שנקבעו בתיקון לחוק, תוך גיבוש מנגנונים ונהלים ארגוניים לציות לדרישות הדין.
נשמח לעמוד לרשותכם בכל הנדרש ביחס לתיקון לחוק, לבחינת השלכותיו על הארגון ולגיבוש הרגולציה הארגונית הפנימית ליישומו ולציות להוראותיו.
לקריאת הודעת הרשות להגנת הפרטיות אודות התיקון
העדכון נכתב על ידי עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו – AI, בסיועו של דור יוחאי, מתמחה במחלקת טכנולוגיה, מיזוגים ורכישות.