אנו שמחים לעדכן אתכם כי תזכיר החוק הסופי של תיקון 13 לחוק הגנת הפרטיות (אשר כונה ממש עד לרגע האחרון "תיקון 14") פורסם אתמול, יום 24 ביולי 2024. התיקון עבר שורה של דיונים ותיקונים במסגרת ועדת חוק, חוקה ומשפט והונח אתמול על שולחנה של הכנסת לקראת הצבעה בקריאה שניה ושלישית. הציפייה היא כי התיקון יעבור ללא בעיות או התנגדויות משמעותיות.
התיקון המוצע, על גלגוליו השונים, נידון למעלה מעשור בכנסת, בוועדות ובפורומים השונים, והינו התיקון המשמעותי ביותר שעתיד להיות מבוצע בחוק מיום חקיקתו לראשונה בשנת 1981. את השינויים שנושא בחובו התיקון, ניתן לחלק בצורה גסה ומהותית לשניים: (א) שינויים שמטרתם להתאים את חקיקת הגנת הפרטיות הישראלית לזו המודרנית והמקובלת בעולם כיום, תוך ביטול ועדכון של חובות והגדרות ארכאיות; (ב) חיזוק סמכויותיה של רשות הגנת הפרטיות, הרחבתן, וקביעת כלים שונים לאכיפה של החוק.
להלן נסקור את הנקודות המרכזיות בתיקון, לצד ההשלכות האפשריות על פעילותכם.
שינויים מרכזיים בהגדרות:
התיקון כולל שינויים בהגדרות השונות שבחוק. חלק משינויים אלו הינם טכניים ו"לשוניים" במהותם, בעיקר מתוך כוונה להביא לאחידות בין הרגולציה הישראלית לזו המקובלת בעולם (כדוגמת הגדרת "בעל שליטה במאגר מידע" ו"מחזיק" אשר הותאמו במידה רבה להגדרת "קונטרולר" ו"פרוססור" המקובלת). מנגד, שינויים אחרים הינם מהותיים ומשליכים ישירות על החובות השונות שבחוק. בייחוד חשוב להזכיר את התיקון המוצע בהגדרת "מידע אישי" ו"מידע בעל רגישות מיוחדת":
- מידע אישי – עד התיקון, הגדרת "מידע" שבחוק הישראלי כיוונה בעיקר לסוגי מידע פרטיים ואישיים במהותם ("הנוגעים לצנעת הפרט"). במסגרת התיקון, הורחבה ההגדרה באופן משמעותי ומותאמת כעת לקבוע בתקנות ה- GDPR – כל מידע המאפשר זיהוי של אדם באופן ישיר או עקיף נחשב למידע אישי, לרבות מזהים מקוונים ודיגיטאליים. אחת ההשלכות המיידיות של תיקון זה תהיה ביחס לחובות היידוע ו/או ההסכמה שיידרשו באיסוף מזהים דיגיטאליים באתר (כדוגמת קוקיז).
- מידע בעל רגישות מיוחדת – במקום ההגדרה הקודמת של "מידע רגיש" שחפפה כמעט לחלוטין את הגדרת "מידע", התיקון מגדיר "מידע בעל רגישות מיוחדת" בהתאם לקטגוריות המוכרות מה- GDPR, וכולל בין היתר מידע רפואי, מידע אודות נטיות פוליטיות, מידע אודות מוצאו של אדם, מידע על נטייה מינית, מידע ביומטרי ועוד. בהתאמה לגישה מבוססת הסיכון המקובלת כיום, הדרישה לנהוג במידע זה בזהירות מוגברת מוצאת ביטוי בסיווג של "רמות אבטחת המאגר" השונות, המשפיעה הן על צעדי האבטחה הנדרשים והן על סכומי העיצומים שניתן להטיל בגין הפרות הקשורות במידע מעין זה.
צמצום משמעותי של החובה לרשום מאגרי מידע:
כצפוי וכמתבקש, התיקון עתיד לצמצם את החובה הארכאית של רישום מאגרי מידע בצורה משמעותית, כך שתחול רק ביחס אל (א) מאגר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי אודות יותר מ-10,000 בני אדם; (ב) מאגר מידע של גוף ציבורי, תוך החרגת מאגר מידע שכזה המתייחס רק לעובדי הגוף הציבורי.
בנוסף, ישנה חובת הודעה לרשות לגבי מאגר מידע המכיל מידע בעל רגישות מיוחדת שאינו חייב ברישום, החלה מעת שהמאגר מתייחס ליותר מ-100,000 בני אדם. אמנם אין מדובר בחובת רישום, אולם חובת הודעה זו משמרת בידי הרשות להגנת הפרטיות היכרות ושליטה עם המאגרים המשמעותיים הקיימים בשוק, מן הסתם במטרה לדעת היכן למקד את צעדי האכיפה שלה.
חשוב להדגיש כי התיקון קובע במפורש כי אין בו כדי לבטל בצורה אוטומטית את רישומם של מאגרים שנרשמו בעבר, ובהתאם לתיקון אינם חייבים עוד ברישום. על מנת לבטל רישום של מאגרים מעין אלו, יש לפנות לרשות בבקשה מתאימה (אנו, בעמית, פולק, מטלון, עשינו זאת כבר עבור לא מעט לקוחות בשנים האחרונות במקרים בהם נרשם מאגר מבלי שקיימת חובה אמיתית לכך).
חובת מינוי ממונה הגנת הפרטיות:
בדומה לחובה הקיימת בנוגע למינוי ממונה אבטחת מידע, ובהמשך להמלצת הרשות בעבר בעניין מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו התיקון קובע חובה חדשה למינוי ממונה הגנת הפרטיות, המתכתבת עם החובה למנות DPO הקבועה ב- GDPR. בהתאם לתיקון, החובה חלה ככלל על:
- בעלי שליטה במאגרי מידע או מחזיקים במאגרי מידע שעיסוקם העיקרי כולל פעולות עיבוד מידע, או כרוכים בפעולות אלו, המחייבות ניטור שוטף ושיטתי של בני אדם, תוך מעקב אחריהם, בהיקף ניכר.
- בעלי שליטה במאגרי מידע או מחזיקים במאגרי מידע שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, כמו בנקים, חברות ביטוח, בתי חולים וקופות חולים.
- בעלי שליטה במאגר מידע שהם גופים ציבוריים או מחזיקים במאגר מידע כאמור.
- בעלי שליטה במאגר מידע המשמש למסירת מידע אישי, כולל שירותי דיוור ישיר, הכולל מידע אודות יותר מ-10,000 בני אדם.
התיקון מוסיף וקובע כי עיבוד מידע "בהיקף ניכר" יהיה, בין השאר בשים לב למספר בני האדם שמידע מעובד לגביהם, שיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו ולטווח של סוגי המידע המעובד, משך ותדירות של פעולות העיבוד, משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד. ממילא ברי כי נדרשת בחינה מהותית והערכה זהירה של מאפייני ותחומי פעילות הארגון על מנת לקבוע האם החובה חלה, תוך שמירת תיעוד של הנימוקים והמסקנות על מנת להימנע מקנסות ועיצומים כספיים בשל הערכה שגויה.
התיקון מתייחס אף לכישוריו הנדרשים של ממונה הגנת הפרטיות – על הממונה להיות בעל ידע והכשרה בתחום דיני הגנת הפרטיות, הבנה טכנולוגית ואבטחת מידע, והיכרות עם תחומי הפעילות של הגוף שבו הוא ממלא את תפקידו. הממונה יכול להיות מועסק ישירות או במיקור חוץ. נדרש שהממונה לא ימלא תפקיד אחר שעלול ליצור ניגוד עניינים עם תפקידו כממונה. בדומה לממונה אבטחת מידע, ממונה הגנת הפרטיות נדרש לדווח ישירות למנכ"ל או לדרג הניהולי שתחתיו.
תפקידיו של ממונה הגנת הפרטיות מנוסחים בצורה רחבה ונתונה לפרשנות, וניתן רק לשער כי עם הזמן פרסומי רשות הגנת הפרטיות, החלטות אכיפה שונות והפרקטיקה שתתקבע בשוק ייקבעו בדיוק את תכולת תפקיד זה. בתיקון עצמו נכללים במפורש התפקידים הבאים:
- לפעול להבטחת קיום הוראות החוק זה על ידי בעל השליטה או המחזיק במאגר המידע ולקידום השמירה על פרטיות ואבטחת המידע שבמאגרי מידע אלה.
- לשמש כסמכות מקצועית ומוקד ידע בתחום, לייעץ להנהלת בעל השליטה ולעובדים בתחומי הגנת הפרטיות ולוודא את קיומה של תוכנית הדרכות ארגונית בנושא.
- הכנת תוכנית לבקרה שוטפת על העמידה בהוראות החוק, לוודא כי היא מוצאת מן הכוח אל הפועל ולוודא כי הממצאים העולים במסגרתה מטופלים.
- לוודא את קיומם של נוהל האבטחה ומסמך הגדרות המאגר בהתאם לקבוע בתקנות.
- לבחון תלונות ופניות של אנשים לגבי עיבוד המידע האישי שלהם, ולוודא כי הן מטופלות בהתאם להוראות החוק.
- לשמש כנקודת קשר עם רשות הפיקוח להגנת הפרטיות, ולהיות אחראי על הדיווח והתקשורת עם הרשות בנוגע להפרות או חששות הקשורים לעיבוד המידע האישי.
את פרטיו של הממונה על הגנת הפרטיות יש לפרסם לציבור "באופן נגיש ופשוט".
מנגנון חוות הדעת המקדימה:
התיקון קובע מנגנון חדש לפנייה לרשות להגנת הפרטיות בבקשה לקבלת חוות דעת מקדימה. מנגנון זה נועד לאפשר לארגונים לקבל בהירות בסוגיות הקשורות בפרטיות, לרבות פיתוח מוצרים וטכנולוגיות חדשות או שימושים חדשים למידע אישי. בהתאם לתיקון ראש הרשות יקבע נוהל מפורט שיפורסם באתר האינטרנט של הרשות לעניין דרכי הגשת הבקשה לחוות דעת מקדמית. ישנם מקרים בהם לא תינתן חוות דעת מקדמית, למשל כאשר מדובר בבקשה אקדמית או תיאורטית, בקשה הנגועה בחוסר ניקיון כפיים, או בקשה הנוגעת להליך אכיפה תלוי ועומד. הרשות רשאית לפרסם את חוות הדעת בהסכמת המבקש, ואם המבקש אינו מסכים לכך, הרשות רשאית לפרסמה ללא פרטים שיש בהם כדי לזהותו.
חיזוק סמכויות הרשות והגברת האכיפה:
התיקון עתיד לחזק משמעותית את סמכותה של רשות הגנת הפרטיות ומקנה כלים רבים לפיקוח, אכיפה וענישה, הן באמצעות הרשות עצמה ועל ידה, והן במסגרת של מתן סעדים לאכיפה אזרחית פרטית.
ראשית, קבועה בתיקון האפשרות להעניק פיצויים לדוגמא בגין הפרות שונות ובתנאים שונים – בית המשפט יכול להטיל פיצויים ללא הוכחת נזק בסכום של עד 10,000 ש"ח לאדם, במצבים של אי רישום, אי מסירת הודעה על איסוף מידע, אי מתן זכות עיון או תיקון. מעניין יהיה לראות כיצד והאם סמכות זו תשתלב מעתה באפשרות החדשה והמפורשת להגיש תובענות ייצוגיות גם בגין הפרה של חוק הגנת הפרטיות הקבועה בתזכיר חוק תובענות ייצוגיות (תיקון מס' 16), התשפ"ד-2024 (סמכות זו הורחבה כבר בעבר במידה מסוימת בפסיקתו של ביהמ"ש העליון אשר הכיר באפשרות להגיש תובענה ייצוגית בעילות לפי חוק הגנת הפרטיות כאשר העילה הינה בין צרכן לעוסק או מבטח למבוטח וכו', ראה ע"א 4110/18 פלונית נ' קדימה).
מעבר לכך, התיקון מבסס, מרחיב ומגדיר במפורט את סמכויות הרשות לנקוט בצעדי אכיפה, לרבות ביחס לאלו הקיימות כיום במסגרת סעיף 10 לחוק. במסגרת סמכויות אלו נכללת סמכותו של ראש הרשות להסמיך חוקרים ומפקחים ולהעניק להם סמכויות שונות על פי החוק, סמכויות חדירה לחומרי מחשב והעתקת מידע, וכן סמכות לקיים פעולות אכיפה מנהלית וביצוע חקירות פליליות. בנוסף, ככל במידה ונמצאו ליקויים או הפרות, רשאי ראש הרשות להורות על הפסקת ההפרות ולנקוט באמצעים מנהליים כנגד הגוף המפר. במסגרת כך התיקון עתיד לאפשר הטלת קנסות משמעותיים על הגוף המפר, כמו גם הטלת עיצומים כספיים בגין הפרות שונות, כדוגמת הפרות של חובות מסוימות הכלולות בתקנות אבטחת מידע ובתקנות הייעודיות העוסקות במידע שמקורו באיחוד האירופאי.
התיקון אף ממסד ומסדיר את סמכותה של הרשות לקבוע תוכנית לפיקוח רוחב על גופים מסוימים ולהסתייע בגורמים חיצוניים לצורך ביצוע פעולות הפיקוח, תוך חידוד והרחבת סמכויותיהם, וכן מסדיר את סמכות הרשות לפרסם חוות דעת והנחיות לציבור.
מועד כניסה לתוקף:
התיקון צפוי להיכנס לתוקף כשנה מיום הפרסום הרשמי. תחת ההנחה כי בכוונת המחוקק היא לאשר את התיקון עוד במושב הנוכחי, אזי התיקון עתיד להיכנס לתוקף סביב אוגוסט 2025. חשוב לחדד כי בדיונים בוועדת חוק, חוקה ומשפט שקדמו להליך החקיקה, הדגישה הרשות פעם אחר פעם כי בכוונתה לעשות שימוש בסמכויות האכיפה שברשותה, לרבות היכולת להטיל קנסות ועיצומים כספיים, מיד לאחר כניסת החוק לתוקף. ועל כן, אנו ממליצים להיערך בהתאם ולבצע את ההתאמות הנדרשות מראש.
בשולי הדברים נעיר כי, בעוד קשה להפריז בחשיבותו ומשמעותו של תיקון זה, התיקון בנוסחו הסופי עדיין אינו מביא את רמת ההגנה שהחקיקה הישראלית מעניקה לנושאי מידע לרמה הדומה לזו המוענקת ב- GDPR. נושאים רבים ומהותיים נותרו למעשה מחוץ לתיקון, ובהם שני נושאים מהותיים – (א) הרחבת זכויות נושאי המידע (זכות ברורה ומפורשת למחיקה, ניוד מידע, משיכת הסכמה וכו'); ו(ב) קביעתם של בסיסים חוקיים נוספים מעבר להסכמה במסגרת של רשימה סגורה וממצה. ניתן רק לשער ולקוות כי נושאים אלו ימשיכו להיות נידונים במסגרתם של תיקונים נוספים עתידיים (כדוגמת תיקון 16 שפורסם בעבר).
אנו בעמית פולק מטלון מספקים ללקוחותינו שירותים מקיפים בתחום הגנת הפרטיות ואבטחת המידע, כולל מינוי ממונה על הגנת הפרטיות במיקור חוץ, ייעוץ והדרכה, טיפול ברישום ו/או ביעור של מאגרי מידע, עריכת ביקורות תקופתיות, סיוע בהטמעת תוכניות אכיפה ותהליכי עבודה מותאמים והכנת הארגון לעמידה בדרישות החוק.
תכלית עדכון זה, להציג את החידוש הגלומים בתיקון הצפוי ואין בו משום חוות דעת משפטית או הנחיה באשר לאופן פעולה קונקרטי. נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות, רגולציה וטכנולוגיה.