מרכז מדיה

תיקון מספר 13 לחוק הגנת הפרטיות

5 אוגוסט 2024

לקוחות ועמיתים יקרים,

ביום ה-5 באוגוסט, 2024, אושר במליאת הכנסת בקריאה שנייה ושלישית תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א – 1981 (בהתאמה: "התיקון" ו-"החוק"). התיקון כולל שינויים מהותיים בדיני הפרטיות בישראל ומטרותיו העיקריות הינן התאמת חקיקת הפרטיות המיושנת לאתגרים העכשוויים הקשורים להגנה על מידע אישי במאגרי מידע, תוך שיפור יכולות האכיפה הנתונות לאורגנים השונים מכוח החוק אשר אמונים על אכיפתו, והתאמת החוק להסדרים מודרניים של הגנת מידע אישי במדינות המובילות בעולם, ובראשם לרגולציית הגנת המידע של האיחוד האירופי, ה-GDPR (General Data protection Regulation).

התיקון עתיד להיכנס לתוקף שנה מיום פרסומו (קרי, באוגוסט, 2025).

ברצוננו להביא לידיעתכם מספר שינויים עקרוניים שנקבעו בתיקון, כמפורט להלן:

 

1.עדכון מונחי יסוד: במסגרת התיקון בוצעו מספר שינויים משמעותיים בהגדרות של מונחים מסוימים בחוק. כך, למשל, המונח "מידע" הוחלף במונח "מידע אישי", מונח רחב ביותר הכולל כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, כאשר "אדם הניתן לזיהוי" מוגדר כמי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כדוגמת מספר זהות, נתוני מיקום, וכדומה.

בנוסף, ההגדרה של המונח "מידע רגיש" הוחלפה במונח "מידע בעל רגישות מיוחדת" אשר כולל מידע אישי על צנעת חיי המשפחה של אדם, נטייה מינית, מידע רפואי, מידע גנטי, דעות פוליטיות, אמונות דתיות, עבר פלילי, נתוני מיקום, מזהה ביומטרי, מוצא, הערכת אישיות, נתוני שכר ופעילות פיננסית ומידע אישי שחלה עליו חובת סודיות שנקבעה בדין.

כמו כן, במסגרת התיקון התווספה לחוק הגדרה למונח "בעל שליטה" במאגר מידע והמונח "מחזיק" עודכן גם כן, והמונחים יוגדרו באופן דומה לשימוש במונחים דומים בחקיקה הזרה בתחום הפרטיות ובהתאם למהותם. כך, בעל שליטה יהא מי שקובע, לבדו או ביחד עם אחר, את מטרות עיבוד המידע במאגר המידע, ומחזיק יהא גורם חיצוני לבעל השליטה במאגר מידע המעבד בעבורו מידע.

2.צמצום חובת הרישום של מאגרי מידע: התיקון צמצם באופן משמעותי את חובת הרישום של מאגרי מידע אצל הרשות להגנת הפרטיות ("הרשות"), כך שרק שני סוגי מאגרי המידע הבאים יהיו חייבים ברישום

  • מאגרים למסחור מידע אישי – מאגרי מידע המכילים מידע על יותר מ-10,000 בני אדם, שמטרתם העיקרית הינה איסוף מידע אישי לצורך מסירתו לצד ג' כדרך עיסוק או לשם קבלת תמורה (לרבות שירותי דיוור ישיר).
  • מאגרי מידע של גופים ציבוריים – מאגרי מידע אשר בעלי השליטה בהם הינם גופים ציבוריים כהגדרתם בחוק, כדוגמת מוסדות ממשלתיים וגופים הממלאים תפקידים ציבוריים על פי דין או גופים מסוימים שנקבעו ככאלה בצו לפי החוק (למעט מאגרי עובדים של אותם גופים ציבוריים).

3.חובת הודעה לרשות על מאגר מידע עם מידע רגיש במיוחד: התיקון מוסיף חובה חדשה בנוסף לחובת הרישום של מאגרי מידע שצומצמה כמפורט לעיל למאגרי מידע מסוימים, והיא חובת ההודעה. לפי חובה זו, על בעל שליטה במאגר מידע שאינו חב ברישום ואשר כולל מידע בעל רגישות מיוחדות (בהתאם להגדרה חדשה של המונח כמפורט בסעיף 1 לעיל) על יותר מ-100,000 בני אדם, להודיע לרשות, בתוך 30 ימים מהתקיימות התנאים שלעיל, את הפרטים הבאים: (א) זהות בעל השליטה, כתובתו ודרכים ליצירת קשר עימו; (ב) זהות הממונה על הגנת הפרטיות (ככל שיש חובה למנות ממונה כאמור) ואת הדרכים ליצירת קשר עימו; ו-(ג) העתק מסמך הגדרות המאגר אשר נערך בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 ("תקנות אבטחת מידע").

היה ויחולו שינויים בפרטים הנ"ל, או שפעילותו של מאגר המידע תופסק, על בעל השליטה יהיה להודיע גם על כך לרשות בתוך 30 ימים.

4.הרחבת חובת היידוע של נושאי מידע: טרם התיקון, סעיף 11 לחוק קבע כי כל פניה לאדם לקבלת מידע אישי לשם החזקתו או שימוש בו במאגר מידע, תלווה בהודעה המפרטת אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו; המטרה אשר לשמה מבוקש המידע; ולמי יימסר המידע ומטרות המסירה.

 כעת, בעקבות התיקון, הוגברה דרישת השקיפות כלפי נושאי המידע, ועל ההודעה לכלול גם את תוצאת הסירוב למסירת המידע, את שמו של בעל השליטה ודרכי ההתקשרות עמו, וכן את זכויות העיון והתיקון של נושא המידע לפי החוק בקשר למידע האישי אודותיו.

5.חובת מינוי ממונה על הגנת הפרטיות: החוק קובע לראשונה כי גופים מסוימים חייבים במינוי ממונה על הגנת הפרטיות, לרבות תפקידיו וכישוריו (המינוי של ממונה על הגנת הפרטיות טרם התיקון היה וולונטארי בהתאם למסמך המלצות לא מחייב שפרסמה הרשות).

לפי התיקון, תחול על בעלי שליטה של גופים מסוימים החובה למנות ממונה על הגנת הפרטיות. גופים שיהיו חייבים במינוי כאמור הם: (א) בעלי השליטה במאגרי מידע החייבים ברישום כאמור בסעיף 2 לעיל; (ב) בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, לרבות מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם בהיקף ניכר; ו-(ג) בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, לרבות תאגידים בנקאיים, מבטחים, בתי חולים וקופות חולים.

לעניין זה, עיבוד מידע בהיקף ניכר יהיה, לפי התיקון, בין השאר בשים לב למספר בני האדם שמידע מעובד לגביהם, שיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו, ולטווח של סוגי המידע המעובד, משך ותדירות פעולות העיבוד, משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.

הממונה על הגנת הפרטיות יהיה אמון על קיום הוראות החוק על-ידי בעל השליטה או המחזיק במאגר המידע, על קידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע, ובין היתר ישמש כסמכות מקצועית ומוקד ידע לגוף בו מונה. במסגרת זו, הממונה על הגנת הפרטיות יכין תוכנית לבקרה שוטפת על קיום הוראות החוק, יוודא את ביצועה וידווח על כך להנהלה, ישמש כאיש הקשר מול הרשות, יוודא קיומם של נוהל אבטחת מידע ומסמך הגדרות מאגר הנדרשים בהתאם לתקנות אבטחת מידע, יטפל בפניות נושאי מידע, ועוד.

6.ביטול חובות מסוימות של מחזיקים: טרם התיקון, החוק קבע מספר חובות שחלות על מחזיקים אשר מחזיקים ב-5 מאגרי מידע (או יותר) שחייבים ברישום לפי החוק. למשל, מחזיקים כאמור היו מחויבים בהגשת דו"ח שנתי לרשות בקשר למאגרי המידע שהם החזיקו, וחובה זו בוטלה במסגרת התיקון.

7.חוות דעת מקדמית: התיקון מסדיר לראשונה את האפשרות של בעלי שליטה או מחזיקים במאגר מידע לפנות לרשות לשם קבלת חוות דעת מקדמית אודות עמידת מאגרי מידע בהוראות החוק, או לעניין עיבוד המידע שבמאגר מידע. לעניין זה, נקבעו לוחות זמנים למתן חוות הדעת המקדמית או להודעה על סירוב לתיתה, זכות הרשות לפרסם את חוות הדעת, וכן נסיבות בהן לא תינתן חוות דעת כדוגמת בקשה תיאורטית או אקדמית.

8.סמכויות האכיפה והפיקוח של הרשות: במסגרת התיקון, סמכויות האכיפה ואמצעי הפיקוח של הרשות הורחבו באופן משמעותי, והוענקו לרשות כלים שונים לאכיפה אפקטיבית של הוראות החוק.

לדוגמא, התיקון מסדיר בחקיקה את פיקוחי הרוחב המגזריים שהרשות מבצעת כבר כיום ואת האפשרות של הרשות להסתייע בגורמים חיצוניים ובמומחים במסגרתם. בנוסף, החוק מאפשר לרשות לנקוט בפעולות פיקוח ובירור מינהלי בגופים ביטחוניים.

לעניין אמצעי האכיפה המנהליים, ראש הרשות קיבל סמכות לעשות שימוש בכלים שונים, כגון הטלת עיצומים כספיים בגין הפרת הוראות החוק ובגין הפרה של כל אחת מהוראות האבטחה שבתקנות אבטחת מידע, כאשר גובה העיצום הכספי משתנה בהתאם לסוג ההפרה, כמות נושאי המידע במאגר המידע, בשאלה האם מדובר בהפרה חוזרת, נמשכת, וכיו"ב, כך שגובה העיצומים הכספיים יכול להגיע לסכומים גבוהים של מאות אלפי שקלים (ואף מיליוני שקלים בנסיבות מסוימות); הוצאת התראה מנהלית המפרטת את ההפרה הנטענת ומזהירה שאי הפסקתה תוביל לעיצום כספי וכן דרישה להמצאת כתב התחייבות להפסקת ההפרה (לרבות הפקדת עירבון במקרים מסוימים); פנייה לבית המשפט לעניינים מנהליים להוצאת צו להפסקת פעולות עיבוד מידע או מחיקת מידע אישי במקרה של חשש להפרה; ועוד.

התיקון לחוק כולל גם הרחבה של סמכויות החקירה שניתנו לעובדי הרשות, וכן מוסיף עבירות עונשיות נוספות על אלו הקבועות כיום בחוק.

9.פיצויים לדוגמא: בטרם התיקון, סמכותו של בית המשפט לפסוק פיצויים ללא הוכחת נזק הייתה מוגבלת לעילות של פגיעה בפרטיות. לאחר התיקון, בית המשפט יהיה רשאי לפסוק פיצויים לדוגמא גם בעילות הקשורות למאגרי מידע ולעיבוד המידע האישי במסגרתם (עד לסכום של 10,000 ₪).

תיקון 13 לחוק הוא רפורמה של ממש בדיני הפרטיות בישראל, המצריכה היערכות מתאימה של כלל הגופים במשק המעבדים מידע אישי במאגרי מידע, לרבות גופים שכבר ביצעו בעבר בחינה של עמידתם בהוראות דיני הפרטיות. היערכות כאמור כדאי שתכלול, בין השאר, בחינה מחודשת של חובת הרישום של מאגרי מידע, לרבות בקשר לחובת ההודעה החדשה, תוכן הודעות הפרטיות שניתנות לנושאי המידע, עמידה בהוראות החוק לגבי זכויות העיון והתיקון של נושאי המידע, הוראות האבטחה שבתקנות אבטחת מידע, מינוי ממונה הגנת פרטיות, ועוד.

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

 

בברכה,

 

צוות רגולציה – המחלקה המסחרית

הרצוג פוקס נאמן

חפשו לפי +