תיקון מס' 13 לחוק הגנת הפרטיות: עיקרי השינויים, ההשלכות, והצעדים להמשך

נוסחו הסופי של תיקון מס' 13  לחוק הגנת הפרטיות אושר במליאת הכנסת בקריאה שנייה ושלישית ביום 5.8.2024 וצפוי להיכנס לתוקף בתוך שנה, ובכך לחולל את הרפורמה המשמעותית ביותר בדיני הפרטיות מאז שחוקק לראשונה בשנת 1981.

התיקון לחוק יוצר מסגרת מעודכנת להגנה על מידע אישי ומחזק את הזכות לפרטיות בישראל, כך שתהיה קרובה יותר לתפיסה הנהוגה במדינות האיחוד האירופי. התיקון מעניק סמכויות פיקוח ואכיפה מרחיקות לכת לרשות הגנת הפרטיות, מבטל דרישות מכבידות ומיושנות שהיוו נטל על חברות ובעלי עסקים, לרבות צמצום חובת הרישום, ומעניק כלים להתמודדות נכונה יותר עם האתגרים הגדולים שמציבה הטכנולוגיה בתחום זה.

משרדנו היה מעורב באופן משמעותי בתהליך החקיקה האינטנסיבי, שכלל חודשים של דיונים בוועדת החוקה של הכנסת, ובכוונתנו לספק בתקופה הקרובה הנחייה צמודה ללקוחותינו בכדי לסייע להם לעמוד בדרישות החדשות בצורה אופטימלית ולהקנות כלים לצורך כך. בין היתר, אנו צפויים לקיים בקרוב סדנת עומק בנושא. 

להלן נסקור בהרחבה את עיקרי השינויים המשמעותיים שאומצו במסגרת התיקון לחוק: 

1. הרחבת סמכויות משטר הפיקוח:

• התיקון מרחיב משמעותית את סמכויות רשות הגנת הפרטיות והופך אותה לרגולטור חזק בעל יכולת פיקוח ואכיפה על גופים פרטיים וציבוריים כאחד, תוך הקניית סמכויות חקירה, סמכויות להורות על הפסקת העיבוד המפר, סמכויות לביצוע בירורים מנהליים לרבות הטלת אמצעי אכיפה מנהליים מסוגים שונים, הטלת עיצומים כספיים ועוד.
• התיקון מקנה סמכות לבית המשפט לפסוק פיצויים עונשיים שאינם תלויים בנזק עד 10,000 ש"ח, למשל במקרים בהם הופר עיקרון צמידות המטרה, לא מומשה זכות העיון במידע, או שלא נמחק מידע בעקבות בקשת אדם וכיו"ב.
• לרשות סמכות למנות מפקחים מטעמה, בעלי סמכויות נרחבות כגון דרישת ידיעות ומסמכים, הצגת עותקים מחומר מחשב, כניסה לחצרים בנסיבות מסוימות וכיו"ב.
• בנוסף, התיקון קובע סמכויות לפתיחת הליכים לבירור מנהלי, תפיסת חפצים, וכן מאפשר זאת גם בגופים ציבוריים ובהמשך אף בגופים ביטחוניים (אשר יחוייבו גם במינוי מפקח פרטיות מטעמם שיחוב בחובות דיווח לרשות).
• התיקון מסדיר לראשונה את הסמכות של הרשות לבצע פיקוחי רוחב (ביקורות יזומות) והסתייעות במומחים חיצוניים מטעמה.

2. הטלת עיצומים כספיים בסכומים משמעותיים:

החוק מסמיך את ראש הרשות לראשונה להטיל עיצומים כספיים מנהליים בסכומים משמעותיים בנוגע להפרות הוראות החוק. מודל העיצומים מתבסס על קריטריונים שונים, הכוללים את (א) סוגי ההפרות, ובכלל זה הפרות פרטניות שאינן נוגעות לכלל המידע במאגר (כגון סירוב למתן זכות עיון); הפרות הנוגעות לכלל המידע שבמאגר (כגון אי מינוי ממונה אבטחת מידע או ממונה הגנת פרטיות לפי העניין); הפרות כלפי הרשות; או הפרות של זכויות מהותיות של נושאי מידע; (ב) כמות ההפרות; (ג) כמות נושאי המידע שבמאגר; (ד) האם המידע הוא בעל רגישות מיוחדת או שאינו; והאם קיימות הפחתות לעסקים קטנים או זעירים לפי מחזור שנתי.
העיצומים יכולים להיות מוטלים הן על בעל שליטה במאגר והן על מחזיק אשר הפר את הוראות החוק.

להלן עיקרי מודל העיצומים הכספיים:

3. ממשל תאגידי: צמצום חובת הרישום; הוספת חובת הודעה

התיקון מבטל את הדרישה לרשום מאגרי מידע בפנקס/מרשם הפומבי אצל רובם המוחלט של הגופים במשק ומותיר חובה מצומצמת, תוך הבחנה בין גופים החייבים ברישום לבין גופים החייבים בהודעה.

• גופים החייבים ברישום:
1. גופים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר (data brokers), ויש במאגר מידע אישי על יותר מ-10,000 בני אדם.
2. אם בעל השליטה במאגר הוא גוף ציבורי.

• גופים החייבים בהודעה:
בעלי שליטה במאגר שאינם חייבים ברישום כאמור לעיל, ומעבדים מידע בעל רגישות מיוחדת בקשר ל-100,000 נושאי מידע ומעלה מחויבים להודיע על כך לרשות, ולמסור את פרטי ההתקשרות עימם לרבות זהות ממונה הגנת הפרטיות, וכן למסור העתק ממסמך הגדרות המאגר. יש לשים לב שבתיקון אין פטור בנוגע לנושאי מידע שאינם מישראל.

• תחולה ביחס למאגרים רשומים:
מאגר מידע שביום התחילה היה רשום בפנקס מאגרי מידע, ימשיך להיות רשום במרשם אף אם לא תחול עליו חובת רישום, אלא אם הודיע בעל השליטה במאגר על כך שיכול להימחק.
יש לשים לב כי לא ניתנו הוראות פטור לבעלי שליטה במאגר המכיל אך ורק מידע של אזרחים זרים.

4. עקרונות בניהול המידע: חובת גילוי וצמידות מטרה 

• חובות גילוי מוגברות:

על גורמים המעבדים מידע לעמוד בחובת היידוע, הכרוכה בקבלת הסכמת נושאי מידע לאיסוף ועיבוד המידע האישי. על מנת לעמוד בחובת היידוע, על גופים למסור לנושאי מידע במסגרת קבלת ההסכמה את הפרטים הבאים:
(א) האם קיימת חובה חוקית למסירת המידע, או שמדובר במסירת מידע מרצון;
(ב) תיאור המטרה שלשמה נאסף המידע;
(ג) פירוט שם ופרטי בעל השליטה במאגר;
(ד) האם קיימות העברות מידע ולאילו גורמים;
(ה) תוצאת הסירוב למסירת המידע;
(ו) ציון זכויות נושאי המידע לרבות זכויות העיון והתיקון.

• עדכון עיקרון צמידות המטרה:
מעבר לקביעה של הזכות המהותית לפרטיות לפיה אין להשתמש בידיעה על ענייניו הפרטיים של אדם שלא למטרה לשמה נמסרה, התווסף איסור עקרוני על כל אדם לעבד מידע שלא למטרה שנקבעה כדין במסגרת מטרות המאגר, עיבוד ללא הרשאה מאת בעל שליטה במאגר או בחריגה ממנה, ואיסור על בעל שליטה במאגר לעבד מידע שהתקבל בניגוד להוראות החוק.

5. עדכון מונחים והגדרות: 

התיקון כולל שינויים בהגדרות מונחי מפתח בדיני הפרטיות לצורך התאמתם לדיני פרטיות מתקדמים בעולם והתאמתם לעת הנוכחית. להלן מספר הגדרות מהותיות:

• במקום "מידע" – אומצה הגדרת "מידע אישי" מרחיבה, לפיה מידע אישי כולל כל נתן נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי; לעניין הגדרה זו, "אדם הניתן לזיהוי" – מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי הקשור לאדם ומאפשר את זיהויו אף אם באופן עקיף, כגון נתוני מיקום ומזהים מקוונים.
• במקום "מידע רגיש", אומצה ההגדרה "מידע בעל רגישות מיוחדת", הכוללת סוגי מידע כגון צנעת הפרט, דעות פוליטיות, אמונות דתיות, מידע גנטי, מידע ביומטרי, מידע רפואי, אודות עברו הפלילי של אדם, שירותי מיקום ותעבורה בדומה לנהוג בחו"ל, אך גם קטגוריות ייחודיות לישראל כגון חוות דעת מקצועית של הערכת אישיות (למשל בקשר להשמה) או נתוני שכר.
• במקום "בעל מאגר" – אומצה ההגדרה "בעל שליטה במאגר", באופן הקרוב יותר למונח Controller בהתאם ל- GDPR, לפיו מדובר במי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע במאגר מידע.
• הגדרת "מחזיק" הורחבה לכל גורם חיצוני לבעל השליטה במאגר אשר מעבד עבורו את המידע, ובכך התקרבה יותר להגדרת המונח Processor בהתאם ל-GDPR.
• "עיבוד" או "שימוש" – הפעולות העיקריות הורחבו והובהרו, כך שיחולו על כל פעולה המערבת נתונים אישיים כמו למשל העברה, עיון, גילוי, מסירה או מתן גישה למידע אישי.
• "מנהל מאגר" ותפקידיו בפועל התבטלו, וחובותיו בחוק ובתקנות נמסרו לבעל השליטה במאגר.

6. הליך פנייה מקדמית לרשות (פרה-רולינג 

• במסגרת התיקון, הן לבעל שליטה במאגר והן למחזיק תינתן הזכות לפנות לרשות בבקשה לקבלת חוות דעת מקדמית בעניין עמידת מאגר המידע בדרישות החוק או ההוראות לפיו לעניין עיבוד המידע במאגר המידע.
• זכות זו קיימת גם למי שעומד להיות בעל שליטה או מחזיק במאגר, עוד בטרם החלו את פעולות עיבוד המידע המקנות להם מעמד זה.
• מנגנון זה מאפשר למעבדי מידע ליצור דיאלוג מול הרשות באופן שיאפשר לה להכווין את התנהגות השחקנים עוד בטרם ייכנסו למצב של הפרת הדין. בדומה לרגולטורים אחרים, כלי זה גם יאפשר ללמוד מניסיונם של אחרים ולייצר בהירות מול הרגולטור.
• הרשות מחוייבת להעניק את חוות דעתה בתוך 60 יום ממועד הבקשה או ממועד המצאת המסמכים הנוגעים בדבר, לפי המאוחר.
• הרשות רשאית לפרסם את חוות דעתה בהסכמת המבקש, ולבקשתו להסיר פרטים מזהים.
   

7. חובת מינוי ממונה הגנת פרטיות (DPO)

במסגרת התיקון, גופים שונים יחוייבו במינוי ממונה הגנת פרטיות אשר ישמש כגורם בעל סמכות מקצועית בארגון לתחום הפרטיות. החובה החדשה בחוק נועדה להביא לשיפור משמעותי בהגנה על עקרונות דיני הפרטיות בארגונים, ויש לומר כי היא נולדה מתוך הדיאלוג שבין גורמי החקיקה לבין נציגי הציבור וכלל לא הופיעה בהצעת החוק הממשלתית בתחילה.

ככלל, הדרישה למינוי ממונה מוטלת על גופים המעבדים מידע אישי בהיקפים משמעותיים, כדלקמן:

זהות הגופים החייבים במינוי ממונה הגנת פרטיות:

1. בעל שליטה במאגר שהוא גוף ציבורי (למעט גופים ביטחוניים שלהם הוראות ייחודיות).
2. בעל שליטה במאגר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר (data brokers) ובמאגר המידע קיים מידע אישי על יותר מ-10,000 בני אדם.
3. בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר, כמו למשל מעקב אחר נתוני מיקום או ספק שירות חיפוש מקוון ומי שעיסוקו העיקרי כרוך בכך.
4. בעל שליטה במאגר או מחזיק במאגר בעיבוד מידע רגיש במיוחד ובהיקף ניכר, כגון תאגידים בנקאיים, בתי חולים, קופות חולים ומבטחים.

יש לציין ששני המקרים הראשוני (1+2) הם למעשה אותם ארגונים החייבים גם ברישום מאגרים, בעוד שהמקרים השלישי והרביעי נוסחו באופן הנתון לפרשנות, כזו או אחרת, בדמיון יחסי גם לסעיף המקביל ב-GDPR, ללא קריטריון כמותי של ממש כפי שבתחילה הוצע. בעוד ששני המקרים הראשונים מתייחסים אך ורק לבעלי שליטה במאגר הרי ששני המקרים האחרונים מטילים את חובת המינוי גם על מחזיקים העונים לקריטריונים המתוארים.

המקרה השלישי מתייחס למאגרי מידע הכוללים עיבוד מידע שוטף ושיטתי בהיקף ניכר, בהינתן טיב פעולת העיבוד, מטרתה או היקפה.

המקרה הרביעי מתייחס למקרים מובהקים יותר בהתייחס לארגונים בהם קיים עיבוד מידע רגיש בצורה משמעותית מאוד אבל הוא רק נלווה לעיסוק העיקרי של אותו ארגון. כך למשל, בית חולים מעבד כמויות אדירות של מידע בריאות, מידע ביומטרי, גנטי ועוד, אולם כל זה רק משני למטרת עיסוקו המרכזית של בית החולים – לטפל במטופלים הבאים בשעריו.

בשני המקרים האחרונים הדוגמאות הניתנות בהם אינן מתיימרות להיות רשימה סגורה, אלא קזואיסטיות, לשמש כדוגמאות להמחשה בלבד.

אנו ממליצים ללקוחותינו לבחון בהקדם את הימצאותן של נסיבות שיחייבו אותם במינוי ממונה הגנת פרטיות.

סמכויות ותפקידי הממונה:

• סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, יכין תוכנית הדרכה ויפקח על ביצועה.
• יכין תוכנית לבקרה שוטפת על העמידה בהוראות החוק, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ידווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים.
• יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר.
• יוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם.
• ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.

כישורי הממונה ועצמאותו:

• ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו תוך התחשבות באופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו.
• לממונה חובת דיווח ישירות למנכ"ל או לעובד שכפוף ישירות אליו, והוא לא ימלא תפקיד נוסף אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו.
• הממונה יכול להיות גורם חיצוני לארגון, ומשכך ארגונים יוכלו לשכור גורמים חיצוניים לתפקיד, כמו למשל יועצים משפטיים.

8. התיישנות:

הרחבת תקופת ההתיישנות על תביעות אזרחיות לפי חוק זה משנתיים לשבע שנים.

9. עבירות:

תיקון פרק העבירות הפליליות, כגון התנהגויות המבוצעות בכוונה להטעות הרשות או להוצאת מידע במרמה מנושא מידע.

לאור השינויים המשמעותיים המפורטים לעיל, אנו ממליצים ללקוחותינו לנקוט במספר צעדים לצורך הגברת מוכנותם לקראת כניסתו של החוק לתוקף:

מחקיקה לפרקטיקה – מה כדאי לעשות כבר עכשיו?
1.    יש לערוך סקר ציות למיפוי עדכני של כלל תהליכי עיבוד המידע המבוצעים בארגון, ובכלל זה בחינת הוראות הדין החלות על הארגון תוך איתור פערים בציות.
2.    תיקון ליקויים לצמצום הסיכונים העולים מסקר הציות ועדכון הפרקטיקות הנוכחיות על מנת להתאימן למשטר החדש.
3.    יש לבחון הצורך במינוי ממונה הגנת הפרטיות לארגון.
4.    יש לבחון הצורך בקיומם או היעדרם של מאגרי מידע רשומים, ועמידה בחובת  ההודעה לרשות אודות מאגרי מידע.
5.    יש לאמץ תוכנית אכיפה בהתאם לדרישות הדין החדשות.

אין באמור כדי להוות ייעוץ משפטי. נשמח לעמוד לרשותכם!