© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

תיקון 13 לחוק הגנת הפרטיות: שינויים משמעותיים באכיפה ובחובות

וועדת חוקה חוק ומשפט אישרה בכנסת את תיקון 13 לחוק הגנת הפרטיות. התיקון מציע שינויים נרחבים בנוסח חוק הגנת הפרטיות, ובהם בסמכויות האכיפה של הרשות להגנת הפרטיות, בחובות הנוגעות לפעילות חברות במשק, לאפשרויות האכיפה ועוד. 

 

במתוכנתו המאושרת, התיקון מקרב את תפיסת דיני הפרטיות בישראל לזו האירופאית, ומתמקד בתהליכי עיבוד המידע, לעומת המצב הקודם, שמיקד את האסדרה במאגרי המידע.

 

הצעת החוק המקורית הוגשה בכנסת מספר פעמים. 'תיקון מס' 14' היה מספר התיקון בעת הקריאה הראשונה, אך לאחר התפזרות הכנסת והליך חקיקה שהתעכב למעלה משנתיים, מספר ההצעות עלה על מספר התיקונים. התיקון שאושר באוגוסט 2024 נקרא 'הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024.

 

 

מונחי בסיס והגדרות

התיקון כולל שינויים במספר הגדרות יסוד בחוק הגנת הפרטיות.

הצעת החוק מגדירה "מידע אישי" כמידע הנוגע לאדם מזוהה או הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין. לצד זאת, כוללת הצעת החוק רשימה של סוגי מידע שייחשבו "מידע רגיש במיוחד" בהם – מידע הנוגע לנתוני שכר ולפעילות פיננסית, מידע רפואי או גנטי, מידע ביומטרי, מידע הנוגע לדעות ואמונות ועוד.

הצעת החוק קובעת עוד כי "עיבוד" יהיה כל פעולה המבוצעת עם מידע אישי. מי ששולט על תהליכי עיבוד המידע ייקרא "בעל השליטה" ומי שמעבד מידע בשם בעל השליטה ייקרא "מחזיק".
ההגדרות מבטאות את המיקוד בפעולת עיבוד המידע, דרכה מבוצעת האסדרה והאכיפה תחת הוראות התיקון. ההגדרות הללו מאפשרות להתמקד במי שהמידע האישי אודותיהם מוחזק בידי גורמים שונים, ולהרחיב את זכויותיהם ביחס למידע.

הרחבת חובות היידוע

הצעת החוק מרחיבה את חובות היידוע החלות על מי שמבקש את הסכמתו של אדם לאיסוף המידע האישי שלו. לפי ההצעה, על מי שמבקש הסכמה לאיסוף המידע למסור לאדם שמידע פרטי שלו נאסף הודעה ובה התייחסות לשאלה אם מדובר בחובה חוקית למסירת המידע, פירוט של התוצאה של סירוב למסירת המידע, תיאור המטרה לשמה נאסף המידע, פירוט של שמו ופרטיו של בעל השליטה במאגר וכן של זהות הגורמים אליהם יועבר המידע, וכן את קיומן של זכויות לעיון ותיקון המידע.

 

הפרה של חובות אלה עשויה לגרור הליכי אכיפה מצד אותו אדם, או מצד הרשות להגנת הפרטיות, כפי שיתואר בהמשך. ההרחבה הזו מביאה לידי ביטוי את הרחבת זכויותיהם של בני אדם הנוגעים בדבר.

הקלה בדרישת רישום מאגרים

 

כיום, נדרש כל בעל מאגר מידע שיש בו מידע אודות למעלה מ-10,000 בני אדם, מידע רגיש, מידע שלא נמסר במישרין בידי בני האדם, מאגר של גוף ציבורי או שהמאגר משמש לשירותי דיוור ישיר ברישום המאגר.בפועל, משמעות הדבר היא שמרבית המאגרים המנוהלים בידי חברות במשק נדרשים ברישום לפי חוק.

כחלק מהמגמה המתוארת לעיל, הצעת החוק מבקשת להקל באופן ממשי בחובות רישום מאגרי מידע. לפי ההצעה, חובה לרישום מאגר תחול רק על מי שמנהל מאגר מידע לצורך העברת מידע לאחר כדרך עיסוק או בתמורה (למשל לצרכי דיוור ישיר), ובמאגר נתונים של למעלה מ-10,000 בני אדם, או ביחס למאגר מידע בבעלות גוף ציבורי.

 

בנוסף, בעל שליטה במאגר בו מידע רגיש במיוחד בנוגע ליותר מ-100,000 בני אדם, יחויב לעדכן את הרשות להגנת הפרטיות בדבר זהותו, ובזהות הממונה על הגנת הפרטיות, אם מונה אחד כזה.

שינוי זה מאפשר הקלה משמעותית על חברות שנדרשו עד היום לרישום ועדכונים של הרשות בכל שינוי בפעילותן ביחס למאגר. הקלה זו לא מורידה מהצורך לעמוד בדרישות החוק האחרות, ובכלל זאת בדרישות הנוגעות לאופן איסוף המידע, עמידה בדרישות אבטחת מידע, והחובה לקיים את זכויות בני האדם שהמידע שלהם מעובד.

חובת מינוי ממונה הגנת הפרטיות

כחלק מהרחבת החובות החלות על חברות, מבקשת הצעת החוק לחייב גופים שונים במינוי ממונה הגנת פרטיות. הממונה ישמש סמכות מקצועית ומוקד ידע, יהיה אחראי על תוכנית הדרכה לעובדים, יקיים תוכנית לבקרה שוטפת על העמידה בדיני הגנת הפרטיות, יוודא קיומו של נוהל אבטחת מידע ומסמך הגדרות מאגר, יוודא טיפול בפניות בני אדם שהמידע שלהם מעובד בידי הגוף, ויהיה מעורב בכל עניין של הגנת הפרטיות.

 

בנוסף, מבקשת הצעת החוק לקבוע כי הממונה יהיה בעל הידע והכישורים הנדרשים, יקבל את המשאבים הדרושים לפעילותו מהחברה, לא ימלא תפקיד נוסף בחברה, וידווח ישירות למנכ"ל. הממונה לא חייב להיות עובד הגוף, מה שיאפשר לחברות לשכור גורמים חיצוניים המומחים בדיני הפרטיות לשמש כממוני הגנת הפרטיות בארגון – כמקובל כיום באירופה.

 

הגופים בהם נדרש מינוי של ממונה הגנת הפרטיות הם:

  • גופים ציבוריים.
  • בעלי שליטה במאגר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, כאשר במאגר מידע אישי של למעלה מ 10,000 בני אדם.
  • בעלי שליטה או מחזיקים במאגר שעיסוקיו כוללים פעולות עיבוד מידע שנוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם ובכלל זאת מעקב אחר התנהגותו, מיקומו או פעולותיו של אדם. בכלל זאת, חייבים במינוי ספקי רדיו וטלפוניה, ספקי שירות חיפוש מקוון או מי שעיסוקו העיקרי כרוך בפעולות מסוג אלה.
  • מי שעיסוקו כרוך בעיבוד מידע רגיש במיוחד בהיקף ניכר – ובכלל זאת תאגידים בנקאיים, מבטחים, בתי חולים וקופות חולים.

 

מחלקת הפרטיות במשרדנו מספקת כיום שירותים של ממונה חיצוני להגנה על הפרטיות בארגונים שונים.

 

הרחבת אמצעי האכיפה

התיקון מבקש להרחיב את הכלים לאכיפה אפקטיבית כלפי חברות המפירות את חוק הגנת הפרטיות והתקנות מכוחו. התיקון מקנה סמכויות אכיפה נוספות לרשות להגנת הפרטיות, ומאפשר הגשת תביעות אישיות מטעם מי שנפגע במישרין מהפרת החוק בקשת מקרים רחבה יותר.

 

לפי הצעת החוק, תביעות אישיות יוכלו להיות מוגשות בידי בני אדם אשר:

  • לא קיבלו יידוע מספיק טרם איסוף המידע האישי שלהם.
  • בקשתם לעיון במידע האישי אודותיהם טופלה שלא כדין.
  • הוחלט למחוק או לתקן מידע שלהם והמחיקה או התיקון לא בוצעו בפועל.
  • לא נשלחה אליהם הודעה בדבר מחיקה או תיקון של המידע האישי, ועוד.

ביחס לחלק מהסעיפים, קובע החוק פיצוי ללא הוכחת נזק.

 

התיקון מבקש להעניק לרשות להגנת הפרטיות קשת רחבה של כלים שיאפשרו אכיפה אפקטיבית. בין כלים אלה יכללו:

  • הודעה בדבר הפרה של החוק.
  • דרישה לתיקון הפרה.
  • סמכות להורות על הפסקת עיבוד מידע.
  • סמכות לביצוע בירור מנהלי.
  • סמכות להטלת עיצומים כספיים ניכרים על חברות המפרות את החוק והתקנות – אשר עשויים לעלות על מאות אלפי ש"ח.
  • סמכות לביצוע הליכי פיקוח רוחב במגזרים שונים במשק.

בנוסף, יעוגן בחוק תהליך של התייעצות מוקדמת עם הרשות להגנת הפרטיות ביחס לפעילות מאגרי מידע שונים.

 

מה בהמשך?

הצעת החוק צפויה להיות מובאת להצבעה בכנסת בקרוב. הוראות התיקון צפויות להיכנס לתוקף כשנה לאחר חקיקתו ואנו ממליצים לכלל לקוחותינו להם פעילות בישראל לבצע מספר פעולות כדי לוודא את עמידתם בהוראות החוק והתקנות לפיו:

  • מיפוי של תהליכי איסוף ועיבוד המידע שלהם בכדי לוודא את עמידתם בדרישות היידוע המעודכנות.
  • בחינה של מסמכי מדיניות הפרטיות והתאמתם לדרישות החוק.
  • בחינת הצורך במינוי ממונה הגנת הפרטיות בארגון, בהתאם להוראות החוק החדשות.
  • ביצוע סקר פערים מסודר אל מול הוראות התיקון, וזיהוי סיכונים אפשריים בפעילות החברה.

 

***

 

מחלקות הפרטיות, הבינה המלאכותית והסייבר במשרד ברנע ג'פה לנדה ושות' מלווה חברות בהליכי ציות לדיני הפרטיות בישראל ובעולם. בנוסף, עורכי הדין במחלקה משמשים ממוני הגנת הפרטיות בחברות וארגונים שונים.

ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.

עו"ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, בינה מלאכותית וסייבר.

תגיות: חוק הגנת הפרטיות