ממשלת ישראל: חוקי פרטיות חדשים

לאחר 40 שנים בהן לא עודכן חוק הפרטיות בישראל, הצעת חוק חדשה (תיקון 14 לחוק הגנת הפרטיות) מבקשת להתאים את החוק לעידן הדיגיטלי.
אחת התכליות המרכזיות של הצעת החוק היא שמירה על מעמדה של הזכות לפרטיות, כזכות יסוד חוקית, ומתן הגנה על מידע האישי הנמצא במאגרי המידע השונים. זאת לצד שיפור יכולות הפיקוח והאכיפה המוקנות לרשם מאגרי המידע ברשות להגנת הפרטיות. התיקון כולל, בין היתר, הענקת סמכויות אכיפה משמעותיות לרשות, כמו גם הגדלת הקנסות במקרים של הפרות. בכך, חותרת הצעת החוק להגדיל את משקלה של חקיקת הפרטיות בישראל.

חוק הגנת הפרטיות הוא חוק מיושן: הוא לא מעודכן לעולם הדיגיטלי ולשינויים הטכנולוגיים המתרחשים במהירות רבה בתחום איסוף ועיבוד המידע; לא מקיף את כלל האיומים והפגיעות האפשריות בפרטיותם של בני האדם; ולא מותאם לרגולציית הגנת המידע של האיחוד האירופאי (GDPR), דבר הפוגע במעמדה של מדינת ישראל מול מדינות האיחוד.

עיקרי התיקונים המוצעים

1. צמצום חובת רישום מאגרי מידע, תוך מיקוד הפיקוח והאכיפה ומתן דגש רגולטורי למאגרי מידע שלגביהם קיים איום משמעותי לפרטיות. יודגש כי מדובר בצמצום חובת הרישום ולא בביטולה המוחלט.
תיקון 14 לחוק הגנת הפרטיות מציע כי חובת הרישום תתייחס למאגרי מידע גדולים הכוללים מידע על יותר מ-100,000 נושאי מידע, רק אם ישנה רגישות מיוחדת למאגר לנוכח סוג בעל השליטה במאגר (לדוגמה גוף ציבורי), מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר כדרך עיסוק) או אופן איסוף המידע (המידע לא נאסף מנושאי המידע או בהסכמתם).
בנוסף, מוצעת חובת רישום גם לגבי מאגרי מידע הכוללים מידע על יותר מ-500,000 נושאי מידע ובהם "מידע בעל רגישות מיוחדת". כמו כן, הצעת החוק כוללת חובת דיווח לגבי פרטי היסוד של המאגר במאגרי מידע הכוללים בין 100,000 ל-500,000 נושאי מידע.

2. ביצוע התאמה במונחים ובהגדרות הקשורים להגנה על מידע אישי למונחים המקובלים בעולם. כלומר, להתאימם למונחים בהם משתמשים ארגונים כגון הארגון לשיתוף פעולה ופיתוח כלכלי (OECD) ולנוסחי רגולציית הגנת המידע של האיחוד האירופאי (GDPR). כך לדוגמה הוחלף המינוח "בעל מאגר מידע" ב"בעל שליטה במאגר מידע".

3. הגדרת המונח "מידע בעל רגישות מיוחדות", במקום המונח "מידע אישי רגיש", כדי ליצור אבחנה אמיתית בין מידע מזוהה על אדם לבין מידע הנוגע למרכז הזכות לפרטיות הטעון הגנה מיוחדת, בדומה לקטגוריות הקבועות בתקנות אבטחת מידע לקביעת רמת אבטחה נדרשת למאגר.

4. עם צמצום חובת הרישום, הצעת החוק מציעה גם שינוי בעקרון "צמידות המטרה". כיום קובע עקרון צמידות המטרה איסור על שימוש במידע במאגר מידע החייב ברישום שלא למטרה שלשמה הוקם המאגר, ולכן העיקרון מוגבל רק למאגרי מידע החייבים ברישום. התיקון לחוק מציע לקבוע איסור כללי להשתמש במידע ממאגר המידע שלא למטרה שלשמה נמסר המידע. איסור זה תקף בין אם מדובר במאגר רשום ובין אם לאו. עוד מוצע כי איסור זה יחול גם על ידיעות על ענייניו הפרטיים של אדם, למרות שאלו אינן נכללות בהגדרת "מידע".

5. הרחבת סמכויות האכיפה הנתונות ל"רשם מאגרי המידע" ("הממונה על הגנת המידע", בשמו החדש) בכדי לאפשר הגברת יכולות אכיפה והגנה על מידע אישי השמור במאגרי המידע.

6. קביעת מנגנון אכיפה מנהלי, לרבות סמכויות חקירה ואכיפה והטלת עיצום כספי משמעותי, המתגבר בהתאם להיקף המידע הנשמר במאגר. מנגנון אכיפה מנהלי זה ישמש כמסלול חלופי לאכיפה במסלול הפלילי. הצעת החוק קובעת קנסות ממשיים במקרים של הפרת החובות מכוח החוק ומכוח תקנות אבטחת מידע. קנסות אלה לא היו קיימים עד כה והם מהווים שינוי משמעותי ביכולת האכיפה של הרשות.

השלכות

תיקון 14 לחוק הגנת הפרטיות הוא צעד חשוב למימוש יעדים שהציבו לעצמן רשות הגנת הפרטיות והממשלה בהגברת ההגנה על הפרטיות. ההצעה מגלמת בתוכה תיקונים נדרשים אותם מבקשת הרשות לקדם כבר מספר שנים. בהתאם, אף כי מדובר בהצעת חוק בלבד ועל מנת שתיכנס לתוקף יש להשלים את הליך החקיקה המלא, יש אינדיקציה ממשית לכוונה להשלים את המהלך בהקדם. זאת ועוד, הצעת החוק נוקבת בתקופה של חצי שנה בלבד ממועד השלמת החקיקה כמועד כניסה לתוקף. מדובר בתקופה קצרה לגופים שלא השכילו להיערך עד היום לשינויים שחלו בדיני הפרטיות מאז התקנת תקנות אבטחת מידע. אנו מציעים ללקוחותינו ולבחון את מוכנותם לכניסת החוק לתוקף כבר היום, מאחר שמדובר בתהליכים ארוכים ומשמעותיים.