תיקון 13 לחוק הגנת הפרטיות כבר כאן! אתם מוכנים?

תיקון 13 שמעדכן באופן משמעותי את דיני הפרטיות בישראל נכנס לתוקף! אם אתם עדיין לא יודעים מה לעשות כדי לקדם עמידה בדרישות, הכנו מדריך שיעזור לכם לסגור את הפערים המרכזיים (ולא את כולם).

במדריך זה, תוכלו למצוא טיפים פשוטים שניתן ליישם בארגון שלכם, ובכמה צעדים פשוטים יסייעו לכם לשפר באופן ניכר את מידת הציות שלכם להוראות חוק הפרטיות הישראלי.

1. מסמכי הגדרות מאגר

אבני היסוד של חוק הגנת הפרטיות הם מסמכי הגדרות המאגר, המחייבים ארגונים לבחון ולמפות את תהליכי עיבוד המידע שמבוצעים אצלם ובשליטתם, לתעד אותם ולערוך ביקורת שנתית על תיעוד זה.

מסמכי הגדרות המאגר נדרשים כבר שנים מאז חקיקת תקנות אבטחת המידע, אבל חשיבותם עולה כעת משמעותית עם הגברת הסנקציות על הפרת התקנות, ובעיקר על רקע צמצום חובת רישום מאגרי המידע עבור רוב הגופים (למעט מאגרי גופים ציבוריים ומאגרים המשמשים לסחר במידע), והעברת הדגש לתהליכי אסדרה פנימיים בארגון, הגברת האחריותיות של כל בעל שליטה במאגר מידע (לשעבר – בעל מאגר מידע), והגברת הפיקוח והאכיפה הצפויים מצד הרגולטור בתחום – הרשות להגנת הפרטיות.

אם כן, מצופה מארגונים לנהל באופן עצמאי תיעוד הכולל שורה של נתונים הנוגעים לפעילות עיבוד המידע עבור כל מאגר.

אנו מעריכים כי ניהול מסמכים אלה יהפוך לאחד ממוקדי האכיפה המרכזיים של הרשות.

איך מתחילים?

• מזהים את סוגי פעילות עיבוד המידע ביחס אליהן החברה היא בעלת השליטה במידע (או “Controller”), אותן יש לכלול במסמכי הגדרות המאגר. יש לכם מיפוי תהליכים שערכתם כדי לעמוד ברגולציה אחרת (למשל GDPR)? מצוין! זו נקודת התחלה שנותנת בסיס טוב לאפיון סוגי המידע במאגר, פעולות העיבוד וזיהוי הספקים המעורבים בפעולות אלו.
• מחליטים על חלוקה למאגרי מידע. לרוב הארגונים מאגרי עובדים ומועמדים, לקוחות או משתמשים ולקוחות פוטנציאליים, ספקים, מצלמות (אם יש) ועוד – בהתאם לאופי פעילותו של כל ארגון והמידע המנוהל אצלו.
• לגבי כל מאגר, מתעדים את הפרטים הבאים: סוג המידע, מקורותיו, מטרות איסופו ושמירתו, הגורמים המשתתפים בעיבוד המידע (לרוב ספקים) תוך ווידוא שכולם חתומים על סודיות ואבטחת המידע שלכם, מקום אחסון המידע והמדינה בה המידע מעובד (בפעילות SaaS – יהיה לרוב בשרתי הענן של החברה, או של הספק), תקופות ומדיניות המחיקה של המידע, סיכוני האבטחה למידע והאמצעים לאבטחתו.
• בודקים אם לחברה יש כבר היום מאגרים רשומים ובוחנים האם המאגרים הללו מחייבים רישום גם לאחר התיקון. במקרים המתאימים תוכלו לבקש את מחיקת הרישום אם אינו מחויב, ויש לוודא שאינכם מחויבים בהודעה יזומה לרשות הגנת הפרטיות על המאגר, אם הוא כולל מידע רגיש בהיקף גדול – אז תצטרכו להעביר לרשות את מסמך ההגדרות שלכם עם ההודעה.

זה אולי נשמע מסובך, אבל אחרי עבודת המיפוי הראשונה, זה הופך לתהליך שגרתי בארגון. השלמתו משפרת את ההגנה על הפרטיות והמודעות לכך בארגון שלכם, ומשפרת את עמידתכם בדרישות הגנת הפרטיות בישראל ובעולם! תהליך מיפוי פעולות עיבוד המידע מחויב גם לפי החקיקה האירופאית, ונדרש כדי להטמיע תהליכי אבטחה והגנה על המידע.

2. חובת הגילוי והשקיפות בעת איסוף מידע אישי

תיקון 13 מרחיב את חובת הגילוי והשקיפות כלפי מי שאוסף מידע אישי, ומחייב לפרט בפני נושאי המידע (מי שהמידע עליהם) את הפרטים הבאים:

• האם נושא המידע חייב למסור את המידע, או שמסירת המידע מרצונו ובהסכמתו נדרשת כדי לקבל ממני את השירות שאני מספק לו?
• מה המטרה לשמה מבוקש המידע? חשוב לפרט כאן את כל המטרות לשימושים במידע, כדי שהאנשים שמוסרים את המידע ידעו למה לצפות.
• מי שולט על המידע? לרוב, הכוונה היא לשם החברה שלכם כבעלת השליטה במאגר אליו נאסף המידע, ולפרטי קשר באמצעותם ניתן לפנות אליכם. אם מישהו אחר (דוגמת ספק) אוסף את המידע עבורכם – עליו לכלול את הפרטים שלכם.
• לאן המידע עובר? כאן צריך לפרט את הגורמים שעשויים לקבל את המידע ואת הסיבות להעברה הזו. בדרך כלל יכללו כאן ספקים מרכזיים המספקים את השירות עבורכם או אתכם, שירותי פרסום, שותפים עסקיים ועוד.
• אילו זכויות מגיעות לנושא המידע? הדין הישראלי מחייב לאפשר לכל נושא מידע לממש את זכותו לעיין במידע השמור אודותיו או לתקנו אם אינו נכון או מדויק. עליכם חלה חובה לעדכן את נושא המידע על זכויות אלה בעת איסוף המידע.

מתי צריך לספק את כל המידע הזה? מיד עם הפניה או הבקשה לקבלת המידע. כלומר, אי אפשר לחכות לאחרי שהמידע כבר ברשותכם ואז לעדכן בדיעבד (או לא לעדכן כלל), וצריך לוודא שלמי שמוסר לכם את המידע יש נגישות למידע הזה. הגילוי צריך להתבצע בכל סוג של תהליך איסוף מידע – בהסכם, באתר, באפליקציה, בהרשמה לרשימות תפוצה ועוד.

3. מדיניות פרטיות – איפה ולמי?

מדיניות פרטיות היא אחת הדרכים לממש את חובות הגילוי בעת איסוף המידע, והיא לא מוגבלת רק לאתר!

יש להציג מדיניות פרטיות מפורטת אך ברורה ופשוטה להבנה (שלא רק משפטנים יבינו), שכוללת גם את כל הפרטים הכלולים בחובת הגילוי. זה אומר שעליכם לערוך מסמך מדיניות פרטיות המופנה לעובדים, למועמדים לעבודה, ובמקרים המתאימים גם ללקוחות וספקים, בה פירוט על סוגי המידע שנאסף, מטרות השימוש בו, למי יועבר ועוד. זה כולל כמובן גם שירותים וכלים המוטמעים באתר או באפליקציה שלכם לצורכי אפיון, תחזוקה, התאמה, שיווק, אנליזה ועוד (גם Cookies).

ואם כבר יש לכם מדיניות פרטיות? כאמור, תיקון 13 הרחיב את חובות הגילוי, כך שנכון לבחון את המסמכים הקיימים ולוודא שהם מתאימים.

איפה להציג את המדיניות?

המדיניות צריכה להיות נגישה באופן גלוי במסמך, הסכם, אתר או עמוד בו נאסף המידע, באופן שיאפשר למי שמוסר את המידע לעיין בתנאי ומדיניות מסירתו.

ומה זה אומר בפועל?

בהסכם או בכל מסמך פיזי אפשר לפרט את תנאי איסוף המידע או את המדיניות באותו מסמך. באתרי אינטרנט האפשרות המקובלת היא ליידע על המדיניות ולהנגיש אותה בתחתית עמוד האתר ובאמצעות “קוקי באנר” – כך שהמשתמשים יוכלו לגשת למדיניות בקלות ולקבל את המידע הנדרש להם כחוק.

כאשר אוספים מידע באמצעות טופס מקוון, חשוב לוודא שמדיניות הפרטיות נגישה על-ידי קישור בסמוך לכפתור אישור או שליחת המידע.

4. זכויות ומימושן

חוק הגנת הפרטיות הישראלי כולל שתי זכויות מרכזיות לנושאי המידע – הזכות לעיין במידע השמור אודותם, וזכות לתקן את המידע אם נמצא שגוי. תיקון 13 הגדיל את הקנסות שניתן להטיל על אי-מימוש זכויות אלו, וגם מאפשר לאנשים פרטיים לתבוע תביעה אישית (ואף תביעה ייצוגית) שלצידה פיצוי ללא הוכחת נזק עד 10,000 ש”ח בגין הפרה או אי-מימוש זכויותיהם באופן מלא.

לכן חשוב כי פעילות עיבוד המידע של החברה תהיה כזו שתאפשר את מימוש הזכויות של נושאי המידע – גם בקשר עם הפונים אל החברה והתייחסות רצינית לבקשותיהם, וגם בקשר לאיתור ואחזור המידע ותיקונו בעת הצורך.

אנו ממליצים לוודא כי אתם ערוכים לעמוד בדרישות אלו, מאחר שהסיכון בשל הפרתן גדל משמעותית עם תיקון 13. בפרט נמליץ:

• להקצות ערוץ ייעודי לפניות מסוג זה, כך שמי שיפנה אל החברה בנושאים אלו, יוכל לקבל מכם את המענה הנדרש, במסגרת הזמנים הקבועים בתקנות.
• לגבש מדיניות פנימית לגבי אופן הטיפול בפניות כאלה, הקצאת הגורם האחראי לכך, דרך אימות זהות הפונים, אופן איתור המידע, וגיבוש המענה לפניה.
• לוודא כי מערכות המידע שלכם בנויות באופן שמאפשר לכם לאתר את המידע הרלוונטי לאדם מסוים בקלות יחסית ותוך זמן סביר, כדי לאפשר לכם להיענות לפניות בנושא.

יישום תהליכים אלה יפחית באופן ניכר את הסיכון לחברה ויבטיח את האפשרות של נושאי המידע שמידע אודותם נמצא אצל החברה לממש את זכויותיהם לפי החוק.

איך מיישמים את התהליכים בארגון?

קבעו תוכנית עבודה מסודרת שתתייחס לנושאים המרכזיים, ומנו אחראי ליישום התוכנית – כדי לוודא את ההכנה הטובה ביותר לעמידה בדרישות החוק. איפה למקד את המאמצים – בהליכי כוח האדם והסדרת מדיניות הפרטיות לעובדים, בזיהוי הספקים המרכזיים עליהם אתם מסתמכים בפעילות, ביצירת מדיניות מסודרת הנוגעת להצגת מצלמות ולשימוש בהן, ברשימות הדיוור השיווקי שלכם ועוד.

אנו ממליצים לרתום נציגים של כלל המחלקות הרלוונטיות למשימה, כדי להבטיח את ההתאמה הטובה ביותר לצרכי הארגון.

הנושאים שהתייחסנו אליהם אינם מכסים את כלל החובות לפי חוק הגנת הפרטיות והתיקון (להרחבה אודות הוראות התיקון ראו את עדכוננו), וישנם תהליכים נוספים שנכון להשלים כדי להבטיח ציות מלא לחוק. צעדים אלה הם המרכזיים אשר ישפרו באופן ניכר את העמידה של החברה בהוראות הדין.

בין התהליכים הנוספים יש לשקול גם מינוי ממונה הגנת הפרטיות (DPO), ובחינת הצורך בפיקוח בידי דירקטוריון החברה – באותם גופים הנדרשים לכך על-פי החוק ובהתאם לאפיון מאגריהם (בין היתר באמצעות עריכת מסמכי הגדרות המאגרים), וכן ביצוע סקר פערים ביחס לאבטחת מידע למאגרים כנדרש בתקנות אבטחת המידע, ועוד.

תיקון 13 משנה באופן מהותי את דיני הפרטיות בישראל ומגביר את אפשרויות האכיפה. אנו ממליצים לארגונים שלא נערכו עד כה לדרישות החדשות לבצע תהליך מהיר וממוקד להבטחת העמידה לפחות בהוראות המרכזיות של החוק.

מחלקת פרטיות, סייבר ובינה מלאכותית מתמחה ביישום מעשי של דיני הפרטיות בישראל, עם מיקוד בצרכים העסקיים, בזיכוי הסיכון המשפטי וביצירת תוכניות פרטיות המותאמות לצרכי הלקוחות.

***

ד”ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.

עו”ד מאשה יודשקין, עו”ד ליאב שפירא, ד”ר נדין ליב ועו”ד אביתר ריטש הם עורכי דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרד.

מחלקת פרטיות, סייבר ובינה מלאכותית במשרד היא מהבולטות והמובילות בישראל, ומעניקה ייעוץ משפטי מקיף וחדשני לחברות טכנולוגיה, גופים מוסדיים, חברות ותאגידים מסקטורים שונים בארץ ומעבר לים.