מדריך לתיקון 13 לחוק הגנת הפרטיות

מחבר משותף: עוה"ד טל פרנקל.

בתחילת חודש אוגוסט 2024 עברה הצעת חוק הגנת הפרטיות (תיקון 13) את הקריאות השניה והשלישית בכנסת ובאמצע החודש היא ואף פורסמה בספר החוקים.

החוק פורסם וייכנס לתוקף בתוך שנה, תוך שנקבעה תקופת ביניים המאפשרת לגופים השונים להתאים עצמם לחוק טרם אכיפתו הישירה בידי הרשות להגנת הפרטיות. נוסח מאושר של החוק ניתן למצוא כאן, באתר הממשלתי.

מדובר בתיקון נרחב ומקיף לחקיקת הגנת הפרטיות הישראלית, אשר מתאים את מונחי החוק לאלו המקובלים בעולם, מחזק את יכולת האכיפה והתביעה של הרשות להגנת הפרטיות ושל אזרחים מן השורה ומהווה צעד בקידומה של החקיקה הישראלית לקו אחד עם חקיקת הפרטיות המוכרת באירופה ובעולם. אין ספק שעם כניסת החוק לתוקף ב-2025, נחזה במאמצי אכיפה משמעותיים הן מצד הרשות והן מצד תביעות של אזרחים אשר המחוקק מסר בידיהם כלי אכיפה (פיצויים ללא הוכחת נזק). לכן, מוטב שכל העסקים בישראל יבדקו את עצמם, יתאימו את התנהלותם לדרישות החוק ימנעו מסיכונים ונזקים עת יכנס החוק לתוקף.

עיקריו של התיקון הם אלו (נדגיש כי מדובר בתמצית בלבד):

1. התאמת ההגדרות בחוק להתפתחויות הטכנולוגיות ולהסדרים הקיימים בחקיקה מודרנית של הגנת הפרטיות בעולם.

כך למשל  חלף המונח "מידע" משנה תיקון 13 את המונח ל-"מידע אישי". השינוי המהותי נח לא בשינוי הסמנטי, אלא בהרחבה המשמעותית של המושג אשר יכלול לאחר כניסת השינוי לתוקף כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. גם המושג "אדם ניתן לזיהוי" מהווה למעשה הרחבה מעבר ללשון החוק הקודמת, והוא כולל כל מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, לרבות באמצעות פרט מזהה, גם אם עקיף.

המונח "מידע רגיש" הורחב גם הוא משמעותית (ושונה למונח "מידע בעל רגישות מיוחדת") והוא יכלול לאחר השינוי מידע אישי על צנעת חיי המשפחה של אדם, נטייה מינית, מידע רפואי, מידע גנטי, דעות פוליטיות, אמונות דתיות, עבר פלילי, נתוני מיקום, מזהה ביומטרי, מוצא, הערכת אישיות, נתוני שכר ופעילות פיננסית ומידע אישי שחלה עליו חובת סודיות שנקבעה בדין.

הגדרת המונח "מנהל מאגר" הותאמה לחקיקה זרה בתחום והיא תתייחס למי שהוא "בעל השליטה" במאגר המידע (מונח אשר בפני עצמו זוכה להגדרה בתיקון). אף הגדרת המונח "מחזיק" לעניין מאגר מידע הותאמה והיא תתייחס לגורם חיצוני לבעל השליטה במאגר מידע המעבד בעבורו מידע.

2. הפחתת הנטל הרגולטורי והחובה לרשום מאגרי מידע דיגיטליים.

חובה זו במגזר הפרטי בוטלה כמעט לגמרי (תוך הותרתה למשל על גופים ציבוריים ועל גופים פרטיים שעיסוקם הוא סחר במידע אישי). מאידך הוספה חובת הודעה לרשות בדבר מאגרים גדולים (המכילים מעל 100,000 איש או "נושאי מידע" כהגדרתם בחוק) שבהם מידע רגיש במיוחד.

3. הרחבת סמכויות הפיקוח, החקירה והאכיפה של הרשות.

החוק מרחיב ומעגן בצורה ברורה את סמכות הרשות לנקוט בהליכים מסוגים שונים (לרבות הליכי חקירה פליליים וקבלת צו שיפוטי) לאכיפת החוק וכן להטלת עיצומים כספיים לא מבוטלים בגין הפרת הוראות החוק והתקנות מכוחו (לרבות תקנות אבטחת המידע). היקף העיצומים עלול להגיע למאות אלפי ש"ח ואף למעלה מכך, כתלות במספר נושאי המידע במאגר, טיב ההפרה, היותה הפרה נמשכת או חוזרת ושאלות נוספות.

4. הוטלו חובות פרטיות ייעודיות.

חובות אלו לא היו חלק מהחוק הקודם ומטרת הוספתן הינה לחזק את התאמת החקיקה הישראלית לסטנדרטים הבינלאומיים המקובלים. כדוגמה בלבד, מדובר למשל בהרחבת ופירוט חובת מסירת ההודעה לנשוא מידע בעת איסוף מידע ממנו, וחובות נוספות בנושאי הפרטיות והגנתה.

5. חובת מינוי ממונה הגנת הפרטיות.

החוק מגדיר את החובה למינוי ממונה הגנת פרטיות לגופים שונים במשק (בעיקרם גופים ציבוריים, גופים שעיסוקם הוא סחר במידע אישי וגופים אשר מבצעים ניטור נרחב או התחקות שיטתית אחר אנשים). הוגדרו סמכויותיו ותפקידו של ממונה הגנת הפרטיות בארגון, הוגדרו חובותיו (לרבות אלו המטילות עליו חובת פעולה אקטיבית לאיתור וזיהוי סכנת הפרת הפרטיות בגוף בו הוא ממונה) והוגדרו חובות הארגון לאפשר לו לפעול באופן יעיל וענייני.

6. הטלת איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי וקביעת עבירות פליליות במאגרי מידע.

לחוק נוסף פרק ייעודי שקובע עבירות פליליות שונות במאגרי מידע מסוגים שונים (עיבוד מידע ללא הרשאת בעל השליטה, הטעיה מכוונת של אדם בעת פניה אליו וכן איסור גורף על ביצוע כל פעולה במידע אישי שנאסף באופן לא חוקי).

7. הרחבת סמכות בתי המשפט לפסוק פיצויים ללא הוכחת נזק.

להבדיל מההוראה הגנרית שהיתה קיימת עד היום החוק, הוספו עילות נוספות המסמיכות את בתי המשפט לפסוק פיצויים ללא הוכחת נזק בהיקפים שונים על הפרות מסוגים שונים של החוק. פיצויים אלו עשויים להגיע לסכומי עתק בעת הפרת החוק ביחס לנשואי מידע רבים הנמצאים במאגר מידע. כפי שראינו בתחומים אחרים, שינוי זה עשוי להוביל ל"תעשיית" תביעות שמוטב להתגונן ממנה טרם תתפתח.

8. קבלת חוות דעת מקדמית.

לחוק נוספה לראשונה אפשרות פנייה לרשות לקבלת חוות דעת מקדמית אודות עמידת מאגרי מידע בהוראות החוק, או ביחס להוראות החוק לעניין עיבוד המידע שבמאגר המידע ונקבעו הכללים בקשר עם בקשה כזו.

9. קביעת הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים.

נקבעו הסדרים מיוחדים לגופים בטחוניים, כך למשל קובעת החקיקה חובת מינוי מפקח פרטיות פנימי בכל גופי הביטחון שיונחה על ידי ויהיה כפוף לרשות להגנת הפרטיות, יפקח על נהלי הגוף ומדיניותו בנושא הפרטיות, יברר הפרות של חוק הגנת הפרטיות, יקיים הכשרות והדרכות בנושאי פרטיות, וימסור דיווחים לראש הרשות במישרין.

חשוב לנו להבהיר – תיקון 13 לחוק הגנת הפרטיות הוא תיקון משמעותי ועמוק. הוא מצריך חשיבה מחודשת מצד כל גוף המחזיק או מעבד מידע אישי על כלל חובותיו, משלבי איסוף המידע, דרך החזקתו, אבטחתו וחובות הגוף כלפי נשואי המידע ועל פי הדין החדש. נשמח לעמוד לרשותכם לבחינה והתאמה של ארגונכם לדרישות החדשות טרם כניסת התיקון לתוקף.