ביום 14.8.24 פורסם ברשומות תיקון 13 לחוק הגנת הפרטיות. זהו התיקון הרחב והמקיף ביותר של החוק מאז חקיקתו והוא מתאים את הוראותיו לאתגרים הרבים בעידן הדיגיטאלי ולחקיקה הקיימת באירופה (ה- GDPR). התיקון ייכנס לתוקף ביום 14.8.25 ומאפשר הערכות לכלל ענפי המשק, ובכלל זה המגזר העסקי, אשר יצטרכו להתאים את עצמם להוראות החוק החדשות.
מה מטרת התיקון?
התיקון נועד לספק הגנה רחבה ואפקטיבית על כל פעולה שנעשית בקשר למידע שדרכו ניתן לזהות אדם ספציפי ("מידע אישי"), המצוי במאגר מידע של עסק, מקום עבודה, ארגון, רשות ציבורית, גוף בטחוני, קופות חולים וכל גוף אחר שלשם פעילותו עושה שימוש במאגר מידע.
התיקון מגדיר מחדש ובאופן ברור יותר עקרונות יסוד ובכלל זה את גורמי המפתח שעושים שימוש במידע אישי. כמו כן, התיקון קובע כי מי שמפר את הוראות החוק חשוף לסנקציות של מיליוני שקלים, לתביעת פיצויים ללא הוכחת נזק ואף לאישום פלילי.
מהן ההגדרות החדשות?
על פי התיקון, מאגר מידע הוא אוסף של פרטי מידע אישי המעובד באמצעי דיגיטלי.
מידע אישי, הוא נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. אדם הניתן לזיהוי הוא מי שניתן לזהותו במאמץ סביר, למשל באמצעות פרט מזהה כגון שם, מספר זהות, מזהה ביומטרי, נתוני מקום, מזהה מקוון, נתון הנוגע למצבו הפיזי, הבריאותי, הכלכלי , החברתי או התרבותי.
תיקון קובע כי הוראות החוק תחולנה על כל "עיבוד" ו"שימוש" של מידע. הכוונה היא לכל פעולה שמבוצעת על מידע אישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
הוגדרו מחדש מי שאחראי להגנה על הפרטיות של מאגרי מידע ואלה הם בעלי שליטה ומחזיקים. "בעל שליטה" הוא מי שקובע את מטרות עבוד המידע שבמאגר המידע והוא נחשב בעל שליטה במאגר. לא מדובר בשליטה במובן הקנייני, אלא בעובדה שבעל השליטה מחליט על אופן עבוד המידע במאגר. ייתכנו יותר מבעל שליטה אחד לגבי מאגר מידע מסוים. "מחזיק" הוא גורם חיצוני לבעל השליטה במאגר במידע המעבד בעבורו מידע. מחזיק יכול להיחשב כל גורם אשר עושה את הפעולות הנחשבות עבוד.
מהם האיסורים העיקריים בעניין עבוד מידע?
חל אסור לעבד מידע אישי במאגר מידע שלא על פי המטרה שנקבעה לו כדין ועל פי הרשאה של בעל השליטה במאגר. חל אסור מוחלט לעבד מידע אם המידע שנוצר, התקבל, נצבר או נאסף בניגוד להוראות החוק או דין אחר המסדיר עיבוד מידע. אחסון באקראי ובתום לב של מידע שמי שקיבלו לא ידע או לא היה עליו לדעת שמדובר במידע שאינו התקבל לפי דין – לא תחשב הפרה (למשל, קבלת מידע בלתי חוקי למייל מבלי שהמקבל ידע על כך).
מה יש לגלות למי שיכלל במאגר המידע?
התיקון מרחיב את חובות הגילוי בתהליך קבלת ההסכמה מאת נושאי המידע להיכלל במאגר המידע. בעוד שעד כה קיימת חובה להודיע האם חלה חובה חוקית למסור את המידע, מה המטרה של איסוף המידע ולמי הוא יימסר, תחולנה חובות נוספות לציין מהן התוצאות של אי מסירת המידע המבוקש ואת זכות נושא המידע לבקש עיון במידע ותיקונו וכן חובה לספק את פרטי בעל השליטה במאגר ודרכי התקשרות.
מי יחויב במינוי ממונה על הגנת הפרטיות?
התיקון קובע כי הגופים הבאים מחויבים במינוי ממונה על הגנת הפרטיות: גופים ציבוריים, חברות הסוחרות במידע אישי, גופים שעיסוקם העיקרי ניטור שוטף ושיטתי של בני אדם, גופים המעבדים מידע אישי בעל רגישות מיוחדת (כגון מידע על צנעת חיי המשפחה של אדם, על צנעת אישיותו ועל נטייתו המינית, מידע אישי המתייחס לבריאות של אדם, מידע שהוא מזהה ביומטרי בהיקף ניכר, מידע אישי שהוא הערכה אישיות שנערכה מטעם גורם מקצועי)
מה תפקידו של הממונה על הגנת הפרטיות בארגון?
הממונה הוא גורם האחראי על קיום הוראות הדין ושמירה על הפרטיות בארגון. במסגרת זו, הממונה אחראי על ביצוע קיום הדרכות בנושא לעובדי הארגון, הכנת תכנית בקרה שוטפת על עמידה בהוראות החוק, וידוא קיומם ותיקופם של נהלי אבטחת מידע ומסמכי הגדרות מאגר, גיבוש ויישום תוכנית לבקרה שוטפת של עמידה בהוראות החוק, דיווח ישירות למנכ"ל, דיווח ישיר להנהלה במקרה של ליקוי והצגת דרכי תיקון, אחריות על יצירת ואכיפת נוהל אבטחת מידע, שימוש ככתובת למימוש הזכויות של נושאי המידע ואיש הקשר של הארגון מול הרשות.
הממונה אינו חייב להיות עובד של הארגון ויכול שיהיה במיקור חוץ. הוא חייב להיות בעל ידע מעמיק בדיני הגנת הפרטיות והבנה הולמת בטכנולוגיה ואבטחת מידע וכמון שיצטרך להכיר את מטרת עבודת הארגון היטב על מנת להבין את אופי עבוד המידע הנדרש.
האם יש עדיין חובת רישום של מאגר מידע?
החוק מבטל את החובה לרשום מאגר מידע ביחס לגופים במגזר הפרטי, למעט עסקים שעיקר פעילותם הוא עיבוד של מידע אישי בהיקף ניכר.
גופים ששומרים מידע בעל רגישות מיוחדת אודות 100,000 בני אדם או יותר מחויבים להודיע לרשות אודות המאגר, למסור פרטיו של ממונה הגנת הפרטיות ולצרף מסמך הגדרות הנדרש בהתאם לתקנות אבטחת מידע.
ארגונים עם מאגרים עם מידע אישי רגיש גדולים במיוחד יהיו מחיובים להודיע על קיומן לרשות להגנת הפרטיות.
היעדר חובת רישום כמובן אינו פוטר את בעל המאגר לעמוד בהוראות החוק, לרבות כל הפעולות הדרושות להגנה על המידע (הכנת מסמך הגדרות ונוהל אבטחת מידע)
האם המאגרים שרשומים כיום יימחקו אוטומטית?
לא. מאגר שאינו חב ברישום ממשיך להיות רשום אלא אם ביקש בעל המאגר למחוק את רישום המאגר.
מה ההתיישנות על פי התיקון?
בעוד שבגין הפרות על החוק הקיים חלה התיישנות של שנתיים בלבד, התיקום מרחיב את התיישנות ל-7 שנים כפי שנהוג לרוב בקשר להפרות הדין בישראל.
איזה סנקציות יוטלו על מי שמפר את החוק?
התיקון מגביר את הסמכויות ואת הסנקציות בגין הפרות של החוק באופן ניכר:
- הטלת פיצוי ללא הוכחת נזק של עד 10,000 ₪ (למשל, בגין אי מתן זכות עיון במידע אישי).
- סמכויות פיקוח ובירור מנהלי: הטלת עיצומים כספיים של 150,000 ₪ (למשל, בגין אי מתן זכות עיון במידע, סירוב לבקשת נושא מידע להימנע ממסירת מידע המתייחס אליו ממאגר לדיוור ישיר) או פנייה שלאדם לקבלת מידע אודותיו לשם עבוד במאגר מידע ללא מסירת הודעה כנדרש בגובה של 30,000 ₪ לפחות. יחד עם זאת, קיימת מנגנון להפחתת סכומי העיצומים, כך, למשל, לעסקים קטנים וזעירים נקבעו תקרות ובכל מקרה לא יוטל עיצום כספי כולל העולה על 5% ממחזור העסקאות השנתי של המפר.
- סמכות אכיפה פלילית, למשל בגין פניה לאדם לקבלת מידע אישי אודותיו תוך מסירת פרטים לא נכונים בכוונה להטעותו באשר למסירת המידע האישי, ניתן להטיל עונש מאסר של שלוש שנים.
מה הקשר בין תקנות אבטחת מידע לבין התיקון?
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 מחייבות כל מי שמעבד מידע אישי במאגר מידע להכין מסמך הגדרות, נוהל אבטחת מידע, מיפוי מערכות המאגר שבידו וביצוע סקר סיכונים. עד כה לא ניתן היה להטיל כל סנקציה על מי שמפר תקנות אלו. מנגנון האכיפה המנהלית שהוכנס לחוק במסגרת התיקון, יחול גם על הפרות תקנות אבטחת מידע וסכומי העיצום נעים בין 20,000 ₪ עד 640,000 ₪ בגין כל הפרה, בהתאם לחומרת ההפרה, רמת האבטחה של המאגר ומספר נושאי המידע הכלולים במאגר.
כמו כן, האכיפה תחול גם על הפרת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאיזור הכלכלי האירופי). תקנות אלה נכסו לתוקף באופן הדרגתי אך החל מ-1.1.25 יחייבו כל מאגר מידע שיש בו גם מידע המגיע מהאיזור הכלכלי האירופי (מדינות החברות באיחוד האירופי וכן איסלנד, נורווגיה וליכטנשטיין), למחוק מידע שנאסף שלא כדין, לשמור מידע נחוץ ומדויק בלבד וכן לגלות לנושא המידע את מטרת האיסוף, את סוג המידע הנאסף, זהות בעל המאגר וכן כל זכויותיו בקשר למידע הנאסף (מחיקה, עיון, תיקון) . הפרה של הוראות אלה תגרור סנקציות.
כיצד יש להיערך לכניסה לתוקף של התיקון?
זה הזמן לעשות בדיקה מחדש בקשר למאגרי המידע שיש בידי כל עסק.
חשוב ביותר כי גופים פרטיים יוודאו כי נושאי המידע נתנו את הסכמתם מראש להיכלל במאגר תוך שברור להם מה מטרת המאגר. חובה זו לא חדשה אך תחולנה סנקציות על שימוש במידע ללא הסכמה או שלא למטרה שנקבעה לו.
בין היתר יש לבדוק: האם המידע שנמצא בידי העסק הוא מידע אישי? כיצד המידע האישי התקבל ולאיזו מטרה? האם נושא המידע נתן הסכמה והיא מתועדת? האם נושא המידע מודע למטרה של האיסוף? האם נושא המידע מודע לזכויותיו בקשר למידע התוצאות של אי מסירתו, הזכות לבקש תיקון או עיון) ? האם הוכן מסמך הגדרות וסקר סיכונים? כאמור, חלק מן החובות קיימות כבר זמן רב וחלקן חדשות אך זה הזמן לעשות בדיקה כוללת ויסודית.
חשוב להיערך מבעוד מועד כדי שעם כניסתו לתוקף של תיקון 13 העסק לא יהיה חשוף לסנקציות קשות.
הסקירה לעיל כללית ותמציתית ואינו מהווה ייעוץ משפטי פרטני. נוסח הוראות החוק באופן מלא הוא המחייב.