מוקדם יותר היום אושר תיקון 13 לחוק הגנת הפרטיות, תשמ"א-1981 (להלן, בהתאמה: "החוק", "חוק הגנת הפרטיות" ו-"התיקון לחוק") על-ידי ועדת חוק, חוקה ומשפט של הכנסת, ועבר לקריאה שנייה ושלישית במליאת הכנסת.
עד למועד אישורו בוועדה התיקון נקרא, בטעות, תיקון 14. לכשהתיקון לחוק יעבור במליאת הכנסת, יהיה מדובר בתיקון המשמעותי ביותר שבוצע לחוק הגנת הפרטיות מזה שנים רבות, והוא כולל, בין היתר, התאמת הגדרותיהם של מונחים שונים בחוק להגדרות הנהוגות ברגולציות
דומות בעולם, הרחבה של החובה למינוי ממונה על אבטחת מידע, צמצום משמעותי של חובת רישום מאגרי המידע לצד חובה חדשה ליידוע הרשות להגנת הפרטיות ביחס למאגרי מידע מסוימים, קביעת חובת מינוי ממונה על הגנת הפרטיות במקרים מסוימים, קביעת הוראות חדשות בעניין
חוות דעת מקדמית בעניין עמידת מאגר מידע בדרישות החוק שתינתן על-ידי הרשות לבקשת בעל שליטה במאגר מידע או מחזיק, ועוד.
לצד זאת, התיקון לחוק כולל הרחבה משמעותית של סמכויות וכלי האכיפה אשר בידי הרשות להגנת הפרטיות ובתי המשפט, במטרה לייצר מנגנוני אכיפה אפקטיביים והרתעה מפני אי ציות לחוק, באופן אשר צפוי בשנים הקרובות לשנות באופן דרמטי את רמת הציות של גופים וחברות
בישראל להוראות החוק. הרחבה זו כוללת, בין היתר, עיצומים כספיים שעשויים להגיע בנסיבות מסוימות למיליוני שקלים, אשר חלקם יוטלו אף ללא מתן אפשרות לריפוי ההפרה.
התיקון לחוק מהווה צעד משמעותי לחיזוק ההגנה על הפרטיות בישראל, בפרט במרחב המקוון, והתאמת דיני הגנת הפרטיות הישראליים לסטנדרטים המקובלים בעולם, ובפרט לתקנות הכלליות להגנה על מידע של האיחוד האירופי (ה - GDPR).
חשוב להדגיש – התיקון לחוק צפוי להיכנס לתוקף שנה מיום פרסומו, מתוך מטרה לאפשר לשוק הפרטי זמן מספק ללמוד את השינויים ולהיערך אליהם. בתקופת הביניים בין אישורו של התיקון ועד כניסתו לתוקף, תמשכנה לחול החובות המוטלות על-פי נוסחו הקיים של החוק, ויש לפעול
על-פיו. כך, למשל, בעלי שליטה של מאגרי מידע אשר על-פי החוק בנוסחו הנוכחי מחויבים ברישום מאגרי המידע שברשותם בפנקס מאגרי המידע - ימשיכו להיות כפופים לחובה זו, גם אם על-פי התיקון לא יהיו חייבים עוד ברישום מאגריהם.
להלן סקירה קצרה של עיקרי השינויים המרכזיים הכלולים בתיקון לחוק:
הגדרות במסגרת התיקון לחוק, יתוקנו הגדרות שונות בחוק, בין היתר לשם התאמתן לעידן הדיגיטלי ולמקובל ברגולציות דומות בעולם, בפרט ב-GDPR. להלן מספר שינויים בולטים:
מידע אישי: החוק בנוסחו הנוכחי מגדיר "מידע" (המוגן תחת החוק) כנתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. התיקון לחוק ישנה את שם המונח ל-"מידע אישי" וירחיב
את ההגדרה באופן משמעותי כך שהיא תכלול גם פרטים אישיים המותאמים לעידן הדיגיטאלי שלא נכללו בחוק עד כה, ובכלל זה "כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, לרבות מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה
כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי".
מידע רגיש במיוחד: החוק בנוסחו הנוכחי מגדיר "מידע רגיש" באופן מצומצם יחסית כנתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו. התיקון לחוק ישנה את שם המונח ל-"מידע רגיש במיוחד" והגדרתו הורחבה כך
שהיא תכלול רשימה סגורה, המכילה (למעט חריגים) את רשימת סוגי המידע שמופיעה בתוספת השנייה לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – "תקנות אבטחת מידע") (לרבות, מידע גנטי ומידע ביומטרי), וכן סוגי מידע נוספים, למשל
הערכת אישיות שנערכה מטעם גורם מקצועי שכדרך עיסוק מחווה דעתו על אישיותו של אדם, ונתונים על אודות מיקומו של אדם שיש בהם כדי ללמד על מידע רגיש מסוגים אחרים כמפורט בתיקון לחוק. לגבי מידע על נכסיו של אדם ומצבו הכלכלי – ההגדרה של 'מידע רגיש
במיוחד' צומצמה ביחס לרשימת המידע שמופיעה בתוספת השנייה לתקנות אבטחת מידע, והיא מתייחסת רק למידע אישי על נתוני שכר של אדם ועל פעילותו הפיננסית.
שימוש/עיבוד במידע: החוק בנוסחו הנוכחי מגדיר את השימוש ב-'מידע' בצורה מעורפלת – "לרבות, גילוי, העברה ומסירה". התיקון לחוק מבהיר ומרחיב את המונח "עיבוד, שימוש" ב-'מידע אישי' כ-"כל פעולה שמבוצעת על מידע אישי, לרבות קבלתו, איסופו,
אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו".
בעל שליטה במאגר מידע: החוק בנוסחו הנוכחי לא כולל הגדרה מפורשת של בעל מאגר המידע. התיקון לחוק ישנה את המונח "בעל מאגר מידע" ל-"בעל שליטה במאגר מידע" ומגדיר כי בעל שליטה במאגר במידע הינו "מי שקובע לבדו או יחד עם אחר את מטרות עיבוד המידע שבמאגר המידע או גוף שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע במאגר מידע". מדובר בהגדרה הדומה להגדרת המונח 'Controller' ב-GDPR (אולם בניגוד להגדרה ב-GDPR, בעל שליטה במאגר מידע לא חייב לקבוע את אופן עיבוד המידע, דבר
שעורר קשיים ביישום ה-GDPR, וכלקח מכך לא נכלל בהגדרה בתיקון לחוק).
מחזיק במאגר מידע: החוק בנוסחו הנוכחי מגדיר 'מחזיק' כ-"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש". במהלך השנים עלו שאלות פרשניות רבות לגבי מונח זה ותחולתו, ועל כן התיקון לחוק קובע הגדרה חדשה, ברורה ומורחבת,
הדומה במהותה להגדרת המונח 'Processor' ב-GDPR, כדלקמן: "גורם חיצוני לבעל השליטה במאגר המידע המעבד מידע עבורו". אולם, יצוין כי התיקון לחוק לא שינה את המונח "גורם חיצוני" בו נעשה שימוש בתקנות אבטחת מידע, ולפיכך נותרה שאלה פתוחה האם יש הבדל
מהותי בין המונחים ואנו מניחים שעניין זה יוסדר כחלק מתיקונים עתידיים נוספים של החוק ו/או תקנות אבטחת מידע.
מנהל מאגר - בעוד שהחוק בנוסחו הנוכחי מגדיר את המונח "מנהל מאגר" כ-"מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל הסמיכו", התיקון לחוק מגדיר את מנהל המאגר כ-"בעל שליטה במאגר מידע, ולעניין גוף ציבורי כהגדרתו בסעיף
23 המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שהמנהל הכללי הסמיכו לנהל את המאגר". בכך דה פקטו, לגבי מאגרי מידע של גופים פרטיים, החובה בחוק למנות מנהל מאגר תבוטל עם כניסת התיקון לחוק לתוקף.
חובת רישום מאגרי מידע החוק בנוסחו הנוכחי מטיל חובת רישום בפנקס מאגרי המידע על מאגרי מידע רבים (לרבות מאגרים הכוללים מידע רגיש, המשמשים לשירותי דיוור ישיר או מאגרים של גוף ציבורי). התיקון לחוק יצמצם משמעותית את החובה
הארכאית הזו (שלא קיימת ב-GDPR) ולאחר כניסת התיקון לחוק לתוקף היא תיוותר בעינה רק ביחס לגופים ציבוריים (למעט ביחס למאגר המידע של הגוף הציבורי הכולל מידע אישי על עובדיו בלבד) ולגופים המנהלים מאגר מידע אשר מטרתו העיקרית היא איסוף מידע אישי לשם מסירתו
לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר ("Data Brokers"), בכפוף לכך שבמאגר מצוי מידע אישי על יותר מ-10,000 בני אדם.
עם זאת, לצד צמצום חובת הרישום, התיקון לחוק קובע חובה חדשה בדבר הודעה לרשות הגנת הפרטיות על ניהול מאגרי מידע שאינם חייבים ברישום אך כוללים מידע רגיש במיוחד (ר' הגדרה לעיל) הנוגע ליותר מ-100,000 בני אדם. חובת ההודעה כוללת מסירת מידע בדבר
זהות בעל השליטה, מענו ודרכי ההתקשרות עמו, זהות הממונה על הגנת הפרטיות (אם נדרש מינויו) ודרכי ההתקשרות עימו, וכן העתק ממסמך הגדרות המאגר (מסמך אותו יש להכין בהתאם להוראות תקנות אבטחת מידע).
יצוין, כי בעלי שליטה של מאגרי מידע רשומים, אשר עם כניסתו של התיקון לחוק לתוקף מאגריהם לא יהיו עוד חייבים ברישום, יידרשו לבקש מראש הרשות להגנת הפרטיות למחוק את המאגר מן הפנקס, על מנת שלא להיות כפופים יותר לחובות המוטלות מכוח רישומו של מאגר בפנקס.
הרחבת דרישת הגילוי במסגרת פנייה לנושא המידע לקבלת מידע אישי בנוסף למידע שנדרש לספק לנושא מידע במסגרת פנייה אליו לקבלת מידע לשם עיבודו במאגר מידע (דהיינו, אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה
ברצונו ובהסכמתו, המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה), התיקון לחוק קובע כי יש ליידע את נושא המידע גם בדבר – תוצאת אי מתן הסכמה לעיבוד המידע האישי (ככל שמסירת המידע תלויה ברצונו ובהסכמתו של נושא המידע), שמו של בעל השליטה במאגר
המידע ודרכי ההתקשרות עמו, ועל קיומן של זכות עיון וזכות תיקון של המידע האישי המוקנות לנושא המידע לפי החוק.
חובת מינוי ממונה הגנת פרטיות לראשונה בישראל, התיקון לחוק קובע חובה למנות 'ממונה על הגנת פרטיות', אשר תחול על:
(א) בעל שליטה במאגר מידע שהוא גוף ציבורי (למעט גוף ביטחוני);
(ב) בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר ("Data Brokers"), ויש במאגר מידע אישי על יותר מ-10,000 בני אדם;
(ג) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם,
בהיקף ניכר; ו-
(ד) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע רגיש במיוחד 'בהיקף ניכר', לרבות בנקים, חברות ביטוח, בתי חולי וקופות חולים.
התיקון לחוק מבהיר כי את המונח 'עיבוד מידע בהיקף ניכר' יש לפרש, בין השאר, בשים לב למספר בני האדם שמידע מעובד לגביהם, שיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו, ולטווח של סוגי המידע המעובד, משך ותדירות של פעולות העיבוד, משך שמירת המידע והתחום הגיאוגרפי
של פעולות העיבוד. על אף שהרשות פרסמה בעבר הנחייה בדבר מינוי וולונטרי של 'ממונה על הגנת הפרטיות', אנו צופים כי הרשות להגנת הפרטיות תפרסם הנחיות והבהרות ביחס למונחים המפורטים לעיל, על מנת לייצר בהירות ביחס לגופים המחויבים במינוי כאמור.
עוד יצוין שתיקון החוק קובע כי הממונה על הגנת הפרטיות, אינו חייב להיות עובד הגוף שבו ימלא את תפקידו, אולם עליו להיות בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה. כמו-כן, התיקון לחוק קובע שהממונה יפעל להבטחת קיום הוראות החוק על-ידי בעל השליטה במאגר
או המחזיק במאגר, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע. יצוין כי לאור הקושי הצפוי בקיום חובה זו על-ידי גופים פרטיים, בשלב זה לא יוטלו עיצומים כספיים על חברות הנדרשות במינוי ממונה הגנת פרטיות מכוח סעיפים (ג) ו-(ד) לעיל (עד אשר יבטל שר
המשפטים בצו, באישור ועדת חוקה, חוק ומשפט, את התחולה הנדחית).
כלי אכיפה מוגברים על הפרות של חוק הגנת הפרטיות ותקנות אבטחת מידע החוק בנוסחו הנוכחי הקנה לרשות להגנת הפרטיות סמכויות אכיפה מצומצמות בלבד, לרבות אפשרות להטיל קנסות בסכומים שאינם עומדים בסטנדרטים המקובלים בעולם. בפרט, החוק הנוכחי
כלל לא העניק לרשות להגנת הפרטיות סמכות להטיל עיצומים ביחס להפרות של תקנות אבטחת מידע, דבר שהיווה מכשול ליישום אפקטיבי של התקנות ואכיפתן. התיקון לחוק מבקש לתקן זאת וקובע סמכויות נרחבות לצורך אכיפה אפקטיבית של דרישות החוק ותקנות אבטחת מידע, שעה שהוא
מעניק לרשות הגנת הפרטיות סמכויות אכיפה חדשות ומחמירות יותר.
להלן דוגמאות לשינויים שבוצעו בתיקון לחוק ביחס לכלי האכיפה:
התיקון לחוק מקנה לרשות סמכויות פיקוח נרחבות על ביצוע הוראות שונות בחוק, וכן סמכויות לפתוח בהליכי בירור מנהלי, מקום בו התעורר למפקח יסוד סביר להניח כי בוצעה הפרה של הוראות מסוימות בחוק.
התיקון לחוק מקנה לראש הרשות להגנת הפרטיות סמכות להורות לבעל שליטה במאגר או למחזיק במאגר מידע שמעשיו עולים כדי הפרה של הוראות מסוימות המפורטות בתיקון לחוק, להפסיק את הפעילות המפרה (למשל במקרה של שימוש בידיעה על עניינינו הפרטיים במאגר מידע שלא למטרה
שלשמה נמסרה).
עיצומים כספיים –
התיקון לחוק מעניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים על הפרות של הוראות שונות הקבועות בחוק (למשל, ביחס להפרת חובת הרישום, מימוש זכויות נושאי מידע, פנייה לקבלת מידע אישי לשם עיבודו במאגר מידע מבלי שנמסרה הודעה כנדרש בחוק, הפרת עקרון
צמידות המטרה לפיו יש לעבד מידע אישי למטרת המאגר שנקבעה לו כדין) ובתקנות אבטחת מידע.
סכומי העיצומים עשויים להגיע במצבים מסוימים אף למיליוני שקלים, בין היתר, בגין הפרות מצטברות של הוראות שונות בחוק. לגבי מאגרי מידע שחלה עליהם רמת האבטחת הגבוהה ויש בהם מידע על אודות מיליון בני אדם ומעלה, ראש הרשות להגנת הפרטיות רשאי במקרים
מסוימים להטיל כפל סכום של עיצום כספי (עד 640,000 שקלים להפרה של הוראות שונות).
חלק מסכומי העיצומים הכספיים ייקבעו כמכפלה של סכום העיצום הקבוע בתיקון החוק במספר בני האדם שלגביהם בוצעה ההפרה, או שמידע אישי על אודותם נמצא במאגר המידע, בהתאם לעניין.
התיקון לחוק מעגן מנגנון להפחתת סכומי עיצומים בשיעורים שונים, בין היתר, בשל התנהגות המפר (למשל אם המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לראש הרשות להגנת הפרטיות או נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק), וכן הפחתה בשל התחשבות במחזור
העסקאות של המפר.
ביחס להפרות מסוימות קובע התיקון לחוק מנגנון "דו-שלבי", אשר מאפשר לראש הרשות להגנת הפרטיות להודיע קודם כל למפר שמעשיו מהווים הפרה ולהעניק לו שהות לרפא אותה, ולהטיל עיצום כספי רק בהיעדר תיקון כאמור.
התיקון מקנה בידי ראש הרשות להגנת הפרטיות, לאחר הטלת העיצום, סמכות לפרסם באתר האינטרנט של הרשות את עצם הטלת העיצום הכספי, וכן פרטים נוספים הנוגעים לדבר (למשל, את מהות ההפרה, מועד ביצועה ונסיבות ההפרה, סכום העיצום הכספי שהוטל ופרטים על אודות
המפר הנוגעים לעניין), וזאת לאחר שניתנה למפר הזדמנות לטעון את טענותיו. יובהר כי התיקון לחוק קובע שראש הרשות להגנת הפרטיות לא יפרסם את שמו של מפר שהוא תאגיד אם שוכנע כי ההפרה היא קלת ערך בנסיבות העניין, אלא אם כן הפרסום נחוץ לאזהרת ציבור
בני האדם שפרטיהם נמצאים במאגר.
מקום בו היה לראש הרשות להגנת הפרטיות יסוד סביר להניח כי מתבצעת או עומדת להתבצע במאגר מידע הפרה של הוראות מסוימות בחוק, התיקון לחוק מעניק לראש הרשות סמכות לבקש מבית משפט לעניינים מנהליים לתת צו שיפוטי לבעל השליטה במאגר המידע או למחזיק בו להפסקת פעולות
עיבוד מידע אישי הגורמות להפרה, או שיש חשש שיגרמו להפרה, או צו למחיקת המידע האישי שבמאגר המידע במלואו.
התיקון לחוק מעדכן את רשימת העבירות הפליליות הקבועות בחוק ואשר דינן מאסר, ולאחר כניסת התיקון לחוק לתוקף הרשימה תכלול, בין היתר, עבירות של עיבוד מידע אישי ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר המידע, וכן פנייה לאדם לקבלת מידע אישי לשם עיבוד המידע
במאגר מידע תוך מסירת פרטים לא נכונים בניגוד להוראות החוק, בכוונה להטעותו באשר למסירת המידע האישי.
החוק מאפשר להגיש תביעה לקבלת פיצויים ללא הוכחת נזק מבעל שליטה במאגר המידע או המחזיק, בסכום שלא יעלה על 10,000 ₪, בגין הפרות מסוימות, ביניהן: עיבוד מידע אישי מבלי שהמאגר נרשם (ככל שהייתה חובה לרושמו), פנייה לאדם לקבלת מידע אישי לשם עיבודו במאגר
מידע ללא מסירת הודעה לאדם כנדרש על-פי החוק, הפרת חובות שונות ביחס למתן זכות עיון, תיקון או מחיקת מידע אישי, והכל בהתאם לתנאים המפורטים בתיקון לחוק.
מה צופן העתיד?
ראשית, יש לברך על התיקון לחוק. חוק הגנת הפרטיות בנוסחו הנוכחי הוא חוק מיושן, שאינו תואם את צרכי הציבור, את המקובל בעולם ואת ההתפתחויות הטכנולוגיות. עם זאת, יובהר כי ישנן סוגיות מפתח אשר לא זכו למענה במסגרת התיקון הנוכחי, וכן אנו סבורים כי לתיקון בחוק
עשויה להיות השפעה על אופן יישום התקנות שחוקקו מכוחו, ולא עודכנו במסגרת התיקון הנוכחי. כך למשל, התיקון לחוק ישנה באופן מהותי הגדרות מסוימות אשר נעשה בהן שימוש בתקנות אבטחת מידע (למשל ביחס לסוגי המידע הרגיש ואופן קביעת רמת אבטחת המידע החלה על מאגר המידע),
ולפיכך אנו צופים כי יבוצע בעתיד תיקון לתקנות אבטחת מידע על מנת להתאימן לחוק.
בנוסף, למרות שהתיקון לחוק כולל שינויים רבים ומשמעותיים, המלאכה לא הושלמה. תיקון מספר 14 לחוק אשר בתקווה יקודם בעתיד הקרוב צפוי לכלול צעדים נוספים משמעותיים מאוד, שיובילו את דיני הגנת הפרטיות הישראליים צעד נוסף לעבר התאמתם, בשינויים המחויבים, לרגולציה
הבינלאומית בתחום, לרבות ה-GDPR. בין היתר, התיקון הבא צפוי לכלול הסדרה והרחבה של בסיסים חוקיים נוספים לעיבוד מידע מעבר להסכמה (כגון, עיבוד מידע לצורך אינטרס לגיטימי ועיבוד מידע לצורכי מחקר) וכן הרחבה של אגד זכויות נושאי מידע.
אנו נמשיך ונעדכן בהתפתחויות וצפויים לקיים בקרוב וובינר, בו נסקור את עיקרי הוראות התיקון לחוק ונציג את הפעולות אליהן יש להיערך מבעוד מועד ליישום הוראותיו.
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.