משרד המשפטים פרסם ביום חמישי 23.7.2020 להערות הציבור את תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף -2020. התזכיר מיועד לצמצם - אך לא לבטל לחלוטין - את החובה המיושנת בחוק לרשום מאגרי מידע. במקביל הוא מעדכן הגדרות חשובות בחוק, ובין השאר מרחיב את הגדרת "מידע" כך שתהיה תואמת לזו שבדינים מודרניים אחרים בעולם.
בעקבות התזכיר צפויים להתפרסם בקרוב עוד שני תיקונים מקיפים לחוק הגנת הפרטיות, התשמ"א-1981 אשר בהצטרפם לתזכיר החדש מיועדים לחולל רפורמה בחוק המיושן:
- תזכיר חוק אחד יבקש להגביר את סמכויות האכיפה של רשם מאגרי המידע. תיקון זה נכשל כבר פעמיים בעבר. הוא הוגש בשנת 2011 כתיקון מס 12 לחוק ושוב בשנת 2018 כתיקון מס' 13, ובשתי הפעמים לא חלף מעבר למשוכת הקריאה הראשונה במליאת הכנסת.
- חוק שני, לפי דברי ההסבר לתזכיר מיום חמישי, יבקש לחולל את "התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסמכה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל מאגר ומחזיק".
מבנה הרפורמה
מתזכיר החוק שפורסם מתברר כי משרד המשפטים אינו מתכוון להחליף את חוק הגנת הפרטיות בחוק חדש לגמרי. במקום זאת הוא מעדיף לתקן חלקים בו. לגישה זו יתרונות מעשיים בפוליטיקה הישראלית וגם מעלות משפטיות – אבל יש לה גם חסרונות.
- מחד גיסא, בסיס החוק ומונחיו הידועים נשארים לעת הזו בלי שינוי. הדבר תורם לודאות המשפטית ומאפשר להוסיף ולהישען על חלק מהפסיקה הענפה שניתנה בנושאי פרטיות בישראל. נראה גם שאין בדעת משרד המשפטים לתקן את פרק א' בחוק, שעניינו הפרטיות הקלאסית, אלא לעסוק רק בעיבוד מידע ממוחשב, באופן שיקרב את החוק מ-1981 להוראות ה-GDPR האירופאי מ-2018 העוסקות במה שמכונה "הגנת מידע".
- מאידך גיסא, בסיס החוק המיושן משליך גם על התיקונים המודרניים לפחות בשני עניינים מידיים – האחד, לעת עתה נראה שיחידת הבסיס של החוק נשארת "מאגר מידע" ולא "מידע". תמונה ברורה יותר של הדברים תתקבל עם פרסום התזכירים הבאים. השני, משרד המשפטים בוחר שלא לבטל כליל את החובה המיושנת לרשום מאגרי מידע אלא לצמצם אותה בלבד.
חשש גובר מביטול ההכרה האירופאית בישראל
התזכיר מתפרסם שבוע ימים לאחר החלטת בית המשפט הגבוה באירופה (ECJ) שביטל את ההסדר להעברת מידע בין האיחוד האירופי לבין ארצות-הברית. הפרסום בעיתוי זה דווקא מעיד על חשש גובר במשרד המשפטים משלילת ההכרה בישראל כתואמת את אמות המידה להגנה על מידע אישי באירופה.
מאז נחקק ה-GDPR ערכה הנציבות האירופית בחינה מחודשת של הכרת הנאותות של ישראל וממצאיה צפויים להתפרסם השנה. כזכור, התרענו בשבוע שעבר שהבחינה המחודשת עלולה להוביל לשלילת ההכרה בישראל מטעמים דומים לאלה ששימשו את ה-ECJ בביטול ההסדר עם ארצות-הברית. שלילת ההכרה האירופית עלולה לפגוע במשק הישראל – ובכלל זה בתעשיית ההייטק הישראלית שמבוססת על עיבוד והעברת מידע אישי ותנועתו החופשית באמצעות האינטרנט, בחברות פארמה המקיימות ניסויים קליניים במוסדות רפואה באירופה, בענף התיירות שמבקש לפנות לתושבים אירופיים ובמוסדות להשכלה גבוהה המבקשים לקבל תלמידים אירופיים בישראל או לקיים מחקרים משותפים עם גופים אקדמיים באיחוד.
צמצום חובת רישום מאגרים
תזכיר החוק החדש מכיר בכך שהתועלת לציבור מחובת רישום מאגרי המידע – מצומצמת, וכי לחובה הזו יש רלוונטיות מועטה למציאות הטכנולוגית הנוכחית ולהיקף הנרחב של מאגרי המידע הקיימים. על-פי ההקדמה לתזכיר, "הניסיון שהצטבר ברשות להגנת הפרטיות מלמד על היעדר אפקטיביות של המתכונת הנוכחית של חובת הרישום".
עם זה, התזכיר נמנע מללכת בדרכה של חקיקה מודרנית כדוגמת ה-GDPR ולוותר כליל על חובת הרישום. לדבריו, "יש חשיבות בשימור מוגבל של החובה באופן שיאזן בין תועלות מסוימות הכרוכות בו לבין ההקלה שצמצומו יביא בנטל הרגולטורי. איזון זה מתבטא בהסדר המוצע, שלפיו החובה תחול רק על מאגרי המידע המהווים את הסיכון הגדול ביותר לפרטיות".
משכך מציע התזכיר לצמצם את חובת הרישום כך שתחול רק על מאגרים שמקיימים שני תנאים מצטברים:
- האחד, יש בהם מידע על 100,000 בני אדם או יותר;
- השני, הוא שמתקיים במאגר אחד או יותר מאלה -
- מטרת המאגר העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
- יש במאגר מידע בעל רגישות מיוחדת. "מידע בעל רגישות מיוחדת" חופף בהגדרתו לסוגי המידע המפורטים בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 שבעטיים הופך מאגר מידע לחייב ברמת אבטחה בינונית ולא בסיסית - מידע על צנעת חיים, מידע רפואי או נפשי, מידע גנטי, מידע על דעות פוליטיות, נתוני מיקום ותעבורה, מידע ביומטרי, מידע על גזע או מוצא, מידע על נכסיו והתחייבויותיו של אדם ומצבו הכלכלי, על הרגלי צריכה ומידע נוסף ששר המשפטים רשאי לקבוע בתקנות;
- המידע לא נמסר למאגר זה על ידי נושאי המידע, מטעמם או בהסכמתם. כלומר, גם אם נושאי המידע פרסמו את המידע ברבים במקום אחד - לדוגמה ברשת חברתית - ומשם המידע הועתק למאגר, המאגר המעתיק חייב ברישום;
- המאגר הוא של גוף ציבורי.
בשנת 2007 המליצה ועדה בראשות המשנה ליועץ המשפטי לממשלה דאז, יהושע שופמן, לצמצם עוד יותר את חובת רישום מאגרי המידע (דו"ח הוועדה זמין כאן). בשנת 2012 פרסם משרד המשפטים תזכיר חוק שיועד למטרה זו. מה שהיה נכון לפני 13 שנים ושמונה שנים איננו בהכרח נכון גם כעת. בזמן שחלף נפטרו רבים מהדינים המודרניים בעולם מכל שריד ישן לחובת הרישום. ישראל בוחרת שלא ללכת בדרכם.
לתשומת לב: מאגר שהחל את דרכו ככזה שאינו טעון רישום, יכול להגיע במרוצת הזמן לסף שיחייב את רישומו. התזכיר אינו משנה מסמכות הרשם לסרב לרישום מאגר או להתלותו בתנאים. כוונת הרישום היא ליצור נקודת מפגש בין בעל המאגר לרשם כדי לוודא את עמידת בעל המאגר בהוראות הדין. לכן, לסירוב לרשום עלולה להיות השפעה מרחיקת לכת על עסקים שכבר מתנהלים מזה זמן על יסוד המידע שבידיהם. בתנאים אלה, בעוד שתזכיר החוק מצהיר על כוונתו לצמצם את חובת הרישום - חשיבות הרישום לעסקים וארגונים הופכת דווקא קריטית יותר.
הקבלת הגדרות ל- GDPR
במקביל לזה, תזכיר החוק מבקש להרחיב את הגדרת "מידע", שהיא אבן-הבסיס לחובת הרישום. אם כעת חוק הגנת הפרטיות נוקב ברשימה סגורה של קטגוריות מסוימות שרק הן מהוות מידע, בא התזכיר ומרחיב את ההגדרה כך שתהיה מקבילה לזו שב-GDPR האירופי: "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר". גם הגדרת "מאגר מידע" כך שגם אוסף נתונים הכולל שם, מען ודרכי התקשרות יחשב למאגר מידע הכפוף להוראות החוק אם יש בפרטי הקשר כדי ללמד על מידע נוסף. הרחבה זו תואמת את עמדת הרשות להגנת הפרטיות מ-2018 שלפיה כתובות דואר אלקטרוני ייחשבו למאגר מידע.
אנו סבורים שהתוצאה המצטברת של אמות-המידה החדשות לרישום מאגרים והרחבת ההגדרות בתזכיר תהיה שחובת הרישום תוסיף לחול על מאגרים רבים מידי ואף תורחב למאגרים שכיום לא בהכרח טעונים רישום.
אין זאת ההגדרה היחידה שתזכיר החוק מבקש להתאים לאמות-המידה של ה-GDPR. הוא מתקן בהתאם את הוראת "בעל מאגר מידע" כך שתהיה דומה לזו של Controller בחקיקה האירופאית ("מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר המידע, או גוף שהוסמך בחיקוק לנהל מאגר מידע").
במקביל התזכיר מציע להיפטר מההגדרה המיושנת ל"מחזיק" ולהמירה בלשון שלוכדת לא רק מי שקיבל עותק של מאגר כדי לטפל בו עבור בעליו, אלא כל מי שקיבל הרשאה כלשהי, אפילו ארעית, להשתמש במידע במסגרת שירות לבעל המאגר. לבסוף הוא מרחיב את הגדרת "שימוש" בחוק כך שתקביל לזו של Processing ב-GDPR. ההגדרה תכלול גילוי, העברה ומסירה, אחסון, עיון, ארגון, תיקון, השלמה, אחזור ומחיקה של מידע.
תזכיר החוק מבקש להקשיח את האיסורים שבו. לשם כך הוא אוסר לנהל ולהחזיק מאגר מידע "אם המידע הכלול בו נתקבל, נצבר, נאסף או נוצר בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע".
המועד האחרון להגשת הערות הציבור הוא 6.8.2020.
כל ארגון מודרני נשען על מידע ועיבודו. לתיקון חוק הגנת הפרטיות תהיינה אפוא השלכות משמעותיות על כל חברה, רשות וארגון בישראל. אנו ממליצים שכל ארגון יהיה עירני לשינויים המוצעים בחוק, ובמידת הצורך ישגר למשרד המשפטים את התייחסותו לתזכיר. לתגובות כאלה חשיבות מרובה כדי שהמשרד יבין אל נכון את מצב המציאות "בשטח" והשלכות תיקוניו המוצעים על הפעילות המשקית. אנו עומדים לרשותכם לצורך כל הכרוך בכך.