משרד המשפטים פרסם היום הצעת חוק המציגה שורה של תיקונים בחוק הגנת הפרטיות. אם ייצא לפועל, יהיה זה התיקון המקיף ביותר בחוק מאז 1996. הצעת החוק מקיפה שינויי הגדרות המרחיבים את תכולת החוק, צמצום בחובת רישום מאגרי המידע, שני תיקונים מהותיים מרחיקי לכת והוספת סמכויות אכיפה דרקוניות לרשות להגנת הפרטיות. התיקונים משליכים על כל ארגון בישראל.
שינויי הגדרות
השינויים הללו מכוונים למודרניזציה של החוק, ולהשוואת ההגדרות בו ככל הניתן לאלה של ה-GDPR האירופאי. בתוך כך, הם מרחיבים את תכולת החוק ויש להם השפעה הפוכה על הכוונה לצמצם את חובת הרישום של מאגרי המידע. אלה השינויים הבולטים –
מידע אישי. בעוד שההגדרה בחוק הנוכחי מצומצמת לסוגים מסוימים של מידע, כדוגמת נתונים על אישיותו של אדם, מעמדו האישי, מצב בריאותו או מצבו הכלכלי, התיקון קובע כי מידע הוא "נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים". לכשתתקבל, ההגדרה תקיף אפוא גם כתובות IP ומזהים טכנולוגיים אחרים הנחשבים זה למעלה מעשור למידע אישי בשיטות משפט מודרניות.
מידע בעל רגישות מיוחדת. הגדרה מסורבלת זו מחליפה את הגדרת "מידע רגיש" בחוק הקיים והיא מקבילה להגדרת Special Categories of Data ב-GDPR. בין סוגי המידע שייחשבו כבעלי רגישות מיוחדת גם מידע גנטי, מזהה ביומטרי, מידע על עבר פלילי – כל אלה אינם נכללים בהגדרות הקיימות בחוק – מידע על נכסים ונתוני צריכה ועוד. מאגרי מידע המחזיקים מידע בעל רגישות מיוחדת עוד יחוייבו ברישום, בהתקיים תנאים נוספים.
מחזיק. הגדרה זו סוטה במפתיע מה-Processor האירופאי והיא תקיף, אם תתקבל כמוצע, מי שיש לו "הרשאה לעשות שימוש במידע שבמאגר לצורך מתן (ה)שירות" לבעל המאגר. החזקה אינה תלויה אפוא בחזקה פיסית של המאגר אלא בקבלת רשות לגשת אליו. גם ספק שירותי תחזוקה ייחשב אפוא מחזיק ויחויב בכל החובות החלות עליו לפי החוק, ובראשן אבטחת מידע.
שינויים סמנטים באופיים הופכים את "בעל מאגר מידע" ל"בעל השליטה במאגר מידע" (הגדרה המהדהדת את המונח Controller ב-GDPR) והפיכת רשם מאגרי המידע ל"ממונה על הגנת הפרטיות" או, בקיצור, "הממונה".
צמצום חובת הרישום?
חוק הגנת הפרטיות כולל חובה מיושנת שאין לה זכר עוד בחקיקה מודרנית של פרטיות – רישום מאגרי מידע. מה שהתאים לשנות ה-80, כאשר מספר מאגרי המידע בישראל עמד על כ-1,500, אינו מתאים עוד לעשור השלישי של המאה ה-21. ממילא, כל העוסקים בפרטיות – לרבות משרד המשפטים והרשות להגנת הפרטיות בעצמם – מודים שערכה של חובת הרישום להגנה על הפרטיות, מזערי במקרה הטוב.
הצעת החוק מבקשת במוצהר לצמצם את חובת הרישום. היא מורה שמאגרים יהיו חייבים ברישום רק אם יש בהם מידע על אודות 100,000 איש לפחות והמידע לא נמסר על ידם, מטעמם או בהסכמתם, או שהמאגר הוא של גוף ציבורי, או שמטרתו העיקרית של המאגר היא למסור את המידע האישי לאחר, לדוגמה בדרך של שירותי דיוור. בנוסף יחויבו ברישום מאגרי מידע שיש בהם מידע בעל רגישות מיוחדת על חצי מיליון איש או יותר.
על אף שההגדרות מצומצמות מאלה שבחוק הקיים, יש לשים לב שעם התיקון בהגדרת "מידע" התרחב לאין שיעור גם היקפם של "מאגרי המידע" וממילא הצעת החוק, במעין תנועת אקורדיון, מרחיבה את היקף המאגרים הטעונים רישום ביחד עם זה שהיא מצמצמת אותו.
בנוסף, ההצעה מציגה דרישה חדשה להודעה על מאגרי מידע שבהם יש מידע בעל רגישות מיוחדת על 100,000 איש או יותר. אין בחוק הנוכחי חובת הודעה. חובות דומות בחקיקה האירופאית נזנחו זה מכבר, עם כניסת ה-GDPR לתוקף לאחר שהתועלת בהם התבררה כזניחה, מצד אחד, והם כפו סירבול אדמיניסטרטיבי, מצד שני.
תיקונים מהותיים
התיקונים הבאים לא פורסמו להערות הציבור בתזכיר ונראה שלא ניתנה הדעת עד הסוף על השלכותיהם.
ניהול חוקי. הצעת החוק אוסרת לנהל ולהחזיק מאגר מידע[1] – אם המידע נוצר, נתקבל, נצבר או נאסף בניגוד לחוק הגנת הפרטיות או להוראות דין רלבנטי אחר. זוהי מגבלה חריפה על עיבוד מידע. אפשר שהיא מתאימה ל-GDPR שבו יש שישה בסיסים חוקיים לעיבוד מידע, אבל לדעתנו אינה מתאימה לדין הישראלי שבו לעת עתה הבסיס החוקי היחיד הוא הסכמה מדעת או הודעה לנושא המידע.
הגבלת שימושים. חוק הגנת הפרטיות מכיר בעקרון צמידות המטרה. זהו עקרון-על האוסר להשתמש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה. בתי המשפט פירשו אותו בהרחבה רבה, כחל גם על ידיעות טריוויאליות לגמרי על אדם. בנוסף, החוק אוסר להשתמש במידע מתוך מאגר מידע למטרה שונה מזו שהוגדרה בעת רישום המאגר.
הצעת החוק מרחיבה את תחולת העיקרון לאין שיעור. היא אינה מסתפקת באיסור על בעלי מאגרי מידע ומחזיקים להשתמש ב"מידע" שלא לצרכים שלשמה נמסר, אלא מכילה את האיסור גם על "ידיעה על ענייניו הפרטיים של אדם" ואוסרת עליהם גם להתיר לאחר לעשות זאת.
מה שמרחיק יותר לכת מזה הוא האיסור על אדם להשתמש במידע או ידיעה כזו ממאגר מידע, או להחזיק מידע או ידיעה כאלה, בלי הרשאה של בעל המאגר. להוראה זו השלכות מרחיקות לכת שלא לובנו בתזכיר תחילה. לדוגמה בלבד – חוקרי אקדמיה יתקשו להסתמך על מידע אישי מרשתות חברתיות, מנועי חיפוש ייאלצו להתלבט בשאלה אם מותר להם לאחזר מידע מאתרי Web, מפתחי מערכות בינה מלאכותית לא יוכלו להשתמש במידע אישי זמין ברשת כדי ללמד את מערכותיהם כיצד לפעול, ארגונים החייבים בחיפוש מידע על אדם במסגרת ניהול סיכונים יצטרכו לבחון תחילה את השאלה אם המידע זמין במקורות המתירים שימוש בו, ועוד. מפתיעה מכל העובדה שמשרד המשפטים מכיר בכך במשתמע בזכותו הקניינית של בעל מאגר על המידע שברשותו, בניגוד גמור למחשבה המודרנית הרואה באדם בלבד את הבעלים של המידע על אודותיו.
סמכויות אכיפה
הרשות להגנת הפרטיות מתלוננת שנים על העדר סמכויות אכיפה בחוק. ואכן, פעמיים ניסתה הממשלה להוסיף לרשות סמכויות כאלה – ופעמיים נכשלה. ב- 2011 פורסמה הצעת תיקון 12 לחוק הגנת הפרטיות ולאחר שלא התקדמו הליכי החקיקה שלה היא הוגשה שוב לכנסת ב-2018 כהצעת תיקון 13 לחוק, ושוב לא התקדמה. כעת, ההצעות מאוגדות בלי שינויים רבים כחלק מתיקון 14 לחוק.
בין ההסדרים הרבים שבהצעת החוק, הפרושים על פני עמודים רבים ודומה שאין להם כמעט מקבילה בחקיקה הישראלית –
- הרחבת סמכויות החקירה והפיקוח של הרשות. בין השאר, הסמכת חוקרים לחקור עבירות, לתפוס חפץ שיש יסוד להניח שהוא קשור לעבירה, לעכב אדם לצרכי חקירה ועוד. הלכה למעשה, חוקרים שהוסמכו כך יוכלו במידה רבה להחליף את חוקרי המשטרה.
- החרגת גופים בטחוניים מסמכויות הפיקוח והחקירה של הרשות ומינוי ממונים פנימיים על הפרטיות במקום זאת.
- הטלת עיצומים כספיים בסכומים ההולכים וגדלים ביחס למספר בני האדם שפרטיהם נמצאים במאגר, עד לסך בסיסי של 800,000 ₪ שיכול להיות מוכפל עד פי ארבעה (!). במקרה של עבירה נמשכת יתווסף סכום של 2% לכל יום. בהפרה חוזרת יוכפל הסכום.
- בין הנושאים שיביאו להטלת עיצומים – אי-רישום מאגרים, אי-מסירת הודעה על שינויים בפרטי המאגר, פניה לאדם לכלול את פרטיו בלי מסירת הודעה כנדרש, סירוב לתת לאדם לעיין במידע שעליו, החזקת מאגרי מידע בלי להבטיח שאפשרות הגישה תינתן רק למורשים ועוד. הקנסות כבדים במיוחד במקרה של הפרת ההוראות החדשות המגבילות את השימוש במידע ממאגרים, על אף הבעיות הגלומות בהן.
- שלילת סמכותו של הממונה להפחית בסכומי קנסות, אלא אם שר המשפטים קבע תבחינים שלפיהם יוכל לפעול!
- אם התקיימו הנסיבות שיקבע הממונה בנהלים באישור היועץ המשפטי לממשלה, יהיה הממונה רשאי –
- להוציא התראה מינהלית קודם לעיצום כספי ובמקומו. במקרה שהממונה הסתפק בהתראה והמפר חזר והפר אותה הוראה, יראו בכך הפרה חוזרת המצדיקה כפל העיצום הכספי.
- לאפשר למפר לחתום על התחייבות ולהפקיד ערבון, במקום לשלם את העיצום הכספי
סוף דבר
הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2021 היא הצעה רחבה ומקיפה. לא יכולנו לסקור כאן אלא מעט מהוראותיה והשאלות שהיא מעוררת. בולט בה העדרם של תיקונים מהותיים בנושאים שמצויים בחקיקת פרטיות מודרנית – מעיצוב לפרטיות ועד הרחבת זכויות נושאי מידע, מסקרי פרטיות ועד מינוי ממונים על הפרטיות באירגון. משרד המשפטים מצהיר זה למעלה משנה שהוא שוקד על שינויים מהותיים בחוק, אך אלה טרם גובשו בתזכיר חוק, לא כל שכן בהצעה ממש.בדיון שהתקיים בוועדת החוקה, חוק ומשפט בכנסת ב- 8.11.2021 הבטיח יו"ר הוועדה, ח"כ גלעד קריב, שפרטיות תהיה מהנושאים המרכזיים שעל סדר יומה של הוועדה ב-2022. לנוכח זאת יש להניח כי הצעת החוק תקודם בוועדה – כמובן, בכפוף לתהפוכות הפוליטיות בישראל. ספק אם תצא מהוועדה כשם שנכנסה אליה, אולם כל ארגון בישראל חייב להיות ער להשלכותיה האפשריות עליו.