הכנסת אישרה היום (5.8.2024) בקריאה שניה ושלישית את תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("החוק"). התיקון, שנודע עד כה כתיקון 14 דווקא, ייכנס לתוקף בתום שנה מיום פרסומו. הוא כולל שורה של שינויים מקיפים בחוק הפרטיות הישראלי המיושן. מדובר בתיקון המקיף ביותר לחוק מאז 1996, אז נוסף לו הפרק על הגנת הפרטיות במאגרי מידע.
התיקון לחוק מעדכן, בין השאר, את הגדרות החוק באופן המרחיב את תחולתו; מצמצם את חובת הרישום הארכאית של מאגרי המידע; מחייב ארגונים מסוימים למנות ממונה על הגנת הפרטיות; מוסיף סמכויות אכיפה רחבות לרשות להגנת הפרטיות, ועוד. הוא משליך על כל ארגון בישראל המעבד מידע אישי. עם זאת, התיקון עדיין אינו מתמודד עם הסדרים מהותיים שעוגנו בחקיקה מודרנית להגנת מידע אישי. בין הנושאים הנעדרים ממנו – הרחבת הבסיס החוקי לעיבוד מידע אל מעבר להסכמה מדעת, מתן זכויות מודרניות לנושאי מידע (כדוגמת 'הזכות להישכח'), החובה למזער את המידע הנאסף, ועוד.
עדכון הגדרות החוק
עדכון הגדרות החוק מכוון למודרניזציה של הוראותיו, ולהשוואת הגדרותיו ככל הניתן לאלה של ה-GDPR האירופאי. בתוך כך, התיקון מרחיב את תחולת החוק. אלה השינויים הבולטים –
מידע אישי. הגדרות החוק הנוכחי מצומצמות לסוגי "מידע" מסוימים, כדוגמת נתונים על אישיותו של אדם, מעמדו האישי, מצב בריאותו או מצבו הכלכלי. לעומתן, התיקון מרחיב את הגדרת "מידע אישי" להיות כל "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי". אדם הניתן לזיהוי הוא מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה. ההגדרה החדשה כוללת גם מזהה מקוון (כגון כתובות IP ומזהים טכנולוגיים אחרים) הנחשבים זה למעלה מעשור למידע אישי בשיטות משפט מודרניות.
מידע רגיש במיוחד. הגדרה זו מחליפה את הגדרת "מידע רגיש" בחוק הנוכחי והיא מקבילה להגדרת Special Categories of Data ב-GDPR. על סוגי המידע האישי שייחשבו כבעלי רגישות מיוחדת נמנים מידע גנטי, מזהה ביומטרי, מידע על עבר פלילי, הערכה על מאפייני אישיות, ונתוני מיקום ותעבורה. כל אלה תוספות חדשות לחוק הנוכחי.
עיבוד מידע. לחוק נוספה הגדרה מודרנית ורחבה, ולפיה "עיבוד" היא כל פעולה במידע, "לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו".
מחזיק. הגדרת "מחזיק" במאגר מידע מקיפה כעת כל "גורם חיצוני לבעל השליטה במאגר מידע המעבד מידע עבורו". לאור הנוסח הרחב של הגדרת "עיבוד", גם ספקי שירותים טכנולוגיים שונים, כגון שירותי תחזוקה ותיקון לבסיסי נתונים, שעד לתיקון לא נחשבו "מחזיקים", עשויים להיחשב ככאלה לאחר התיקון, ולחוב בחובות החלות על מחזיקים, ובראשן אבטחת מידע.
שינויים סמנטיים בעיקרם הופכים את "בעל מאגר מידע" ל"בעל שליטה" במאגר מידע, שהוא מי שקובע את מטרות עיבוד המידע האישי שבמאגר (הגדרה המהדהדת את המונח Controller ב-GDPR), והפיכת רשם מאגרי המידע ל"ראש הרשות" (להגנת הפרטיות).
צמצום חובת הרישום של מאגרי מידע והוספת חובת הודעה
החוק הנוכחי כולל חובה מיושנת שאין לה עוד זכר בחקיקת פרטיות מודרנית – רישום מאגרי מידע. התיקון לחוק מצמצם באופן מהותי את חובת הרישום. הוא מחייב לרשום מאגר מידע רק אם: (א) מטרתו העיקרית של המאגר היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם; או (ב) בעל השליטה במאגר הוא גוף ציבורי (אלא אם המאגר כולל מידע אישי על עובדי הגוף הציבורי בלבד).
התיקון אמור להפחית את נטל הרישום מעסקים רבים, שלרוב לא יידרשו עוד לרשום מאגרי מידע דוגמת "ספקים", "לקוחות", "כ"א" או "צילומי אבטחה". עם זה, גם מאגרי מידע שאינם מחייבים רישום נדרשים לעמוד במגבלות החוק לעניין איסוף ושימוש במידע אישי, לרבות אבטחת המידע במאגרים אלה.
לצד צמצום חובת הרישום, התיקון כולל דרישה חדשה של דיווח לרשות להגנת הפרטיות, על מאגרי מידע ובהם "מידע רגיש במיוחד" על יותר מ-100,000 בני אדם, גם אם אינם חייבים ברישום. במקרה כזה על בעל השליטה במאגר המידע להודיע לרשות על זהותו, מענו, דרכי ההתקשרות עמו, זהות הממונה על הגנת הפרטיות (אם נדרש מינוי כזה), ועוד.
מאגרי מידע שנרשמו עד ליום כניסת התיקון לתוקף ימשיכו להיות רשומים גם אם אינם חייבים עוד ברישום, אלא אם הודיע בעל השליטה במאגר לרשות על כך שלא מתקיימת לגבי המאגר חובת הרישום, שאז ימחק ראש הרשות את המאגר מהמרשם.
מינוי ממונה על הגנת הפרטיות
גופים מסוימים יידרשו מעתה למנות בעל תפקיד שלא נמנה בחוק עד כה – ממונה הגנת הפרטיות - שהוא מקביל באופיו ל-Data Protection Officer ב-GDPR האירופי. אלה הגופים החייבים במינוי כזה: גופים ציבוריים או גופים המחזיקים במאגרי מידע של גופים ציבוריים; מי שבידם מאגר מידע שמטרתו העיקרית היא איסוף מידע אישי למסירתו לאחר כדרך עיסוק או בתמורה, כשבמאגר מידע אישי על יותר מ-10,000 בני אדם; בעל שליטה במאגר או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר (כגון ספקי תקשורת וספק שירות חיפוש מקוון); ומי שעיסוקם העיקרי כולל עיבוד מידע רגיש במיוחד בהיקף ניכר, לרבות תאגיד בנקאי, מבטח, בתי חולים וקופת חולים.
תפקיד הממונה על הגנת הפרטיות הוא להבטיח כי בעל השליטה במאגר המידע, והמחזיקים בו, יפעלו בהתאם להוראות החוק, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. הוא אינו חייב להיות עובד הארגון.
הממונה ישמש, בין היתר, כסמכות מקצועית ומוקד ידע, ייעץ להנהלה ולעובדי הארגון, יכין תוכניות להדרכה ולבקרה שוטפת ויפקח על ביצוען, ידווח להנהלת הארגון על ממצאיו ויציג הצעות לתיקון ליקויים. כמו כן מוטל עליו לטפל בפניות של נושאי מידע, לוודא כי קיימים בנמצא נוהל אבטחת מידע ומסמכי אבטחת מידע נוספים, לשמש איש קשר מול הרשות להגנת הפרטיות, ועוד. עליו להיות בעל ידע וכישורים למילוי תפקידו בצורה נאותה, לרבות ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת ידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו. גם הוראות אלה דומות במהותן לאלה שב-GDPR.
הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות
הרשות להגנת הפרטיות – רגולטור הפרטיות הישראלי - מלינה שנים ארוכות על העדר סמכויות אכיפה מספקות בחוק. התיקון כולל הרחבה משמעותית של סמכויות האכיפה שבידיה. בין ההסדרים הרבים בתיקון בנושא זה –
- הטלת עיצומים כספיים בסכומים הולכים וגדלים ביחס למספר בני האדם שפרטיהם נמצאים במאגר המידע, סוג ההפרה של הוראות החוק, והמחזור הכספי של הגוף המפר. הסכומים עשויים להגיע למאות רבות של אלפי ₪ ואף מעבר לכך. לדוגמה –
- אם בעל שליטה במאגר מידע או מחזיק במאגר מעבדים מידע אישי במאגר החייב ברישום, מבלי שנרשם - רשאי ראש הרשות להטיל עליהם עיצום כספי בסכום של 150,000 ₪, ואם היה במאגר מידע אישי על 1,000,000 בני אדם ומעלה, רשאי להטיל את כפל הסכום;
- אם הפר בעל שליטה במאגר מידע (או מחזיק במאגר) את חובת היידוע בעת פנייה לאדם לקבלת מידע אישי, רשאי ראש הרשות להטיל עליו עיצום כספי בסכום השווה למכפלה של 50 ₪, במספר בני האדם שאליהם נעשתה הפנייה או הדרישה, ואם הייתה הפנייה או הדרישה לגבי מידע רגיש במיוחד – בסכום השווה למכפלה של 100 ₪ במספר בני האדם.
- ראש הרשות הוסמך לשלוח התראות מנהליות, ולהורות על הפסקת הפרות של החוק בתוך פרק הזמן ובאופן שיורה. בין השאר ניתן לשלוח התראות במקרים של עיבוד מידע אישי בניגוד לחוק, כגון עבור מטרה שהיא פגיעה בפרטיות, או במקרים בהם בעל שליטה במאגר או מחזיק במאגר עיבדו מידע אישי כשמאגר המידע נוצר, התקבל, נצבר או נאסף בניגוד לחוק. הרשות רשאית להטיל עיצומים כספיים על מי שלא הפסיק את ההפרה למרות הדרישה שנשלחה.
- הרחבת סמכויות החקירה והפיקוח של הרשות, לרבות הסמכת מפקחים לחקור ולערוך בירורים מנהליים על הפרות החוק, לדרוש מכל אדם להזדהות ולמסור כל ידיעה או מסמך, להיכנס למקומות שבהם מאגרי מידע או שמשתמשים בהם במאגרי מידע, לתפוס חפץ שיש יסוד להניח שהוא קשור לעבירה, לבקש צווים שיפוטיים כגון צו חיפוש ותפיסה או צו חדירה לחומר מחשב, לערוך חקירות פליליות, ועוד.
- החרגת גופים ביטחוניים (דוגמת צה"ל, משטרת ישראל, השב"כ והמוסד) מסמכויות הפיקוח והחקירה של הרשות, ומינוי מפקחי פרטיות פנימיים בגופים אלה. התיקון מסדיר גם את הנושא של פיקוח ובירור מנהלי בגופים המפוקחים לפי החוק להסדרת הביטחון בגופים ציבוריים.
תיקונים נוספים בחוק
הארכת תקופת ההתיישנות. בעוד שהחוק הנוכחי קובע תקופת התיישנות של שנתיים על תביעות אזרחיות לפי החוק, התיקון לחוק הסיר מגבלה זו ולפיכך יחולו הוראות חוק ההתיישנות, הקובע לרוב תקופת התיישנות של שבע שנים.
הרחבת חובת היידוע. התיקון מרחיב את חובת ההודעה של מי שפונה לאדם כדי לקבל ממנו מידע אישי שיעובד במאגר מידע. כעת עליו להציג גם את שמו של בעל השליטה במאגר המידע ודרכי ההתקשרות עמו; לציין את זכות העיון במידע אישי, והזכות לבקש לתקנו (לפי סעיפים 13 ו-14 לחוק); וכן לפרט מהי תוצאת אי-ההסכמה, ככל שאדם אינו מסכים למסירת המידע האישי.
פיצויים לדוגמה. התיקון מוסיף זכות חדשה לקבלת פיצוי ללא הוכחת נזק, בסכום של עד 10,000 ₪, אם בעל שליטה במאגר מידע, או המחזיק במאגר המידע, הפרו הוראות מסוימות בחוק, כגון: בעל שליטה במאגר שעיבד מידע אישי מבלי לרשום את מאגר המידע (אם המאגר חייב ברישום, וכן בתנאי שהאדם שמידע עליו נמצא במאגר פנה לבעל השליטה בדרישה לרשום את המאגר); פנייה לאדם לקבלת מידע תוך הפרת חובת היידוע שבחוק; הפרת הוראות החוק לעניין עיון במידע אישי ותיקונו; ועוד.
הרחבת חובת המינוי של ממונה על אבטחת מידע. החובה למנות אדם בעל הכשרה מתאימה, שישמש כממונה על אבטחת מידע בארגון, תחול כעת לא רק על מי שמחזיק בחמישה (5) מאגרי מידע החייבים ברישום, אלא גם על בעל השליטה בחמישה מאגרי מידע המחייבים רישום, או מאגרים המחייבים דיווח לרשם (במקרה של מאגרים הכוללים מידע בעל רגישות מיוחדת).
חוות דעת מקדמית. התיקון מוסיף לחוק הסדר המאפשר לבעל שליטה במאגר מידע, למחזיק במאגר, או למי שעומד להיות אחד מאלה – באופן וולונטרי - לפנות לרשות להגנת הפרטיות בבקשה למתן חוות דעת מקדמית בעניין עמידתו של מאגר מידע בדרישות החוק, או לצורך מתן הוראות בעניין עיבוד המידע האישי במאגר המידע. למעט חריגים, חוות הדעת המקדמית תינתן בתוך 60 ימים.
החרגת מפלגות. התיקון מוסיף לחוק מגבלות על הפעלת מלוא סמכויות האכיפה של הרשות להגנת הפרטיות בתקופת הבחירות לכנסת ולרשויות המקומיות. בתקופת בחירות לא תוכל הרשות להפעיל חלק מסמכויותיה בשל הפרת החוק הנוגעת למאגר מידע שמפלגה או מועמד בבחירות לרשות מקומית הם בעלי השליטה בו. הסמכויות שהוחרגו כוללות כניסה למקומות, הגשת בקשה לצו חיפוש / חדירה לחומר מחשב במסגרת בירור מנהלי, הגשת בקשה לצו הפסקה, סמכות לתפיסת חפצים, ועוד. הרשות תוכל להפעיל סמכויות אלה באישור יו"ר ועדת הבחירות המרכזית. יו"ר הוועדה לא ייתן אישור להפעלת הסמכות אם מצא כי הדבר יפגע באופן מהותי ביכולתם של המפלגה או המועמד להתמודד בבחירות או לנהל את הקשר עם ציבור הבוחרים, וכי עוצמת הפגיעה הצפויה עולה על הסיכון לפגיעה בפרטיות ועל הסיכון לפגיעה באינטרס הציבורי העומד בבסיס הפעלת הסמכות.