הושלם תיקון מקיף לחוק הגנת הפרטיות. למה הוא לא פורסם?

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

במהלך שנת 2023 נשלם תהליך העבודה המקיף על תיקון מהותי לחוק הגנת הפרטיות במטרה להגביר אף יותר ההגנה על מידע אישי בישראל. התיקון מוכר במילייה המקצועי כתיקון 15 לחוק הועבר לבחינת שר המשפטים לפני שיפורסם להערות הציבור, אלא שמאז – זה יותר משנה – הוא לא פורסם. כך מגלה הדו"ח השנתי ל-2023 שפרסמה הרשות להגנת הפרטיות.

הדו"ח מתפרסם כעת, לקראת סיומה של 2024 דווקא. בין ההישגים המרכזיים שמונה הרשות - השלמת גיבוש הצעה לתיקון מקיף נוסף של חוק הגנת הפרטיות - תיקון 15. law.co.il מזכיר שבאוגוסט 2024 התקבל תיקון 13 לחוק שהוסיף לרשות סמכויות אכיפה רחבות, צמצם את חובת הרישום של מאגרי המידע וכלל מספר חידושים, אבל לא טיפל בבסיס החוק המיושן. כאמור, תזכיר התיקון לא פורסם כלל – לא כל שכן שלא הוגשה הצעת חוק מתאימה לכנסת.

"מאז פרוץ המלחמה, ובמהלכה, נרשמה עליה משמעותית בהיקף ובעוצמת מתקפות הסייבר נגד גופים שונים במשק", כותבת הרשות בדו"ח. "מטרת המתקפות הללו, כחלק מהמתקפה המשולבת המכוונת נגד מדינת ישראל, היא לפגוע בחוסנה של מדינת ישראל באמצעות פגיעה בכלכלתה ובתפקודו התקין של המשק, כמו גם בציבור הישראלי באמצעות חשיפת מידע אישי ברבים. למשל, על ידי תקיפה של מאגרי מידע של גופים ציבוריים המעניקים שירותים חיוניים )כגון בתי חולים ומרכזים רפואיים), מוסדות אקדמיים, ומשרדי ממשלה". המגמה נמשכת ב- 2024.

כך, ב- 2023 נקטה הרשות ב- 446 הליכי אכיפה מינהלית בחשד להפרת תקנות הגנת הפרטיות (אבטחת מידע) (עליה מ- 317 שנה קודם לכן). הליכי האכיפה מינהלית בחשד להפרת חוק הגנת הפרטיות הסתכמו ב- 125 (עליה מ- 88 בשנת 2022).

בין הליכי האכיפה – משרד התחבורה נדרש לשנות מנגנון הזדהות שדרש מספר תעודת זהות ושנת לידה בלבד; ג'וינט ישראל לא קיים את חובות אבטחת המידע בחוק הגנת הפרטיות ולכן נגנבו ממנו ונחשפו נתונים שכללו צילומי תעודת זהות, תעודות פטירה, פירוט תנועות חשבון בבנקים, תלושי שכר, אישורי נכות ומידע אישי נוסף; שרת וירטואלי של בנק דיסקונט שהכיל את בסיס הנתונים של אפליקציית פייבוקס היה חשוף לפרקים לרשת האינטרנט, וחלקו אף דלף בפועל.

יחידת החקירות הפליליות ברשות בחנה 34 פניות שנגעו, בין היתר, לחשדות בסחר במאגרי מידע, העברת מידע רפואי מחוץ לארגון רפואי, פעילות אסורה של אנשים העובדים כחוקרים פרטיים, שימוש במרמה באפליקציות כלכליות על מנת לקבל מידע כלכלי, תיעוד של בדיקה רפואית על ידי עובד מערכת הבריאות, פרסום פרטים האסורים בפרסום על הליך משפטי, שימוש של עובדים במשרדי ממשלה בהרשאות הגישה שלהם למטרות זרות ועוד.

ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה, מציין בפתח הדו"ח ש"הרשות הקימה בשנת 2023 מערך פיקוחי עומק. מערך זה מתמקד בהליכי פיקוח יזומים בארגונים ובמגזרים המחזיקים כמות משמעותית של מידע רגיש, בשל העובדה שהיקף המידע האגור בהם ופוטנציאל הנזק הגלום בפגיעה בו גבוה או בשל היות המידע נוגע לאוכלוסיות מיוחדות".