מי שיפגע בפרטיות יהיה נתון לסנקציות מאוד משמעותיות, חשיפה אזרחית ואכיפה פלילית - כך הכריז ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה, ביום עיון בנושא פרטיות ברקע תיקון 13 והנחיות עדכניות של הרשות, שנערך ביום הגנת הפרטיות הבינלאומי. ראש הרשות הבהיר כי גופים פרטיים, משרדי הממשלה ואף גופים ביטחוניים יהיו חייבים לשנות את ניהול הסיכונים בארגון בגלל השינויים שבוצעו בחוק הגנת הפרטיות, במסגרת תיקון 13 לחוק.

עו"ד סממה עדכן את משתתפי הכנס כי הרשות תפרסם בקרוב הנחיות חדשות שעוסקות בשינויים מכוח תיקון 13. הרשות תפרסם גם הנחיות בנושא בינה מלאכותית וגילוי דעת לעניין "הסכמה מדעת". לפי היועץ המשפטי של הרשות להגנת הפרטיות, עו"ד ראובן אידלמן, הגילוי יעסוק בין היתר בחובת היידוע, שהפרתה עלולה להגיע בקלות לעיצומים כספיים ברף הגבוה. הרשות מתכוונת לאכוף הפרות של החוק מיד עם כניסתו לתוקף, באוגוסט הקרוב.

עו"ד אידלמן הבהיר כי ההנחיה העוסקת באחריות הדירקטוריון לקיום חובות אבטחת המידע בחברה כוללת בכוונה מבחן עמום, כדי להימנע מקביעת כללים נוקשים לקביעת תחולתה על חברות. לפי תפיסת הרשות, אם החברה מחזיקה רק מאגר על עובדים ללא מידע רגיש, יכול להיות שההנחיה לא תחול. עם זאת, ככל שחברה מחזיקה במידע בעל רגישות מיוחדת, במידע על עשרות אלפי נושאי מידע או עוסקת בסחר במידע אישי, כמעט ודאי שההנחיה תחול על החברה. הרשות תשאיר את ההגדרה עמומה ולא תפרסם הבהרה בנושא.

לסיום, הבהיר עו"ד אידלמן כי תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, שנכנסו לתוקף בתחילת החודש ומחייבות בתנאים מסויימים הענקת זכויות נוספות גם לישראלים, אינן חלות על חברות שרק "מחזיקות" במידע. עם זאת, הזהיר כי ההגדרה החדשה של בעל שליטה רחבה אף יותר מההגדרה ב-GDPR – כך שכל מי שקובע את מטרות העיבוד או שפועל מכוח חוק יוגדר למעשה כבעל שליטה. גם כאן, בכוונת הרשות לאכוף את התקנות במלואן.