ביום 5.8.2024 אושר לחקיקה תיקון מס' 13 לחוק הגנת הפרטיות (הידוע גם כתיקון 14, מסיבות טכניות) ובכך הושגה כברת דרך משמעותית לרפורמה המתרחשת בדיני הגנת הפרטיות בישראל.
התיקון הוא חלק מסדרה של פעולות חקיקה שאירעו בעבר [כדוגמת תקנות הגנת הפרטיות (אבטחת מידע)] ויתרחשו בעתיד (תיקון מס' 15 שנכון שמצוי בשלבי גיבוש ראשוניים). תיקון 13 לחוק הגנת הפרטיות מתרכז באסדרה ועדכון הוראות החוק בנוגע למאגרי מידע, ניהול אופן העיבוד של מידע אישי שארגונים ויחידים אוספים והרחבת סמכויות האכיפה של הרשות להגנת הפרטיות. תיקון 13 לחוק משפיע רוחבית על כל ארגון בישראל שמעבד מידע אישי, והוא עשוי גם להשפיע על ארגונים שאינם ישראליים שמעבדים מידע אישי מישראל.
אספנו עבורכם את עיקרי התיקון לחוק והמשמעויות שלו:
תיקון הגדרות בחוק
במישור המהותי, תיקון מס' 13 מעדכן חלק מההגדרות בחוק ומתאים אותן למציאות הטכנולוגית המתפתחת. אלה עיקרי התיקונים בהגדרות החוק:
בעל שליטה: הגדרה אשר עושה רושם ששאובה מתוך ה-GDPR (רגולציית הגנת המידע הכללית של אירופה) שמחליפה את המונח "בעל המאגר". בעל השליטה במאגר מידע הוא מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע במאגר מידע.
מאגר מידע: התיקון מרחיב את המונח "מאגר מידע" שיחול על כל אוסף פרטי מידע אישי המעובד באמצעי דיגיטלי למעט המקרים החריגים הבאים: (1) אוסף לשימוש אישי שאינו למטרות עסק; (2) אוסף הכולל רק שם, מען ודרכי התקשרות, לגבי 100,000 בני אדם או פחות, שאינו מלמד כשלעצמו על מידע אישי נוסף לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף אחר הכולל פרטי מידע אחרים לגבי אותם בני אדם.
ניתן לראות שההגדרה מנוסחת בצורה מורכבת היות שהחריג השני להגדרת "מאגר מידע" כולל בעצמו החרגה על דרך השלילה. התוצאה המסתמנת היא, שלמרות ההחרגה, עושה רושם שהמחוקק התיר מרחב פרשנות גדול להכיר באוסף נתונים כ-"מאגר מידע".
מחזיק: תיקון 13 כולל ניסיון להבהיר את המונח מחזיק שהיה מנוסח בצורה מעגלית ולא מוצלחת בנוסח החוק הקודם, וקובע שמחזיק הוא גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע.
מידע אישי: התיקון מרחיב את ההגדרה של "מידע אישי" כדי לכלול כל "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי" תוך "מאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה". התיקון מרחיב את ההגדרה ולראשונה המחוקק מכניס את "טביעת האצבע" הדיגיטלית שלנו ליסודות ההגדרה בהתייחסו במפורש ל-"נתוני מיקום, מזהה מקוון" (כגון כתובת IP) כמידע אישי. קושי בולט בהגדרה הוא עמימות המונח "מאמץ סביר".
מידע בעל רגישות מיוחדת: הגדרה זו מחליפה את הגדרת "מידע רגיש" בחוק והיא מכסה סוגי מידע אישי הנתפסים כרגישים ביותר. לצד הנתונים המסורתיים (כמו למשל מידע אישי על צנעת חיי המשפחה או מידע על בריאותו של אדם), ההגדרה מוסיפה נתונים גנטיים, נתונים ביומטריים, מידע על מוצאו של אדם, נתוני מיקום ותעבורה ועוד חידושים.
עיבוד מידע: התיקון מאחד את הגדרת המונח "שימוש" עם "עיבוד" (שהיא הגדרה חדשה) ויוצר רשימה פתוחה ולא ממצה של מקרים שייחשבו "עיבוד מידע" עם פוטנציאלית ברור לסבול פרשנויות רבות.
צמצום הנטל הרגולטורי לרישום מאגרי מידע
תיקון 13 לחוק מצמצם במידה את חובת רשום מאגרי מידע במרשם מאגרי המידע הממשלתי (יש שיטענו שהמחוקק יכול היה לוותר על חובה זו לחלוטין).
התיקון מצמצם את חובת רישום מאגר המידע למקרים מוגדרים המקיימים את אחד משני התנאים הבאים: (1) מטרתו העיקרית ( של מאגר המידע) היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ויש במאגר מידע אישי על יותר מ-10,000 בני אדם; (2) בעל השליטה במאגר המידע הוא גוף ציבורי להוציא מאגר מידע הכולל מידע אישי על עובדי הגוף הציבורי בלבד.
כלומר, בניגוד לנוסח החוק הקודם לפיו אפילו עסקים קטנים וזעירים נדרשו לרשום מאגר מידע על רשימת העובדים שלהם, נוסח החוק החדש מצמצם את המקרים שיחייבו רישום ובכך פוטר הרבה ארגונים מחובת הרישום, שתרומתה להגנה על המידע האישי של בני אדם מוטלת בספק.
חשוב להדגיש בנקודה זו, שצמצום חובת הרישום אינה מפחית במאומה את החובות והאחריות המהותיות החלות על מי שמשתמש או מעבד מידע (כמו חובת אבטחת המידע), גם אם הנתונים אינם חייבים ברישום.
יחד עם זאת, התיקון אינו פוטר בלא כלום והוא יצר את חובת הדיווח (שלא הייתה קיימת בנוסח החוק הישן). במקרה בו מאגר מידע שאינו חייב ברישום, מכיל 100,000 איש (או יותר) והמידע מוגדר כ- "בעל רגישות מיוחדת", אז בעל השליטה במאגר חייב בדיווח לרשות הגנת הפרטיות על אודות פרטים על המאגר.
ממונה על הגנת הפרטיות
תיקון 13 יוצר פונקציה חדשה בדרג הנהלה בארגון בשם "ממונה על הגנת הפרטיות". המחוקק שואב כאן השראה מפונקציית קצין הגנת מידע הקבועה ב-GDPR וגופים רבים שעוסקים בעיבוד מידע (בין אם למטרות מסחריות או במסגרת ניהול עסקיהם) יידרשו למנות ממונה הגנת פרטיות לארגון. הגופים שידרשו למנות ממונה הם: גופים ציבוריים; גופים המחזיקים במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לצורך מסירה לאחרים כעסק או בגביית תשלום (ובלבד שמאגר המידע כולל מידע אישי על יותר מ-10,000 אנשים); בעלי שליטה או מחזיקים במאגרי מידע שהפעילות המרכזית שלהם כוללת ניטור של אנשים, כולל מעקב או ניטור אחרי התנהגות, מיקום או פעולות של אנשים בקנה מידה רחב (כמו למשל ספקי שירותי/תשתיות תקשורת וספקי שירותי חיפוש דיגיטליים); ועוד.
הממונה ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הארגון ולעובדיו, יגבש תוכניות עבודה בנוגע להגנת הפרטיות, יפקח על יישומן, ידווח להנהלת הארגון ובכלל זה יהיה הפונקציה האחראית על ציות לכללי הגנת הפרטיות בארגון.
תפקיד הממונה על הגנת הפרטיות הוא לוודא שהארגון (כולל הספקים שיש להם גישה למידע האישי שמעובד בארגון) מקיימים את הוראות החוק. מדובר בתפקיד בעל חשיבות בכל הנושא של ציות לרגולציית הגנת הפרטיות והמידע עם אחריות וסמכויות ממשיות והמחוקק נתן תשומת לב לסמכויות של הממונה.
סמכויות האכיפה של הרשות להגנת הפרטיות
תיקון 13 לחוק מרחיב משמעותית את סמכויות האכיפה של הרשות להגנת הפרטיות ומעניק לה כלי חקירה ובירור לצד אמצעי אכיפה משמעותיים שלא היו קיימים קודם לכן. עיקר הסמכויות הן אלה:
קנסות כספיים: גובה הקנסות הכספיים גדל משמעותית לעומת נוסח החוק הישן. בבואה לבחון את גובה הקנס הרשות תיקח בחשבון קריטריונים כגון מספר נושאי המידע במאגר, סוג ההפרה של הוראות החוק ומחזור הפעילות של הארגון. במקרים מסוימים, הרשות יכולה להטיל קנסות בסכומים של מאות אלפי שקלים, ואף גבוה מכך, באותם מקרים שסכום הקנס הוא נגזרת של מספר נושאי המידע שנפגעו. ניתן להטיל קנסות על מספר סוגי הפרות, כולל עיבוד מידע אישי במאגר מידע החייב ברישום שלא נרשם, הפרת הזכות של נושא המידע לעיין ולתקן מידע אישי, חיפוש מידע אישי של אדם מבלי לספק את הודעת הפרטיות הנדרשת, עיבוד מידע אישי למטרה לא חוקית ועוד.
סמכויות חקירה ופיקוח של הרשות: הרשות תסמיך מפקחים לחקור ולערוך בירורים מנהליים על הפרות, לחייב כל אדם להזדהות ולמסור כל מידע או מסמך, להיכנס למקום שבו נמצאים מאגרי מידע או שבו משתמשים בהם, להחרים רכוש, לבקש צווים שיפוטיים ועוד.
החרגת גופי ביטחון: גופי ביטחון והגנה (כגון צה"ל, משטרת ישראל, שירות הביטחון הכללי והמוסד) מוחרגים מסמכויות הפיקוח והחקירה של הרשות, ובתוך גופים אלה ימונה מפקח פרטיות פנימי.
מעניין לציין שבמסגרת תיקון 13 המחוקק העניק פטור למפלגות פוליטיות מסמכויות האכיפה של הרשות להגנת הפרטיות בתקופות בחירות (למעשה המחוקק פטר את עצמו). מפלגות (לרבות במסגרת בחירות לרשויות מקומיות) פטורות מסמכויות האכיפה של הרשות ביחס למאגרי מידע שמפלגות פוליטיות או מועמדים בבחירות לרשויות מקומיות הם בעלי השליטה בהם. אלא אם כן, יושב ראש ועדת הבחירות המרכזית אישר לרשות להפעיל את הסמכות. גם כאן, המחוקק הציב משוכה בפני יו"ר וועדת הבחירות וקבע שלא יאשר את הפעלת הסמכות אם יש לצעדי האכיפה השפעה שלילית מהותית על יכולתו של המועמד לנהל את קמפיין הבחירות שלו, וההשפעה השלילית עולה על סיכוני הגנת המידע והפגיעה באינטרס הציבורי שבבסיס אמצעי האכיפה.
בהקשר זה חשוב להזכיר את פרשת דליפת מאגרי המידע בבחירות שנערכו בפברואר 2020, בהן דלפו מתוך מערכת "אלקטור" פרטים של לא פחות מ-6.5 מיליון אזרחים, בהם אנשי ביטחון. המידע שדלף הוא מידע רגיש ביותר שתחת תיקון 13 נחשב "מידע בעל רגישות מיוחדת" ודליפתו היא אירוע חמור שגרר נזקים ישירים ועקיפים רבים נוכח היקף המידע שנחשף ואופי המידע.
לא ברור אם כן מדוע יש הצדקה לפטור דווקא מפלגות פוליטיות ועוד בתקופת בחירות שבה החשש מדליפה הוא הכבד והממשי ביותר? אחת הבעיות המרכזיות שאנו מזהים בהוראה זו נעוצה בקריטריון "ההשפעה השלילית מהותית" שכן ניתן לומר שכל צעד אכיפה בתקופת בחירות יוביל להשפעה שלילית מהותית על יכולתו של מועמד לנהל את הקמפיין. זאת משני טעמים עיקריים, ראשית הערפול במונחים "שלילית" ו- "מהותית" (מי יקבע?) ושנית נוכח האופי הזמני והאינטנסיבי של תקופת הבחירות (קצובה בזמן עם אינטנסיביות עולה ככל שמתקרבים ליום הבחירות). לדעתנו, מדובר בניסוח מרחיב יתר על המידה שמותיר פתח לפרשנויות ואי וודאות שעשויים לדחוק הצידה את זכות הפרטיות – המעוגנת בישראל כזכות יסוד! – בפני אינטרסים פוליטיים.
- תיקונים נוספים
הארכת תקופת ההתיישנות: תיקון 13 מסיר את מגבלת ההתיישנות (שנתיים) שהייתה קיימת בנוסח החוק הישן ומחיל את תקופת ההתיישנות המקובלת שעומדת בדרך כלל על שבע שנים.
הרחבת חובת ההודעה: התיקון מרחיב את חובת ההודעה החלה על כל מי שמבקש לאסוף מידע אישי של אדם לעיבוד במאגר מידע. ההודעה תצטרך לכלול את שמו ופרטי יצירת הקשר של בעל השליטה במאגר, הצהרה על הזכות לעיין במידע ולבקש את תיקונו, ופרטים על ההשלכות במקרה שהאדם יסרב לספק את המידע האישי.
פיצויים לדוגמה: תיקון 13 מעגן את הזכות האזרחית לתבוע פיצויים סטטוטוריים של עד 10,000 ₪ אם בעל שליטה או מחזיק במאגר מידע הפר הוראות מסוימות בחוק, כגון בעל שליטה המעבד מידע אישי ללא רישום מאגר מידע שדורש רישום, אי הודעה על אירוע דליפת מידע ועוד. החוק קובע קריטריונים שבית המשפט יתחשב בהם בבואו לקבוע את גובה הפיצויים, כגון עידוד התובע למימוש זכויותיו; היקף ההפרה וחומרתה; התנהגות המפר וכדומה. סעיף זה מותיר שיקול דעת יחסית רחב לבית המשפט וצריך יהיה להמתין לראות כיצד בתי המשפט יישמו את הסעיף ומה יהיה הרף הכספי שיקבע בתביעת הפיצויים הסטטוטריים.
חוות דעת מקדימה: הוראה חדשה שיוצר תיקון 13 לחוק המעגנת את הזכות של בעל שליטה או מחזיק מאגר מידע – או מי שעומד להיות אחד מהם – לפנות מרצון לרשות הגנת הפרטיות בבקשה לחוות דעת מקדימה בנוגע לעמידה בדרישות החוק או הוראות לעיבוד מידע אישי במאגר המידע. הרשות צפויה לפרסם נוהל שיסדיר את הכללים והתנאים להגיש בקשה לחוות מקדימה.
- סיכום
תיקון 13 לחוק הגנת הפרטיות ייכנס לתוקף שנה לאחר פרסומו ברשומות. מדובר בתיקון חקיקה מקיף ונרחב בעל השלכות רוחביות הן מהותיות והן רגולטוריות. יחד עם זאת, תיקון 13 אינו סוף פסוק בדרך לרפורמה בדיני הגנת הפרטיות בישראל והשלב הבא הוא, כך מסתמן, תיקון מספר 15 אשר צפוי להסדיר נושאים מהותיים יותר הנוגעים לזכות הפרטיות בעידן המודרני – כמו זכויות יסודיות של נושאי מידע (הזכות להישכח, הבסיס החוקי לאיסוף ועיבוד מידע), אנונימיזציה של מידע ועוד.
משרד סקלר לוי עריכת דין שנוסד על ידי עורכי הדין דניאל סקלר וליאור לוי מתמחה בדיני הגנת הפרטיות ואבטחת מידע. אנו מזמינים אתכם ליצור קשר על מנת ללמוד לעומק את ההשלכות של תיקון 13 על הארגון שלכם ועל האופן שבו אתם אוספים מידע אישי ומעבדים אותו, ולהיערך לציות לרגולציה החלה עליכם בצורה הנכונה ביותר.
אין באמור משום יעוץ משפטי ואין להסתמך עליו ככזה