תיקון 13 לחוק הגנת הפרטיות – רקע ומשמעויות מעשיות
- נ. בן חיים ושות' עורכי דין
- 6 days ago
- 7 min read
ביום 5.8.2024 אישרה הכנסת בקריאה שנייה ושלישית את תיקון מספר 13 לחוק הגנת הפרטיות. מדובר בתיקון מקיף ומשמעותי שנעשה שבע שנים לאחר התיקון הקודם, בשנת 2017.
מטרת התיקון היא לעדכן את הנורמות הנוגעות לפרטיות האזרחים, על רקע אתגרי העידן הדיגיטלי ואיומי סייבר, והתאמתו למציאות הטכנולוגית של ימינו.
התיקונים בחוק כמעט אינם נוגעים לאיסור פגיעה בפרטיות המופיע בפרק א' לחוק (מעבר להארכת תקופת ההתיישנות, כפי שיפורט להלן). התיקונים בחוק נעשו באופן נרחב מאוד בפרק העוסק במאגרי מידע ובשימוש בהם.
בהודעת משרד המשפטים על אודות התיקון נכתב כי זה נעשה כחלק מהרפורמות הגלובליות שאירעו בשנים האחרונות בתחום הפרטיות והגנת המידע האישי, כדוגמת הרגולציה האירופית (GDPR) והחקיקה שקודמה בעקבותיה בשלל מדינות מובילות. התיקון לחוק מקנה לישראל מעמד בעל תועלות כלכליות ועסקיות משמעותיות עבור המשק הישראלי ויחסי המסחר בין ישראל לאירופה.
על מנת לאפשר לרשות הגנת הפרטיות ולגופים הרלוונטיים להיערך למצב החדש ולהתכונן בהתאם, נקבע כי מועד תחילת החוק הוא שנה מיום פרסומו
להלן נסקור את השינויים העיקריים שנעשו במסגרת התיקון, הן ביחס להגדרת פגיעה בפרטיות, הן ביחס לנורמות החדשות הנוגעות לניהול מאגרי מידע.
א. השינויים בהגדרות המונחים וההשלכה על החובות והאיסורים בעיבוד מאגרי מידע
לפי החוק במתכונתו הקודמת, כאשר מדובר ב"אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף" אזי אין זה מוגדר כמאגר מידע עליו קיים פיקוח רגולטורי.
בהתאם לתיקון, התווסף סייג לפיו רק כאשר מדובר במאגר בו לכל היותר 100,000 בני אדם, אזי לא מדובר במאגר מידע כהגדרתו בחוק. המשמעות היא שעצם איסוף מידע, אף אם הוא בסיסי ביותר, מותר אך ורק לפי החוק תוך רישום בפנקס באופן שמאפשר את הפיקוח על מידע זה.
במתכונתנו הקודמת, הגדיר החוק שתי דרגות של מידע באופן כללי:
"מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו.
"מידע רגיש" – נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו.
בהתאם לתיקון לחוק, נעשתה חלוקה שונה והתווספו פרטי מידע רבים שהוגדרו כבעלי "רגישות מיוחדת":
"מידע אישי" - נתון הנוגע לאדם מזוהה או למי שניתן לזהותו במאמץ סביר באמצעות פרט מזהה, ובין היתר מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.
קרי, המחוקק הביא בחשבון את כלי הטכנולוגיה המתקדמים, בהם ניתן לזהות גם באמצעות פרטים מזהים מקוונים, כגון מזהה IP, או חשבון ברשת חברתית וכדו'.
"מידע בעל רגישות מיוחדת" - מוגדר בתיקון באופן נרחב ומפורט ביותר. כך לדוגמה – מידע על נטייתו המינית; בריאותו של אדם; מידע גנטי; מזהה ביומטרי; עברו הפלילי של אדם; דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו; ועוד ועוד.
במסגרת התיקון לחוק, התווספה הגדרה של "עיבוד" ו"שימוש", כאשר נקבע כי כל פעולה שמבוצעת על מידע אישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו מוגדרת כ"עיבוד" ושימוש". מדובר בקשת רחבה ומקיפה של פעולות הנוגעות למאגרי מידע.
בהתאמה לכך, סעיף 8 בחוק מטיל איסור על עיבוד של מידע אישי שנמצא במאגר מידע, אלא למטרה שנקבעה לו בדין, במסגרת חוק זה.
ב. סמכויות הפיקוח והאכיפה
במטרה להגביר את סמכויות הרגולטור בפיקוח על קיום החוק, הוגדרו סמכויות נרחבות למפקח מטעם הרשות להגנה על הפרטיות (להלן: הרשות) וביניהן: דרישת מסמכים וחומרי מחשב מכל אדם רלווונטי; כניסה למקום בו קיים יסוד סביר שמתנהל מאגר מידע ועיון בחומר שלדעתו נדרש.
מדובר בעצם בסמכויות מעין חקירתיות ללא צורך בצו בית משפט ותוך הרחבת מתחם שיקול הדעת של הרשות. על מנת לאפשר שיח חופשי בין המפקח לגורמים המפוקחים, נקבע כי תשובות אדם מפוקח למפקח במסגרת זו, לא ישמשו ראייה בהליך פלילי נגדו.
בהתאם לתיקון, כאשר המפקח סבור כי בוצעה הפרה של הוראה מהוראות החוק, הוא רשאי לבקש מבית המשפט צו תפיסה וחיפוש או צו חדירה לחומרי מחשב, ולבצעם בעצמו (ללא פנייה למשטרת ישראל).
לראש הרשות ניתן שיקול דעת נרחב גם בשאלה האם להמשיך בבירור מנהלי בשל הפרת הוראות החוק או להעביר את הטיפול בעניין לפסים פליליים. זאת תוך שקלול כלל הנסיבות וביניהן חומרת המעשה ונסיבותיו, טיבן ועוצמתן של הראיות ומדיניות האכיפה של הרשות.
לפי התיקון, קיימת לראש הרשות הסמכות להורות לבעל מאגר מידע שהפר את הוראות החוק, להפסיק את ההפרה, תוך הפעלת סנקציות משמעותיות אם דרישתו זו לא תיענה. אם לגוף קיימת השגה על החלטה זו, מתקיים הליך מעין שיפוטי במסגרתו גוף יכול לשטוח את טענותיו לפני ראש הרשות, כאשר קיימת גם זכות ערעור על החלטת ראש הרשות בפני בית משפט שלום.
סמכות נוספת משמעותית שניתנה לרשות היא הסמכות לבקש מבית המשפט צו הפסקה של פעולות עיבוד מידע המהוות הפרה, או אף אם יש חשש כזה. מדובר בסנקציה מרחיקת לכת הצופה פני עתיד לפיה אם הרשות סבורה כי עשויה להיות הפרה עתידית של החוק, ניתן לעצור פעילות עסקית.
בנוסף לכל אלו, וגם במטרה להבטיח שקיפות של ההליכים בהתאם לתיקון, הרשות מחויבת בפרסום ההפרה, יחד עם שמו של המפר, הטלת העיצום הכספי וסכום ההפרה.
עקב הרגישות הרבה והחשש מפגיעה בפרטיות, מעניק התיקון לחוק אפשרות לבעל/מחזיק מאגר מידע או מיש עומד להיות כזה, את האפשרות לבקש מהרשות חוות דעת מקדמית בשאלה האם מאגר המידע עומד בדרישות החוק, שתינתן תוך 60 יום.
מדובר בהליך שעשוי לסייע מאוד למי שברשותו מאגר מידע והוא חפץ ב'הכשר' לפעילותו מהרשות, ללא חשש מהסתבכויות מיותרות.
ג. חובת מינוי ממונה הגנת פרטיות (DPO)
תוספת משמעותית הקיימת במסגרת התיקון לחוק היא למינוי ממונה על הגנה על הפרטיות (שאינו חייב להיות עובד של הגוף בו הוא ממלא את תפקידו), אשר תפקידו הוא הבטחת קיום הוראות החוק על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע.
על הממונה לשמש סמכות מקצועית ומוקד ידע; להכין תוכניות לבקרה שוטפת; לוודא קיומם של נוהלי אבטחת מידע; לוודא טיפול בפניות של מי שמידע אישי על אודותיו נמצא במאגר המידע ועוד.
החוק אינו מחייב הכשרה מסוימת למי שממונה על הגנת הפרטיות. עם זאת החוק מפרט כי הממונה אמור להיות מי שהוא בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו, והכול בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו.
חובת מינוי ממונה חלה על הגופים הבאים: גוף ציבורי או גוף המחזיק במאגר מידע של גוף ציבורי; בעל שליטה במאגר שמטרתו העיקרית היא איסוף מידע אישי למסירתו לאחר כדרך עיסוק או בתמורה, בו מידע על יותר מ-10,000 בני אדם; בעל שליטה במאגר או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר ובין היתר ספק המספק שירותי טלפון נייד; בעל שליטה במאגר מידע שעיסוקו העיקרי הוא עיבוד מידע רגיש במיוחד בהיקף ניכר, ובין היתר תאגיד בנקאי, מבטח, בית חולים וקופת חולים.
ד. הפחתת נטל חובת הרישום
בשונה מהחוק במתכונתו הקודמת לפיה קיימת חובה על רישום מאגר מידע, ללא כל סייגים אם מדובר במאגר בו מידע על למעלה מ- 10,000 איש, במסגרת התיקון לחוק חובת הרישום קיימת רק אם מדובר במאגר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק ובנוסף יש במאגר האישי למעלה מ- 10,000 איש (אלא אם כן מדובר בגוף ציבורי המנהל מאגר מידע אישי של מי שאינו עובדי הגוף הציבורי).
עם זאת, כאשר כמות האנשים על אודותיהם קיים מידע בעל רגישות מיוחדת במאגר עולה על 100,000 בני אדם, מחויב בעל השליטה במאגר להודיע על כך לרשות ולספק פרטים נוספים על אודות המאגר.
ה. קביעת עבירות חדשות בניהול מאגרי מידע וסנקציות פליליות
במסגרת התיקון, הוענקה לרשות הסמכות לערוך חקירה פלילית כאשר יש חשד לביצוע עבירות על החוק.
גם הענישה על עבירות לפי חוק הגנת הפרטיות הורחבה והוחמרה, כאשר לדוגמה על עבירה של עיבוד מידע אישי ללא הרשאה או מסירת פרטים לא נכונים בפנייה לקבלת מידע, עשוי העבריין לקבל עונש של שלוש שנות מאסר.
ו. התאמת הדין להתפתחויות הטכנולוגיות
כאמור לעיל, המחוקק הביא בחשבון את כלי הטכנולוגיה המתקדמים, המאפשרים לזהות גם באמצעות פרטים מזהים מקוונים.
בנוסף לכך, ההתפתחויות הטכנולוגיות של השנים האחרונות, הביאו את המחוקק להוסיף להגדרת "מחזיק" גם מי שהוא גורם חיצוני לבעל השליטה במאגר, אשר הוא מעבד עבורו מידע, ולא רק את מי שמאגר המידע מצוי ברשותו והוא רשאי לעשות בו שימוש.
המשמעות היא, כי חברות טכנולוגיה המחזיקות מידע ב'ענן' מוגדרות כמחזיקות, אשר עליהן מוטלות ההגבלות שבחוק לעניין החזקת מאגרי מידע, על אף שהם רק 'מארחים' את המידע אצלן ולא אלו המנהלות אותו בפועל. קרי, חובה מוגברת של ביקורת פנימית ביחס למידע שנמצא בשרתים של החברות השונות.
ז. הטלת עיצומים כספיים ותשלום פיצויים
הטלת סנקציות על מי שמפר את החוק היא אחד התיקונים המשמעותיים של החוק.
כך לדוגמה, רשאי ראש רשות להטיל עיצום כספי בגובה של 150,000 ₪ על הפרה משמעותית, כאשר אם מדובר במאגר בו מידע אישי על 1,000,000 בני אדם, ניתן להטיל עיצום כספי בגובה 300,000 ₪.
ישנן הפרות בהן העיצום הכספי עשוי להגיע לסכומים גבוהים, התלוי בכמות האנשים בעניינם נעשתה הפרה. כך, לדוגמה, אם נעשתה פנייה בדיוור ישיר שלא בהתאם למגבלות החוק, ניתן להטיל עיצום כספי בגובה של 50 ₪ במכפלת מספר בני האדם אליהם נעשתה הפנייה.
גם במקרים פחות חמורים, כגון סירוב לאפשר לאדם לעיין במידע אישי המוחזק במאגר, רשאי ראש הרשות להטיל קנס בגובה 15,000 ₪.
על מנת שעיצומים כספיים אלו ירתיעו מלפגוע בפרטיות כפי שזו מוגדרת בחוק, נקבע במסגרת התיקון כי לא ניתן להפחית את גובה העיצום כספי, אלא במקרים מיוחדים ובהתאם לתנאים מסוימים המפורטים בחוק (כגון היעדר הפרות קודמות; הפסקת הפרה יזומה; מחזור עסקאות נמוך ועוד).
במטרה להרתיע בעלי מאגרי מידע מלהפר את הוראות החוק, נקבעו במסגרת התיקון פיצויים לדוגמה ללא הוכחת נזק (כפי שקיים בחוק איסור לשון הרע ובחוק הגנת הפרטיות ועוד) בסך של 10,000 ₪ לכל היותר.
ח. הארכת תקופת ההתיישנות
חשוב לציין כי סעיף ההתיישנות בחוק במתכונתו הקודמת, אשר קיצר באופן משמעותי את תקופת ההתיישנות והעמיד אותה על שנתיים בלבד, בוטל. חלף זאת חלים על חוק זה ההסדרים הרגילים בחוק ההתיישנות (לפיהם התיישנות בהליכים אזרחיים עומדת, לרוב, על שבע שנים).
ט. החרגת מפלגות בתקופת בחירות
באופן לא מפתיע, התיקון לחוק כולל החרגה, לפיה הרשות לא תפעיל את סמכויותיה, כאשר היא נוגעת למאגר מידע אשר מפלגה או מועמד לבחירות ברשות מקומית הם בעלי השליטה בו, וכאשר מדובר בתקופת בחירות. מדובר בסוג של חסינות שנועדה לאפשר לממש את הזכות להיבחר, שהיא זכות חוקתית, ללא חשש מהפעלת סנקציות בהתאם לחוק.
יש להדגיש, כי אין מדובר בהיתר להחזקת מאגר מידע או שימוש בו בניגוד לחוק. מדובר על הימנעות בהפעלת סמכויות אכיפה, כגון: כניסה למקום; הגשת בקשה לצו תפיסה וחיפוש ועוד.
י. סיכום
בסקירה זו הבאנו את השינויים העיקריים נעשו במסגרת התיקון לחוק הגנת הפרטיות. התיקון, על עשרות עמודיו, כולל שינויים ותוספות רבים ומפורטים, אשר יש להתמצא בהם היטב על מנת לקיים את הדין ולהימנע מלפגוע בפרטיות ולהפר את החוק.
כאמור, תחילת החוק תהיה בעוד כשנה, על מנת לתת לכל הגופים הרלוונטיים להיערך תוך מינוי הגורמים המוסמכים לשמש כממונים על הגנת הפרטיות בהתאם לתיקון.
אנו לרשותכם בכל שאלה בנוגע ליישום הדין והיערכות מתאימה. האמור בסקירה זו הוא להעשרת הידע בלבד ואין לראות באמורה בה משום ייעוץ משפטי.
