עדכון לקוחות: תיקון 13 לחוק הגנת הפרטיות – עו"ד דרור גדרון, שותף, ועו"ד אליעד שולומוביץ'

לקוחות וחברים יקרים,

נבקש לעדכנכם כי ב-5 באוגוסט, 2024 אושר בקריאה שנייה ושלישית תיקון 13 (אשר במשך עשור כונה בשוגג "תיקון 14") לחוק הגנת הפרטיות, התשמ"א. תיקון משמעותי ודרמטי זה בדיני הפרטיות בישראל מהווה את הנדבך הראשון בתהליך המודרניזציה של דיני הפרטיות בישראל.

התיקון ייכנס לתוקף שנה מיום פרסומו ברשומות ולכן מומלץ כבר כעת להתייעץ בדבר הצורך להתניע הליך הטמעה לציות ו/או בחינת סטטוס ציות נוכחי, במהלך תקופת המעבר.

התיקון כולל עבירות פליליות חדשות וכן תוספת קנסות ועיצומים בסכומים של הנמוך מבין עד ארבעה או שמונה שקלים עבור נשוא מידע במאגר או 200,000 שקלים וכן פרסום המפרים באתר הממונה ולכן כדאי להתייחס לנושא זה ברצינות הראויה.

דגשים חשובים העולים מהתיקון:

התיקון לחוק עדכון את ההגדרות הקיימות בחוק הגנת הפרטיות, באופן המשפיע על תפיסת ניהול המידע והיחסים המשפטיים הנובעים מכך.

מכך נובע כי:

1. יש לבחון כל התקשרות חוזית עם ספק ו/או קבלן משנה אשר כרוכה בעיבוד מידע אישי, ולתקן אותו באמצעות הוספת נספח אבטחת מידע.
2. יש לבדוק את כל הפעילויות הפנימיות כדי לבחון האם יש מאגר הנדרש ברישום או לפחות מאגר הנדרש לניהול תקין (כפי שיפורט בהמשך) לאור ההגדרות החדשות וחובת רישום המאגרים החדשה, כמפורט להלן.

קביעות עיקרון "צמידות המטרה" התיקון מעגן את החובה לעשות שימוש במידע אישי אך ורק למטרת המאגר המוצהרת, והוספת סנקציות פליליות ומינהליות בגין הפרת עיקרון זה, ולכן מומלץ לבחון מחדש את זרימת המידע (Data Flow) בארגון ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפיכם כדי לוודא כי העיקרון נשמר.

שינוי חובת רישום מאגרי המידע ויצירת חובת "ניהול מאגר" נפרדת ועצמאית:

1. חובת רישום המאגר צומצמה משמעותית ועליכם לבחון האם היא עדיין חלה עליכם, והאם עליכם לבצע שינוי במאגרים הקיימים שלכם.
2. בעל מאגר שאינו חייב ברישום אך מכיל "מידע בעל רגישות מיוחד" על 100,000 נשואי מידע או יותר, מחויב להודיע על קיומו (לרבות צירוף מסמכים על ניהול המאגר) לרשות להגנת הפרטיות.
3. לבסוף נקבעה חובה נפרדת לגבי "ניהול מאגר מידע" שלמעשה מעגנת את החובות האחרות מכוח דיני הפרטיות והנחיות הרשות להגנת הפרטיות, על כלל המאגר, הרשומים והלא רשומים.

המסקנה האופרטיביות מכך היא: יש לבחון מחדש את תזרימי המידע בארגונים שלכם כדי לבחון האם פעילויות שלכם מחייבות רישום מאגרי מידע או האם יש באפשרותכם לגרוע מאגרים שלכם מהמרשם, לפי העניין. יש לבחון את עמידת מאגרי המידע הקיימים בדרישות התיקון.

חובת מינוי "ממונה הגנת פרטיות"

1. מי שיחויב למנות ממונה הגנת פרטיות הוא (1) בעל מאגר או (2) כל מחזיק שמספק שירותים הכרוכים בעיבוד מידע אישי עבור בעל מאגר מסוגים שהוגדרו בחוק. עליכם לבדוק האם חובה זו חלה עליכם.
2. ככל שהחובה מתקיימת, ממונה הגנת הפרטיות בארגון יהיה:
   אחראי להבטחת קיום הוראות חוק הגנת הפרטיות והתקנות בנוגע למאגרי המידע, (2) כפוף ישירות להנהלה, (3) לא ימלא תפקיד נוסף (אם מדובר בעובד) ולא יהיה כפוף לנושא משרה אחרת שעשוי להעמידו בניגוד עניינים ו-(4) בעל ידע מעמיק בדיני הגנת הפרטיות, עם הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי הפעילות של בעל המאגר;

המסקנות האופרטיביות מכך הן:

1. יש להתחיל לבחון האם יש חובה למנות "ממונה הגנת פרטיות" בארגונכם.
2. אם כן להעסיק ו/או לרכוש את שירותים של מי שעונה על ההגדרות ו/או עבר הכשרות מתאימות, ו/או לשלוח עובד מתאים קיים להכשרות מתאימות בחסות הרשות להגנת הפרטיות;

הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות והחמרת הסנקציות הפליליות והמינהליות של הרשות להגנת הפרטיות:

1. מתן סמכות לרשות להגנת הפרטיות למנות מפקחים עם סמכויות נרחבות המקבילות לסמכויות של שוטר: תפיסת חפצים, מסמכים ואף לבקש צווים מבתי משפט לתפיסת שרתים ו/או מחשבים.
2. הקמת זכות לרשות להגנת הפרטיות לקבל צו שיפוטי להפסקת פעולות עיבוד או מחיקת מידע אישי ממאגר מידע, אשר הלכה מעשה מהווה הפסקת/השהיית פעילותו המסחרית הכרוכה של בעל המאגר (או המחזיק בו).
3. הגדלת סכומי הקנסות והעיצומים הכספיים עד לסכום של 200,000 שקלים חדשים ויותר (ישנם קנסות שהן מכפלת מספר נשואי המידע במאגר).
4. הענקת סמכות לראש הרשות להגנת הפרטיות להוציא הוראה להפסקת הפרה (התראה בטרם עיצומים כספיים), שיובילו להן קנסות והן לפרסום העיצום הכספי שהוטל באתר הרשות להגנת הפרטיות כולל זהות בעל המאגר המפיר.
5. יצירת תוספות לחוק הגנת הפרטיות עם עיצומים מינהליים וקנסות בגין:
   • הפרת תקנות אבטחת מידע.
   • הפרת הזכויות של נשואי מידע אשר הועברו מהאזור הכלכלי האירופאי והמידע אודותם לא נמסר על-ידם באופן ישיר.
6. יצירת סעיף עבירות חדש ומורחב עם עבירות חדשות על:

1. • הפרעה או הטעייה של הרשות להגנת הפרטיות, לרבות ברישום מאגר.
   • שימוש לא מורשה במידע של בעל מאגר (לרבות הדלפה ו/או עובד סורר).
   • הטעייה מכוונת של נשוא מידע בעת יידועו על המידע שייאסף אודותיו ומטרות השימוש בהם, לרבות הגורמים שאליהם המידע יועבר;
   • העברת מידע מגוף ציבורי ו/או עובד מטעמו באופן מכוון לגורם בלתי מורשה לשם עיבודו.

אז מה הלאה?

התיקון לחוק מהווה את הצעד הראשון במהפכת הפרטיות שהרשות להגנת הפרטיות חותרת להטמיעה, ואנו נמשיך לעדכנכם מעת לעת לגבי התפתחויות בתחום הפרטיות בישראל,  לרבות הנחיות הרשות המבארות את הסעיפים החדשים שהוכנסו לחוק בתיקון ותיקוני חוק נוספים ו/או הרחבות דיני הפרטיות לתחומים נוספים (כגון תובענות ייצוגיות, חובות נושאי משרה וכיו"ב).

חובה על כל מי שבידו מידע על צדדים שלישיים, לרבות לקוחות, עובדים ובני אדם אחרים לבחון את הוראות החוק הרלוונטיות אליהם ולוודא עמידה בהן, בטרם יינקטו אמצעי ענישה חמורים נגדו.

לעמוד באתר הרשות להגנת הפרטיות הדן בכניסה לתוקף של תיקון 13 לחצו כאן

לאתר הצעת החוק באתר הכנסת בו יפורסם הנוסח הסופי לחצו כאן

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

****

המדובר בהצגה תמציתית, שאין בה כדי למצות את מלוא הסוגיה ואינה מהווה תחליף לייעוץ משפטי.