linkedin
להרשמה לניוזלטר
05.08.2024 עדכון לקוחות
תיקון 13 לחוק הגנת הפרטיות
אודות תחומי פעילות

הכנסת אישרה היום סופית את תיקון 13 לחוק הגנת הפרטיות (שכונה עד כה תיקון 14, אך בספירה מחודשת התברר שהוא תיקון 13).

התיקון משמעותי ומשפיע כמעט על כל ארגון במשק הישראלי, ולכן דורש גם היערכות מוקדמת, שאנו ממליצים להתחיל בה כבר כעת.

השינויים העיקריים בהם עוסק התיקון קשורים לשינוי הגדרות, מינויים, שינויים בקשר לחובת הרישום וכמובן הרחבת סמכויות הרשות להגנת הפרטיות, או ליתר דיוק – הפיכת הפרת הוראות דיני הגנת הפרטיות (כולל תקנות אבטחת מידע, תקנות העיון, ותקנות קבלת מידע ממדינות הEEA, שעד לכניסת החוק לתוקף יחולו גם על המידע הישראלי במאגרים הכוללים מידע אירופי וישראלי מעורב) להפרה שיש לה משמעות כספית, ולא עוד קנסות מנהליים נמוכים יחסית.

בהקשר של שינוי הגדרות, עודכנו הגדרות באופן שדומה הרבה יותר לGDPR לעומת ההגדרות הקודמות. כך למשל, הגדרת "מידע אישי" הורחבה במיוחד באופן שתואם את ההגדרה המקובלת בפרקטיקה בשנים האחרונות, שכוללת כל מידע שקשור לאדם מזוהה או ניתן לזיהוי במאמץ סביר, במקום הרשימה הסגורה שהייתה עד כה, בתוספת "ענייניו הפרטיים". גם הגדרת "בעל שליטה", שמכירה לראשונה במצב של בעלים במשותף, עודכנה באופן שלדעתנו איננו סמנטי בלבד אלא מביא שינוי מהותי.

בהקשר של בעלי תפקידים, התיקון מביא איתו בשורה משמעותית – ביטול תפקיד מנהל המאגר, שלא הייתה ברורה משמעות האחריות האישית שהוא היה חב בה טרם התיקון, והחלת חובת מינוי ממונה הגנת הפרטיות אצל גופים רבים, גם בעלי שליטה במידע וגם מחזיקים. חובת מינוי ממונה אבטחת מידע הורחבה לגבי בעלי שליטה.

בהקשר של חובת רישום מאגרים, התיקון מצמצם את החובה בצורה משמעותית. חובת רישום תחול רק על דאטה ברוקרים שעוסקים במכירה של מידע אישי לאחרים על דרך עיסוק ויש להם מעל 10,000 רשומות של נושאי מידע, וכן על גופים ציבוריים.

על גופים רבים אחרים, שמעבדים "מידע רגיש במיוחד" (הגדרה רחבה שכוללת הרבה מאוד קטגוריות חדשות) על יותר מ100,000 נושאי מידע, לא תחול חובת רישום מאגר, אלא חובת הודעה לרשות. חובת הודעה זו כוללת העברת פרטים לרשות לגבי זהות בעל השליטה במאגר, פרטי קשר איתו, פרטי ממונה הגנת פרטיות אם הארגון מחוייב במינוי שלו, וכן מסירה של מסמך הגדרות המאגר לפי תקנה 2 לתקנות אבטחת מידע, שעד היום היה במצב העניינים הרגיל מסמך פנימי של הארגון, שלא הייתה דרישה להעבירו לרשות.

לגבי הרחבת הסמכויות של רשות הגנת הפרטיות, מדובר אולי בשינוי המשמעותי ביותר שמביא איתו התיקון או לפחות השינוי שעמד בבסיס התיקון במקור. עד היום, הפרה של הוראות דיני הגנת הפרטיות (חוק הגנת הפרטיות והתקנות מכוחו, כולל כמובן תקנות אבטחת מידע) לא הייתה כרוכה בסנקציה כספית משמעותית. הדין איפשר הטלה של קנסות מנהליים, בסכומים נמוכים יחסית, מה גם שהליך של הטלת קנס מנהלי הוא הליך ארוך ומסובך. הסנקציה העיקרית שעמדה על הפרק היא הגשה של תביעות, כולל ייצוגיות, בגין הפרת הוראות דיני הגנת הפרטיות, שהתפתחה בין היתר משום הפרקטיקה של הרשות להגנת הפרטיות לפרסם הליכי פיקוח שערכה וקביעות הפרה שקבעה.

כעת, עם תיקון 13 לחוק, הסנקציה בגין הפרת הוראות דיני הגנת הפרטיות (למעט הפרת תקנות העברת מידע אל מחוץ לישראל) עברה מקנסות מנהליים לעיצומים כספיים – תהליך מהיר בהרבה, ובסכומים גבוהים בהרבה. העיצומים הכספיים נקבעו בצורה של מעין תפריט, כלומר סכומים קבועים מראש, עם כללים לגבי הפרות חוזרות ונמשכות. אין כמעט שיקול דעת לרשות הגנת הפרטיות בבואה להטיל עיצומים כספיים, אבל כן יש הוראות לגבי הפחתה, שיכולות להפחית עד 70% מגובה העיצום. מנגנון העיצומים הכספיים הוא מורכב למדי ומכיל מספר סוגים של עיצומים – סכום קבוע או משתנה, מיידי או אחרי התראה מקדימה, לפי גודל המאגר (כמות נושאי המידע בו), לפי רמת האבטחה, לפי כמות נושאי המידע שהושפעו, ועוד. חשוב גם לציין שיש מינימום לגובה העיצום, ומצד שני יש תקרה שמוגבלת לעד 5% ממחזור העסקאות השנתי (דמיון נוסף לGDPR) או מגבלה בקשר לעוסק זעיר.  בחלק מהמקרים, העיצומים מגיעים כדי 100 ₪ לכל נושא מידע שלא קוים לגביו החוק, כך שהעיצומים יכולים להגיע במהירות לעשרות מיליוני שקלים, ולתקרת העיצומים השנתיים של 5% מהמחזור.

בנוסף, התיקון הרחיב את מנגנון הפיצויים ללא הוכחת נזק שהיה קיים עד היום בחוק ביחס להפרות לפי פרק א' לחוק, ומחיל אותו כעת, בסכום מצומצם אמנם של 10,000 ש"ח ולא 50,000 ש"ח, גם ביחס להפרות לפי פרק ב' לחוק, כולל ביחס לחובת יידוע לפי סעיף 11, זכות עיון לפי סעיף 13 וזכות תיקון לפי סעיף 14. פיצויים ללא הוכחת נזק יכולים להתקיים במקביל להליכים נוספים כמו הטלת עיצום כספי, ניהול הליך פלילי וניהול הליך מכוח פקודת הנזיקין.

שינוי משמעותי נוסף שהביא איתו התיקון הוא החלת ההגנות הקבועות בחוק גם על הליכים מנהליים.

התיקון מביא איתו גם שינויים נוספים כמו שינוי ביחס לעקרון צמידות המטרה, ושינוי בקשר לתקופת ההתיישנות, אך כדי לא להכביד באינפורמציה הבאנו בשלב הזה את עיקרי התיקון בלבד.

התיקון ייכנס לתוקף בתום שנה מיום פרסומו (הצפוי בתוך ימים ספורים), והאכיפה (כולל הטלת עיצומים כספיים) תחל באותו מועד. לדברי ראש הרשות, לא תהיה תקופת גרייס או מדרגות אכיפה, כמו אלה שהכרנו למשל בהקשר של תקנות אבטחת מידע.

לכן, ברמה הפרקטית, אנחנו ממליצים ללקוחותינו לערוך כבר עכשיו מספר פעולות היערכות.

באופן ספציפי, אנחנו ממליצים לערוך בהקדם מיפוי מעודכן של המידע שמעובד בארגון ובחינה של השאלה האם ואיך הדברים מושפעים לאור התיקון. בנוסף, נמליץ לקדם פרוייקטים של טיפול במידע עודף ויישום עקרון צמצום מידע. המלצתנו לערוך את שני אלה כבר עכשיו נובעת מהניסיון שלנו שמראה שמדובר בתהליכים ארוכים ומורכבים, ארגונית וטכנולוגיות, שהיערכות מוקדמת ביחס אליהם תסייע לארגון להגיע למועד הכניסה לתוקף כשיש לכל הפחות כבר תהליך רציני בתחום. כמובן שכדאי לדעתנו גם לעדכן את תהליכי איסוף המידע והיידוע (כולל מדיניות פרטיות), למנות ממונה הגנת פרטיות אם אתם גוף שנכנס לתחולת הסעיף ולהתחיל לערוך תסקירי השפעה על הפרטיות בפרוייקטים הנוכחיים של הפרק, כדי להצטייד בכלים שיאפשרו לטעון לעיבוד כדין. כמו כן, אנחנו ממליצים בחום למי שטרם עשה זאת, לערוך מסמך הגדרות מאגר ולוודא שהוא מעודכן.

אנחנו עומדים לרשותכם לכל שאלה ונשמח לסייע בהיערכות לכניסתו של התיקון לתוקף,

 

אייל שגיאשיר שושני-כץ וצוות מחלקת משפט וטכנולוגיה

 

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.