ב-5 באוגוסט, 2024, מליאת הכנסת אישרה באופן סופי, בקריאה שניה ושלישית, את תיקון 13 לחוק הגנת הפרטיות תשמ"א-1981 (שנודע בעבר כתיקון 14, בהתאמה "חוק הפרטיות" ו-"התיקון"). התיקון מהווה את השינוי המשמעותי ביותר בחוק הפרטיות מאז חקיקתו. בעקבות אישור החוק בכנסת, התיקון עתיד להיכנס לתוקף לאחר שנה מיום פרסומו ברשומות, ב-14 באוגוסט, 2025.
התיקון שינה את חוק הפרטיות במספר היבטים משמעותיים, כמפורט להלן:
עדכון. התיקון עדכן את חוק הפרטיות המיושן כך שיעמוד בקנה אחד עם תקדימי הפסיקה הישראלית, הפיתוחים הטכנולוגיים הרלוונטיים והנחיות שפורסמו על ידי הרשות להגנת הפרטיות ("הרשות").
הגדרות מפתח. עריכת שורה של תיקונים בהגדרות של מונחי מפתח בחוק הפרטיות הביאה לכך שכעת, לאחר התיקון, חוק הפרטיות דומה יותר לחקיקת פרטיות זרה, וספציפית לתקנות הגנת המידע האירופאיות 2016/679 ("GDPR"). לדוגמא:
- ההגדרה הקודמת בחוק למונח "מידע" שהתייחסה לרשימה סגורה של סוגי מידע, הוחלפה בהגדרה ל"מידע אישי" אשר מתייחסת לכל "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי;" כאשר "אדם הניתן לזיהוי" מוגדר כ-"מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי".
- המונח הקודם "בעל מאגר מידע" הוחלף במונח "בעל שליטה במאגר מידע" (בדומה למינוח controller של ה-GDPR) והתיקון מגדיר אותו כ"מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע במאגר מידע".
- המונח "מחזיק", לעניין מאגר מידע, המקבילה הישראלית למונח processor האירופי, הוגדר מחדש כ-"גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע".
- המונח הקודם "מידע רגיש" הוחלף ב"מידע בעל רגישות מיוחדת", והגדרתו שונתה כך שנוספו לה קטגוריות חדשות של מידע שנחשב כבעל רגישות, כמו מידע ביומטרי ונתוני מיקום. מנגד, קטגוריות אחרות בהגדרה צומצמו, כמו קטגוריית מידע פיננסי, שהוגבלה כך שתכלול רק מידע אישי שנוגע לשכר ופעילות פיננסית.
חובת מינוי ממונה על הגנת הפרטיות. בעקבות אימוץ התיקון, גופים מסוימים הכפופים לחוק הפרטיות יידרשו, לראשונה, למנות ממונה על הגנת הפרטיות. בין הגופים האלה נמנים גופים ציבוריים כהגדרתם בחוק הפרטיות וגם סוחרי מידע, דהיינו, בעלי שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בעבור תמורה, לרבות שירותי דיוור ישיר, כשיש במאגר מידע אישי על יותר מ-10,000 בני אדם. כמו כן, בעלי שליטה במאגרים שמטרתם מחייבת ניטור שוטף ושיטתי של בני אדם ובעלי שליטה במאגרים שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר בנקים, חברות ביטוח, בתי חולים וקופות חולים, גם יחויבו במינוי ממונה על הגנת הפרטיות. בנוסף, תאגידים מסוימים מחויבים במינוי ממונה על אבטחת מידע. במסגרת התיקון, חובה זו חלה על קבוצה גדולה יותר של תאגידים.
צמצום היקף חובות רישום מאגרי מידע וייסוד חובת ההודעה. החובה הרחבה לרשום מאגרי מידע במרשם של הרשות של ימי טרם התיקון, נתפסה כמכבידה שלא לצורך וחסרת אפקטיביות, כיוון שלרשות אין יכולת אכיפה בנושא, ולו בשל המספר העצום של מאגרי המידע שהיו מחויבי רישום. התיקון מצמצם משמעותית את היקף התחולה של חובת רישום מאגרי מידע. לאחר שהתיקון יכנס לתוקף, רק גופים ציבוריים וסוחרי מידע המחזיקים במאגרי מידע שכוללים מידע אישי על יותר מ-100,000 אנשים יהיו חייבים ברישום המאגר. יש לשים לב כי ביטול רישום קיים של מאגרי מידע שבמסגרת התיקון אינו חייב עוד ברישום לא יהיה אוטומטי, ובעלי שליטה במאגר מידע כזה חייבים להגיש בקשה לרשות על מנת למחקו מהמרשם.
לאחר כניסת התיקון לתוקף, על רוב המאגרים הנשלטים על ידי חברות פרטיות לא תחול חובת רישום. התיקון מחליף את חובת הרישום הרחבה בחובת הודעה על קיום המאגר לרשות, במקרים מצומצמים. בעלי שליטה במאגרי מידע קיימים, שלא חייבים ברישום, מחויבים להודיע לרשות על קיומו של מאגר שכולל מידע בעל רגישות מיוחדת על יותר מ-100,000 אנשים. בהודעה לרשות, בעל השליטה במאגר המידע צריך לספק פרטים בסיסיים בנוגע למאגר ולהגיש לה העתק של מסמך הגדרות המאגר. בעל השליטה במאגר מחויב גם להודיע לרשות על כל שינוי במידע שנמסר לרשות. חובת היידוע מעניקה לרשות כלי פיקוח בנוגע למאגרי מידע גדולים ורגישים, ללא הזדקקות לרישומם.
כלי אכיפה מוגברים. התיקון מגדיל משמעותית את סמכויות הפיקוח והאכיפה של הרשות. כך, התיקון מכונן שורה של מנגנוני אכיפה מנהליים, לרבות עיצומים כספיים והתראות מנהליות. בעקבות התיקון, לראשונה מוקנית לרשות סמכות להטיל עיצומים כספיים משמעותיים עקב אי עמידה בתקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017. גובה העיצום הכספי שהרשות רשאית להטיל משתנה בהתאם לרמת האבטחה של המאגר, מספר נושאי המידע שהמידע אודותם כלול במאגר ומשך התקופה בה נמשכו ההפרות.
העיצומים הכספיים הללו נעים בין 1,000 ₪ ל-320,000 ₪. עם זאת, במקרים מסוימים העיצום הכספי עלול להיות מוכפל וכך להגיע עד ל- 640,000 ₪ לכל הפרה. בנוסף, הרשות עלולה להטיל את העיצומים הכספיים במצטבר, כמו גם להתייחס למספר האנשים שהמידע האישי אודותיהם נכלל במאגר. כך העיצומים עלולים להגיע לסדרי גודל של מיליוני שקלים. הסכומים הללו גבוהים בהרבה מאשר סכומי העיצומים שהוטלו במסגרת החוק לפני התיקון. כך, איסוף מידע אישי מאנשים מבלי מתן הודעה התואמת את דרישות חוק הפרטיות, עלול לגרור חיוב בעיצום כספי של 50 ₪ עבור כל אדם שאליו נעשתה הפנייה. אם המידע שנאסף במאגר עונה על ההגדרה של מידע בעל רגישות מיוחדת, סכום העיצום הכספי עולה ל-100 ₪ עבור כל אדם. על כן, גובה העיצום הכספי הכולל עשוי בקלות להגיע למאות מיליוני שקלים בקשר למאגרי מידע גדולים הכוללים מידע אישי של מיליוני אנשים. נציין כי חובות היידוע בישראל הינן שונות מאלה שנקבעו תחת ה-GDPR, כך שתאגידים שמקיימים את כל חובות ה-GDPR עדיין יכולים להיחשף לעיצומים כספיים מצד הרשות.
סכומי העיצומים הכספיים האמורים עלולים להיות גבוהים אף יותר, זאת עקב מנגנון הדומה לצבירת ריבית אשר נקבע בתיקון. המנגנון בנוי באופן המתמרץ ציות מיידי, ומבטיח כי הפרות ממושכות יגררו השלכות כספיות גבוהות יותר ויותר.
יש לציין כי העיצומים מוגבלים עד לסכום של 5% מהמחזור השנתי של בעל השליטה במאגר המידע. כמו כן, הרשות מוסמכת, בנסיבות מסוימות, להנמיך את סכום העיצום הכספי המוטל, אך סמכות זו מוגבלת להפחתה של אחוזים מסוימים בלבד מסכום העיצום המקורי. עסקים עם מחזור שנתי של פחות מ-10 מיליון ₪ רשאים לבקש הפחתה מוגבלת נוספת בסכום העיצום הכספי.
בנוסף, התיקון קובע מספר עבירות פליליות, כולן מסוג עוון, כגון הפרעה לנציג הרשות, הטעיית נציג הרשות, מסירה מכוונת של פרטים לא נכונים לנושאי המידע בעת הפנייה אליהם בבקשה לקבל את המידע האישי שלהם וכן עיבוד מידע ממאגר מידע בלא הרשאה. לנציגי הרשות ניתנו גם סמכויות חקירה מוגברות; כאשר לחוקר הרשות ישנו יסוד סביר לחשוד שנעברו עבירות פליליות מסוימות על פי חוק הפרטיות, הוא רשאי לחקור אנשים מעורבים ולעכבם, להיכנס למקום שיש חשד סביר שמופעל בו מאגר מידע, לבקשת מבית משפט צו חיפוש ותפיסה. כמו כן, תחת נסיבות מסוימות הרשות נדרשת לפרסם את דבר הטלת העיצומים הכספיים.
לבסוף, התיקון מרחיב את סוגי המקרים בהם בתי המשפט יוכלו להטיל חובה לשלם פיצויים ללא הוכחת נזק, כולל, לדוגמא, בהקשר של מדיניות פרטיות שגילוי המידע בה אינו מספק.
צעדים נדרשים. כלל התאגידים שהם בעלי שליטה במידע אישי או מעבדים אותו, יידרשו לבצע שינויים משמעותיים לצורך עמידה בדרישות חוק הפרטיות המתוקן, וזאת עד לכניסת התיקון לתוקף ב-14 באוגוסט, 2025. לדוגמא, יש לעדכן את מדיניות הפרטיות הקיימת של רוב הארגונים, כך שתשקף את חובות הגילוי שנוספו במסגרת התיקון. כמו כן, תאגידים רבים יצטרכו למנות ממונה על הגנת הפרטיות. תאגידים שאינם חייבים עוד ברישום מאגרי המידע שלהם שנרשמו בעבר יצטרכו להגיש בקשה למחיקת המאגר מהרישום וארגונים שחלה עליהם חובת יידוע לרשות יצטרכו להיערך לכך. בנוסף, תאגידים אשר טרם עומדים באופן מלא בדרישות תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 נדרשים להקפיד לעשות זאת עד ה-14 באוגוסט, 2025 על מנת להימנע מעיצומים כספיים משמעותיים.
יידרש זמן לצורך הטמעת השינויים האלו, ואנו מעודדים את לקוחותינו להתחיל לפעול בהתאם בהקדם האפשרי. אתם מוזמנים ליצור קשר עם כל אחד מחברי הצוות העוסקים בדיני פרטיות והגנת מידע במשרדנו.
פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.