תיקון 13 לחוק הגנת הפרטיות

28.7.2024 עו"ד נועה גבע

ביום 24 ליולי 2024 פורסם הנוסח הסופי של תיקון 13 לחוק הגנת הפרטיות (אשר כונה ממש עד לאחרונה "תיקון 14"). החוק עתיד לעבור לקריאה שניה ושלישית בכנסת במהלך הפגרה.

התיקון נדון במשך תקופה ארוכה בועדת חוק, חוק ומשפט והוא מהווה התיקון המשמעותי ביותר בחוק הגנת הפרטיות מאז חקיקתו בשנת 1981.

להלן עיקרי השינויים הגלומים בתיקון 13 לחוק, והמשמעויות העולות מהם:

• התאמות בהגדרות ("בעל שליטה" ו"מחזיק" במאגר, "מידע אישי", "מידע בעל רגישות מיוחדת", "עיבוד, שימוש" במידע) ובהוראות החוק שנועדו ליישר קו עם חקיקת הפרטיות המודרנית המקובלת ביתר מדינות העולם המערבי, וביטולן של חובות והגדרות אנכרוניסטיות;

  • בין היתר, הגדרת "מידע אישי" הורחבה משמעותית, והיא כוללת כל מידע המאפשר זיהוי של אדם במאמץ סביר, במישרין או בעקיפין, לרבות מזהה ביומטרי, מזהים דיגיטליים (בדומה להגדרה ב-GDPR האירופאי).

  • ההגדרה 'מידע רגיש במיוחד' הורחבה (לעומת הגדרת 'מידע רגיש' בחוק הנוכחי) באופן הכולל מידע גנטי, מידע ביומטרי וכן סוגי מידע נוספים, למשל הערכת אישיות על אדם, נתונים על אודות מיקומו של אדם שיש בהם כדי ללמד על מידע רגיש מסוגים אחרים, מידע אישי על נתוני שכר של אדם ועל פעילותו הפיננסית.

• חיזוק והרחבה משמעותית של סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות, ובפרט הסמכות להטיל בגין שלל הפרות עיצומים כספיים בסכומים ניכרים המגיעים אף למיליוני שקלים, בהתאם לסטנדרט המקובל בעולם.

  • בין היתר, סמכות להטיל עיצומים כספיים בגין הפרות של תקנות אבטחת מידע, אי מימוש זכויות נושאי מידע, אי מתן הודעה בעת פנייה לקבלת מידע אישי, הפרת עקרון צמידות המטרה ועוד.

  • התיקון מקנה לרשות כלים רבים לצרכי פיקוח, אכיפה וענישה, וכן סעדים לאכיפה אזרחית פרטית (כגון סמכות לביהמ"ש לפסוק 'פיצויים לדוגמה' ללא הוכחת נזק בגין הפרות מסוימות – עד 10,000 ש"ח לאדם).

• צמצום משמעותי של החובה הארכאית לרישום מאגרי מידע, כך שתחול רק על מאגרים של גוף ציבורי או מאגרים שנועדו לאיסוף מידע לשם מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר (data brokers), הכוללים מידע אישי אודות מעל 10,000 בני אדם.

  • בנוסף, תחול חובת הודעה לרשות אודות מאגר הכולל מידע רגיש במיוחד אודות 100,000 איש או יותר.
    

  • בעל שליטה במאגרי מידע רשומים אשר מאגריו לא יהיו עוד חייבים ברישום, יידרש לבקש מהרשות להגנת הפרטיות למחוק את המאגרים מהמירשם.
    

• חובת מינוי ממונה הגנת פרטיות: בדומה לחובת מינוי DPO הקבועה ב-GDPR, התיקון קובע כי החובה תחול על:

  • בעל שליטה או מחזיק במאגר מידע של גוף ציבורי  

  • מאגרים שנועדו לאיסוף מידע לשם מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר (data broker), הכוללים מידע אודות מעל 10,000 בני אדם.

  • בעל שליטה או מחזיק במאגר שעיסוקיו העיקריים כוללים או כרוכים בפעולות עיבוד מידע, המחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר.

  • בעל שליטה או מחזיק במאגר שעיסוקו העיקרי עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר (ובין השאר בנק, חב' ביטוח, בתי חולים וקופות חולים).

  • לעניין זה "עיבוד מידע בהיקף ניכר" - בין השאר בשים לב למספר בני האדם שמידע מעובד לגביהם, שיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו ולטווח של סוגי המידע המעובד, משך ותדירות של פעולות העיבוד, משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.

  • בכל מקרה – נדרשת בחינה קפדנית של מאפייני פעילות הארגון כדי להעריך האם החובה  תחול, תוך תיעוד מסודר של הליך הבדיקה ומסקנותיו, שיוכל לשמש במקרה של הליך פיקוח עתידי.

  • ממונה הגנת פרטיות בארגון יפעל להבטחת קיום הוראות החוק ולקידום השמירה על הפרטיות ואבטחת המידע - הסעיף מונה את תפקידיו של הממונה, כישוריו ומעמדו בתוך הארגון, כן נקבע כי הממונה יכול להיות מועסק ישירות או במיקור חוץ, ובלבד שאינו מצוי בניגוד עניינים עם תפקידו כממונה.
    

• מנגנון חוות דעת מקדימה: ניתן לפנות לרשות להגנת הפרטיות בבקשה לקבלת חוות דעת מקדימה בסוגיות המעלות שאלות חדשניות בעלות השלכות רוחב.

• מועד כניסה לתוקף: התיקון צפוי להיכנס לתוקף כשנה ממועד פרסומו ברשומות.  

*עו"ד נועה גבע ליוותה את הליך החקיקה מטעם המועצה הציבורית להגנת הפרטיות.

חשוב להעיר: יחד עם החשיבות הרבה הטמונה בחקיקתו של תיקון 13, ההסדר החקיקתי בישראל עדיין חסר נושאים מהותיים רבים המקובלים ברגולציות הפרטיות המודרניות ובראשן ה-GDPR. יש לקוות כי הסדר החקיקה יושלם במסגרת התיקון הבא שהוכן במשרד המשפטים - 'תיקון 15' (שיהפוך ל'תיקון 14') אשר צפוי להסדיר את זכויות נושאי המידע, בסיסים חוקיים נוספים לעיבוד מידע מעבר להסכמה (כגון עיבוד מידע לצורך אינטרס לגיטימי ועיבוד מידע לצורכי מחקר), חובת ביצוע תסקיר השפעה על הפרטיות ורכיבים נוספים.

_________________________________________________________________________

עדכון זה אינו מהווה ייעוץ או חוות דעת משפטית בנושא, והוא מוגש כסקירה כללית. בכל נושא ספציפי יש לפנות למשרדנו לקבלת ייעוץ.