מהפכה בפתח: חוק הגנת הפרטיות עומד לעבור תיקון מקיף!

תיקון 14 לחוק הגנת הפרטיות, המהווה התיקון המשמעותי ביותר מזה 30 שנה, חוזר לכנסת לקריאה שנייה ושלישית. השינויים נועדו להתאים את החוק לדרישות האיחוד האירופי ולהתמודד עם עלייה במתקפות הסייבר כנגד מטרות ישראליות עם פרוץ מלחמת "חרבות ברזל".
בין השינויים: צמצום חובת רישום מאגרי מידע, חיזוק כלי האכיפה, הגדרת "מידע רגיש" והפיכת רשם מאגרי המידע לממונה על הגנת המידע. הדיון צפוי להתמקד בחשיבות התיקון וביכולת האכיפה של הרשות.

עיקר השינויים בחוק
התיקון לחוק, אם יתקבל בנוסחו כיום, ייכנס לתוקף בקרוב. תיקון זה כולל שינויים משמעותיים כדלקמן:

התאמת ההגדרות שבחוק לחוקים בין־לאומיים:
• החלפת המונח "בעל מאגר מידע" ב"בעל שליטה במאגר המידע".
• הרחבת הגדרת המונח "שימוש" לפעולות עיון ואחסון.
• החלפת המונח "מידע רגיש" ב"מידע בעל רגישות מיוחדת".

צמצום חובת הרישום:
• התמקדות בפיקוח על מאגרים גדולים המסכנים פרטיות.
• תקנות אבטחת מידע יחולו על כל מאגרי המידע, גם אלו שלא רשומים.
• גורל מאגרים רשומים שאינם עומדים בתנאים החדשים אינו ברור.

חיזוק כלי הפיקוח והאכיפה:
• מנגנון אכיפה מנהלי חלופי להליך פלילי.
• הטלת עיצומים כספיים על הפרות.

יחד עם כל אלה, מרחיב החוק המוצע את הגדרת "מידע" לעומת זו הקיימת עתה בחוק הגנת הפרטיות, כך שתכלול כל נתון הנוגע לאדם מזוהה או שניתן לזהותו.

הפרת החוק ועיצומים רלוונטיים
הצעת החוק מגדירה כמה עבירות פליליות חדשות:
• הפרעה לממונה, למפקח או לחוקר הפועל מכוח החוק
• הטעיה של הממונה או מפקח מטעמו
• פנייה לקבלת מידע במרמה בקשר למאגר מידע
• שימוש במידע ממאגר מידע שלא למטרה לשמה נוצר
• שימוש או החזקה ללא הרשאה כדין
• מסירת מידע על ידי גוף ציבורי

לפי החוק החדש, עבירות פליליות יכולות להתבצע גם תוך גילוי רשלנות, והעונש עליהן הוא בין חצי שנת מאסר לחמש שנות מאסר, תלוי בסוג העבירה. החוק מרחיב כלי אכיפה מנהליים לרשות להגנת הפרטיות, ומאפשר הטלת עיצום כספי, התראה מנהלית והתחייבות להימנע מהפרה. סכום העיצום מושפע מגודל המאגר וסוג המידע המצוי בו, ויכול להיות מוכפל בהתאם להפרה שבוצעה. כיום, היקף הקנסות המנהליות שהרשות להגנת הפרטיות יכולה להטיל הוא בין 2,000 ל־5,000 ₪ ליחיד ובין 10,000 ל־25,000 ₪ לתאגיד.

להלן סכומי קנסות הבסיס החדשים שנקבעו:

תובנות עיקריות מתיקון 14 לחוק הגנת הפרטיות: שינויים משמעותיים ביישום החוק:

בהתבסס על המידע המופיע במאמר זה, מומחי הגנת הפרטיות ממליצים על הצעדים האלו לארגונים לשיפור פרקטיקות האבטחה והפרטיות של הנתונים שלהם:

1. אין צורך לרשום את רוב מאגרי המידע – לפי התיקון יהיה צורך לרשום מאגרי מידע המכילים החל מ־100,000 רשומות וגם כאן תוך החרגות ולפי שיקול דעתו של רשם מאגרי המידע.
2. יקשה על ארגונים להתעלם מן הצורך לציית לחוק ולתקנות הגנת הפרטיות עקב חיזוק כלי הפיקוח וסמכויות האכיפה הנתונות בידי הרשם בתפקידו כראש הרשות להגנת הפרטיות. הקנסות בגין אי־ציות לחוק הוגדלו משמעותית וגם יתר הסנקציות המנהליות הקשורות הוחמרו.
3. שינוי שם והגדרת תפקיד "רשם מאגרי המידע" ל"ממונה על הגנת המידע" אשר מחמיר את דרישות התפקיד ומעניק לנושאו מעמד סמכותי יותר (דרישת תפקיד של "תנאי הכשירות למינוי שופט של בית משפט מחוזי במקום שלום"). שינוי כזה עשוי לתרום לחשיבות הנושא ולאכיפה מוגברת של החוק והתקנות.
4. המונח "מידע רגיש" הוחלף במונח "מידע בעל רגישות מיוחדת" וניתן פירוט גדול יותר בחוק למידע בעל רגישות מיוחדת, דבר המסייע באפיון רמת הרגישות של המידע.
5. הממונה על הגנת המידע רשאי, מטעמים מיוחדים, להורות כי מאגר מידע מסוים החייב ברישום יהיה פטור מרישום, אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע. פירוש הדבר שאפשר להחריג מרישום גם מאגרי מידע החייבים ברישום, אם תמצא הצדקה לכך.

לסיכום, יש לקוות כי קידום הצעת החוק על ידי משרד המשפטים, יוביל לפתיחת שיח מקצועי עם כלל הגורמים הרלוונטיים, במטרה ליצור הסדר חקיקה ראוי המאפשר התמודדות ראויה עם אתגרי הפרטיות בעת הזו.

חשוב לציין שמאמר זה מציג סקירה כללית בלבד של הנושא, ומומלץ להתייעץ עם מומחה בדיני הגנת הפרטיות לקבלת ייעוץ ספציפי המתאים לארגון. 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.