מהפכה בהגנת המידע: מדריך ליישום תיקון 13 לחוק הגנת הפרטיות

רקע

על מה מדובר

ביום 5.8.2024 אישרה הכנסת בקריאה שנייה ושלישית את תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א–1981. החוק ייכנס לתוקף בתום שנה מיום פרסומו והוא כולל שורה של שינויים מקיפים בחוק הגנת הפרטיות הישראלי המיושן. מדובר בתיקון המקיף ביותר לחוק מאז 1996.

התיקון לחוק מעדכן, בין השאר, את הגדרות החוק באופן המרחיב את תחולתו; מצמצם את חובת הרישום הארכאית של מאגרי המידע; מחייב ארגונים מסוימים למנות ממונה על הגנת הפרטיות; מוסיף סמכויות אכיפה רחבות לרשות להגנת הפרטיות ועוד. הוא משליך על כל ארגון בישראל המעבד מידע אישי.
עם זאת, התיקון עדיין אינו מתמודד עם הסדרים מהותיים שעוגנו בחקיקה מודרנית להגנת מידע אישי.
בין הנושאים הנעדרים ממנו – הרחבת הבסיס החוקי לעיבוד מידע אל מעבר להסכמה מדעת, מתן זכויות לנושאי מידע (כדוגמת "הזכות להישכח"), החובה למזער את המידע הנאסף ועוד.

משמעויות עיקריות

מהן המשמעויות של תיקון 13

• שיפור בהבנה והתייחסות הולמת של הארגון בכל הקשור לאיסוף מידע אישי ולמתן זכות עיון במידע זה לנושאי המידע.
• הרחבת היקף המידע האישי הזקוק להגנה מוגברת ע"י הגדלת היקף סוגי המידע שהחוק חל עליהם.
• הגדלת הצורך בציות לחוק ע"י תחולה רחבה יותר של הוראות החוק על כל פעולה הקשורה במידע.
• אפשרות מינוי ממונה ארגוני (בעל שליטה או מי שהוסמך ע"י המנכ"ל) במקום מנהל המאגר.
• שינוי בדרישות מינוי ממונה אבטחת מידע – בעל שליטה או מחזיק ב־5 מאגרים החייבים ברישום או הודעה.
• דרישה למינוי ממונה על הגנת הפרטיות בארגונים מסוימים לצורך שיפור בציות להוראות החוק ובהגנה על המידע האישי מפני חשיפה ו/או פגיעה.
• ביטול הצורך של רישום מאגרי המידע במשרד המשפטים ע"י רוב הארגונים.
• הגברת ההרתעה מפני אי־נקיטת צעדים להגנה על מידע אישי עקב החמרה בעיצומים הכספיים אשר ניתן להטיל במקרים של הפרת החוק ועקב הרחבת תחום העבירות
  הפליליות הקשורות במאגרי מידע פרטי.

הגנה משופרת על הפרטיות: הרחבת ההגדרות וחיזוק הזכויות

עיקרי השינויים בתיקון 13

• הרחבת הגדרת מידע אישי והחלפת המונח "מידע רגיש" ב"מידע רגיש במיוחד".
• צמצום חובת רישום המאגרים והחלפתה בחובת הודעה לרשות על מאגרים גדולים ורגישים.
• חובת מינוי ממונה על הגנת הפרטיות (DPO) בחברות, ארגונים וגופים ציבוריים.
• הרחבת תמיכת החוק בזכות העיון במידע.
• הרחבת חובת היידוע בעת איסוף מידע אישי.
• איסורים חדשים בדבר עיבוד מידע שלא כדין.
• הרחבת סמכויות החקירה הפלילית וסמכויות האכיפה של הרשות להגנת הפרטיות.
• הרחבת סמכות בתי המשפט לפסוק פיצויים ללא הוכחת נזק.
• עיצומים כספיים מורחבים.
• אפשרות מתן צו שיפוטי להפסקת עיבוד מידע או למחיקתו.
• הרחבת תחום העבירות הפליליות הקשורות במאגרי מידע פרטי.

מושגי יסוד שהשתנו

מידע אישי – סוגי מידע מסוימים הקשורים לאדם וכן נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי.
מידע רגיש במיוחד – מידע גנטי, מזהה ביומטרי, מידע על עבר פלילי, הערכה על מאפייני אישיות ונתוני מיקום ותעבורה.
בעל שליטה במאגר מידע – מי שקובע לבדו או עם אחר את מטרות עיבוד המידע שבמאגר המידע.
מחזיק – גורם חיצוני לבעל השליטה במאגר המידע המעבד מידע עבורו.
מנהל מאגר – בעל שליטה במאגר המידע. לעניין גוף ציבורי, מנכ"ל הגוף שבבעלותו או בהחזקתו מאגר מידע, או מי שהמנכ"ל הסמיכו לנהל את המאגר.

ביטול חובת הרישום

חובת רישום מאגרי מידע בוטלה למעשה במגזר הפרטי, למעט ארגונים העוסקים בסחר במידע או בשירותי דיוור ישיר.

חובת רישום מאגרי מידע תישאר בתוקף במקרים האלה:
• גוף ציבורי, למעט מאגר הכולל מידע על עובדי הגוף הציבורי בלבד.
• ארגון שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, אם יש במאגר מידע על 10,000 איש ומעלה.

מאגר שאינו חייב ברישום, ימשיך להיות רשום, אלא אם כן ביקש בעל השליטה למחוק את רישומו.

חובת הודעה לרשות על מאגר מידע

מתי יש להודיע לרשות על מאגר מידע

במאגר המכיל מידע בעל רגישות מיוחדת ומעל 100,000 איש ומעלה, על בעל השליטה להודיע לרשות להגנת הפרטיות על מאגר המידע, פרטי הממונה על הגנת הפרטיות (אם יש צורך במינויו) ולצרף את מסמך הגדרות המאגר.

זכות העיון  במידע

מהי משמעות זכות העיון וכיצד ליישמה

זכותו של אדם לעיין במידע שעליו המוחזק במאגר מידע.
זכות העיון היא הדרך היחידה של נושא המידע לבדוק האם השימוש במידע שלו נעשה בהתאם לדין.
מימוש זכות העיון ייעשה ע"י פנייה לארגון מחזיק המידע האישי.
במקרה שהארגון אינו מסכים למסור מידע לנושא המידע חובה עליו להסביר לו את הסיבה לכך.

מינוי ממונה הגנת פרטיות

מתי יש למנות ממונה הגנת פרטיות

תפקיד הממונה על הגנת הפרטיות הוא להבטיח כי בעל השליטה במאגר המידע, והמחזיקים בו, יפעלו בהתאם להוראות החוק, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. הממונה אינו חייב להיות עובד הארגון. כפיפות הממונה על הגנת הפרטיות ו/או עיסוק נוסף שלו אמורים שלא ליצור ניגוד עניינים כלשהו.

החובה למנות ממונה על הגנת הפרטיות תחול במקרים האלה:

• בעל שליטה שהוא גוף ציבורי או מחזיק במאגר של גוף ציבורי, לרבות רשויות מקומיות, משרדי ממשלה, למעט גוף ביטחוני.
• בעל שליטה שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כאשר יש במאגר מידע על יותר מ־10,000 איש.
• בעל שליטה או מחזיק שעיסוקיו העיקריים כוללים פעולות עיבוד מידע המחייבות ניטור שוטף של בני אדם, או מי שעיסוקו העיקרי כרוך בפעילויות אלה, לדוגמה חברות סלולר ומנוע חיפוש מקוון.
• בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר (לדוגמה, בנקים, חברות ביטוח, בתי חולים וקופות חולים).

תפקידי הממונה על הגנת הפרטיות

מהות תפקידו של הממונה על הגנת הפרטיות

הממונה ישמש, בין היתר, כסמכות מקצועית ומוקד ידע, ייעץ להנהלה ולעובדי הארגון, יכין תוכניות להדרכה ולבקרה שוטפת ויפקח על ביצוען, ידווח להנהלת הארגון על ממצאיו ויציג הצעות לתיקון ליקויים. כמו כן מוטל עליו לטפל בפניות של נושאי מידע, לוודא כי קיימים בנמצא נוהל אבטחת מידע ומסמכי אבטחת מידע נוספים, לשמש איש קשר מול הרשות להגנת הפרטיות ועוד. עליו להיות בעל ידע וכישורים למילוי תפקידו בצורה נאותה, לרבות ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת ידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו. הוראות אלה דומות במהותן לאלה שב־GDPR.

שינוי בתפקיד מנהל המאגר

מהו תפקידו של מנהל המאגר לאחר השינוי

סמכויות מנהל המאגר יועברו לבעל השליטה שלפי רצונו ימנה מנהל מאגר.
האחריות האישית של מנהל המאגר לגבי אבטחת המידע שבמאגר המידע לפי סעיף 17 לחוק תבוטל.

הרחבת חובת היידוע

חובת היידוע הופכת עתה למשמעותית יותר

התיקון מרחיב את חובת ההודעה של מי שפונה לאדם כדי לקבל ממנו מידע אישי שיעובד במאגר מידע. כעת עליו להציג גם את שמו של בעל השליטה במאגר המידע ודרכי ההתקשרות עמו; לציין את זכות העיון במידע אישי, והזכות לבקש לתקנו (לפי סעיפים 13 ו-14 לחוק); וכן לפרט מהי תוצאת אי־ההסכמה, ככל שאדם אינו מסכים למסירת המידע האישי.

עיצומים כספיים

אי־ציות לחוק הגנת הפרטיות יגרור עיצומים כספיים משמעותיים יותר

חל גידול משמעותי בסכום העיצומים הכספיים שבתי המשפט יכולים להטיל עקב הפרות של סעיפי החוק.

דוגמה להפרות הקשורות בחוק

• אי־רישום מאגר מידע החייב ברישום
• אי־מסירת הודעה לרשות על מאגר החייב בהודעה
• מסירת פרטים שאינם נכונים בבקשה לרישום מאגר
• אי־מסירת הודעה לרשות על שינוי בפרטי רישום המאגר
• אי־רישום מאגר המשמש לשירותי דיוור ישיר
• גוף ציבורי שלא הודיע לרשות על כך שהוא מקבל מידע דרך קבע מגוף ציבורי אחר

סכום העיצום במאגר רגיל – 150,000 ש"ח לעבירה

סכום העיצום במאגר בעל מיליון נושאי מידע – 300,000 ש"ח

הפרות הקשורות בתקנות

הפרות קלות – 20,000 ש"ח למאגרים ברמת אבטחה בינונית. 80,000 ש"ח למאגרים ברמת אבטחה גבוהה.
מרבית ההפרות – 40,000 ש"ח למאגרים ברמת אבטחה בינונית. 160,000 ש"ח למאגרים ברמת אבטחה גבוהה.
הפרות חמורות – 80,000 ש"ח למאגרים ברמת אבטחה בינונית. 320,000 ש"ח למאגרים ברמת אבטחה גבוהה.

במאגרי מידע שבהם מעל מיליון נושאי מידע, כל סכומי העיצומים יוכפלו.

תוכנית מומלצת לעמידה בתיקון 13

עיקרי הנושאים הנכללים בתוכנית פעולה מומלצת

• עדכון ועריכת מסמכי הגדרות מאגרים.
• הגדרה מחדש של סוגי מידע (מידע אישי/מידע אישי בעל רגישות מיוחדת).
• בחינת צמצום מידע מיותר וסילוק מידע עודף.
• עדכון תהליכי איסוף המידע והיידוע (כולל מדינות פרטיות).
• הפרדת/מיזוג מאגרי מידע.
• עדכון רמות האבטחה של המאגרים לפי הצורך.
• מיפוי עדכני של המחזיקים במאגר.
• עדכון מדיניות הפרטיות של הארגון לפי חובות היידוע החדשות (סעיף 11 לחוק).
• בדיקה האם חלה חובה למנות ממונה הגנת פרטיות.
• מינוי ממונה הגנת פרטיות לגופים שחל עליהם הסעיף הרלוונטי בתיקון.
• עריכת תסקיר השפעת פרטיות (DPIA) בהקשר למידע האישי השמור בארגון וטיפול בסיכונים שיתגלו.
• מחיקת מאגרים יזומה מהרישום של רשם מאגרי המידע.

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.