ב 5 באוגוסט 2024, אושר בכנסת תיקון מקיף לחוק הגנת הפרטיות, אשר יגביר משמעותית את החשיפה לחברות בהיבטי הגנת הפרטיות ואבטחת מידע. תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("התיקון" או "תיקון 13" ו-"החוק" בהתאמה) מעניק סמכויות אכיפה נרחבות לרשות להגנת הפרטיות ("הרשות") (לרבות הטלת עיצומים כספיים), מרחיב את העילות שבגינן ניתן לתבוע מחברות פיצוי בלא הוכחת נזק בשל הפרת הוראות החוק ומעגן רפורמה בניהול ורישום מאגרי מידע.
בעדכון זה ריכזנו עבורכם את עיקרי השינויים במסגרת התיקון, ואת הצעדים שעליכם לנקוט כדי להיערך.
מהם השינויים העיקריים במסגרת תיקון 13 וכיצד הם ישפיעו על חברות?
• חובת מינוי ממונה הגנת פרטיות (DPO): מי שעיסוקם העיקרי בעיבוד מידע רגיש במיוחד בהיקף ניכר, ובכלל זה, בנקים, חברות ביטוח, מוסדות רפואיים, חברות למתן אשראי ועוד, יידרשו למנות ממונה הגנת פרטיות. החובה תוטל גם על מי שעיסוקו העיקרי כולל ניטור שוטף ושיטתי של אנשים, התנהגותם, מיקומם וכו' (כגון ספקיות של שירותי סלולר), וכן על בעלי שליטה ומחזיקים במאגרים שנועדו למסירה לאחר כדרך עיסוק או בתמורה (data brokers) אם יש בהם מידע אישי על 10,000 בני אדם או יותר. חובה זו תחול גם על גופים ציבוריים ומחזיקים במאגרי מידע של גופים ציבוריים (למשל, חברות המספקות לגופים ציבוריים שירותי אחסון מידע). להרחבה בעניין החובה למנות ממונה הגנת פרטיות ראו כאן.
• הרחבת חובות השקיפות באיסוף מידע אישי: במסגרת התיקון הורחב סעיף 11 לחוק כך שכעת, בנוסף ליידוע נושא המידע על המטרה לשמה נאסף המידע, הצדדים השלישיים להם יימסר המידע, מטרות המסירה והאם חלה עליו חובה חוקית למסור את המידע, תחול חובה ליידע את נושא המידע גם על תוצאות אי הסכמתו למסירת המידע, פרטי בעל השליטה במאגר המידע, וכן על קיומן של זכות העיון במידע והזכות לתיקון המידע.
• שינוי מונחי יסוד: הגדרת "מידע אישי" (חלף "מידע") הורחבה באופן משמעותי, ובהתאמה לחוקי פרטיות אחרים בעולם, כך שעתה היא כוללת כל "נתון הנוגע לאדם מזוהה או ניתן לזיהוי". בנוסף, הורחבו גם ההגדרות של "מידע רגיש" ושל "מחזיק", ונוספה הגדרה של "בעל שליטה במאגר" (חלף המונח "בעל מאגר מידע" שלא הוגדר בחוק בעבר). בתוך כך, התיקון מבטל את המושג "מנהל מאגר", שטרם התיקון נשא באחריות אישית לאבטחת המידע במאגר ולהיבטים הנוגעים לרישומו.
• הרחבת סמכויות הרשות להגנת הפרטיות: התיקון מרחיב משמעותית את סמכויות הרשות להגנת הפרטיות, ובכלל זה מעניק לה את הסמכות להטיל עיצומים כספיים בגין הפרות של החוק והתקנות שהותקנו מכוח, בהיקף שעשוי להסתכם במיליוני שקלים, בפרט במקרים של הפרות חוזרות או נמשכות. גובה העיצומים ייקבע ככלל על-פי טיב ההוראה שהופרה, מספר נושאי המידע במאגר, גודל העסק ורמת האבטחה שחלה על המאגר בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע"). בנוסף, התיקון מסמיך את ראש הרשות לבקש מבית המשפט לתת צו לבעל השליטה במאגר או למחזיק בו להפסיק את פעולות עיבוד המידע במאגר שגורמות או עשויות לגרום להפרה.
• הרחבת העילות לקבלת פיצוי בלא הוכחת נזק: בית המשפט יהיה רשאי לפסוק פיצויים לדוגמה, שאינם תלויים בנזק במגוון של מקרים, כגון הפרת חובת רישום מאגר, אי מסירת הודעה לאדם כנדרש בטרם איסוף מידע ממנו, הפרת החובה להיענות לבקשה לעיון במידע או לתיקונו ועוד.
• צמצום חובת הרישום של מאגרי מידע: מאגר מידע יהיה חייב ברישום רק אם מטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ויש בו מידע על מעל 10,000 אנשים, או אם בעל השליטה במאגר הוא גוף ציבורי. במקרה של מאגר מידע הכולל מידע רגיש במיוחד על למעלה מ-100,000 אנשים, בעל השליטה בו יידרש להודיע על כך לרשות ולמסור לה פרטים מסוימים בקשר עם המאגר.
מה עליכם לעשות כדי להיערך לכניסתו של התיקון לתוקף?
• עדכון מדיניות הפרטיות והודעות הפרטיות של הארגון על מנת לעמוד בדרישות השקיפות החדשות.
• בחינת הסיווג של מאגרי המידע – כאמור, כתוצאה מהרחבת המונח "מידע" הורחבה גם ההגדרה של "מאגר מידע". על ארגונים לבחון האם אוספי מידע שבעבר לא נחשבו ל"מאגרי מידע" נחשבים ככאלו כעת וכפופים להוראות החוק.
• מינוי ממונה הגנת פרטיות – אף במקרים בהם מינוי ממונה הגנת פרטיות אינו מחויב על-פי הוראות הדין, מינוי כאמור יוכל להביא להטמעה של עקרונות הגנה על פרטיות בתהליכים ארגוניים, עמידה בחוקי הפרטיות והפחתה של סיכונים הקשורים לניהול מידע אישי. יתרה מכך, מינוי ממונה הגנת פרטיות עשוי להגביר את אמון הלקוחות בפרקטיקות הפרטיות של הארגון.
• בחינת ההשפעה של שינוי בחובת רישום המאגרים ורישום מאגר מידע או מסירת דיווח בדבר מאגר לרשות להגנת הפרטיות במידת הצורך.
• בחינה מקיפה של העמידה בהוראות החוק והתקנות מכוחו – כאמור, תיקון 13 מגביר משמעותית את החשיפה לארגונים כתוצאה מהפרת החוק והתקנות מכוחו. בהתאם, מעבר ליישום הדרישות החדשות המופיעות בתיקון, הוא מחייב חברות לבחון לעומק את עמידתן גם בדרישות הקיימות, בדגש על תקנות אבטחת מידע, שבהן התמקדו צעדי האכיפה והפיקוח של הרשות בשנים האחרונות.
סיכום
תיקון 13 הוא ציון דרך משמעותי ביותר בפיתוח דיני הפרטיות בישראל והוא מביא להרחבה משמעותית של החשיפה לחברות בהיבטי פרטיות ואבטחת מידע. התיקון ייכנס לתוקף תוך שנה מפרסומו ומחייב חברות להיערך לשינויים כבר בעת הזו.
קבוצת הסייבר והפרטיות במשרדנו בעלת ניסיון נרחב במתן ייעוץ משפטי לחברות ישראליות ובינלאומיות בכל הנוגע לעמידה בדרישות הגנת הפרטיות ואבטחת המידע בישראל. כמו כן, אנו מעניקים שירותי ממונה הגנת פרטיות (DPO), ועורכים סקרי ציות בחברות כדי לזהות ולטפל בפערים בעמידה בדרישות החוק והתקנות מכוחו. להרחבה על שירותי ממונה הפרטיות שלנו ראו כאן.
אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.
-
עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.