תיקון מס' 13 לחוק הגנת הפרטיות
06.08.2024
ביום 14.8.2024 פורסם תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א – 1981 ("התיקון" ו- "החוק" בהתאמה) [1]. התיקון ייכנס לתוקף ביום 14.8.2025. התיקון כולל שינויים מהותיים בחוק, תוך התאמת החוק למציאות הטכנולוגית של ימינו וחיזוק ההתמודדות כנגד איומי הסייבר הגוברים, וקובע הסדרים חדשים בהם הגברת ההגנה על הזכות לפרטיות והמידע האישי וחיזוק יכולות האכיפה של הרשות להגנת הפרטיות ("הרשות").
התיקון לחוק מהווה צעד חשוב גם בראי ההתאמה של ישראל לדיני הגנת הפרטיות באירופה וההכרה בישראל על-ידי האיחוד האירופי כמדינה בעלת יכולת התאמה לדין האירופי.
מדובר בתיקון משמעותי, שמצריך בחינה מחודשת על ידי כל ארגון המחזיק או מעבד מידע אישי את עמידתו בהוראות החוק, החל באיסוף המידע, השימוש במידע, אופן החזקתו, אבטחתו ומילוי החובות כלפי נושאי המידע.
נשמח לעמוד לרשותכם לצורך בחינה וליווי ביצוע ההתאמות הנדרשות טרם כניסת התיקון לתוקף.
להלן נפרט על עיקרי השינויים המשמעותיים שנקבעו במסגרת התיקון:
עדכון הגדרות בחוק
במסגרת התיקון בוצעו מספר שינויים משמעותיים בהגדרות של מונחים מסוימים בחוק, בהם:
מידע אישי – המונח "מידע" אשר מוגדר כיום בחוק כסוגי מידע מסוימים, כגון נתונים על אישיותו של אדם, מעמדו האישי, מצב בריאותו או מצבו הכלכלי, הוחלף במונח "מידע אישי", שהגדרתו רחבה יותר וכוללת כל "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי". אדם הניתן לזיהוי הוא מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון מספר זהות, נתוני מיקום וכדומה, כאשר ההגדרה החדשה כוללת גם מזהה מקוון כדוגמת כתובות IP ומזהים טכנולוגיים אחרים.
מידע בעל רגישות מיוחדת – הגדרה זו מחליפה את הגדרת "מידע רגיש" בחוק. בנוסף למידע אישי על צנעת חיי המשפחה של אדם, נטייה מינית, מידע רפואי, דעות פוליטיות, אמונות דתיות, מוצא, נתוני שכר ופעילות פיננסית ומידע אישי שחלה עליו חובת סודיות שנקבעה בדין, שנכללו בהגדרת "מידע רגיש" בחוק, ההגדרה כוללת גם מידע גנטי, מזהה ביומטרי, מידע על עבר פלילי, הערכה של מאפייני אישיות ונתוני מיקום ותעבורה.
"עיבוד" או "שימוש" ביחס למידע – הגדרה שנוספה לחוק, לפיה כל פעולה המתבצעת ביחס למידע אישי לרבות "קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו" תיכלל תחת הגדרת המונח "עיבוד" או "שימוש" במידע.
מחזיק – הגדרת "מחזיק" במאגר מידע לפיה, כל גורם חיצוני לבעל השליטה במאגר מידע המעבד מידע עבור בעל השליטה במאגר, הינו מחזיק במאגר המידע. בהתאם לכך, ספקי שירותים טכנולוגיים שונים, שטרם התיקון לא בהכרח נחשבו כ"מחזיקים", עשויים להיחשב ככאלה לאחר התיקון.
בעל שליטה במאגר מידע – התיקון מחליף את המונח "בעל מאגר מידע", וקובע כי "בעל שליטה" במאגר מידע, הוא מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע האישי שבמאגר.
הרחבת חובת היידוע של נושאי מידע
הורחבה חובת מבקש מידע בפנייתו אל נושא המידע לשם קבלת מידע אישי, כך שכל פניה לאדם לקבלת מידע אישי לשם החזקתו או שימוש בו במאגר מידע, תלווה בהודעה המפרטת: אם חלה על אותו אדם חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו ובהסכמתו; המטרה אשר לשמה מבוקש המידע; למי יימסר המידע ומטרות המסירה; מהי תוצאת הסירוב למסירת המידע; שמו של בעל השליטה ודרכי ההתקשרות עמו וזכויות העיון והתיקון של נושא המידע לפי החוק בקשר למידע האישי אודותיו.
חובת מינוי ממונה הגנת הפרטיות
במסגרת התיקון, נקבעה חובה חדשה, לפיה גופים שונים יחויבו במינוי ממונה הגנת פרטיות ("הממונה") אשר ישמש כגורם בעל סמכות מקצועית בארגון לתחום הפרטיות. גופים שיהיו חייבים במינוי ממונה הם: (א) בעלי שליטה במאגרי מידע החייבים ברישום (ראו להלן); (ב) בעלי שליטה או מחזיקים במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, לרבות מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם בהיקף ניכר; ו- (ג) בעלי שליטה או מחזיקים במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, לרבות תאגידים בנקאיים, מבטחים, בתי חולים וקופות חולים.
הממונה ישמש, בין היתר, כסמכות מקצועית ומוקד ידע, ייעץ להנהלה ולעובדי הארגון, יכין תוכניות להדרכה ולבקרה שוטפת ויפקח על ביצוען, ידווח להנהלת הארגון על ממצאיו ויציג הצעות לתיקון ליקויים, יטפל בפניות של נושאי מידע, יוודא כי קיימים נוהלי אבטחת מידע, ישמש איש קשר מול הרשות ועוד. על הממונה להיות בעל ידע וכישורים למילוי תפקידו בצורה נאותה, לרבות ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת ידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו. הממונה לא ימלא תפקיד נוסף בארגון או יאייש עמדה אשר יכולה ליצור ניגוד עניינים. הממונה יכול להיות גורם חיצוני לארגון.
צמצום חובת רישום מאגרי מידע
התיקון מצמצם באופן מהותי את חובת הרישום אצל הרשות ומוסיף חובת יידוע.
חובת רישום מאגר מידע תחול רק במקרים הבאים: (א) אם מטרתו העיקרית של המאגר היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם; או (ב) אם בעל השליטה במאגר הוא גוף ציבורי (אלא אם המידע האישי הוא רק על עובדי הגוף הציבורי).
חובת הודעה לרשות על מאגר מידע בעל רגישות מיוחדת – על בעל שליטה במאגר מידע שאינו חייב ברישום ואשר כולל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם, להודיע לרשות, בתוך 30 ימים מהתקיימות התנאים שלעיל, על זהותו, מענו, דרכי ההתקשרות עמו, זהות הממונה על הגנת הפרטיות (אם נדרש מינוי כזה) ועוד.
תחולה ביחס למאגרים רשומים – מאגרי מידע שנרשמו עד ליום כניסת התיקון לתוקף ימשיכו להיות רשומים גם אם אינם חייבים עוד ברישום, אלא אם הודיע בעל השליטה במאגר לרשות על כך שלא מתקיימת לגבי המאגר חובת הרישום, ובמקרה זה ימחק ראש הרשות את המאגר מהמרשם.
הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות
התיקון מרחיב משמעותית את סמכויות הרשות והופך אותה לרגולטור חזק בעל יכולת פיקוח ואכיפה על גופים פרטיים וציבוריים, ובכלל זה סמכויות חקירה, סמכויות להורות על הפסקת עיבוד מידע המפר את הוראות החוק, סמכויות לביצוע בירורים מנהליים לרבות הטלת אמצעי אכיפה מנהליים מסוגים שונים, הטלת עיצומים כספיים ועוד.
הטלת עיצומים כספיים בסכומים משמעותיים ופיצויים ללא הוכחת נזק
החוק מסמיך את ראש הרשות להטיל עיצומים כספיים מנהליים בסכומים משמעותיים בנוגע להפרות של הוראות החוק, בהתאם לקריטריונים הבאים: (א) סוגי ההפרות; (ב) כמות ההפרות; (ג) כמות נושאי המידע שבמאגר; (ד) האם המידע הוא בעל רגישות מיוחדת או שאינו; והאם קיימות הפחתות לעסקים קטנים או זעירים לפי מחזור שנתי.
כמו כן, נעשתה הרחבה של הסמכות לפסוק פיצויים ללא הוכחת נזק. התיקון מקנה סמכות לבית המשפט לפסוק פיצויים עונשיים שאינם תלויים בנזק עד 10,000 ₪, לאזרח התובע בגין הפרה של הוראות החוק.
מאמרים נוספים שיעניינו אותך
שירות או ביטוח?
06.02.2025
בפסק דין בתובענה ייצוגית שניתן לאחרונה בבית המשפט המחוזי בתל אביב, נקבע כי שירות משפטי שהוצע על ידי הנתבעת (להלן: "החברה") מהווה חוזה ביטוח.[1] .......
להמשך קריאהנדחתה בקשה לאישור תובענה כייצוגית: יש לעודד עוסקים המעניקים פיצוי יזום ולהגן עליהם מפני תובענות ייצוגיות
06.02.2025
ביום 24.1.2025 דחה בית המשפט המחוזי מרכז בלוד בקשה לאישור תובענה ייצוגית אשר הוגשה בטענה לפיצוי בלתי מספק בעת איחור במסירת רכבים.[1] בפסק הדין הדגיש .......
להמשך קריאהתיקון מס' 277 לפקודת מס הכנסה – מיסוי חברות מעטים ובעלי מניותיהן
06.02.2025
ביום 31.12.2024 נחקק תיקון מס' 277 לפקודת מס הכנסה [נוסח חדש] ("הפקודה"), אשר מרחיב את המיסוי של רווחי חברות מעטים ובעלי מניותיהן. תיקון 277 .......
להמשך קריאה