עדכון לקוחות מחלקת הגנת הפרטיות | ועדת השרים לחקיקה אישרה הצעה לרפורמה בחוק הגנת הפרטיות

אתר

צרו קשר

הרשמה לעדכונים

ועדת השרים לחקיקה אישרה הצעה לרפורמה בחוק הגנת הפרטיות

במסגרת הרפורמה בתחום דיני הפרטיות וההגנה על המידע האישי, ועדת השרים לענייני חקיקה אישרה ביום, 7 בנובמבר 2021, את הצעת החוק של שר המשפטים לתיקון חוק הגנת הפרטיות, התשמ"א–1981 לקריאה ראשונה. תיקון מס' 14 לחוק יקדם את דיני הפרטיות בישראל באופן ניכר ויביא ליישור קו עם הסדרי פרטיות מתקדמים הנהוגים בעולם ובראשם, רגולציית הגנת המידע של האיחוד האירופי, ה-GDPR. התיקון נועד להגשים שלוש מטרות עיקריות:

הרחבה משמעותית של סמכויות הפיקוח האכיפה של הרשות להגנת הפרטיות.
תיקון הגדרות החוק בנוגע לעיבוד מידע אישי והתאמתן לטכנולוגית מידע מתקדמות ול-GDPR.
צמצום של היקף חובת הרישום של מאגרי מידע, למאגרים בעלי 100,000 נושאי מידע ומעלה.

תיקון חוק זה בא במקום שני תיקונים קודמים (מס' 12 ו-13) אשר הוצעו במהלך העשור הקודם ולא הושלמו במהלך הכנסת ה-20. התיקון עשוי לקדם באופן משמעותי את החוק הוותיק, ולעדכן את ההגדרות הקבועות בו בנוגע להגנה על מידע אישי בעולם דיגיטלי מתקדם, תוך שימת דגש על ההתפתחויות הטכנולוגיות והחברתיות המפליגות שהתחוללו מאז נחקק החוק לראשונה בשנת 1981. צמצום חובת הרישום היא בשורה אמיתית לשוק הישראלי ועשויה להקל על ארגונים בניהול המידע שלהם ולהתמקד בעיקר.

היקפם ועוצמתם של האיומים על מאגרי המידע, ההפרות והאתגרים של אכיפת הגנת הפרטיות מחייבים הרחבה משמעותית של סמכויותיו של הרגולטור בתחום דיני הפרטיות ובכך יביא התיקון לריפוי של פגם זה לאחר שנים רבות שהחוק הקיים לא סיפק מענה יעיל לאכיפה.

יש להניח שהתיקון מקבל רוח גבית בין היתר, מרצונה של מדינת ישראל לשמר את מעמדה כמדינה "נאותה" (adequate) מבחינת חוקי הגנת הפרטיות שלה לצורכי העברות מידע בינלאומיות תחת ה-GDPR – מעמד חשוב שמקל מאוד על חברות טכנולוגיה ישראליות לעשות עסקים עם גופים אירופאים.

משרד המשפטים מציין כי בכוונתו לפרסם תזכיר חקיקה נוסף שישלים את מהלך הרפורמה ויכלול בין היתר, הרחבה של הבסיסים המשפטיים המאפשרים עיבוד מידע (מעבר להסכמה והסמכה בחוק), הרחבת זכויות המידע המוקנות לנושאי מידע ועוד.

להלן כמה נקודות עיקריות שמציע התיקון:

I. בתחום הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות:

הטלת עיצומים כספיים בנוגע להפרות החוק הקשורות במאגרי מידע בסכומים שבין 1,000 ₪ ל-800,000 ₪ כתלות בכמות נושאי המידע שבמאגר ובסוג המידע (באם קיים גם מידע בעל רגישות מיוחדת). ובמקרים מסוימים ניתן יהיה להטיל קנסות בסכומים שיוגדלו עד 3.2 מיליון ₪, לרבות בקשר לשימוש במידע שלא למטרה לשמה נמסר או חריגה מהרשאה.

הטלת עיצומים כספיים בקשר להפרת תקנות הגנת הפרטיות בסכומים שבין 1,000 ₪ ל-320,000 ₪ לפי רמת אבטחת המידע של המאגר וחומרת ההפרה.
הרחבת סמכויות החקירה של מפקחי הרשות – גם בהליכים מנהליים – לדרוש מכל אדם להזדהות, למסור כל ידיעה או מסמך, לדרוש עותקים מחומרים ממוחשבים, להיכנס למקום שיש יסוד סביר להניח שקיים בו מאגר מידע והקניית סמכויות חדירה לחומר מחשוב והעתקתו - בדומה לסמכויותיו של שוטר.

II. עדכון ההגדרות בחוק:
כאמור, מטרה מרכזית של התיקון הינה התאמת ההגדרות הקבועות בחוק הנוגעות למידע אישי בהתאם לתמורות הטכנולוגיות שהתחוללו מאז נחקק פרק מאגרי המידע בחוק, והתאמות לרגולציה בעולם בדגש על ה-GDPR. במרוצת השנים התגבשה פרשנות משפטית רחבה להגדרות הקיימות בחוק ממילא, בין היתר כדי לצמצם את המרחק בין החוק הקיים לבין ההגדרות המקובלות בחקיקה המתקדמת בעולם. התיקון המוצע משקף את הפרשנות הזו ומייבא חלק מהגדרות ה-GDPR לצורך כך:

"מידע" יוגדר כ"נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר".

מה השתנה? הרחבת הגדרת "מידע" לעומת זו הקיימת עתה בחוק, כך שתכלול כל נתון הנוגע לאדם מזוהה או שניתן לזהותו. ההגדרה מבוססת על מאפייני המידע - היכולת לזהות אדם מסוים, ולא מגבילה את עצמה לקטגוריות מוכתבות מראש. הניסוח מותאם להתפתחויות הטכנולוגיות ונצמד להגדרת מידע אישי תחת ה – GDPR.

"בעל שליטה במאגר מידע" במקום ההגדרה הנוכחית של "בעל מאגר" הנוכחי אשר יוגדר כ"מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר...; ואילו "מחזיק" יוגדר כ"מי שהתקשר עם בעל השליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה...".

מה השתנה? הצעת החוק מגדירה לראשונה את "בעל השליטה במאגר מידע" כמי שמחליט איזה מידע לאסוף וכיצד להשתמש בו, ואילו כ"מחזיק" את מי שמשתמש במידע לטובת מתן שירות לבעל השליטה או למתן שירות מטעמו. בדומה למונחים controller ו-processor שב-GDPR, ההגדרות המוצעות מבהירות את חלוקת האחריות בין בעל שליטה במאגר מידע לבין מחזיק, וצפויות להפיג את העמימות באשר לשאלה מי עולה כדי "מחזיק" במאגר מידע.

"שימוש" יוגדר כ"לרבות אחסון, גילוי, העברה ומסירה"; "עיבוד" הינו "אחסון או שימוש".

מה השתנה? הגדרת "עיבוד" נוספה לחוק ולהגדרת שימוש נוספה "לרבות", על-ידי כך ההגדרות הורחבו כך שיעלו בקנה אחד עם המונח Processing שנמצא בלב הוראות ה– GDPR.

הוספת הגדרת "מידע ביומטרי" ועדכון ההגדרה הנוכחית של "מידע רגיש" ל-"מידע בעל רגישות מיוחדת" – "מידע בעל רגישות מיוחדת יכלול מידע על צנעת חייו של אדם, מידע רפואי או נפשי, מידע גנטי או ביומטרי, מידע על גזע או מוצא, מידע על דעות פוליטיות, מידע על עברו הפלילי של אדם, נתוני מיקום ותעבורה, מידע על נכסיו ומצבו הכלכלי של אדם, מידע על הרגלי צריכה ומידע נוסף ששר המשפטים רשאי לקבוע".

מה השתנה? על מאגרים בעלי מידע בעל רגישות מיוחדת או מאגרים בעלי מידע ביומטרי יוטלו מגבלות או דרישות נוספות לצורך הגנה מוגברת על פרטיות המידע.

בנוסף ישתנו הגדרות בסיס נוספות, כמו למשל – הרשם יכונה מעתה "הממונה", ואילו פנקס המאגרים יכונה מעתה "המרשם".

III. צמצום חובת רישום המאגר:

חובת רישום מאגרי המידע בישראל הינה דרישה ייחודית נוכח חוקי הפרטיות בעולם. מעבר לשקיפות בדבר קיומם של מאגרי המידע הארגוניים, חובת הרישום נועדה לשמש ככלי לניהול המידע בידי בעלי המאגרים וכאמצעי להפנמת החובות המוטלים עליהם בדין. בנוסף, משמשת חובת הרישום ככלי בידי להגברת הציות לחוק ולאכיפה.

בפועל, המרשם לא מילא את מטרותיו מבחינת שקיפות, שכן אינו משקף את כל מאגרי המידע הנתונים בידי ארגונים, אלא רק את אלו החייבים ברישום. בנוסף, נראה כי הרגולטור לא מצליח להשתמש בחובה זו ככלי פיקוח יעיל שכן כלל אין דרישת סף (de minimis) והיקפה הרחב של החובה אינו ניתן לפיקוח יעיל מבחינת משאבי הרשות.

חובת רישום מאגר מידע תצומצם כך שתחול רק על המאגרים הבאים:
1. מאגרים הכוללים למעלה מ-100,000 אנשים ואשר מתקיים לגביהם אחד מהתנאים הנוספים הבאים:

(א) המידע במאגר לא נאסף בהסכמת נושאי המידע ולא נמסר מטעמם;
(ב) מאגר המידע הוא של גוף ציבורי;
(ג) מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר, לרבות בדרך של דיוור ישיר;

2. או לחילופין, אם מאגר המידע מכיל מידע "בעל רגישות מיוחדת" על אודות 500,000 אנשים או יותר

בנוגע לבעלי מאגר מידע הכולל מידע בעל רגישות מיוחדת ולו בין 100,000 אנשים עד 500,000 ושלא חלה עליו חובת רישום כאמור לעיל, תחול חובה למסור לרשם המאגרים – הודעה.

צמצום חובת הרישום תקל על גופים רבים במשק, ותאפשר התמקדות של גורמי האכיפה במאגרים גדולים בלבד. הסדרת פעולות העיבוד של מידע אישי בגופים שלא יהיו חייבים ברישום מאגר, תהיה על-בסיס מרשמים פנימיים בלא צורך בדיווח או ברישום פומבי.

בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.
- האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד -

עו"ד ליאור אתגר, שותף
ראש תחום הגנת הפרטיות והמידע

טלפון: 972-3-7770120+
מייל: liore@ebnlaw.co.il

הגנת הפרטיות, סייבר ו-IT

מחלקת הגנת הפרטיות, הסייבר והמידע של משרדנו מעניקה ללקוחותינו מעטפת משפטית כוללת בתחומי הטכנולוגיה, ניהול סיכוני הפרטיות, מחקר ופיתוח, לרבות בנוגע ליישומים טכנולוגיים מורכבים המשלבים עיבוד מידע, ותפעול שירותי אונליין ו-SaaS ומוצרים טכנולוגיים. בכך אנו מסייעים ללקוחותינו לנווט בבטחה בין עולמות הרגולציה של הגנת הפרטיות, ניהול המידע ואבטחת הסייבר.

למשרדנו ניסיון משמעותי בייעוץ בתחום דיני הגנת הפרטיות ואבטחת המידע, בין היתר במסגרת עסקאות M&A והשקעות, הסכמים מסחריים, סקרי ציות וסיכונים, וכן בייעוץ למנהלים וליזמים בנוגע לעיצוב לפרטיות (privacy by design). בנוסף, אנו מייעצים למנהלים בהיבטי ממשל תאגידי בניהול המידע וציות לרגולציות מתקדמות כגון ה-GDPR, CCPA ו-HIPAA.

לקריאה נוספת על המחלקה, לחצו כאן.