לאחרונה פרסם משרד המשפטים תזכיר חוק לתיקון חוק הגנת הפרטיות בנוגע להגדרות וצמצום חובת הרישום: "תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף –2020".
מטרת התיקון המוצע היא בראש ובראשונה לצמצם את היקף חובת הרישום בקשר למאגרי מידע, על מנת למקד את הפעילות הרגולטורית במאגרי מידע המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה מטעם רשות הגנת הפרטיות.
צמצום חובת הרישום היא בשורה אמיתית לשוק הישראלי ועשויה להקל על ארגונים בניהול המידע שלהם. מאידך, מרחב התמרון לניהול תקין של מאגרי מידע עשוי להוליד פרשנויות שונות ולעיתים גם מורכבות ולפיכך יש לצפות להנחיות שיוצאו על-ידי רשות הגנת הפרטיות בעניין זה וליצירתם של מנגנונים ארגוניים חדשים לתיעוד וניהול של מאגרי מידע.
בנוסף, התיקון עשוי לקדם משמעותית את החוק הוותיק, ולעדכן את ההגדרות הקבועות בו בנוגע להגנת על מידע אישי בעולם דיגיטלי מתקדם, תוך שימת דגש על ההתפתחויות הטכנולוגיות והחברתיות המפליגות שהתחוללו מאז נחקק החוק לראשונה בשנת 1981. הכוונה היא להשוות את החוק הישראלי להסדרי פרטיות מתקדמים הנהוגים בעולם ובראשם, רגולציית הגנת המידע של האיחוד האירופי, ה-GDPR.
מדובר במהלך חקיקתי חשוב ביותר בתחום הגנת הפרטיות אשר יקדם את החקיקה המקומית לקראת יישור קו עם הסטנדרט המקובל בעולם. נראה כי הוא מקבל רוח גבית בין היתר, כתוצאה מהביקורת שעורכת בימים אלה הנציבות האירופית לבחינת מעמדה של ישראל כמדינה "נאותה" (adequate) מבחינת חוקי הגנת הפרטיות שלה לצורכי העברות מידע בינלאומיות תחת ה-GDPR.
תזכיר זה, אם יהפוך להצעת חוק, יהיה לתיקון ה-14 של חוק הגנת הפרטיות. יש לציין כי תיקון 13 לחוק העוסק בשיפור ועדכון יכולות הפיקוח והאכיפה של רשם מאגרי המידע כבר עבר בקריאה ראשונה בתחילת 2018 ומאז ממתין מזה ארבע כנסות ושלוש מערכות בחירות לשם השלמת החקיקה.
צמצום חובת הרישום
חובת רישום מאגרי המידע בישראל הינה דרישה ייחודית נוכח חוקי הפרטיות בעולם. מעבר לשקיפות בדבר קיומם של מאגרי המידע הארגוניים, חובת הרישום נועדה לשמש ככלי לניהול המידע בידי בעלי המאגרים וכאמצעי להפנמת החובות המוטלים עליהם בדין. בנוסף, משמשת חובת הרישום ככלי להגברת הציות לחוק ולאכיפה.
בפועל, המרשם לא מילא את מטרותיו מבחינת שקיפות, שכן אינו משקף את כל מאגרי המידע הנתונים בידי ארגונים, אלא רק את אלו החייבים ברישום. בנוסף, נראה כי הרגולטור לא מצליח להשתמש בחובה זו ככלי פיקוח יעיל שכן כלל אין דרישת סף (de minimis) והיקפה הרחב של החובה אינו ניתן לפיקוח יעיל מבחינת משאבי הרשות.
כך, החל תהליך כרסום מעמדה של חובת הרישום עוד בוועדת שופמן משנת 2007, אשר בחנה את החקיקה בתחום מאגרי המידע וצידדה בצמצומה. בשנת 2012 הפיץ משרד המשפטים תזכיר חקיקה לצמצום חובת הרישום בהתאם, אולם התזכיר לא הבשיל לכדי הצעת חוק. בשנת 2017 בוטלה אגרת הרישום.
תזכיר זה מציע צמצום של חובת הרישום למרבית מאגרי המידע וקובע דרישת סף גבוהה: מאגר שיש בו מידע אודות 100,000 אנשים ומעלה. בנוסף, צריך להתקיים לפחות אחד המאפיינים שהיו קבועים עד כה, בשינויים מסויימים. כך למשל, במקום קיומו של מידע רגיש, יידרש "מידע בעל רגישות מיוחדת", המקבל הגדרה עדכנית (ראו למטה). וכן, אם למשל מדובר במאגר שמטרתו העיקרית היא איסוף מידע ומסירתו לאחֶר כדרך עיסוק, לרבות דיוור ישיר" (קצת מרפרר להגדרות ה-CCPA).
לנוחותכם, להלן לשון התיקון המוצע בנוגע לצמצום חובת הרישום: