לחץ לקבלת לגרסה הנגישה
Logo_EReg
עדכון פרטיות בנושא:

תזכיר חוק הגנת הפרטיות: עדכון הגדרות וצמצום חובת הרישום
לאחרונה פרסם משרד המשפטים תזכיר חוק לתיקון חוק הגנת הפרטיות בנוגע להגדרות וצמצום חובת הרישום: "תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף –2020".

מטרת התיקון המוצע היא בראש ובראשונה לצמצם את היקף חובת הרישום בקשר למאגרי מידע, על מנת למקד את הפעילות הרגולטורית במאגרי מידע המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה מטעם רשות הגנת הפרטיות.

צמצום חובת הרישום היא בשורה אמיתית לשוק הישראלי ועשויה להקל על ארגונים בניהול המידע שלהם. מאידך, מרחב התמרון לניהול תקין של מאגרי מידע עשוי להוליד פרשנויות שונות ולעיתים גם מורכבות ולפיכך יש לצפות להנחיות שיוצאו על-ידי רשות הגנת הפרטיות בעניין זה וליצירתם של מנגנונים ארגוניים חדשים לתיעוד וניהול של מאגרי מידע.

בנוסף, התיקון עשוי לקדם משמעותית את החוק הוותיק, ולעדכן את ההגדרות הקבועות בו בנוגע להגנת על מידע אישי בעולם דיגיטלי מתקדם, תוך שימת דגש על ההתפתחויות הטכנולוגיות והחברתיות המפליגות שהתחוללו מאז נחקק החוק לראשונה בשנת 1981. הכוונה היא להשוות את החוק הישראלי להסדרי פרטיות מתקדמים הנהוגים בעולם ובראשם, רגולציית הגנת המידע של האיחוד האירופי, ה-GDPR.

מדובר במהלך חקיקתי חשוב ביותר בתחום הגנת הפרטיות אשר יקדם את החקיקה המקומית לקראת יישור קו עם הסטנדרט המקובל בעולם. נראה כי הוא מקבל רוח גבית בין היתר, כתוצאה מהביקורת שעורכת בימים אלה הנציבות האירופית לבחינת מעמדה של ישראל כמדינה "נאותה" (adequate) מבחינת חוקי הגנת הפרטיות שלה לצורכי העברות מידע בינלאומיות תחת ה-GDPR.

תזכיר זה, אם יהפוך להצעת חוק, יהיה לתיקון ה-14 של חוק הגנת הפרטיות. יש לציין כי תיקון 13 לחוק העוסק בשיפור ועדכון יכולות הפיקוח והאכיפה של רשם מאגרי המידע כבר עבר בקריאה ראשונה בתחילת 2018 ומאז ממתין מזה ארבע כנסות ושלוש מערכות בחירות לשם השלמת החקיקה.
 
צמצום חובת הרישום

חובת רישום מאגרי המידע בישראל הינה דרישה ייחודית נוכח חוקי הפרטיות בעולם. מעבר לשקיפות בדבר קיומם של מאגרי המידע הארגוניים, חובת הרישום נועדה לשמש ככלי לניהול המידע בידי בעלי המאגרים וכאמצעי להפנמת החובות המוטלים עליהם בדין. בנוסף, משמשת חובת הרישום ככלי להגברת הציות לחוק ולאכיפה.

בפועל, המרשם לא מילא את מטרותיו מבחינת שקיפות, שכן אינו משקף את כל מאגרי המידע הנתונים בידי ארגונים, אלא רק את אלו החייבים ברישום. בנוסף, נראה כי הרגולטור לא מצליח להשתמש בחובה זו ככלי פיקוח יעיל שכן כלל אין דרישת סף (de minimis) והיקפה הרחב של החובה אינו ניתן לפיקוח יעיל מבחינת משאבי הרשות.

כך, החל תהליך כרסום מעמדה של חובת הרישום עוד בוועדת שופמן משנת 2007, אשר בחנה את החקיקה בתחום מאגרי המידע וצידדה בצמצומה. בשנת 2012 הפיץ משרד המשפטים תזכיר חקיקה לצמצום חובת הרישום בהתאם, אולם התזכיר לא הבשיל לכדי הצעת חוק. בשנת 2017 בוטלה אגרת הרישום.

תזכיר זה מציע צמצום של חובת הרישום למרבית מאגרי המידע וקובע דרישת סף גבוהה: מאגר שיש בו מידע אודות 100,000 אנשים ומעלה. בנוסף, צריך להתקיים לפחות אחד המאפיינים שהיו קבועים עד כה, בשינויים מסויימים. כך למשל, במקום קיומו של מידע רגיש, יידרש "מידע בעל רגישות מיוחדת", המקבל הגדרה עדכנית (ראו למטה). וכן, אם למשל מדובר במאגר שמטרתו העיקרית היא איסוף מידע ומסירתו לאחֶר כדרך עיסוק, לרבות דיוור ישיר" (קצת מרפרר להגדרות ה-CCPA).

לנוחותכם, להלן לשון התיקון המוצע בנוגע לצמצום חובת הרישום:

 
____0
תיקון פרק ההגדרות

הגדרות היסוד הכלולות בחוק הקיים טעונות עדכון והשלמה על מנת שיוכלו להתאים את החוק לצורכי השוק הקיימים ולצורך הגנה על פרטיות הציבור בעידן של טכנולוגיית מידע מתקדמת. במרוצת השנים התגבשה פרשנות משפטית רחבה להגדרות הקיימות בחוק ממילא, בין היתר כדי לצמצם את המרחק בין החוק הקיים לבין ההגדרות המקובלות בחקיקה מתקדמת בעולם. התיקון המוצע משקף את הפרשנות הזו ומייבא חלק מהגדרות ה-GDPR לצורך כך.

כך למשל, הגדרת "מידע" התרחבה על מנת לתת את הדעת גם לרכיבי מידע אישי (identifiers) בהם נעשה שימוש תדיר כיום, ותתייחס ל"אדם מזוהה או הניתן לזיהוי" (בדומה ל-identifiable מה-GDPR). בהקשר זה מוצע למחוק את ההגדרה הלקונית (והמיותרת) של "מידע רגיש", ולהוסיף  הגדרה של "מידע בעל רגישות מיוחדת", בדומה לפריטים המנויים כבר בתוספת הראשונה לתקנות אבטחת מידע (והשאובים מסעיף 9 ל-GDPR). התווספה גם הגדרה ל"מידע ביומטרי" בשל רגישותו המיוחדת. להגדרות אלו תהיה גם משמעות נוספת עם חקיקתו של תיקון 13 לעניין קביעת הפרות והסנקציות שבצידן.

התווספה גם הגדרת "עיבוד" שתכלול איסוף ו"שימוש" (במובנה המעודכן).

אף בתחום מערכת היחסים שבין ספקי מידע ושיתופי מידע (controller-processor), התווספה הגדרה של "בעל מאגר מידע", והושוותה ל-controller; והוצע לתקן גם את הגדרת "מחזיק" כך שתהיה הלימה עם הגישה שנקבעה בתקנה 15 לתקנות אבטחת מידע, לפיה המחזיק הוא בעל ההרשאה לשימוש במידע ולא אמור להחזיק במידע פיסית על מנת להיחשב ככזה.

*

התיקונים המוצעים בתזכיר זה מבורכים ועשויים לקדם את חקיקת הפרטיות הישראלית ולשקף הלכה למעשה את הפרשנות שניתנת ללשון החוק הוותיק שלנו כך שתהיה התאמה לעידן המידע הנוכחי. עם זאת, יש לציין כי ייתכן שעוד ארוכה הדרך עד להבשלתו של תיקון חוק שיעבור בשלוש קריאות בכנסת.

 
בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.
 
האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד.
לחצו כאן להרשמה
IMG_572312f-...
עו"ד ליאור אתגרמוביל את תחום הגנת הפרטיות והמידע במשרד. 
טלפון: 972-3-7770120+
מייל: liore@ebnlaw.co.il
הגנת הפרטיות, סייבר ו-IT

למשרדנו נסיון משמעותי בייעוץ בתחום דיני הגנת הפרטיות ואבטחת המידע, בין היתר במסגרת עסקאות, הסכמים מסחריים, סקרי ציות וסיכונים, ובהיבטי ממשל תאגידי בניהול המידע, עם ידע נרחב בראי רגולציות מתקדמות בעולם, כגון ה-GDPR, CCPA ו-HIPAA.
כמו-כן, אנו מייעצים ללקוחותינו בהיבטי רגולציה ביישומים טכנולוגיים מורכבים המשלבים עיבוד מידע, לרבות בקשר לשירותי SaaS, שירותים אינטרנטיים אחרים, אפליקציות, אוטומציה של תהליכים ארגוניים, ולנו נסיון ייחודי בנוגע לעיבוד מידע רפואי באמצעות מכשור רפואי, מערכות ניהול מידע ומחקרים קליניים.