לקהל לקוחותינו שלום רב,
בשנים האחרונות, וביתר שאת מאז שתקנות ההגנה על מידע של האיחוד האירופי (ה-"GDPR") נכנסו לתוקף, מנסה משרד המשפטים לקדם תיקון כוללני של חוק הגנת הפרטיות התשמ"א- 1981 ("החוק"), במטרה להתאימו לאתגרים העכשוויים בהגנה על מידע אישי. יצוין כי חוק הגנת הפרטיות נחקק לפני כ-40 שנה, ועל אף שבמהלך השנים החוק תוקן ותוקננו תחתיו תקנות שונות, לרבות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("תקנות אבטחת מידע"), החוק נותר מיושן למדי וקיים קונצנזוס לפיו הוא אינו מתאים לעידן הנוכחי בו מידע האישי הוא נכס יקר ערך הראוי להגנה רחבה יותר.
לאחר שבשנה שעברה הפיץ משרד המשפטים מתווה, לפיו החוק יתוקן באמצעות מספר תיקוני חקיקה ייעודיים ועוקבים, אשר תכליתם לטפל בהיבטים שונים של החוק, ואף פרסם את הצעת התיקון הראשונה לעניין זה, הוצגה בשבוע שעבר בפני ועדת השרים לענייני חקיקה הצעת חוק חדשה שנוסחה על ידי משרד המשפטים (טיוטת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"א-2021 ("הצעת החוק"). הצעה זו משלבת בין הצעות חוק קודמות שפורסמו על ידי משרד המשפטים, אולם יובהר כי אין המדובר בתיקון כוללני של חוק הגנת הפרטיות וכי אף משרד המשפטים בעצמו גורס כי נדרשים תיקונים נוספים אשר יובאו לשולחן הכנסת בעתיד.
ככלל, הצעת החוק הנוכחית מבקשת להתאים את חוק הגנת הפרטיות לסטנדרטים שהתגבשו בשנים האחרונות בעולם, בפרט תחת ה-GDPR, וזאת תוך תשומת לב לכך שהאיחוד האירופי בוחן בימים אלה מחדש את ההכרה בישראל כמדינה המעניקה הגנה מספקת על מידע אישי (הכרה אשר מאפשרת, נכון להיום, העברה חופשית של מידע אישי מן האיחוד האירופי לישראל).
בקצרה, התיקון המוצע מתייחס למישורים הבאים, השלובים זה בזה:
- הרחבת סמכויות ויכולות הפיקוח והאכיפה להבטחת קיום הוראות חוק הגנת הפרטיות – הצעת החוק נועדה לחזק את כלי הפיקוח וסמכויות האכיפה הנתונות בידי רשם מאגרי המידע והרשות להגנת הפרטיות, באופן שיאפשר התמודדות עם הסיכונים המאיימים על פרטיות הציבור כיום, בהתחשב במעמדה של הזכות לפרטיות כזכות יסוד חוקתית במדינת ישראל.
כך, הצעת החוק כוללת מנגנון אכיפה מנהלי חדש שיהווה מנגנון חלופי לאכיפה במסגרת ההליך הפלילי ביחס להפרה של הוראות החוק, סמכויות חדשות להכשרת ומינוי מפקחים, הרחבת סמכויות הפיקוח המסורות לרשם מאגרי המידע, סמכויות חדשות לפיקוח ובירור מנהלי בגופים ביטחוניים, עיצומים כספיים בגובה של עד 3.2 מיליון ₪, בין היתר, בהתאם לרגישות המידע וכמות נושאי המידע במאגר (לרבות עיצומים ספציפיים בגין הפרה של תקנות אבטחת מידע), סמכויות למתן התראה מנהלתית למפר או דרישת התחייבות להימנע מהפרה, סמכויות לפרסום פעולות אכיפה לציבור ועוד.
- צמצום חובת רישום מאגרי מידע – במסגרת הצעת החוק מוצע לצמצם באופן משמעותי את היקף חובת הרישום החלה על מאגרי מידע, כך שהפעילות הרגולטורית תתמקד במאגרים גדולים המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה, המבוססות על הסמכויות המוצעות. הצעה זו מבוססת על ההנחה שהמרשם הקיים אינו מגשים את התכלית שלשמה הוקם, שחובת הרישום כפי שהיא מנוסחת היום עמומה ומתמקדת בטפל, שהקצאת המשאבים הנדרשים לקיום המרשם מיותרת, כי התועלת שהציבור מפיק מן המרשם מוגבלת וכי במקרים רבים המרשם אינו מהווה גורם שמגביר את הציות להוראות החוק. יצוין כי הצעה זו תואמת את הצמצום בחובת הרישום שכבר הוחלה במדינות אחרות בעולם.
עם זאת, הרשות להגנת הפרטיות עדיין סבורה שישנה חשיבות בשימור חובת הרישום לגבי מאגרי מידע גדולים במיוחד שיוצרים את הסיכון הגדול ביותר לפרטיות מידע אישי, ולפיכך הצעת החוק אינה מבטלת את חובת הרישום אלא משמרת את החובה ביחס למאגרים גדולים שיש בהם יותר מ-100,000 נושאי מידע. כך, מוצע כי חובת הרישום תמשיך לחול (א) על מאגרי מידע שיש בהם יותר מ-100,000 נושאי מידע ושבעל השליטה בהם הוא גוף ציבורי, כאשר איסוף המידע נועד לצורך מסירתו לאחר או כאשר המידע לא נאסף מנושאי המידע ישירות או בהסכמתם, לרבות במסגרת שירותי דיוור ישיר; ו-(ב) ביחס למאגרי מידע הכוללים "מידע בעל רגישות מיוחדת" (ר' הגדרה להלן) על אודות 500,000 נושאי מידע או יותר. כמו-כן, על מאגרי מידע הכוללים "מידע בעל רגישות מיוחדת" (ר' הגדרה להלן) על אודות יותר מ-100,000 אך פחות מ-500,000 נושאי מידע, ושלא חלה עליהם חובת רישום כאמור, תחול, על פי הצעת החוק, חובה לדווח לרשם על פרטי היסוד של המאגר, ללא צורך ברישום, במטרה להפעיל סמכויות פיקוח במקרים המתאימים. כמו-כן, הצעת החוק מעניקה לרשם מאגרי המידע סמכות לחייב מאגר מסוים ברישום.
- שינוי הגדרות – הגדרות רבות הכלולות בחוק בנוסחו כיום הן עמומות, מצומצמות ואינן מתאימות לאופן בו מידע אישי נאסף ומעובד בעידן הנוכחי. משכך, הצעת החוק כוללת הגדרות מעודכנות למונחי יסוד, בהתאם להתפתחויות הטכנולוגיות, החברתיות והמשקיות המפליגות שהתרחשו מאז נחקק החוק לפני כ-40 שנה, להסדרים מודרניים הקיימים בעולם, ובראשם ה-GDPR ולפרשנויות המרחיבות שניתנו למונחים אלה בפסיקה ובפרקטיקה המקובלת.
כך, לדוגמא, הצעת החוק כוללת:
- החלפה של המונח "בעל מאגר מידע" (מונח שכלל לא הוגדר בחוק הנוכחי) במונח "בעל שליטה במאגר מידע" (ההגדרה המוצעת: מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע, גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור);
- הרחבה של המונח "מידע" כך שהוא לא יוגבל לרשימה סגורה של סוגי מידע (ההגדרה המוצעת: נתון הנוגע לאדם מזוהה, או אדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר);
- דיוק של המונח "מחזיק" כך שהוא יכלול במפורש נותני שירותים שאינם מחזיקים בעותק מן המאגר (ההגדרה המוצעת: מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למען שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע במסגרת ההתקשרות הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות);
- החלפת המונח "מידע רגיש" במונח רחב חדש "מידע בעל רגישות מיוחדת" (ההגדרה המוצעת כוללת, בין היתר, מידע על צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע על אודות דעות פוליטיות או אמונות, עבר פלילי, נתוני מיקום ונתוני תעבורה, מזהה ביומטרי, מידע על מוצאו של אדם, מידע על נכסיו של אדם ומידע שחלה עליו חובת סודיות שנקבעה בדין);
- הרחבה של המונח "מאגר מידע", תוך ביטול ההחרגה הקיימת כיום בחוק לגבי אוסף שכולל רק שם, מען ודרכי התקשרות.
בד בבד, הצעת החוק מבטלת את החובה הארכאית החלה כיום על מחזיקים של חמישה מאגרי מידע או יותר, לדווח לרשם מאגרי המידע מידי שנה אודות פרטיו של כל אחד ממאגרי המידע.
להשלמת התמונה יצוין כי בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות הטכנולוגית בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המאפשרים עיבוד מידע, מעבר לבסיסים הקיימים (שהם הסכמה והסמכה החוק), הרחבה ועדכון של הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריות של בעל שליטה במאגר ומחזיק.
יצוין כי הצעת החוק כוללת הוראת תחילה לפיה יכנס החוק לתוקף שנה וחצי מיום פרסומו ברשומות.
על אף שהצעת החוק החדשה מבורכת ומהווה צעד ראשון בכיוון הנכון, לטעמנו, העובדה שמשרד המשפטים בחר לתקן רק חלקים מסוימים מתוך החוק ולא להחיל מהלך של תיקון כולל המתייחס הן לחוק עצמו והן לתקנות שהותקנו מכוחו (ואשר חלקן בעצמן משוועות לעדכון), עשויה להערים קשיים פרשניים ולא צפוי שמהלך זה יביא את החוק הישראלי לסטנדרט המצופה מחוקי הגנת הפרטיות במאה ה-21. עם זאת, אנו מקווים כי קבלת ההצעה כחוק והשלמת התיקונים הנוספים תתרחש במהרה ואנו נמשיך לעדכן בעניין זה.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה