לפני כמעט ארבע שנים, בדצמבר 2020 פרסמתי פוסט שבו דיברנו על חוק הגנת הפרטיות הישראלי ועל השינויים שמוצע לבצע בו, כדי להביא את החוק המיושן אל המאה ה-21.
עברו כמה שנים, והיום סוף סוף אפשר לבשר שיש רגולציית פרטיות מעודכנת בגרסת כחול-לבן! לאחרונה אושר תיקון מספר 13 לחוק הגנת הפרטיות.
היום נסתכל על חמישה שינויים מרכזיים שהתיקון שהביא איתו, ונבחן שלושה נושאים מעניינים שלא נכללו בחוק החדש.
מה חדש בתיקון 13 לחוק הגנת הפרטיות?
1. הגדרות עדכניות – סוף סוף!
אחד הדברים המרגשים ביותר בתיקון הוא עדכון ההגדרות. נשמע משעמם? תחשבו שוב! ההגדרות הן הבסיס לכל החוק, וכעת הגדרות החוק מותאמות למציאות הדיגיטלית של 2024.
למשל, בגרסה הישנה של החוק ההגדרה למונח ״מידע״ כללה רק ״נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו״. ההגדרה הישנה מתאימה לעולם של פעם – בו מידע הם רק נתונים אישיים. אבל מאז שנות שנת 1981 הרבה דברים השתנו.
בתיקון החדש נוספה הגדרה חדשה: "מידע אישי". ההגדרה הזו כוללת גם ״נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי״, כולל "מזהים דיגיטליים". זאת אומרת שההגדרה החדשה חלה גם על מידע כמו כתובת ה- IP שלכם או מזהה פרסומי, שלא נחשבו למידע אישי תחת החוק הקודם. זה חשוב כי פרטי המידע האלו יכולים לגלות עלינו המון – למשל הרגלי הצריכה שלנו באינטרנט. תחשבו על זה ככה – אם פעם רק תעודת זהות הייתה נחשבת למידע אישי, היום גם "תעודת זהות הדיגיטלית" שלכם נכנסת לקטגוריה הזו. התיקון הזה מאוד חשוב ברמה המהותית, והוא גם משקף שינוי תפיסה והתאמה של החוק לעולם שבו טכנולוגיות מידע יכולות לזהות אדם ולרגל אחריו גם בלי לדעת את השם או תעודת הזהות שלו.
גם ההגדרה של ״מידע בעל רגישות מיוחדת״ (שבעבר נקרא מידע רגיש) קיבלה ״מתיחת פנים״ והיא כוללת עכשיו נתונים כמו מידע ביומטרי, מידע פיננסי, נתוני מיקום ומידע שחלה עליו חובת סודיות מכוח הדין. נדבר בהמשך על משמעות ההרחבה של ההגדרה הזו.
התוצאה היא שמידע רב שהחוק לא חל עליו בעבר בגלל ההגדרות המיושנות, כן יהיה כפוף לחוק ויהיה מוגן.
2. ממונה הגנת פרטיות – הגיבור החדש בעיר
אחד השינויים המעניינים בתיקון 13 הוא הכניסה של דמות חדשה לתמונה: ממונה הגנת פרטיות. הרעיון דומה לבעל תפקיד מתחום קרוב: אבטחת המידע. את ממונה אבטחת המידע אנחנו מכירים כבר שנים. ממונה אבטחת מידע אחראי על הסדרי האבטחה של הארגון – לוודא שמידע לא נפרץ או מגיע לידיים לא-נכונות. ממונה הגנת פרטיות (או בשמו באנגלית: data protection officer) הוא אדם שאחראי על שמירת הפרטיות. זה לא רק תפקיד טכנולוגי. הוא אמור להיות לא פחות מאשר "המצפן המוסרי" והמקצועי של הארגון בכל הנוגע לשמירת פרטיות וציות לחובות מכוח החוק.
מי יכול להיות ממונה הגנה על פרטיות? הממונה יכול להיות עובד הארגון ויכול להיות במיקור חוץ.
גופים מסוג מסוים יחויבו למנות ממונה הגנת הפרטיות. למשל, כאשר מדובר בגוף ציבורי או במי שמחזיק במאגר מידע של גוף ציבורי. חובה זו ״תלכוד״ הרבה מאוד חברות פרטיות, שאינן גופים ציבוריים, למשל במצב שבו חברה פרטית נותנת שירותים לגופים ציבוריים. מינוי ממונה הגנת פרטיות יידרש גם כאשר מדובר בגוף שסוחר במידע אישי כמטרה עיקרית, כאשר מדובר בגוף שמבצע ניטור בהיקף נרחב של מידע אישי, וכאשר מדובר בגוף שמעבד מידע בעל רגישות מיוחדת בהיקפים נרחבים.
זה מעגל די רחב של גופים שמעכשיו נדרשים למנות בעל תפקיד ייעודי למשימה של הגנה על הפרטיות.
ומה לגבי כל הגופים שלא מחויבים למנות ממונה הגנה על פרטיות? החוק מתמרץ את אותם גופים למנות ממונה הגנה על פרטיות – באופן וולונטרי. נדבר עליו בהמשך.
אין ספק שנראה הרבה תקנים עבור תפקיד ממונה הגנת פרטיות נפתחים, בעיקר במגזר הציבורי.
3. סמכויות אכיפה – יש שיניים לרגולטור
עד היום, הרשות להגנת הפרטיות הייתה קצת כמו שוטר תנועה בלי סמכות לתת דו"חות. תיקון 13 משנה את המשחק – הוא מעניק לרשות סמכויות אכיפה אמיתיות, כולל סמכות להורות על הפסקת הפרה, על הפסקת עיבוד של מידע אישי, וגם סמכות להטיל עיצומים כספיים בסכומים משמעותיים (עיצום כספי דומה לקנס, רק שאפשר להטיל אותו מהר יותר ובלי משפט פלילי והוא לא כרוך ברישום פלילי).
לדוגמה, אם חברה תפר את חובת היידוע (כלומר, לא תספר לכם מה היא עושה עם המידע שלכם), ניתן להטיל עליה עיצום כספי בגובה של עד 50 ש"ח לכל אדם שנפגע. נשמע מעט? תחשבו על חברה שמפרה את החובה הזו מול מיליון לקוחות – פתאום מדובר בסכום של 50 מיליון ש"ח!
וזוכרים את ממונה הגנת הפרטיות? גוף שהיה מחויב במינוי ממונה הגנת פרטיות ואכן מינה כזה יקבל הפחתה של 10% מגובה העיצום על הפרות אחרות של החוק.
יש עוד כמה סיטואציות מעניינות שבהן החוק קובע הפחתה של סכום העיצום הכספי. למשל, אם הגוף שעליו מוטל העיצום הכספי הפסיק את ההפרה מיוזמתו ודיווח עליה לרשות. גם אם הוא נקט פעולות למניעת התרחשות של ההפרה בעתיד ולהקטנת הנזק, הוא יהיה זכאי להפחתה בגובה העיצום הכספי.
עוד דבר יפה בחוק: דיפרנציאציה לפי גודל העסק המפר. החוק קובע הפחתה של העיצום אם מדובר בעסק זעיר או קטן. ההפחתה יכולה להיות עד 70% מגובה העיצום. חשוב לשים לב – אין כאן החרגה מהדרישות (בשונה מחוקי פרטיות אחרים מהעולם, למשל, חוק הפרטיות של קליפורניה שחל רק על עסקים מעל מחזור מכירות מסוים). כל מי שמחזיק במאגר מידע – כלומר כל עסק שמעבד מידע אישי על לקוחותיו יחויב לקיים את הוראות החוק.
4. ביטול חובת הרישום – להתראות, בירוקרטיה מיותרת!
בפרק הקודם דיברנו על שני חברים – משה ועוזי שהחליטו יום אחד להקים מאגר שיכלול מידע על המחאות, שטרות והתחייבויות שלא כובדו. רשם מאגרי המידע סרב לרשום את המאגר שלהם שכן לטענתו המאגר הפר את הוראות החוק. ביהמ״ש העליון הסכים עם הרשם ולא אפשר לרשום את המאגר (ע"א 439/88 מדינת ישראל נ' ונטורה).
החובה לרשום מאגרי מידע הפכה עם השנים לאחד הסמלים המרכזיים לדרישות המיושנות והארכאיות של החוק. הרי, אם יש לכם טבלת אקסל עם נתונים אישיים – זה מאגר מידע. החובה הזו העמיסה נטל מיותר על עסקים, שהכביד בעיקר על הקטנים שבהם. והנה, בתיקון 13 הדרישה הזו סוף סוף הוסרה.
עדיין יש סוגים של מאגרי מידע שלגביהם נדרש למסור הודעה לרשות, אבל יש כאן הבדל גדול – אין דרישה לקבל את אישור הרשות מראש לכל מאגר. במילים אחרות, יש חובת מסירת הודעה אבל אין חובת אישור.
בחוק החדש הדגש עובר לניהול פנימי נכון של מידע, בדומה למשטרים מתקדמים אחרים ברחבי העולם. אפשר לומר שזה כמו לעבור ממשטר של "תגיד לממשלה על כל דבר שאתה עושה ותבקש אישור מראש" למשטר של "תנהל את העניינים שלך בצורה אחראית, והממשלה תבדוק אותך מדי פעם".
5. אכיפה פרטית
מעבר לאפשרות הקיימת לתבוע פיצויים על כל הפרה של החוק, כולל פיצוי של עד כ-70,000 ש"ח ללא הוכחת נזק בתביעות אישיות על פגיעה בפרטיות, התיקון הוסיף עוד זכויות תביעה. למשל, החוק הקיים כבר קובע חובה לאפשר לאדם לעיין במידע שנאסף עליו וגם לדרוש תיקון ומחיקה של המידע עליו. המחזיק במידע צריך לאפשר לאדם לעיין במידע עליו, ובמקרה של בקשה למחוק או לתקן מידע – להשיב לפונה אם הוא מסכים או לא.
אבל בחוק כפי שהוא היה עד היום, אם גוף הפר את חובתו להעניק זכות עיון, לא הייתה ליחיד שנפגע את היכולת לתבוע על הפרת זכויותיו. לפי התיקון לחוק, במקרה שאחת החובות האלו הופרה, בנוסף לפניה לרשות להגשת תלונה, הנפגע יכול לתבוע פיצוי של עד 10,000 ש"ח לכל הפרה, ללא הוכחת נזק.
בנוסף, התיקון ביטל את תקופת ההתיישנות המקוצרת שהייתה קבועה בחוק הקודם. בעבר אפשר היה לתבוע רק על אירוע שהתרחש שנתיים לפני הגשת התביעה. כעת, ניתן להגיש תביעה על הפרת החוק עד שבע שנים לאחר ההפרה, בהתאם לחוק ההתיישנות הכללי.
לדעתנו, השינוי הזה צפוי להשפיע משמעותית על היקף התובענות הייצוגיות בתחום הגנת הפרטיות. הארכת תקופת ההתיישנות עשויה להגדיל את כדאיות התביעות ואת גודל הקבוצות המיוצגות. כי אם עד היום יכולתם לתבוע רק על הנזק שנגרם בשנתיים האחרונות, מעכשיו תוכלו לתבוע על נזק שנגרם במשך שבע שנים.
עם זאת, תקופת התיישנות ארוכה גם מציבה אתגר עבור הארגונים בשמירת תיעוד של פעולות שבוצעו במידע. קשה ויקר יותר לשמור את התיעוד המלא על המידע וכל הפעולות שבוצעו בו, עד שבע שנים לפני הגשת תביעה אפשרית.
חשיבות תיקון 13 לחוק הגנת הפרטיות
התיקון מקרב את ישראל לסטנדרטים האירופאיים, במיוחד לחוק האירופאי, ה-GDPR. תאימות לעקרונות החוק האירופאי חשובה לא רק מבחינה משפטית, אלא גם מבחינה עסקית. חברות ישראליות יוכלו להתחרות טוב יותר בשוק הגלובלי כשהן עומדות בסטנדרטים דומים.
בהשוואה לחוק הישן – התיקון מאפשר יותר גמישות לעסקים בניהול המידע שלהם. במקום להכתיב כל צעד, החוק נותן לעסקים יותר חופש לקבוע את הנהלים שלהם – כל עוד הם עומדים בעקרונות הבסיסיים של הגנת פרטיות. זאת אומרת, יש פה שינוי של חלוקת האחריות. המחוקק לא קובע לכל עסק בדיוק איך לנהל את המידע שלו והעסקים גם לא צריכים לקבל אישור ("רישום") כדי להקים מאגר מידע. אבל מוטלת על המחזיקים במידע יותר אחריות. האחריות הזו מתבטאת בחובה למנות בעלי תפקידים (ממונה הגנת פרטיות) וגם בחשיפה לסנקציות בסכומים גבוהים.
ויש ייתרון נוסף למהלך הנוכחי. עצם ביצוע התיקון, הדיון הציבורי סביבו, ומתן ״שיניים״ לרגולטור, כל אלו מגבירים את המודעות לנושא הפרטיות – תחום שהופך מאוד מרכזי ככל שאנחנו נכנסים עמוק יותר לעידן המידע.
השינויים האלו יכולים לתרום לביסוס תרבות ארגונית טובה יותר של הגופים שאוספים, שומרים ומנתחים מידע, וגם לגרום לציבור הרחב להיות מודע יותר לזכויות ולחובות בתחום הפרטיות.
מה אין בתיקון 13
לצד השיפורים והעדכונים הרבים והחשובים, יש נושאים שנמצאים בשיח על רגולציית פרטיות, והוחלט שלא לכלול אותם במסגרת תיקון 13 לחוק הגנת הפרטיות.
1. זכויות וחובות חדשות.
התיקון לא הרחיב משמעותית את הזכויות של האנשים שהמידע הוא עליהם. למשל, החוק לא עיגן באופן מפורש את ה"זכות להישכח", זאת אומרת היכולת שלי לדרוש מארגון למחוק את כל המידע שהוא מחזיק עלי (הוראה שקיימת ב-GDPR האירופי). החוק אמנם מאפשר לבקש את מחיקת מידע לאחר עיון בו, והמחזיק במידע מחויב להשיב לי אם הוא מסכים או מסרב, אבל הוא לא מחויב לבצע את המחיקה.
2. האם לשנות את ההגדרה מתי מותר לאסוף מידע אישי?
החוק הישראלי מבוסס כיום על עיקרון ההסכמה – צריך לקבל הסכמה כדי לאסוף או לעבד את המידע עליכם. היתרון במושג ההסכמה הוא גמישות ומקום לאוטונומיה של כל אחד להחליט. אחד החסרונות של דרישת ההסכמה הוא שבתור אנשים פרטיים אנחנו לא באמת יכולים לבדוק כל הסכם שימוש ולגבש הסכמה בכל מקרה. אנחנו גם מסכימים בלי לשים לב. כמה פעמים ביום אנחנו נדרשים לאשר "קראתי את התקנון ואני מסכים" או "אני מסכימה למדיניות הגנת הפרטיות"? גם עורכי הדין שבקהל לא קוראים את מדיניות הגנת הפרטיות לפני שהם מאשרים.
לכן יש דרך אחרת לבסס את רגולציית הפרטיות. למשל, לקבוע שיש מצבים ומטרות שבהן מותר לאסוף מידע, גם בלי לקבל את ההסכמה. לכאורה זה נשמע מאוד פוגעני עבור האזרח – אבל הבסיס למעבר הזה הוא בהבנה שקשה לקבל היום הסכמה. לכן יש גישה אלטרנטיבית, למשל ב-GDPR האירופי, במסגרתה לא דורשים הסכמה אלא קובעים מקרים שבהם מותר לאסוף ולעבד את המידע. נרחיב על זה בפוסט נפרד כי זה דיון רחב.
3. התייחסות לחידושים הטכנולוגיים האחרונים.
העולם רץ קדימה, ואיתו הטכנולוגיה. התיקון לא מתייחס באופן ספציפי לאתגרי פרטיות הקשורים לטכנולוגיות כמו בינה מלאכותית, אינטרנט של הדברים (IoT), או ביומטריה. אלה נושאים שכנראה יצטרכו להתמודד איתם בתיקונים עתידיים.
סיכום: הבשורה של תיקון 13 לחוק הגנת הפרטיות
תיקון 13 הוא צעד משמעותי קדימה עבור ההגנה על הפרטיות בישראל תוך התאמת הרגולציה לצרכים של העולם העסקי. הוא מכניס את החוק למאה ה-21, נותן כלים אמיתיים לאכיפה ומצמצם נטלים בירוקרטיים תוך שמירה על זכויות הפרט. יש עוד, אבל כמו כל דבר טוב, גם כאן אפשר ללכת קדימה ולהמשיך לשפר.
אז בפעם הבאה שאתם נתקלים בהודעת פרטיות או מתבקשים למסור מידע אישי, זכרו – יש לכם זכויות, ועכשיו יש גם מנגנון אכיפה חזק. ואם אתם מנהלים עסק? הגיע הזמן להתחיל לחשוב ברצינות על המידע שאתם אוספים ומחזיקים ועל הפרטיות של הלקוחות שלכם. כי בעידן החדש, פרטיות היא לא רק עניין של רגולציה וזכויות – היא גם נכס עסקי.
בפרק הבא של רגולציית פרטיות בישראל
במהלך הדיונים בכנסת על תיקון 13, הוזכר שבמשרד המשפטים כבר עובדים על תיקון נוסף לחוק. התזכיר של התיקון הבא עדיין לא פורסם אז אנחנו לא יודעים מה מתוכנן. מאחר שמשרד המשפטים כבר התחיל לעבוד על תיקון נוסף לחוק – אפשר להעריך שעד התיקון הבא לא יחלפו ארבעים שנה.
הפוסט נכתב יחד עם עו״ד אבישי אסטרין.
הרגולטור - גיא מור 