תיקון 13 לחוק הגנת הפרטיות: מהפכה רגולטורית בישראל

יסודות הזכות לפרטיות בישראל

הזכות לפרטיות בישראל מבוססת על עיקרון יסוד המוכר הן בחוק יסוד: כבוד האדם וחירותו והן בחוק הגנת הפרטיות משנת 1981. כפי שקבע בית המשפט העליון בבג"ץ 6650/04 פלוני נ' ביה"ד הרבני: "סביב כל אדם יש מרחב שבתוכו הוא זכאי להיות עם עצמו. מרחב זה נע עם האדם עצמו. היקפו של המרחב נגזר מהצורך להגן על האוטונומיה של הפרט". עיקרון זה מבטא את ההכרה כי לכל אדם זכות במרחב אישי המוגן מפני חדירה של אחרים.

החוק מגדיר מגוון רחב של מעשים המהווים פגיעה בפרטיות, לרבות בילוש והתחקות, צילום אדם ברשות היחיד, פרסום תצלומים המשפילים, והעתקת תכנים פרטיים. עקרון מרכזי במסגרת זו הוא עקרון ההסכמה מדעת, המחייב מתן מידע מלא לאדם כדי לאפשר לו החלטה מושכלת לגבי השימוש במידע עליו. עיקרון זה מבטא את השליטה האישית של האדם במידע הנוגע אליו ובגבולות הפרטיות שלו.

פגיעה בפרטיות נושאת השלכות משפטיות כפולות: היא מהווה הן עבירה פלילית שעונשה עד 5 שנות מאסר, והן עוולה אזרחית המאפשרת תביעת פיצויים כספיים עד 50,000 ש"ח ללא הוכחת נזק ועד 100,000 ש"ח במקרה של פגיעה בכוונה. הרשות להגנת הפרטיות מופקדת על פיקוח ואכיפה של זכות יסוד זו, תוך הפעלת רגולציה על כלל הגופים בישראל המחזיקים או המעבדים מידע אישי דיגיטלי.

המהפכה הרגולטורית החדשה

התיקון מסמן מעבר פרדיגמטי ממודל רישום מאגרים למודל מבוסס עיבוד מידע, תוך מתן דגש חסר תקדים על חובות ארגונים ואכיפה מנהלית מוגברת. פרופ' מיכאל בירנהק מאוניברסיטת תל אביב, המומחה המוביל בתחום, מגדיר זאת כ"השינוי החשוב ביותר בחקיקת הפרטיות בישראל" מאז החוק המקורי.

המעבר למיקוד ב"מידע אישי" במקום ב"מאגרים" מתאים להגדרה האירופית ומהווה צעד משמעותי קדימה. אולם למרות ההישגים, עדיין קיימים פערים מהותיים מהדין האירופי. אין זכות לחזור מההסכמה, אין זכות "להישכח", אין זכות לנייד מידע, ואין חובה לקיים "הנדסת פרטיות" (Privacy by Design). והתיקון "לא מתייחס לצורה הראויה להסכמה" - נושא מרכזי בעידן הדיגיטלי.

התיקון בוצע על רקע לחץ בינלאומי לשמירה על זכויות פרטיות דיגיטליות, והצורך להבטיח יכולת העברת מידע לאירופה תחת הסדרי Adequacy Decision. עם זאת, כפי שמציין פרופ' בירנהק "התיקון חלקי" ועדיין רחוק מהסטנדרטים האירופיים המלאים.

חידושים מרכזיים

שינויים מהותיים בהגדרת מונחים מרכזיים בחוק שבעיקר הורחבו והותאמו לסטנדרטים של ה- GDPR.
"מידע אישי"
השינוי: המונח "מידע" שהופיע בסעיף 7 לחוק קודם לתיקון הוחלף בהגדרת המונח "מידע אישי" . ההגדרה הקודמת התמקדה ב-"נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו". הגדרה החדשה הורחבה מאוד וכוללת: "כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי"
"מידע בעל רגישות מיוחדת"
השינוי: ההגדרה החדשה מחליפה את ההגדרה הקודמת למונח "מידע רגיש" וכוללת רשימה מפורטת של 12 סוגי מידע רגיש (כולל מידע על צנעת חיים, בריאות, מידע גנטי, מזהה ביומטרי, וכו')
"מאגר מידע"
השינוי: ההגדרה השתנתה ומוגדרת כעת כ"אוסף פרטי מידע אישי המעובד באמצעי דיגיטלי" והוספו לה חריגים - למעט אוסף לשימוש אישי, ולמעט אוסף הכולל רק שם, מען ודרכי התקשרות לגבי עד 100,000 בני אדם
"בעל שליטה במאגר מידע"
השינוי : מונח חדש שהוגדר לראשונה במקום המונח "בעל מאגר מידע" שהכוונה לארגון ולא לבעל תפקיד. – "מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או ארגון שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע במאגר המידע"
"מחזיק"
השינוי: ההגדרה הורחבה ביחס להגדרה הקודמת. כל גורם חיצוני לבעל השליטה במאגר מידע שמעבד מידע עבורו הוא בגדר "מחזיק"
"עיבוד ושימוש"
השינוי: להגדרת "שימוש" התווסף המונח "עיבוד", וההגדרה הורחבה והלכה למעשה כוללת כל פעולה לרבות מחיקה. ההגדרה החדשה: "כל פעולה שמבוצעת על מידע אישי, לרבות, קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו"
"מנהל מאגר"
השינוי: ההגדרה שונתה מ"מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה" להגדרה החדשה "המנהל הכללי של ארגון שבבעלותו או בהחזקתו מאגר מידע או מי שהמנהל הכללי הסמיכו למנהל את המאגר". השלכת השינוי מתבטאת בכך שהחובה למנות מנהל מאגר בגופים פרטיים תתבטל, והחובות יעברו לבעל השליטה במאגר המידע
מונחים נוספים שעודכנו - "הרשות להגנת הפרטיות", מזהה ביומטרי" ו"אדם הניתן לזיהוי".

צמצום דרמטי בחובות הרישום
חובת הרישום של מאגרי מידע בגופים במגזר הפרטי בוטלה כמעט לחלוטין. כעת חייבים ברישום:
מאגרים שבידי גופים ציבוריים - למעט מאגרים הכוללים מידע על עובדי הגוף הציבורי בלבד
מאגרים המשמשים למסחור במידע - מאגר שמטרתו העיקרית איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה (לרבות שירותי דיוור ישיר), ויש במאגר מידע על 10,000 בני אדם ומעלה.

במקביל לצמצום חובת הרישום, נקבעה חובת הודעה חדשה לרשות להגנת הפרטיות למאגרי מידע שיש בהם מידע בעל רגישות מיוחדת על יותר מ-100,000 איש, אולם אינם חייבים ברישום. נקבעה חובה לדווח לרשות תוך 30 יום על מאגר המידע.

מהי מערכת העיצומים הכספיים החדשה בתיקון 13 לחוק הפרטיות?
החוק מציג מערכת עיצומים כספיים מפורטת ומדורגת, המחולקת לקבוצות לפי סוג ההפרה. כאשר במאגרי מידע עם מעל מיליון נושאי מידע הסכומים מוכפלים.
עיצומים בגין הפרות רישום והודעה לרשות.
עיצומים בגין הפרות חובת היידוע.
עיצומים בגין עיבוד מידע שלא כדין.
עיצומים בגין הפרות זכות העיון התיקון והמחיקה.
עיצומים בגין הפרות הנוגעות למינוי ממונה על הגנת הפרטיות או ממונה אבטחת מידע.
עיצומים בגין הפרת תקנות אבטחת מידע המחולקים ל-3 רמות חומרה

חובת יידוע מורחבת

אחד השינויים המהותיים בתיקון 13 הוא הרחבה משמעותית של חובת היידוע הקבועה בסעיף 11 לחוק. הרחבה זו נובעת מההבנה כי חובת היידוע היא חלק בלתי נפרד מעיקרון ההסכמה מדעת, הקבוע בסעיף 3 לחוק מאז 2007. חובת היידוע המורחבת כוללת כעת את החובה למסור:
את פרטי בעל השליטה במאגר ודרכי ההתקשרות עימו.
תיאור מפורט של מטרות העיבוד ולמי יועבר המידע.
להודיע על זכויות עיון ותיקון לפי סעיפים 13 ו-14 לחוק.
חובה מפורשת להסביר מה יקרה במקרה של סירוב. על הגורם המבקש מידע לציין בבירור מה תהיה המשמעות של אי-קבלת הסכמה.

בעולם הדיגיטלי של היום, התיקון מתמודד עם אתגר חדש וקריטי: שימוש במערכות אוטומטיות לקבלת החלטות. מערכות אלו, המבוססות על אלגוריתמים ובינה מלאכותית, מעבדות מידע אישי באופן שאינו שקוף ולעיתים אינו מובן לנושאי המידע.
החוק מחייב כעת יידוע מפורט גם במערכות אוטומטיות, כולל הסבר על אופן פעולת המערכת, הקריטריונים שהוגדרו לה, והמידע המוזן אליה. זאת כדי לאפשר לנושא המידע לשלוט באמת במידע על אודותיו ולהבין את השלכות הסכמתו.

חובת מינוי ממונה על הגנת הפרטיות (DPO):

הממונה נדרש להבנה מעמיקה בדיני הפרטיות הישראליים, היכרות עם טכנולוגיות מידע ואבטחת מידע, וכן להכיר את תחומי הפעילות של הארגון והרגולציה החלה עליו. הממונה מדווח ישירות למנכ"ל או לכפוף לו ישירות תוך אי-תלות מניגודי עניינים.

מי חייב במינוי ממונה על הגנת הפרטיות (DPO)?
החובה חלה על ארגונים ספציפיים:
כל הגופים הציבוריים (למעט גופי ביטחון)
סוחרי מידע עם מעל 10,000 בני אדם
ארגונים העוסקים במעקב שוטף ושיטתי בהיקף ניכר
מעבדי מידע רגיש במיוחד כמו בנקים, חברות ביטוח ובתי חולים

מהם תפקידי הממונה על פרטיות מידע (DPO) ?
הממונה נדרש לכהן כיועץ אסטרטגי בכיר ובמסגרת אחריותו:
הכנת תוכניות פיקוח שוטף וטיפוח תרבות פרטיות בארגון.
דיווח ליקויים, ממצאים והצעת צעדים ושיפורים להנהלה.
הבטחת קיום נהלי אבטחת מידע.
שימוש כנקודת קשר עם רשות הגנת הפרטיות.
מעורבות בטיפול באירועים והתקפות סייבר.

עבירות פליליות חדשות

התיקון מוסיף פרק שלם של עבירות פליליות חדשות המשקף את רצינות המחוקק ביחס להגנת המידע האישי.
עבירות שדינן עונש מאסר של 3 שנים:
עיבוד ללא הרשאה - עיבוד מידע ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר
הפרת חובת היידוע - פניה לאדם לקבלת מידע אישי תוך מסירת פרטים לא נכונים בכוונה להטעותו
מסירת מידע מגוף ציבורי - עובד או פועל מטעם גוף ציבורי המוסר מידע שחל איסור על מסירתו במטרה שגורם לא מוסמך יעבדו
עבירות קלות יותר:
הפרעה (6 חודשי מאסר) - הפרעה לראש הרשות, חוקר או מפקח במילוי תפקידם
הטעיה (שנתיים מאסר) - הטעיית הרשות במסירת פרטים לא נכונים ברישום, הודעות או מענה לדרישות

צו שיפוטי להפסקת עיבוד מידע או למחיקתו

התיקון מעגן בחוק את סמכות בית המשפט לעניינים מנהליים לתת צו להפסקת עיבוד מידע, לבקשת הרשות, בהתקיים תנאים מצטברים:
אין אמצעי אחר שפגיעתו פחותה
הנזק מההפרה עולה על הנזק ממתן הצו
חומרת ההפרה מצדיקה את הצו
קיימת הפרה מהותית (עיבוד שלא כדין, הפרת אבטחת מידע, וכו')

סמכויות חקירה ואכיפה

הרשות קיבלה סמכויות חקירה וכלי אכיפה מבצעיים לרבות:
מינוי חוקרים עם סמכויות חדירה לחומרי מחשב
סמכות להיכנס למקומות מאגרי מידע
תפיסת חפצים
ביצוע ביקורות יזומות
ראש הרשות רשאי לשלוח התראות מנהליות, להורות על הפסקת הפרות, ולדרוש כתב התחייבות כולל הפקדת עירבון. בנוסף, הרשות יכולה לפנות לבית המשפט לעניינים מנהליים להוצאת צו למחיקת מידע אישי.

פניה לרשות לקבלת חוות דעת מקדמית

התיקון מעגן זכות חדשה: בעל שליטה או מחזיק במאגר רשאי לפנות לרשות לקבלת חוות דעת מקדמית בעניין עמידת מאגר המידע בדרישות החוק. זהו כלי חשוב להבטחת ציות ומניעת הפרות עתידיות.