סגור
באנר דסקטופ כלכליסט טק
פרטיות מידע פרטי דליפת מידע סייבר פייסבוק 2
(אילוסטרציה) (צילום: שאטרסטוק)

מתקרבים לאירופה: הכנסת אישרה את התיקון לחוק הפרטיות

זהו התיקון המקיף ביותר לחוק מאז אושר לראשונה לפני 40 שנה, והוא אמור לצמצם את הפגיעה בפרטיות; בין השאר, החוק  מעניק לרגולטור כלי פיקוח וקובע את גובה הקנסות שיוטלו על גופים שיפרו אותו; אזרחים יוכלו לתבוע פיצוי של עד 10,000 שקל ללא הוכחת נזק בכמה מקרים; עם זאת החוק חסר הגנות רבות הקיימות במקבילו האירופי

מליאת הכנסת אישרה היום בקריאה שנייה ושלישית תיקון נרחב לחוק הגנת הפרטיות, הגדול והמקיף ביותר מאז נחקק החוק המיושן לפני יותר מ-40 שנה. התיקון מביא לחוק עדכונים מודרניים רבים ומקרב את החקיקה לחקיקת הפרטיות האירופית, GDPR, בעיקר בכל הנוגע להרחבת סמכויות רגולטור הפרטיות והגדלת העיצומים הכספיים שניתן להטיל על הפרת החוק. ואולם הוא חסר הגנות רבות בדמות זכויות שליטה במידע, שעתידות לידון רק בסבב החקיקה הבא.
"אישור התיקון לחוק הגנת הפרטיות היום במליאה הוא צעד חשוב לקראת התאמת דיני הגנת הפרטיות בישראל למאה ה-21, שבה מידע אישי הוא נכס דיגיטלי בעל ערך ופגיעה בפרטיות אינה רק הצצה לתוכן היומן הכתוב במחברת", אמרה ל"כלכליסט" ד"ר רחל ארידור, חוקרת במכון הישראלי לדמוקרטיה, שליוותה מקרוב את הליכי החקיקה. "הוא יעניק לרשות להגנת הפרטיות כלי אכיפה מינהלית משמעותיים שיאפשרו לה לפעול בצורה טובה ומתאימה יותר לצמצום פגיעה בפרטיות עקב פרצות אבטחה ומתקפות סייבר. עם זאת, התיקון אינו מלא. חוק הגנת הפרטיות עדיין חסר הוראות חשובות וזכויות מהותיות מהן נהנים אזרחי מדינות מערביות אחרות. החוסר המהותי מותיר את ישראל כסוג של חצר אחורית של העולם בכל הקשור לעיבוד מידע אישי. יש לקוות שתיקון חלק זה של החוק יתרחש במהרה".
אחד העדכונים המשמעותיים לחוק הוא שדרוג ניכר של סמכויות הרשות להגנת הפרטיות כרגולטור הפרטיות של ישראל. התיקון מקנה לה סמכויות פיקוח, מאסדר את פיקוחי הרוחב שהיא מבצעת, מקנה לה סמכויות חקירה, בירורים מנהליים, והטלת אמצעי אכיפה מנהליים כולל עיצומים כספיים.
בכל הנוגע לעיצומים כספיים, התיקון מציג מנגנון מודרני שקובע את גובה העיצומים בהתאם לגודל מאגר המידע וסוג ההפרה וכיחס לשיעור מהכנסות הארגון. זאת, לצד קביעת סכום מינימום לכל הפרה, כדי למנוע הפרות מצד גופים קטנים עם מאגרים קטנים. כן תקבל הרשות סמכות להורות על הפסקת הפרת הוראות עיבוד מידע וצמידות מטרה; סמכות לפנות לבית משפט לבקש צו להפסקת הפרה ומחיקת המידע; ופסילה של ממונה הגנת פרטיות אם קבע ראש הרשות שהוא לא עומד בתנאי הכשירות (למשל, חסר ידע נדרש בפרטיות) או לא עומד בתנאי התפקיד (אין עצמאות או משאבים).
שינוי מהותי נוסף הוא חובה של גופים, בהתאם לקריטריונים מסוימים, למנות ממונה הגנת פרטיות; מקביל ל-Data Protection Officer, או DPO, בחקיקה האירופית. ממונה הגנת הפרטיות יהיה הסמכות המקצועית ומוקד הידע הארגוני בנושא חוק הגנת הפרטיות. תחומי אחריותו כוללים הכנת תוכנית הדרכה להנהלה ולעובדים; גיבוש ויישום תוכנית לבקרה שוטפת של עמידה בהוראות החוק; דיווח ישיר להנהלה במקרה של ליקוי והצגת דרכי תיקון; אחריות על יצירת ואכיפת נוהל אבטחת מידע; שימוש ככתובת למימוש הזכויות של נושאי המידע; ואיש הקשר הארגוני עם הרשות. הממונה מדווח ישירות למנכ"ל, אך בעל מעמד עצמאי בארגון ואינו כפוף לו.
התיקון לחוק גם מצמצם משמעותית את החובה הארכאית לרישום מאגרי מידע. טרם אישור התיקון, כל גוף שמחזיק במאגר מידע, אפילו מדובר בבעל עסק קטן שמחזיק קובץ אקסל ובו רשימת לקוחותיו, חויב לרשום את המאגר עם הרשות להגנת הפרטיות. מעתה, תחול החובה רק על כל המאגרים של גופים ציבוריים, מאגרים של סוחרי מידע ומאגרים למטרות דיוור ישיר עם יותר מ-10,000 איש. עם זאת, קיימת חובת דיווח לכל מאגר מידע עם 100 אלף איש ומעלה. מי שלא ירשום או ידווח על מאגר, יכול לספוג עיצום כספי של 150 אלף שקל, או 300 אלף שקל למאגרים מעל מיליון איש. שינוי זה מסיר נטל רגולטורי משמעותי מעל עסקים קטנים, שלא ידרשו לעבוד מול הרשות להגנת הפרטיות רק כי הם מנהלים מאגר מידע קטן של לקוחות ונותני שירות (שבפועל, יכול להיות פשוט רשימה באקסל).
מבחינת האזרחים, התיקון מקנה להם אפשרות לתבוע פיצוי כספי של עד 10,000 שקל ללא הוכחת נזק במקרה של הפרת זכויות עיון במידע, תיקון מידע, הודעה על עיבוד מידע או העברת מידע. תקופת ההתיישנות על פגיעה בפרטיות גם הועלתה משנתיים לשבע שנים. כן מייצר החוק מנגנון וולנטרי שמאפשר לארגונים לקבל חוות דעת מקדמית מהרשות לגבי עמידה בהוראות החוק לעיבוד מידע.
ואולם עדיין קיימים פערים בין החקיקה בישראל ל-GDPR. זאת, מכיוון שהתיקון לא כולל זכויות חזרה מהסכמה לעיבוד מידע, מחיקת מידע וניוד מידע. חלק מחוסרים אלו יטופלו במסגרת התיקון הבא לחוק.