באיחור של יותר מעשור - אושר תיקון חוק הגנת הפרטיות
באיחור של יותר מעשור - אושר תיקון חוק הגנת הפרטיות
בתום חודשים של דיונים, ועדת החוקה אישרה היום לקריאה שנייה ושלישית תיקון נרחב לחוק הגנת הפרטיות, שמגדיר מחדש את מסגרת הגנת המידע בישראל, מבטל דרישות ארכאיות ומכבידות, ומקנה סמכויות אכיפה ועיצומים חזקות יותר לרגולטור. עם זאת, התיקון המוצע לא מביא את הגנת הפרטיות לרמה של האיחוד האירופי
עידן חדש של פרטיות בפתח: אחרי עשורים של קיפאון, ובאיחור של שנים אחרי האיחוד האירופי ומדינות נוספות, מדינת ישראל מעדכנת את חקיקת הפרטיות המיושנת שלה. בתום חודשים של דיונים, ועדת החוקה אישרה היום לקריאה שנייה ושלישית תיקון נרחב לחוק הגנת הפרטיות, שמגדיר מחדש את מסגרת הגנת המידע בישראל, מבטל דרישות ארכאיות ומכבידות, ומקנה סמכויות אכיפה ועיצומים חזקות יותר לרגולטור.
עם זאת, התיקון המוצע משאיר בצד הדרך שינויים חשובים שדרושים על מנת לייצר חקיקה ברמה שוות ערך לזו של חוק הפרטיות של האיחוד האירופי, GDPR, ובראשם מתן זכויות שליטה רחבות יותר לאזרחים בשימושים שנעשים במידע שלהם. אלו נדחו לסבב החקיקה הבא.
"זה תיקון שחיכינו לו הרבה מאוד שנים", אמרה ל"כלכליסט" ד"ר רחל ארידור, חוקרת במכון הישראלי לדמוקרטיה, שליוותה מקרוב את הליכי החקיקה בשבעת חודשים האחרונים. "אישורו של התיקון הוא בשורה משמחת וחשובה. מדובר בצעד חשוב והכרחי בתיקון דיני הגנת הפרטיות בישראל והתאמתם לעידן הדיגיטלי. טוב שנעשה, גם אם באיחור של למעלה מעשור. כעת יש להתאים את מערכות עיבוד המידע הקיימות במגזר הפרטי והציבורי בישראל על מנת לעמוד בשינויים החשובים שמציג התיקון. וכמובן לא לשקוט לרגע על השמרים ולהתבונן קדימה: זהו תיקון של סמכויות אכיפה לרשות לפרטיות, ולא של זכויות מהותיות לאזרחי ישראל. לכן יש צורך בחוק פרטיות חדש ומעודכן לחיזוק הזכויות של אזרחי ישראל במידע שלהם ולהתמודדות עם האתגרים שעידן הבינה המלאכותית מביא לתחום".
ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה, אמר לאחר אישור התיקון בוועדה היום: "זו רפורמה חשובה לא רק לביצור הזכות לפרטיות, אלא גם בהבטים כלכליים וביטחוניים. דיני הפרטיות בעולם מתעדכנים ביתר שאת בשנים האחרונות, אל לנו לקפוא על השמרים. רפורמה זו מתמחרת מחדש את הזכות לפרטיות באופן שלוקח בחשבון את התמורות הטכנולוגיות שחלו בשנים האחרונות. היא תורמת להגברת החסינות של עסקים בישראל, ומחזקת את התאימות של ישראל לסטדנרט הפרטיות בעולם".
אישור הצעת החוק בקריאה שנייה ושלישית יהווה את העדכון המקיף ביותר לחוק הגנת הפרטיות, מאז נחקק לפני 43 שנה. חקיקת הפרטיות בישראל נחשבת למיושנת, לא מותאמת להתפתחויות הטכנולוגיות של השנים האחרונות ומפגרת ביחס לחוקי פרטיות מודרניים דוגמת GDPR וחוקים דומים במדינות אחרות שנוצרו בהשראתו. כתוצאה, סובלים אזרחי ישראל ממחסור בכלים שיקנו להם שליטה על המידע שהם מוסרים לגופים שונים, ולרגולטורים אין די כלים לאכוף את המגבלות, הדלות גם כך, שחלות על השימושים שעושים מחזיקי המידע.
התיקון שאושר היום לא מספק מענה לכל החסרים, ועדיין לא מביא את ישראל לשורה אחת עם ה-GDPR, אבל מהווה צעד גדול בדרך לשם, בעיקר ביצירת מסגרת מעודכנת להגדרת מידע, ביטול דרישות מיושנות ולא רלוונטיות, ומתן סמכויות משמעותיות ביותר לרשות להגנת הפרטיות.
אחד השינויים המרכזיים הוא סמנטי לכאורה: אימוץ של המונחים "בעל שליטה במידע" ו"מחזיק במידע", שמקבילים לcontroller ו-processor של ה-GDPR. בעל שליטה הוא הבעלים של מאגר המידע, מי שקובע את מטרות עיבוד המידע, או הוסמך לעבד מידע. מחזיק במידע הוא גורם חיצוני לבעל השליטה, שמעבד מידע בעבור בעל השליטה. עיבוד, לפי התיקון, היא כל פעולה שמבוצעת על מידע אישי, לרבות קבלתו, החזקתו עיבוד. בהתאם, גם מפעיל שירותי ענן יכול להחשב כמחזיק במידע). "יש לזה חשיבות, כי זה מכניס את התעשייה להתאמה ל-GDPR, ומצביע על כוונה להתאים את הגנת הפרטיות בישראל לרמה האירופאית", אמרה ארידור.
בדומה, החוק גם מגדיר מחויבות לעשות שימוש במידע שנמסר לפי עיקרון "צמידות מטרה" – שימוש במידע רק למטרה שלשמה נמסר. "כיום, שימוש במידע שלא למטרה שלשמה נמסר הוא פגיעה בפרטיות", אמרה ארידור. "בתיקון יש איסור על עיבוד מידע שלא למטרה שנקבע כדין במסמך מטרות המאגר, עיבוד ללא הרשאה או בחריגה ממנה, ואיסור עיבוד מידע שהתקבל בניגוד להוראות החוק".
בנוסף, התיקון גם מצמצם משמעותית את חובת הרישום של מאגרי מידע. כיום, כל גוף שמחזיק במאגר מידע, אפילו מדובר בבעל עסק קטן שמחזיק קובץ אקסל ובו רשימת לקוחותיו, חייב לרשום את המאגר עם הרשות להגנת הפרטיות. "זו חובה ארכאית שצריכה להיות מבוטלת לחלוטין, אבל גם הצמצום טוב", אמרה ארידור. "היא תחול רק על כל המאגרים של גופים ציבוריים, וכן על מאגרים של סוחרי מידע ומאגרים למטרות דיוור ישיר עם יותר מ-10 אלף איש. ראש הרשות להגנת הפרטיות יכול לסרב לרשום את המאגר, ואז אין אישור לעבד את המידע.
"עם זאת, ברשות התעקשו להשאיר מנגנון שבמסגרתו ידעו מה קורה בשוק, ולכן הכניסו חובת דיווח. כל מי שבעל שליטה במאגר מידע עם 100 אלף איש ומעלה מחויב בדיווח. זו מעין חובת רישום מוקטנת, לא הצלחנו לגמרי להיפטר ממנה. אבל אין לראש הרשות אפשרות לסרב, אבל הם חייבים לדווח".
מי שלא ירשום או ידווח על מאגר, יכול לספוג עיצום כספי של 150 אלף שקל, או 300 אלף שקל למאגרים מעל מיליון איש. שינוי זה מסיר נטל רגולטורי משמעותי מעל עסקים קטנים, שלא ידרשו לעבוד מול הרשות להגנת הפרטיות רק כי הם מנהלים מאגר מידע קטן של לקוחות ונותני שירות (שבפועל, יכול להיות פשוט רשימה באקסל).
שינוי מהותי נוסף, שמביא את ישראל צעד קדימה לקראת תאימות עם GDPR הוא חובה של גופים, בהתאם לקריטריונים מסוימים, למנות ממונה הגנת פרטיות; מקביל ל-Data Protection Officer, או DPO, בחקיקה האירופאית. ממונה הגנת הפרטיות יהיה הסמכות המקצועית ומוקד הידע הארגוני בנושא חוק הגנת הפרטיות. תחומי אחריותו כוללים הכנת תוכנית הדרכה להנהלה ולעובדים; גיבוש ויישום תוכנית לבקרה שוטפת של עמידה בהוראות החוק; דיווח ישיר להנהלה במקרה של ליקוי והצגת דרכי תיקון; אחריות על יצירת ואכיפת נוהל אבטחת מידע; שימוש ככתובת למימוש הזכויות של נושאי המידע; ואיש הקשר הארגוני עם הרשות. הממונה מדווח ישירות למנכ"ל, אך בעל מעמד עצמאי בארגון ואינו כפוף לו.
במינוי ממונה הגנת פרטיות יחויב כל גוף שהוא מחזיק או בעל שליטה במאגר מידע שמעבד מידע כדרך עיסוק עיקרית, שעבודתו מחייבת ניטור שיטתי, שוטף ובהיקף ניכר של בני אדם, או שמחזיק מידע רגיש בהיקף ניכר. היקף ניכר מוגדר בלפי מדדים של מספר נושאי המידע, תדירות ומשך העיבוד, זמן שמירת המידע, משך העיבוד ועוד, בדומה למדדים מקבילים של GDPR. כן מגדיר החוק רשימה של גופים מחויבים, ובהם בנקים, חברות ביטוח, חברות סלולר, בית חולים וקופות חולים.
הממונה עצמו צריך להחזיק בידע מעמיק בדיני פרטיות, טכנולוגיה ואבטחת מידע, לצד היכרות עם תחומי הפעילות של הגוף שעליו הוא ממונה. הוא יכול להיות ממונה חיצוני או עובד של הגוף, אך אסור לו למלא תפקיד נוסף בחברה, או שיהיה כפוף לנושא משרה בחברה, אם אלו יכולים להעמיד אותו בניגוד עניינים.
עדכון משמעותי נוסף הוא שדרוג ניכר לסמכויות של הרשות להגנת הפרטיות כרגולטור הפרטיות של ישראל. "התיקון מקנה לה סמכויות פיקוח, מאסדר את פיקוחי הרוחב שהיא מבצעת (הליך של סקירת עומק של סוגיות פרטיות והגנת מידע בתעשייה או מגזר מסוים; ע"כ), מקנה לה סמכויות חקירות, בירורים מנהליים, והטלת אמצעי אכיפה מנהליים, הל מהתרעה מנהלית ועד עיצומים כספיים", אמרה ארידור.
באשר לעיצומים כספיים, התיקון מחליף את הוראות החוק הקיים לעיצומים בסכומים קבועים, במנגנון מודרני שקובע את גובה העיצומים בהתאם לגודל מאגר המידע וסוג ההפרה וכיחס לשיעור מהכנסות הארגון. זאת, לצד קביעת סכום מינימום לכל הפרה, כדי למנוע הפרות מצד גופים קטנים עם מאגרים קטנים. "למשל, הפרה של עיקרון צמידות המטרה במאגר מידע רגיש של מיליון נושאי מידע, יכולה להביא לקנס של שמונה מיליון שקל", אמרה ארידור. ראש הרשות מוסמך להפחית סכומי עיצום, במקרים כמו נסיבות אישיות, אם מדובר בהפרה יחידה או כאמצעי למזעור הנזק. זאת, מתוך מטרה לשמר את העיצום ככלי למניעת הפרה, ולא להפוך אותו לגורם שיוביל לקריסת החברה.
כן תקבל הרשות סמכות להורות על הפסקת הפרת הוראות עיבוד מידע וצמידות מטרה; סמכות לפנות לבית משפט לבקש צו להפסקת הפרה ומחיקת המידע; ופסילה של ממונה הגנת פרטיות אם קבע ראש הרשות שהוא לא עומד בתנאי הכשירות (למשל, חסר ידע נדרש בפרטיות) או לא עומד בתנאי התפקיד (אין עצמאות או משאבים).
בעבור גופים ביטחוניים, דוגמת צה"ל ושירותים חשאיים, נוצר מנגנון פיקוח ייחודי שבו את תפקיד הרשות כרגולטור יחליף מפקח פרטיות פנימי, שיונחה מקצועית על ידי ראש הרשות וידווח לו על בסיס קבוע. על סמך דיווחים אלו, יוכל ראש הרשות להורות למפקח לבצע פעולות מסוימות, להטיל עיצומים או ליזום חקירה מנהלית. בזמן בחירות ארציות ומוניציפליות, התיקון מחריג מפלגות ומועמדים מסוימים מסמכויות האכיפה והחקירה המנהלית של הרשות, אלא אם התקבל לכך אישור מוועדת הבחירות.
מבחינת האזרחים, התיקון מקנה להם אפשרות לתבוע פיצוי כספי של עד 10 אלף שקל ללא הוכחת נזק, במקרה של הפרת זכויות עיון במידע, תיקון מידע, הודעה על עיבוד מידע או העברת מידע. תקופת ההתיישנות על פגיעה בפרטיות גם הועלתה משנתיים לשבע שנים. כן מייצר החוק מנגנון וולנטרי שמאפשר לארגונים לקבל חוות דעת מקדמית מהרשות לגבי עמידה בהוראות החוק לעיבוד מידע.
גם אחרי אישור כל השינויים האלו, החקיקה בישראל עדיין לא מביאה את הגנת הפרטיות לרמה של ה-GDPR. "הסיבה לכך היא שאין את הרחבת אגד הזכויות של נושאי מידע כמו חזרה מהסכמה לעיבוד מידע, מחיקת מידע וניוד מידע", אמרה ארידור. "הסכמה היתה ונשארה חזות הכל, ולא נוספו בסיסים חוקיים נוספים לעיבוד מידע. למשל, אינטרס לגיטימי של בעל השליטה במידע לעבד מידע אישי. אנחנו יודעים כבר שנים שהסכמה זה פיקציה, לא באמת נותן שליטה בעיבוד מידע עלינו". חלק מחוסרים אלו יטופלו במסגרת התיקון הבא לחוק.
ארידור הוסיפה: "חיסרון משמעותי נוסף הוא נוגע למסמך שמפרט את מטרות עיבוד המידע. המגבלה היחידה היא שזו מטרה שנקבעה כדין. ארגון יכול לכתוב שני עמודים של מטרה ולעבד את המידע כרצונו. בעייתית גם ההתעקשות לבסס את הוראות החוק על 'מאגר מידע'. ב-GDPR, ההוראות הן ביחס למידע, לא למאגר מידע. ההתעקשות מאגר מידע מחייבת את התעשייה ליצור גדר שלא תמיד ברור איך יוצרים אותה. מה סכום הנתונים שיוגדר כמאגר מידע?"
