לקוחות וידידים נכבדים,
ביום 14 באוגוסט 2024 פורסם ברשומות תיקון 13 לחוק הגנת הפרטיות. התיקון מעדכן את החקיקה הקיימת, קובע הסדרים חדשים, ומקנה כלי אכיפה משמעותיים לרשות להגנת הפרטיות.
התיקון המקיף כולל, בין היתר, את הנקודות שלהלן:
1. הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות – התיקון מחזק משמעותית את סמכותה של הרשות ומקנה לה כלים רבים לפיקוח, אכיפה וענישה, הן באמצעות הרשות עצמה, והן במסגרת מתן סעדים לאכיפה אזרחית פרטית. בפרט, התיקון מעגן בחקיקה את הסמכויות הבאות:
• סמכות לרשות להטיל עיצומים כספיים בגין הפרת הוראות החוק והתקנות בתחום אבטחת המידע בסכומים משמעותיים.
• סמכויות האכיפה המנהלית של הרשות וסמכויות החקירה הפלילית של חוקרי הרשות.
• סמכות הרשות לפעול לקבלת צו שיפוטי שיורה על הפסקת עיבוד מידע אישי, כולל מחיקתו, במקרים בהם הדבר נדרש לשם הפסקת הפרה של הוראות החוק.
2. הרחבת הסמכות לפסוק פיצויים ללא הוכחת נזק – הורחבה סמכות בתי המשפט לפסוק פיצוי כספי ללא הוכחת נזק לאזרח התובע בגין אי רישום, אי מסירת הודעה על איסוף מידע ואי מתן זכות עיון או תיקון.
3. חובת מינוי ממונה הגנת הפרטיות בארגונים רבים במשק – לראשונה, נקבעה בחקיקה החובה למנות ממונה על הגנת הפרטיות בגופים ציבוריים ובכל ארגון שעיסוקו העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, וכן בכל ארגון שפעילותו כרוכה במעקב או התחקות שיטתית אחר אנשים בהיקף ניכר. תפקידו של ממונה הגנת הפרטיות בארגון הוא לפעול להבטחת קיום הוראות חוק הגנת הפרטיות ותקנותיו ולקידום השמירה על הפרטיות גם מעבר לדרישות החוק. על הממונה להיות בעל ידע והכשרה בתחום דיני הגנת הפרטיות, הבנה טכנולוגית, הבנה באבטחת מידע והיכרות עם תחומי הפעילות של הגוף שבו הוא ממלא את תפקידו. הממונה יכול להיות מועסק ישירות או במיקור חוץ. נדרש שהממונה לא ימלא תפקיד אחר שעלול ליצור ניגוד עניינים עם תפקידו כממונה, ונדרש שידווח ישירות למנכ"ל או לעובד שכפוף לו ישירות.
4. קביעת הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים – התיקון לחוק מחיל לראשונה חובת מינוי מפקח פרטיות פנימי בכלל גופי הביטחון. המפקח הפנימי יונחה על ידי הרשות להגנת הפרטיות, יפקח על נהלי הגוף הביטחוני ומדיניותו בתחום הגנת הפרטיות, יברר הפרות של חוק הגנת הפרטיות, יקיים הכשרות והדרכות בנושאי פרטיות, וימסור דיווחים לראש הרשות.
5. צמצום חובת רישום מאגרי מידע דיגיטליים – במסגרת התיקון תבוטל חובת רישום מאגרי מידע על ידי גופים המנהלים אותם, למעט מאגרים המנוהלים על ידי גופים ציבוריים וכן למעט מאגרים המנוהלים על ידי מי שעוסקים בסחר במידע.
6. מנגנון חוות דעת מקדמית – נקבע הסדר לפיו ניתן לבקש מהרשות להגנת הפרטיות חוות דעת מקדמית בעניין עמידה בדרישות החוק או התקנות לפיו.
7. קביעת איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי ועבירות פליליות חדשות במאגרי מידע – במסגרת התיקון נוסף לחוק פרק ייעודי של עבירות פליליות במאגרי מידע, הכוללות בין היתר עיבוד מידע ללא הרשאה של בעל השליטה במאגר המידע, והטעיה מכוונת של אדם בעת פנייה אליו לקבלת מידע אישי אודותיו. כמו כן, נקבע בחוק איסור על ביצוע כל פעולה במידע אישי שנאסף באופן לא חוקי.
8. עדכון הגדרות חוק הגנת הפרטיות – התיקון מעדכן את כלל ההגדרות המהותיות בחוק, ובין היתר, קובעת סוגי מידע אישי שייחשבו "מידע בעל רגישות מיוחדת".
השלכות תיקון החוק הן משמעותיות, ובין היתר: גופים יצטרכו לשקול אם נדרש מהם למנות ממונה הגנת הפרטיות, גופים יצטרכו לעדכן את נהליהם בהתאם לשינויי ההגדרות בחוק, ובפרט השינוי בהגדרות "מידע אישי" ו"מידע אישי בעל רגישות מיוחדת". כמו כן, רמת הסיכון במקרה של אי עמידה בדרישות החוק עולה משמעותית בשל הרחבת סמכויות הפיקוח והאכיפה והרחבת הסמכות לפסיקת פיצויים ללא הוכחת נזק.
מועד תחילתו של התיקון לחוק: 14 באוגוסט 2025.
תיקון החוק רלוונטי לכלל הגופים בישראל המחזיקים במידע אישי.
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים ב KPMG ישראל, מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר