תיקון חדש לחוק הגנת הפרטיות חושף אתכם לתביעה

לפני כשנה, באוגוסט 2024, ערכה הכנסת שינוי מקיף בחוק הגנת הפרטיות, באמצעות תיקון מס' 13. התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה שהיו דרושות לה מזה זמן כדי לבצע את עבודתה ולפקח על הגנת הפרטיות של כולנו ביעילות. אבל תיקון מס' 13 גם עושה מהפכה של ממש בחובת הרישום והדיווח של מאגרי מידע. מצד אחד הוא מקל בחובה לרשום מאגרי מידע, ומצד שני, הוא מטיל חובות ודרישות חדשות על בעלי עסקים קטנים שלא היו חייבים בהן קודם לכן בחובת ניהול עצמי, לרבות חשיפה לתביעות אזרחיות של מי שיראה את עצמו נפגע – ללא הוכחת נזק.

בניגוד לבעבר, עסקים המחזיקים מאגרי מידע קטנים, כאשר "מאגר מידע" יכול להיות אפילו משהו פשוט כמו רשימת לקוחות בתוכנת הניהול שלכם שכוללת כל פרט שהוא מעבר למספר טלפון, כמו כתובת פיזית או כתובת אימייל, רשימת דיוור, מועדון לקוחות או כל נתונים שבעלי עסקים קטנים מחזיקים אצלם כדבר שבשגרה מפיצריה, דרך עורכי דין ועד גננים ואינסטלטורים – לא יהיה חייב ברישום, אבל יחולו עליו חובות ניהול עצמי כמו אפיון של המאגר במסמך, שבעל העסק יצטרך להציג במקרה של ביקורת, ומחיקה של נתונים עודפים לפחות פעם בשנה. על פניו, היערכות כזו מחייבת לשכור בעל מקצוע ייעודי לנושא. ארגונים גדולים יותר, יהיו מחויבים בהעסקת ממונה פרטיות במשרה מלאה.

ד"ר עו"ד דן חי, ראש המרכז לחקר מידע DPI Group ומומחה לחוק הגנת הפרטיות וסייבר, הסביר בשיחה עם וואלה טכנולוגיה את המדרגים החדשים של מאגרי מידע:

"המדרגה הכי נמוכה היא מאגר שלא חייב ברישום או הודעה לרשות ואז אתה צריך להחזיק מסמכים שנדרשים לפי תקנות אבטחת מידע. למחוק מידע עודף וכולי", מסביר חי. "שם ומייל, כן נחשב מאגר מידע, שם וטלפון לא נחשב. וזה עד מאה אלף רשומות. נגיד למשל, עסק של קוסמטיקאית שכונתית", מציין המומחה.

"המדרגה הבאה היא מאגר עם חובת יידוע למאגר עם יותר ממאה אלף רשומות, או מידע רגיש במיוחד – שזו הגדרה רחבה. ואז אתה צריך לנהל את המאגר אותו דבר, וצריך ליידע את הרשות על קיומו. וגם להחזיק ממונה פרטיות. הדרגה השלישית היא מאגר רשום, וזה במקרים שאתה מוכר את המידע. כאן זה כבר מאגר רשום והרשות צריכה לאשר אותו", הוא מפרט.