תיקון 13 לחוק הגנת הפרטיות, שצפוי להיכנס לתוקף ב-6 באוגוסט, עתיד להיות התיקון המקיף ביותר לחוק מאז 1996, אז נוסף לו הפרק על הגנת הפרטיות במאגרי מידע.
תהליכי הדיגיטציה והשימוש בביג דאטה יצרו עולם שבו הנתונים האישיים שלנו נמצאים באין ספור מאגרי מידע, וההתפתחות הטכנולוגית הזו גרמה גם ללא מעט אתגרים וסכנות.
היכולת של חברות וארגונים להשתמש במידע שלנו, מבלי לקבוע מסגרת חוקתית שתואמת את העידן הנוכחי, היא שדחפה את המחוקק הישראלי ליישר קו עם העולם המערבי. לצורך הדוגמה, אם בעבר החוק הגדיר מידע בנושא מצב כלכלי או בריאותי כמידע אישי, כיום ההתייחסות בחוק רחבה יותר ומגדירה מידע אישי כ"נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי".
כיצד התיקון לחוק ישפיע על סמכויותיה של רשות הגנת הפרטיות? מה השינויים הארגוניים שהתיקון לחוק יחולל בחברות? וכיצד ניתן להימנע מהסנקציות הכספיות שעלולות להיווצר כתוצאה מהתיקון? עו"ד גד אנושי, שותף בכיר ועו"ד יעקב עוז ממחלקת דיני הגנת הפרטיות בבלטר גוט אלוני ושות', עושים לכם סדר לקראת השינוי הגדול בתחום הגנת המידע בישראל.
אילו ארגונים יחויבו למנות ממונה הגנת פרטיות ומהו התפקיד הפרקטי של הממונה?
החובה למנות ממונה על הגנת הפרטיות קיימת כאשר מדובר בכמה מקרים:
- גוף ציבורי או גוף שמחזיק במאגר מידע של גוף ציבורי.
- גוף הסוחר במידע כמטרה עיקרית לקיומו של המאגר.
- בעל שליטה או מחזיק המבצע ניטור בהיקף נרחב של מידע אישי על אנשים כדרך עיסוק.
- בעל שליטה או מחזיק המעבד בהיקף נרחב מידע בעל רגישות מיוחדת.
בשני המקרים הראשונים המחזיקים במאגרים ידרשו לברר אם מדובר במאגר של גוף ציבורי, ובמקרים אלה נקבעה סנקציה של עיצום כספי על אי-מינוי ממונה הגנת פרטיות. באשר למקרים של בעל שליטה או מחזיק, ההגדרות לגביהם הן בהתאם לרגולציה האירופאית בתחום הגנת הפרטיות (GDPR) והם נתונים לפרשנות, ולכן נקבע שלא תהיה בצידם בשלב הנוכחי סנקציה כספית.
תפקידו העיקרי של ממונה הגנת הפרטיות יהיה להבטיח את קיום הוראות החוק על ידי בעל השליטה או המחזיק ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי מידע. בכלל זה, הממונה ישמש מוקד ידע ארגוני בהיבטי פרטיות והגנת מידע, יכין תוכנית לבקרה שוטפת על יישום הוראות החוק ויוודא את ביצועה תוך דיווח להנהלה, יטפל בפניות נושאי מידע, ויהיה איש הקשר של הרשות להגנת הפרטיות בכל פנייה. בעל השליטה או המחזיק יחויב לספק לממונה תנאים ומשאבים נאותים לצורך ביצוע תפקידו.
האם ממונה אבטחת המידע יכול לשמש גם כ-DPO (ממונה הגנת פרטיות)?
לא. קיימת סתירה מהותית בין שני התפקידים. ממונה על אבטחת המידע אחראי להגן על החברה מפני איומי סייבר, ולכן פעמים רבות תפקידו מחייב לאסוף ולשמור מידע נרחב על פעילות העובדים והמערכות – למשל יומני גישה, היסטוריית גלישה ונתוני מיקום. לעומתו, ממונה על הגנת הפרטיות אמור לדאוג לצמצום איסוף המידע למינימום הנדרש, להבטיח שימוש מידתי ולפקח על מחיקה תקופתית של המידע כדי להגן על פרטיות העובדים.
מצב שבו אותו אדם מחזיק בשני התפקידים עלול להוביל לניגוד עניינים חמור. מצד אחד אותו אדם אמור לעודד איסוף מידע לצורך אבטחה, ומצד שני להגביל את האיסוף לצורך שמירה על פרטיות. בנוסף, אם תוגש תלונה על פגיעה בפרטיות הנובעת ממדיניות האבטחה שהוא עצמו קבע, הוא לא יוכל לבדוק את התלונה בצורה אובייקטיבית ונטולת פניות.
בהתאם להוראות תיקון 13 לחוק הגנת הפרטיות, אחד מעקרונות היסוד בתפקיד הממונה על הגנת הפרטיות הוא אי-הימצאות בניגוד עניינים עם תפקידים אחרים שהוא ממלא בארגון. הממונה חייב להיות עצמאי, לפעול ללא תלות ולשמש כגורם מבקר ומפקח באופן בלתי תלוי. לפיכך, מומלץ שהתפקידים של ממונה אבטחת מידע וממונה הגנת פרטיות יהיו מופרדים, כדי להבטיח איזון נכון ובקרה הדדית בין צורכי אבטחת המידע לבין הגנת פרטיות העובדים והלקוחות.
מהן סמכויות האכיפה החדשות של הרשות להגנת הפרטיות?
תיקון 13 מעניק לרשות להגנת הפרטיות שלושה מסלולי פיקוח נפרדים ומדורגים: פיקוח מנהלי כללי ללא צורך בחשד להפרה שמוביל רק לקביעה מנהלית, בירור מנהלי המותנה בחשד להפרה עם סמכות לבקש צווי חיפוש וחדירה למחשבים שיכול להוביל לסנקציות, ופיקוח רוחב על ענפים שלמים לצורך איסוף מידע כלל-ענפי. הסמכויות כוללות כניסה לכל מקום שבו מאוחסן או מעובד מידע אישי דיגיטלי, דרישת זיהוי, איסוף מסמכים וידיעות ותפיסת חפצים.
התיקון מייצר מערכת עיצומים מדורגת עם שש קטגוריות שונות בהתאם לחומרת ההפרה וסוג המידע הנדון. המערכת מתחשבת בגורמים כמו סוג המידע (רגיל/רגיש), גודל המאגר, רמת האבטחה הנדרשת, ומעניקה הפחתות מיוחדות לעסקים קטנים וזעירים. העיצומים מותאמים לכל סוג הפרה באופן ספציפי, מהפרות טכניות ועד הפרות חמורות של פגיעה בפרטיות.
עבור ההפרות החמורות ביותר של פגיעה בפרטיות, התיקון מייצר מנגנון דו-שלבי ייחודי. בשלב הראשון, הרשות מוציאה הוראה להפסקת הפרה ללא עיצום כספי, ורק לאחר בחינה ואישור ניתן להטיל עיצומים. במצבי קיצון, הרשות יכולה לפנות לבית המשפט לעניינים מנהליים לקבלת צו להפסקה מיידית של עיבוד מידע.
התיקון מרחיב משמעותית את זכויות התביעה בפרטיות בביטול תקופת ההתיישנות הקצרה והוספת פיצוי סטטוטורי חדש עבור הפרת זכויות נושאי מידע ללא הוכחת נזק. שינויים אלו, לצד הפיצוי הקיים על הפרת פרטיות כללית, צפויים להגביר משמעותית את נפח התביעות הייצוגיות ולהפוך את האכיפה הפרטית לכלי אכיפה משמעותי במקביל לאכיפה הציבורית של הרשות.
לצד זה, התיקון יצר גם מנגנונים מתוחכמים לעידוד ציות עצמי באמצעות הפחתות עיצום מצטברות עבור גורמים כמו היעדר הפרות קודמות, דיווח עצמי והפסקה יזומה, ומינוי ממונה הגנת הפרטיות. במקביל, הוחמרו הסנקציות עבור הפרות חוזרות ונמשכות. הרשות קיבלה גם כלים נוספים כמו התראות מנהליות ודרישת התחייבויות עם ערבון, מה שמעניק גמישות תפעולית בהתאמת התגובה לנסיבות הספציפיות.
איך צריך ארגון להיערך לקראת אוגוסט 2025 כדי לצמצם חשיפה לקנסות ואכיפה?
ההיערכות לתיקון 13 אינה יכולה להתבצע ברגע האחרון, ויש להתחיל כבר עכשיו בצעדים מעשיים. לצד החובה להסמיך ממונה על הגנת הפרטיות על פי צורך, הארגון צריך למפות את כל מאגרי המידע שלו, לבדוק מהן מטרות עיבוד המידע, מי הגורמים שהוא בא איתם בממשק, ואם קיימים הסכמים מסודרים ורלוונטיים לאותם מאגרי מידע. לאחר מכן יש לבצע ניתוח פערים כדי לזהות היכן הארגון אינו עומד בדרישות החדשות, לעדכן נהלים פנימיים, לקיים הדרכות לעובדים, ולהטמיע מנגנוני פיקוח פנים-ארגוניים.
במידה ונדרש על פי החוק, הדברים צריכים להתבצע גם מול ספקים. חשוב לבצע ביקורת פרטיות פנימית, ואם מתגלים ליקויים יש לתעד את תהליך התיקון כך שהארגון יוכל להראות שהוא פועל לפי עקרון האחריותיות (accountability). צעדים אלה מצמצמים את החשיפה לקנסות, ובעיקר מונעים נזק תדמיתי ותפעולי במקרה של אירוע אבטחה או פנייה של הרשות.
הכנת תוכנית עבודה לשנה הקרובה
רצוי וכדאי להכין תוכנית עבודה והליך היערכות מסודר לקראת כניסתו לתוקף של התיקון. עדכון ניהול הסיכונים ובקרת הציות הפנימית בהתאם לתחולת העיצומים.
בחינת מינוי ממונה הגנת פרטיות
יש לבחון אם קיימת חובת מינוי ממונה הגנת פרטיות לפי התיקון. אם קיימת, צריך לשקול אם יש צורך במינוי עובד קבוע לתפקיד או בהתקשרות עם גורם חיצוני, ובהתאם להיערך לקליטה של אדם מתאים מבחינת דרישות הכשירות.
אם אין חובה, יש לבחון אם כדאי למנות בכל זאת ממונה הגנת פרטיות. ראשית לצורך הגברת ההגנה על הפרטיות ושנית, המינוי יכול לתרום להפחתת קנסות עתידיים, וכן לבחון מי בעל התפקיד המתאים בארגון לניהול מאמץ הציות להוראות החוק ולניהול פעילות עיבוד המידע הדיגיטלי בארגון.
עדכון מסמכי הגדרות מאגרים
מרכז הכובד בניהול פעולות עיבוד המידע עובר לארגון ולניהול מסמך הגדרות המאגרים הפנימי. השינויים בהגדרות, ובעיקר הגדרת "מידע אישי" והגדרת "מידע בעל רגישות מיוחדת" מחייבים עדכון מהותי של מסמכי הגדרות המאגרים ולמעשה מיפוי מחדש של מאגרי המידע בארגון.
במסגרת המיפוי, יש צורך לשקול צמצום מידע מסוגים שונים כדי לא לכלול מידע בעל רגישות מיוחדת, או הפחתה של היקף המידע הקיים במאגר כדי לשנות את סיווג רמת האבטחה שלו או להימנע מחובת הודעה לרשות להגנת הפרטיות.
בנוסף, שינוי הגדרת "מחזיק" יצריך עדכון של רשימת המחזיקים במאגרי המידע, שעשוי להוביל לדיון מחודש בהסכמי עיבוד המידע עם נותני שירותים שונים וחלוקת האחריות מולם לאור מודל האכיפה החדש.
ריענון הודעות הפרטיות וחובת היידוע
לאור הסנקציות המשמעותיות החדשות בגין אי-עמידה בחובת היידוע חשוב לבחון את כתבי המדיניות ונוסחי הודעות הפרטיות בארגון, בפלטפורמות דיגיטליות (אתרי אינטרנט, אפליקציות וכו') לעדכן אותם ולוודא שבכל אפיקי איסוף המידע והפניה לאנשים לצורך קבלת מידע נכללת הודעה מספקת.
איך משפיע התיקון על הסכמים עם ספקים וקבלני משנה שמעבדים מידע עבור הארגון?
התיקון מדגיש באופן ברור שהאחריות על עיבוד מידע אישי לא מסתיימת במידה וזה עובר למגרש של הספק. זאת אומרת, גם אם גוף מעביר מידע לקבלן משנה לביצוע שירותים – הוא עדיין נושא באחריות החוקית לעיבוד המידע. לכן, יש צורך לבדוק שכל הסכם עם ספק כולל נספח פרטיות ברור שמגדיר את מטרות העיבוד, את איסור השימוש החורג מדרישות אבטחת המידע, ואת החובה לדווח על כל אירוע אבטחה. כמו כן, צריך להגדיר בהסכמים שכאלה זכות לביקורת אצל הספק, וחובה להחזיר או להשמיד מידע בתום ההתקשרות. כל הנקודות האלה צריכות להיות מנוסחות באופן משפטי מחייב, אחרת הארגון עלול למצוא את עצמו חשוף לאחריות משפטית גם על פעילות ארגונים אשר הוא עובד איתם.
איך הנחיית הדירקטוריון החדשה שפרסמה הרשות להגנת הפרטיות בספטמבר 2024 משנה את חובות הפיקוח הפנימי על אבטחת מידע?
הנחיית הרשות מספטמבר 2024 קובעת כי בחברות שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שפעילותן יוצרת סיכון מוגבר לפרטיות, הדירקטוריון עצמו חייב לבצע חובות פיקוחיות מסוימות שעד כה הועברו לרמות ניהוליות נמוכות יותר. זהו שינוי דרמטי שמעביר את האחריות הישירה לרמה הבכירה ביותר בתאגיד.
ההנחיה מבוססת על הלכת Caremark האמריקאית המחייבת את הדירקטוריון ליצור מנגנוני בקרה ופיקוח פנימיים כדי לנטר את עמידת החברה בהוראות הדין. הרשות מאמצת גישה זו ומפרשת שגם בישראל, לאור עקרונות הממשל התאגידי, הדירקטוריון בחברות עליהן חלה ההנחיה הוא הגורם המתאים להחליט על מדיניות השימוש במידע אישי ולפקח על יישומה.
לאור זאת, הדירקטוריון בחברות עליהן חלה ההנחיה, חייב כעת לבצע חמש פעולות קריטיות: אישור מסמך הגדרות המאגר, אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני, קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות ואישור הפעולות לתיקון הליקויים, קיום דיון רבעוני או שנתי באירועי אבטחת המידע שהתרחשו בארגון, וקיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות. אלו חובות שבעבר יכלו להתבצע ברמות ניהוליות נמוכות יותר.
למרות החובות החדשות, הדירקטוריון יכול במקרים מתאימים לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע חובות אלה, תוך שמירה על פיקוח עליון על קיומן בפועל. עם זאת, על הדירקטוריון להבטיח תיעוד סביר של הנימוקים להחלטה זו ושל אופן ביצוע הפעולות. בכל מקרה, ההנחיה אינה פוטרת את מנכ"ל החברה, ההנהלה או גורמים אחרים מהאחריות המוטלת עליהם, אלא מוסיפה שכבת פיקוח עליונה נוספת.
עו"ד גד אנושי הוא שותף בכיר ועו"ד יעקב עוז ממחלקת דיני הגנת הפרטיות בבלטר גוט אלוני ושות'
