icon icon heb

תיקון חוק הגנת הפרטיות – מורה נבוכים לעסקים

ספטמבר 25, 2024

בתחילת חודש אוגוסט 2024 עבר תיקון 13 לחוק הגנת הפרטיות, תשמ"א-1981 וכבר החל מבול של דיווחים ופרסומים אודותיו ולא בכדי. מדובר בתיקון היסטורי של חוק ארכאי, אשר נחקק בשנת 1981 ותיקונו המהותי בוצע בשנת 1996, מכאן נובע היקפו הרחב של התיקון. התיקון מביא איתו רוח "מערבית"  כאשר הוא מיישר קו במובנים רבים עם רגולציית ה-GDPR החלה באירופה, ובתוך כך מהווה אשרור של מעמד התאימות של ישראל, המאפשר יחסי סחר וכלכלה בינה לבין מדינות אירופה. אולם לצד אלה, לא ניתן להתעלם מהמטרה העיקרית של התיקון והיא הענקת סמכויות אכיפה לרשות להגנת הפרטיות וקביעת תג מחיר לפגיעה בזכות לפרטיות.

התיקון עתיד להיכנס לתוקף תוך שנה מיום פרסומו, היינו באוגוסט 2025, אך לאור רוחב היריעה שעליה הוא משפיע, מומלץ להיערך מבעוד מועד ולהתחיל בהטמעת הוראותיו. על מנת לעשות סדר, נסקור במסגרת סדרה של שלושה מידעונים את השינויים העיקריים שהוכנסו לחוק הגנת הפרטיות באמצעות התיקון. במסגרת המידעון הראשון נעסוק בהשלכות המעשיות של התיקון על עסקים המנהלים מאגרי מידע. שני המידעונים הבאים יתמקדו בנושא הסנקציות הכספיות החדשות וכן בהיבטים המשפטיים של השינויים.

התיקון משפיע על כל הסקטורים, לרבות המגזר הפרטי והמגזר הציבורי, מגדול עד קטן, ומשכך כל ארגון או עסק המנהל מאגר מידע בישראל יידרש להתאים את עצמו לדרישות החוק המתוקן. מה זה אומר בפועל?

חברה או עסק אשר בבעלותם מאגר מידע מחויב על פי חוק להחזיק ברשותו מסמכים שונים (כגון מסמך הגדרות מאגר, מדיניות פרטיות, נוהל אבטחה וכדומה). על מנת להקל על תהליך הטמעת התיקון בעסק, מובאת להלן רשימה של פעולות מומלצות שיש לבצע בקשר עם מסמכי הפרטיות של החברה.

מסמך הגדרות מאגר – מסמך זה מתאר בין היתר את מטרת השימוש במידע הנאגר במאגר המידע של החברה, את סוגי המידע הנאסף, את שמות בעלי התפקידים מכוח מחוק הגנת הפרטיות ותקנותיו ועוד. בהקשר זה, יש לשים לב למספר שינויים שעתידים שיידרשו בעקבות התיקון לחוק.

השינוי הראשון הוא הרחבת הגדרת המונח "מידע אישי" כך שבנוסח המתוקן עניינו ב"נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי", קרי כל נתון שקיים אודות אדם. בהתאם לכך, מומלץ לעדכן במסמך הגדרות המאגר את סוגי המידע הנאסף והנשמר במאגר. כך למשל, ככל שהיה ספק אם נתוני IP נחשבים מידע לפי הנוסח הישן, הרי שבנוסח המתוקן, נתונים אלו נכללים במסגרת מידע אישי. לצד הרחבת הגדרה זו נוספה הגדרה של "מידע בעל רגישות מיוחדת" הכולל את המידע אשר בעבר הוגדר כ"מידע אישי" (כגון: מידע אישי על צנעת חיי המשפחה, מידע רפואי, מידע גנטי וכיוצא באלה).

שינוי נוסף הוא הרחבת המונח "מחזיק" כך שבנוסח המתוקן משמעו כל גורם חיצוני המעבד את המידע עבור העסק (ובלשון החוק – עבור "בעל השליטה במאגר"). כך גם עתידה להיכנס הגדרה למונחים "עיבוד" ו-"שימוש" שעניינם כל פעולה שמבוצעת על מידע אישי (לרבות עיון ואחסון). אשר על כן, יש להיערך לכך שמסמך הגדרות המאגר יכלול רשימה של ספקי העסק לצד תיאור פעולת העיבוד המבוצעת על ידם.

מלכתחילה נדרש לכלול במסמך הגדרות המאגר את פרטיהם של בעלי התפקידים מכוח חוק הגנת הפרטיות ותקנותיו, קרי מנהל מאגר מידע, מחזיק וממונה על אבטחת מידע ככל שמונה. בהתאם לנוסח המתוקן יתווסף בעל תפקיד חדש – "ממונה על הגנת הפרטיות" בארגון. תפקידו, על קצה המזלג, הוא לקדם את נושא הגנת הפרטיות בארגון ולהיות אחראי על הטמעת הוראות הדין. אמנם החובה למנות ממונה על הגנת פרטיות אינה גורפת, אך כל עסק או ספק המעבדים מידע בעל רגישות מיוחדת בהיקף ניכר נדרשים לכך. לפיכך, כדאי לבחון מבעוד מועד את הצורך במינוי ממונה על הגנת פרטיות בארגון ולעדכן את מסמך הגדרות המאגר בהתאם.

מדיניות הפרטיות – נועדה לאפשר לעסק לקיים את חובת היידוע החלה עליו בהתאם לחוק הגנת הפרטיות. החוק מחייב כי פנייה לאדם לקבלת מידע אישי תלווה בהודעה שיצוינו בה בין היתר מטרת האיסוף, למי יימסר המידע ומטרות המסירה, והאם חלה חובה חוקית למסור את המידע. חובת היידוע הורחבה במסגרת התיקון, ומשכך מומלץ לעדכן את מדיניות הפרטיות (ו/או כל מסמך אחר המהווה פנייה לקבלת מידע)  כך שתכלול גם את הנושאים הבאים: (1) שמו של בעל השליטה במאגר ודרכי ההתקשרות עימו; (2) עצם קיומן של זכות העיון במידע אישי וזכות תיקונו לפי סעיפים 13-14 לחוק; (3) תוצאת אי ההסכמה למסור מידע אישי. נציין כבר עתה כי בהתאם לתיקון לחוק עסק שלא יעמוד בדרישות כאמור ביחס לפנייה לקבלת מידע יהיה חשוף לתשלום פיצויים ללא הוכחת נזק בסכום של עד 10,000 ₪.

נוהל אבטחת מידע – נוהל אבטחה של עסק הוא מסמך פנימי אשר מטרתו לייצר מדיניות אבטחה ארגונית להתמודדות עם סיכוני האבטחה להם חשוף המידע האישי. במסגרת התיקון הורחבה הגדרת המונח "אבטחת מידע" כך שלפי הנוסח המתוקן משמעו גם הגנה מפני כל פעולה המבוצעת בקשר למידע אישי ואשר לא ניתנה לגביה רשות כדין. אשר על כן, נדרש עיון מחדש בנוהל האבטחה על מנת לבחון, בין היתר, את הצורך בעדכונו לאור התיקון האמור.

הסכמי עיבוד מידע – המדובר בהסכמים עם ספקים חיצוניים המספקים שירותים לעסק ומקבלים גישה למידע אישי במסגרת שירותים אלו (כגון: שירותי חשבות שכר).על רקע הרחבות המונחים "מידע אישי", "מחזיק" והוספת ההגדרה של "עיבוד", מומלץ לבחון את הצורך בעדכון ההסכמים שנחתמו מול ספקים חיצוניים, לרבות בהקשר לסוגי המידע המעובדים על ידם וכן לפעולות המותרות לבצוע לגבי המידע האישי.

הרישום, מה איתו? חובת הרישום צומצמה משמעותית ונותרה רלוונטית לשני סוגים בלבד של גופים: (1) גופים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ובלבד שיש במאגר מידע אישי אודות למעלה מ-10,000 בני אדם; (2) גופים ציבוריים. מה יעשה בעל מאגר מידע שנרשם אך לאחר התיקון לא תחול עליו חובת הרישום? עם כניסת החוק המתוקן לתוקף פתוחה בפניו הדרך להגיש בקשה למחיקת המאגר מהפנקס.

על מי חלה חובת הודעה לרשות הפרטיות? ככל שמספר בני האדם שיש על אודותיהם מידע בעל רגישות מיוחדת במאגר מידע שאינו חייב רישום עלה על 100,000, חלה חובת הודעה לרשות אודותיו לרבות פרטי המאגר (בדומה לפרטים הנמסרים בעת רישום מאגר מידע).

בנוסף לתיקון מס' 13, נכנסו בשנה החולפת הוראות דין חדשות, ובפרט תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, אותן מומלץ להטמיע במקביל להוראות תיקון מס' 13, לא כל שכן שעה שכבר נכנסו לתוקף ביחס למידע שהועבר מהאזור הכלכלי האירופי למאגר מידע בישראל. במסגרת תקנות אלו, נדרש עסק בין היתר למחוק מידע לבקשתו של נושא מידע אם הגיע לידיו או שהמשך השימוש בו נעשה בניגוד לדין או אם אינו נחוץ עוד למטרה לשמה נאסף. בנוסף, נדרש עסק לקבוע מנגנון שמטרתו להבטיח שהמידע האישי שבמאגר נכון, שלם וברור וככל שאין כך הדבר,  עליו לנקוט אמצעים סבירים לתקנו או למוחקו. על רקע זה, מומלץ לבצע בדק בית ולעדכן את המסמכים הרלוונטיים כגון מדיניות פרטיות ונוהל אבטחת מידע.


אין באמור במאמר כדי להוות עצה, הדרכה, ייעוץ או חוות-דעת בנושא, והוא מוגש כשירות ללקוח להעשרה כללית בלבד ולא לכל מטרה אחרת. בכל נושא ספציפי יש לפנות לעורכי הדין או עורכי הפטנטים הרלוונטיים במשרדנו.