הקדמה: הפרטיות בלב המהפכה הדיגיטלית
בעידן שבו המידע האישי של כל אדם, החל ממצבו הבריאותי והנטייה המינית וכלה בנתוני מיקום, נצבר ומעובד בהיקפים עצומים, מידע זה הפך לנכס פגיע המחייב הגנה מרבית. עקרון היסוד של החוק אוסר על פגיעה בפרטיות, ובמיוחד על שימוש במידע פרטי למטרה שונה מזו שלשמה נמסר, שהיא אחת ההפרות הנפוצות והחמורות ביותר במרחב הדיגיטלי.
כדי להתאים את מערך ההגנה לאתגרי הטכנולוגיה, עבר חוק הגנת הפרטיות רפורמה מקיפה, שהפכה אותו מכלי הצהרתי למשטר אכיפה בעל שיניים. הרשות להגנת הפרטיות, שבראשה עומד ראש הרשות, פועלת כעת כיחידה עצמאית ומחזיקה בסמכויות פיקוח, חקירה ורגולציה נרחבות.
השינוי המהותי ביותר הוא הטלת אחריות מוגברת על כל גוף המנהל מאגר מידע. חובה זו כוללת עמידה ברמת אבטחת מידע קפדנית, ועל גופים גדולים וציבוריים חלה החובה למנות ממונה על הגנת הפרטיות שאחראי על הציות הפנימי.
כלי האכיפה החדשים הם חדים ומהירים:
ראש הרשות מוסמך להוציא הוראות מינהליות להפסקת הפרה באופן מיידי, ולחלופין, להטיל עיצומים כספיים בסכומים משמעותיים, המחושבים לפי חומרת ההפרה וגודל מאגר המידע. במקרים קיצוניים, הרשות אף רשאית לפנות לבית המשפט בבקשה לצו מחיקת מידע אישי או הפסקה גורפת של פעילות עיבוד המידע. המאמר הנוכחי יבחן את מכלול הכלים הרגולטוריים והאכיפתיים הללו ואת האופן שבו הם מחייבים את השוק הישראלי לעבור ממדיניות של "הצהרה" למדיניות של "אחריות וציות". עיקרי רפורמת האכיפה והרגולציה בחוק הגנת הפרטיות בתמצית: לקריאת החוק המלא, ראו *לינק מצורף בתחתית המאמר.
הגדרות ומהות ההגנה
החוק מגדיר במפורש את היקף ההגנה על המידע ואת סוגי המידע המרכזיים:
• פגיעה בפרטיות: פגיעה בפרטיות כוללת רשימה סגורה של מעשים, כמו בילוש, צילום ברשות היחיד, פרסום דברים הנוגעים לצנעת חייו האישיים של אדם (לרבות עברו המיני או מצבו הבריאותי) וכן שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסר ועוד. (סעיף 2)
• מידע אישי: נתון הנוגע לאדם מזוהה או הניתן לזיהוי במאמץ סביר, כולל שם, מספר זהות, מזהה ביומטרי ונתוני מיקום. (סעיף 3)
• מידע בעל רגישות מיוחדת: כולל מידע על צנעת חיי המשפחה והאישות, מצב בריאות, מידע גנטי, מזהים ביומטריים, עבר פלילי, דעות פוליטיות ואמונות דתיות. (סעיף 3)
הרשות להגנת הפרטיות ומעמדה
הרשות מהווה כיום יחידה במשרד המשפטים והיא פועלת באופן עצמאי ובלתי תלוי בהפעלת סמכויות האכיפה הנתונות לראש הרשות.
• תפקיד ראש הרשות: ראש הרשות מפקח על מילוי הוראות החוק והתקנות לפיו לגבי מאגרי מידע. (סעיף 17ט1(א))
• אכיפה פלילית מול מינהלית: כאשר קיים חשד למעשה שבגינו ניתן לקיים חקירה פלילית או בירור מינהלי, ראש הרשות יחליט על סוג ההליך (חקירה או בירור) בהתאם לשיקולים כגון חומרת המעשה, עוצמת הראיות ומדיניות האכיפה. (סעיף 23טז(א))
חובות רגולטוריות מרכזיות (משטרי הציות)
כדאי לדעת שהתיקון מחייב את בעלי השליטה והמחזיקים במאגרי מידע לעמוד בחובות אקטיביות:
• רישום מאגרים וחובת הודעה: מאגרי מידע שנועדו למסירת מידע לאחר כדרך עיסוק (לרבות דיוור ישיר) וכוללים מעל 10,000 איש, וכן מאגרי מידע של גופים ציבוריים, חייבים ברישום במרשם. (סעיף 8א(א))
◦ ראש הרשות רשאי להתלות או לבטל רישום מאגר אם הופרו הוראות החוק או אם בעל המאגר לא מילא אחר דרישות הרשות, לאחר שניתנה לו זכות טיעון. (סעיף 10(ו))
• חובת אבטחת מידע: בעל השליטה במאגר מידע והמחזיק בו אחראים לאבטחת המידע שבמאגר. (סעיף 17(א))
• מינוי ממונה על הגנת הפרטיות (DPO): חובה זו חלה על גופים ציבוריים, מאגרים גדולים לדיוור ישיר, וגופים שעיסוקם העיקרי הוא עיבוד מידע רגיש בהיקף ניכר (כגון תאגידים בנקאיים או קופות חולים.
(סעיף 17ב1)
• תפקידי ה-DPO: הממונה משמש סמכות מקצועית, מייעץ להנהלה, מכין תוכניות הדרכה ומבצע בקרה שוטפת על עמידה בחוק. הממונה נדרש לדווח ישירות למנכ"ל או לעובד בכיר הכפוף ישירות למנכ"ל. (סעיף 17ב2)
• זכויות נושא המידע: כל אדם זכאי לעיין במידע האישי שעליו המוחזק במאגר, ולבקש תיקון או מחיקה של מידע שאינו נכון, שלם, ברור או מעודכן. (סעיף 13 וסעיף 14)
◦ אי-מתן אפשרות לעיון או אי-מתן הודעת סירוב לתיקון, עלולה לגרור תביעה אזרחית לפיצויים לדוגמה (עד 10,000 ש"ח). (סעיף 15א)
סמכויות אכיפה מינהליות ושיפוטיות
א. סמכות להורות על הפסקת הפרה (סמכות מינהלית)
צמידות המטרה: ראש הרשות רשאי להורות לבעל שליטה או למחזיק להפסיק הפרה באופן ובתוך תקופה שיורה, לאחר שנתן לו הזדמנות לטעון את טענותיו. הוראה כזו ניתנת במקרים של:
1. שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה. (סעיף 23כה(א))
2. עיבוד מידע אישי במאגר שנוצר או נצבר בניגוד לדין. (סעיף 23כה(ב))
3. אי-עמידה בדרישות הקשורות למינוי ותנאי עבודתו של הממונה על הגנת הפרטיות. (סעיף 23כה(ד))
ב. עיצומים כספיים (קנסות מינהליים)
ראש הרשות רשאי להטיל עיצומים כספיים בהתאם לסוג ההפרה וחומרתה:
|
סוג ההפרה
|
סכום בסיסי (ש"ח)
|
סעיף החוק
|
|
חמור: אי-רישום מאגר חייב ברישום (או פרטים לא נכונים בבקשה לרישום)
|
150,000 (כפל הסכום אם במאגר יש מידע על 1 מיליון איש ומעלה
|
23כו(א)
|
|
בינוני-נמוך: סירוב לעיון במידע או אי-הודעה על סירוב לתיקון מידע
|
15,000
|
23כו(ב)
|
|
לפי מספר נפגעים: אי-מסירת הודעה נדרשת בפנייה לקבלת מידע אישי (₪50 לאדם, ₪100 למידע רגיש) (מינימום 30,000 ש"ח
|
מכפלת 50 או 100 ש"ח/אדם
|
23כו(ג)
|
|
אבטחת מידע או חובות רוחביות: אי-מינוי ממונה אבטחת מידע או ממונה פרטיות (₪2 או ₪4 לאדם במאגר) (מינימום 20,000-40,000 ש"ח)
|
מכפלת 2 או 4 ש"ח לכל אדם
|
23כו(ד)
|
זאת ועוד, סעיפים נוספים בעניין ההפרות שכדאי להכיר:
• הפרה נמשכת: על הפרה הנמשכת לאחר דרישת התשלום, יתווסף לחיוב 1/100 מסכום העיצום לכל יום של הפרה. (סעיף 23ל(א))
• הפרה חוזרת: הפרה המבוצעת בתוך שנתיים מהפרה קודמת של אותה הוראה שבעטייה הוטל עיצום כספי, תגרור כפל סכום העיצום. (סעיף 23ל(ב))
ג. הפחתת עיצום כספי
ראש הרשות רשאי להפחית את סכום העיצום הכספי רק במקרים ובשיעורים המפורטים בתוספת החמישית, וזאת בשיעור מצטבר שלא יעלה על 70%.
• נסיבות מקלות (דוגמאות): הפסקת ההפרה מיוזמת המפר (30% הפחתה), היעדר היסטוריית אכיפה (10% או 20%). (תוספת חמישית, סעיף 2)
• הגנה על עסק קטן: עבור עסק זעיר או קטן, נקבעה תקרת עיצום קבועה, לדוגמה: עבור הפרות חמורות, התקרה לעסק זעיר היא 20,000 ש"ח. (תוספת חמישית, סעיף 6)
• הפחתה בשל מחזור עסקאות: סכום העיצום יופחת אם הוא עולה על 5% ממחזור העסקאות של המפר. (תוספת חמישית, סעיף 7)
ד. צווים שיפוטיים
ראש הרשות רשאי לבקש מבית משפט לעניינים מינהליים לתת צו הפסקה (להפסיק פעולות עיבוד מידע) או צו מחיקה (למחוק מידע אישי במלואו), אם יש יסוד סביר להניח כי מתבצעת הפרה חמורה (כגון שימוש בידיעה על ענייניו הפרטיים שלא כדין). (סעיף 23מט)
——————————————————————————–
לסיכום תמציתי של השינוי המהותי:
ניתן לומר כי התיקון לחוק שינת את חוק הגנת הפרטיות מ"חוק הצהרתי" ל"חוק אכיפה": כעת, קיימת מדרגה של סמכויות אכיפה מינהליות ברורות (צווים מינהליים ועיצומים כספיים) הניתנות לראש הרשות, בנוסף לסמכויות הפליליות הקיימות, המאפשרות תגובה מהירה ויעילה יותר להפרות.
המידע המובא במאמר זה נועד למטרות הסבר כללי בלבד. אין באמור משום ייעוץ משפטי או תחליף לייעוץ משפטי אישי ומותאם. יישום הוראות החוק תלוי בנסיבות הספציפיות של כל מקרה, ועל כן מומלץ לפנות לעורך דין מוסמך לקבלת ייעוץ פרטני. הכותבת ו/או האתר אינם נושאים באחריות לכל נזק או הפסד שייגרמו כתוצאה מהסתמכות על האמור.
ט.ל.ח
