חוק הגנת הפרטיות, התשמ"א-1981 (להלן – "החוק") נחקק לפני למעלה מארבעה עשורים והוא נתן מענה לאתגרים לשם הגנת הפרטיות, שהיו קיימים באותה עת. בתקופת חקיקת החוק לא הייתה רשת האינטרנט, הרשתות החברתיות, הטלפונים הניידים, רשתות אינטרנט אלחוטיות ועוד. הקידמה והטכנולוגיה בצד הרצון של גופים שונים לאסוף עלינו מידע למטרות שונות חייבו את המחוקקים ברחבי העולם לתת את דעתם על כך ולתקן את החוקים הקיימים בהתאם לאתגרים שמציבה הקידמה וליצור איזון מתאים בין הצורך בחשיפת מידע אישי והצורך המסחרי והאחר של ארגונים לשימוש במידע האישי.
במהלך השנים, מדינות ברחבי העולם חוקקו חוקים, שניסו לתת כלים לאתגרים החדשים, שנוצרו ובראשן מדינות האיחוד האירופי שהתקינו את ה- General Data Protection Regulation היא הרגולציה להגנת המידע אשר הסדירה את הכללים לאיסוף מידע פרטי, שמירתו, עיבודו, הפצתו ועוד.
היות שישראל רוצה להשתלב בעולם ושיחידים וחברות בישראל יוכלו להעניק שירותים ולמכור מוצרים לתושבים במדינות שונות באיחוד האירופי ובעולם, יש צורך בתיקון של החוק והתאמתו לחוקים ולרגולציות המקובלות בעולם. הצורך קיים, בין היתר, כדי להמשך ולחסות תחת סטטוס "הנאותות" (ה- (Adequacy שישראל זכתה לאשרורו בשנת 2023 מהאיחוד האירופאי בשל התחייבות ממשלת ישראל, שהחוק יתוקן בהתאם לסטנדרטים הקבועים ברגולציה האירופאית.
לכן, המחוקק הישראלי בצד הרשות להגנת הפרטיות עמלים על התיקונים וההתאמות לחוק ולאחרונה (אוגוסט 2024) התקבל תיקון מספר 13 לחוק, שיחול בעוד שנה (באוגוסט 2025) וזאת כדי לאפשר זמן התארגנות ליישום התיקון על ידי חברות ויחידים בישראל.
התיקונים, הכלולים בתיקון לחוק הינם משמעותיים והם מרחיבים את ההגדרות והמונחים בחוק ומתאימים אותם לחקיקה הבינלאומית החדשה. הרחבת ההגדרות והמונחים טומנת בחובה הרחבת תחולת החוק על מקרים, שבעבר לא הוסדרו בחוק. כך כדוגמה: כיום בחוק קיימת הגדרה ל"מידע" הכוללת "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונותיו". בתיקון לחוק נוסף המונח "מידע אישי" והוא מרחיב וחל על "נתון הנוגע לאדם מזוהה או אדם הניתן לזיהוי". עוד קובע התיקון מהו "אדם הניתן לזיהוי", ולפיו "מי שניתן לזהותו במאמץ סביר במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי". כלומר, הבדיקה הדרושה היא האם ניתן לזהות את האדם "במאמץ סביר" גם באמצעות פרט מזהה של אותו אדם. התיקון לחוק, אוסר באופן מוחלט שימוש במידע אישי שנאסף באופן לא חוקי.
התיקון לחוק קובע, שכל פעולה שתבוצע במידע אישי של אדם תיחשב כעיבודו ולכן החל ממועד תחולת התיקון תורחב תחולתו של החוק לפעולות רבות, שבנוסח החוק הקיים לא הופיעו.
שינוי משמעותי מאוד בחוק מתייחס גם למאגרי המידע. נוסח החוק הקיים היום הביא לכך שפרטי קשר שאסף גוף פרטי היו עשויים להיחשב למאגר מידע מה שדרש לרשום אותו, פעולה הכרוכה בהוצאות ובעוד ניהול של הליך בירוקרטי. התיקון לחוק מצמצם את חובת רישום מאגרי מידע דיגיטליים, ולמעשה כמעט מבטל את החובה בהתייחס לגופים במגזר הפרטי, למעט במקרה בו מאגר המידע מנוהל בידי מי שעוסק בסחר במידע.
בהתייחס למאגר מידע, בתיקון לחוק נוספו הגדרות ל"בעל שליטה" במאגר המידע, שהוא מי שקובע לבד או עם אחר את מטרת עיבוד המידע שבמאגר המידע ול"מחזיק" שהוא גורם חיצוני לבעל השליטה במאגר המידע המעבד מידע עבורו. בדומה להוראות ה- GDPR המבחינות בין Data processor ו- Data controller. כמובן, שהבחנה בין בעל השליטה למחזיק טומנת בחובה את האחריות לפעולות המבוצעות במידע שבמאגר המידע וכאשר מדובר בבעלי שליטה במשותף, יהיה צורך להסדיר את השותפות בהסכם בין הצדדים שממנו ניתן יהיה להבין את מהות היחסין בין הצדדים ובקשר למאגר המידע. כאשר אתם מנהלים ארגון, שמעבד מידע הנמצא במאגר מידע של בעל השליטה, חשוב שהדבר יובהר ויוסדר בהוראות מתאימות בהסכם ההתקשרות בין הצדדים. המלצה זאת, יפה גם לבעל שליטה המעניק אפשרות לצד שלישי לעבד מידע עבורו, שכן קיימת חובה לניהול מרשם עדכנים של המחזיקים במאגר המידע.
התיקון לחוק, קובע גם חובה למנות ממונה הגנת הפרטיות בגופים ציבוריים וגם בגופים שעיסוקם העיקרי הוא עיבוד מידע או התחקות אחר אנשים "בהיקף ניכר". הממונה צריך לוודא שהוראות החוק והתקנות מיושמות ולקדם את השמירה על הפרטיות. חשוב לדעת, שאין במינוי הממונה כדי להסיר אחריות ממי שקיימת לו חובה למילוי התחייבויות הארגון.
לא ניתן להקיף בחיבור זה את כלל התיקונים בתיקון לחוק והשלכותיהם, אך חשוב לציין ולדעת שהורחבו הסמכויות של בתי המשפט לפסוק פיצויים ללא הוכחת נזק לאזרח התובע ביחס למאגר המידע מכוח הוראות החוק (לרבות התיקון). עוד קיים בתיקון מסלול אכיפה מינהלית המוקנות לרשות להגנת פרטיות הכוללות גם אפשרות להטלת סנקציות מינהליות. ואחרון – בגופים בטחוניים קיימת חובת מינוי מפקח פרטיות פנימי לגוף הבטחוני, שהיקף תפקידו קבוע הוסדר בתיקון לחוק.
לסיכום, תיקון 13 עושה צעד גדול להתאמת החוק לחקיקה הבינלאומית ובמיוחד ה- GDPR ומרענן את החוק ומתאימו להתפתחויות הטכנולוגיות ולאתגרים העדכניים איתם מתמודדים בהתייחס למידע אישי ומאגרי מידע. זה לא סוף פסוק, המחוקק כבר עמל על תיקון 14 שעשוי להסדיר עניינים נוספים ועל כך עוד נעדכן בבוא העת.
ליצירת קשר באמצעות הוואצאפ