ועדת חוקה חוק ומשפט של הכנסת אשירה (21.07.2024) תיקון מקיף והיסטורי לחוק הגנת הפרטיות (תיקון מס' 13 שבטעות נספר תחילה כתיקון 14) והוא צפוי לעבור במליאה שלושה ימים אחרי (24.07.2024). מדובר בתיקון הגדול ביותר שעבר החוק מאז חוקק ב-1981 והתיקון הרציני הראשון בו מאז תוקן באופן מקיף לאחרונה בשנת 1996, טרם פריצת העידן הדיגיטלי.
בין השאר, התיקון לחוק: (א) יצמצם באופן משמעותי את חובת רישום מאגרי המידע, הקיימת עתה בחוק, ויפנה את התחום להסדרה עצמית של כל גוף, מקום בו לא יהיה מחויב ברישום המאגר; (ב) יחייב למנות ממונה הגנה על הפרטיות בארגונים המעבדים מידע אישי ובגופים ציבוריים; (ג) ישלב בחוק מנגנון המאפשר לרשות להגנת הפרטיות לבקש מבית משפט להורות על הפסקת עיבוד מידע במאגר; (ד) יוסיף אפשרות לתבוע פיצוי ללא הוכחת נזק על שימוש לא חוקי במידע אישי; ו-(ה) גולת הכותרת, יקבע שורה ענפה של סמכויות שתקבל הרשות להגנת הפרטיות להטיל עיצומים כספיים נכבדים בגין הפרת חוק הגנת הפרטיות, בכל הנוגע למידע אישי והחובות החלות ביחס אליו.
התיקון שאושר לא מספק מענה לכל החסרים בחוק הישראלי, ועדיין לא מביא את ישראל לשורה אחת עם ה-GDPR (תקנות הגנת המידע האירופאיות), אבל מהווה צעד גדול בדרך לשם, בעיקר ביצירת מסגרת מעודכנת להגדרת מידע, ביטול דרישות מיושנות ולא רלוונטיות, ומתן סמכויות משמעותיות ביותר לרשות להגנת הפרטיות.
אחד השינויים המרכזיים הוא סמנטי לכאורה: אימוץ של המונחים "בעל שליטה במידע" ו"מחזיק במידע", שמקבילים לcontroller ו-processor של ה-GDPR. בעל שליטה הוא הבעלים של מאגר המידע, מי שקובע את מטרות עיבוד המידע, או הוסמך לעבד מידע. מחזיק במידע הוא גורם חיצוני לבעל השליטה, שמעבד מידע בעבור בעל השליטה. עיבוד, לפי התיקון, היא כל פעולה שמבוצעת על מידע אישי, לרבות קבלתו, החזקתו עיבוד.
מי שלא ירשום או ידווח על מאגר, יכול לספוג עיצום כספי של 150 אלף שקל, או 300 אלף שקל למאגרים מעל מיליון איש. שינוי מהותי נוסף, הוא חובה של גופים העוסקים בעיבוד מידע אישי וגופים ציבוריים, למנות ממונה הגנת פרטיות; מקביל ל-Data Protection Officer, בחקיקה האירופאית. ממונה הגנת הפרטיות יהיה הסמכות המקצועית ומוקד הידע הארגוני בנושא חוק הגנת הפרטיות. תחומי אחריותו כוללים הכנת תוכנית הדרכה להנהלה ולעובדים; גיבוש ויישום תוכנית לבקרה שוטפת של עמידה בהוראות החוק; דיווח ישיר להנהלה במקרה של ליקוי והצגת דרכי תיקון; אחריות על יצירת ואכיפת נוהל אבטחת מידע; שימוש ככתובת למימוש הזכויות של נושאי המידע; ואיש הקשר הארגוני עם הרשות. הממונה מדווח ישירות למנכ"ל, אך בעל מעמד עצמאי בארגון ואינו כפוף לו.
במינוי ממונה הגנת פרטיות יחויב כל גוף שהוא מחזיק או בעל שליטה במאגר מידע שמעבד מידע כדרך עיסוק עיקרית, שעבודתו מחייבת ניטור שיטתי, שוטף ובהיקף ניכר של בני אדם, או שמחזיק מידע רגיש בהיקף ניכר. הממונה עצמו צריך להחזיק בידע מעמיק בדיני פרטיות, טכנולוגיה ואבטחת מידע, לצד היכרות עם תחומי הפעילות של הגוף שעליו הוא ממונה. הוא יכול להיות ממונה חיצוני במיקור חוץ או עובד של הגוף, אך אסור לו למלא תפקיד נוסף בגוף ועליו להיות להימנע מכל ניגוד עניינים גם ביחס לכפיפות שלו בחברה.
באשר לעיצומים כספיים, התיקון מחליף את הוראות החוק הקיים לעיצומים בסכומים קבועים, במנגנון מודרני שקובע את גובה העיצומים בהתאם לגודל מאגר המידע וסוג ההפרה וכיחס לשיעור מהכנסות הארגון. זאת, לצד קביעת סכום מינימום לכל הפרה, כדי למנוע הפרות מצד גופים קטנים עם מאגרים קטנים. כן תקבל הרשות סמכות להורות על הפסקת עיבוד מידע במאגר מקום בו יתברר כי מבוצעת בו הפרת הוראות עיבוד מידע וצמידות מטרה; סמכות לפנות לבית משפט לבקש צו להפסקת הפרה ומחיקת המידע; ופסילה של ממונה הגנת פרטיות, אם קבע ראש הרשות שהוא לא עומד בתנאי הכשירות (למשל, חסר ידע נדרש בפרטיות) או לא עומד בתנאי התפקיד (אין עצמאות או משאבים).
בעבור גופים ביטחוניים, דוגמת צה"ל ושירותים חשאיים, נוצר מנגנון פיקוח ייחודי שבו את תפקיד הרשות כרגולטור יחליף מפקח פרטיות פנימי, שיונחה מקצועית על ידי ראש הרשות וידווח לו על בסיס קבוע. על סמך דיווחים אלו, יוכל ראש הרשות להורות למפקח לבצע פעולות מסוימות, להטיל עיצומים או ליזום חקירה מנהלית. בזמן בחירות ארציות ומוניציפליות, התיקון מחריג מפלגות ומועמדים מסוימים מסמכויות האכיפה והחקירה המנהלית של הרשות, אלא אם התקבל לכך אישור מוועדת הבחירות.
מבחינת האזרחים, התיקון מקנה להם אפשרות לתבוע פיצוי כספי של עד 10 אלף שקל ללא הוכחת נזק, במקרה של הפרת זכויות עיון במידע, תיקון מידע, עיבוד מידע או העברת מידע בניגוד לחוק. תקופת ההתיישנות על פגיעה בפרטיות גם הועלתה משנתיים לשבע שנים. כן מייצר החוק מנגנון וולנטרי שמאפשר לארגונים לקבל חוות דעת מקדמית מהרשות לגבי עמידה בהוראות החוק לעיבוד מידע.
לפרטים על שרות ממונה פרטיות במיקור חוץ ראו חברת DPI group: