חובת דיווח על אירועי אבטחת מידע עם סנקציה כספית בצידה למקרה הפרה. סנונית ראשונה, כך נראה, בהצעה לשינויים בחוק הגנת הפרטיות בצל איומי הסייבר המרחפים עלינו מעת לעת. הצעת חוק פרטית אשר פורסמה לאחרונה (15.06.2020), של חברי הכנסת משה גפני ויעקב אשר, מציעה לקבוע בחוק הגנת הפרטיות חובה לדווח על אירועי אבטחת מידע, הן לרשות להגנת הפרטיות והן למושאי המידע אשר דלף, הצעת חוק הגנת הפרטיות (תיקון – דיווח על פריצה למאגר מידע), התש"ף–2020.
לפי מתווה הצעת החוק, בעל מאגר מידע או מחזיק במאגר מידע שנפרץ ידווח על כך לגורם אשר המידע הוא בקשר אליו בהקדם האפשרי כמו גם לרשם מאגרי המידע, העומד בראש הרשות להגנת הפרטיות. במידה והרשם יימצא כי בעל המאגר לא הודיע כאמור תוך זמן סביר, הוא יהיה רשאי, על פי ההצעה, להטיל עיצום כספי לפי מפתח שיקבע שר המשפטים בתקנות. במידה ורשם יחליט להטיל עיצום כספי, יהא עליו למסור, על פי ההצעה, לבעל המאגר הודעה על החלטתו בתוך 30 ימים ממועד שהתקבלה. בהודעה יהא עליו לפרט את המידע שברשותו על הפריצה, סכום העיצום, התקופה לתשלום העיצום ואת זכותו של בעל המאגר לטעון את טענותיו לפני הרשם. בעל מאגר מידע יוכל לערער על החלטת הרשם לבית המשפט לעניינים מנהליים. בנוסף, החלטת הרשם בדבר הטלת עיצום כספי תעוגן בתיקון לחוק בתי משפט לעניינים מנהליים, תש"ס-2000, בתוספת הראשונה.
הצעת החוק במתכונתה הנוכחית אינה מהווה חידוש לאור החקיקה הקיימת בנושא. בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 נקבעה חובת דיווח מידית לרשם מאגרי המידע בקרות אירוע אבטחה חמור. כמו כן, פרסמה הרשות להגנת הפרטיות את מדיניותה ביחס לדיווח של אירוע אבטחה חמור במידע אישי. מדיניות זו מטרתה להטמיע את חובת הדיווח אצל כלל הגופים, וחשוב מכך, לשפוך אור באשר למקרים המחייבים דיווח מידי ממועד גילויו של האירוע. בין האירועים השונים אשר הרשות מציינת ככאלה המחייבים חובת דיווח מידית ניתן למצוא, בין היתר, זיהוי של פריצה (חיצונית או פנימית) לרשת הארגון, במסגרתה קיים חשש סביר ו/או ודאות כי הפורץ ניגש למאגר מידע של הארגון'.
יחד עם זאת ההצעה אינה שלמה באשר לעיצום הכספי, בעקבות אי דיווח על פריצה למאגר מידע, בתיקון חוק לבתי משפט לעניינים מנהליים. דומה כי ההצעה קיבלה השראה מהצעה להיקף רחב יותר של עיצומים כספיים על שלל מצבים, כמו שהוצע בהצעת החוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018. דומה כי המדובר בסנונית ראשונה של הצעות בנושא, אשר בעקבותיהן תגובש הצעת חוק ממשלתית חדשה.
