תיקון 13 לחוק הגנת הפרטיות: מהפכה באכיפה ובאחריות פלילית על פגיעה בפרטיות
התיקון החדש לחוק מעגן עבירות פליליות חדשות, מחזק את סמכויות הרשות להגנת הפרטיות ומטיל קנסות מנהליים כבדים על מפרי החוק
תיקון מס' 13 לחוק הגנת הפרטיות, שנכנס לתוקף לאחרונה, מביא עמו מהפכה בתחום הגנת המידע האישי. זהו העדכון המקיף ביותר לחוק מאז חקיקתו לפני עשרות שנים, ובמסגרתו נוסף פרק של עבירות פליליות חדשות והורחבו מאוד סמכויות האכיפה של הרשות להגנת הפרטיות. כעת צפויים קנסות מנהליים כבדים ואף אחריות פלילית במקרים של הפרת החוק, מהלך שנועד להתאים את ההגנה על פרטיותנו לאתגרי העידן הדיגיטלי ולקבוע רף הרתעה גבוה יותר. המומחים מדגישים: הציבור הרחב ועסקים המחזיקים מידע אישי חייבים להיות מודעים לשינויים האלה, ולהתייעץ עם גורמי מקצוע במידת הצורך כדי לוודא עמידה בדרישות החוק.
עבירות פליליות חדשות על פי תיקון 13
התיקון מוסיף שורה של עבירות פליליות חדשות שמהוות צעד מרתיע נגד שימוש פסול במידע אישי:
• איסור הפרעה או הטעייה של גורמים ברשות להגנת הפרטיות: החוק קובע עבירה חדשה, ולפיה מי שיפריע לעובדי הרשות צפוי לעונש מאסר של עד חצי שנה, ומי שיטעה מי מעובדי הרשות, צפוי לעונש מאסר של עד שנתיים.
• עיבוד מידע ללא סמכות: החוק קובע עבירה על עיבוד מידע אישי ללא הרשאה מאת בעל השליטה במאגר המידע. במילים פשוטות, מי שמעבד נתונים אישיים בלי אישור מהגורם האחראי על המידע, עובר על החוק וצפוי למאסר של עד שלוש שנים. הדבר נועד למנוע מצב שבו מידע זולג לידיים לא מוסמכות בתוך ארגונים או מחוצה להם.
• הטעיית אנשים למסירת מידע: לראשונה נקבע כי הטעיה מכוונת של אדם כדי לקבל ממנו מידע אישי מהווה עבירה פלילית. משמעות הדבר היא שאם גוף או אדם משיגים מידע על פרט באמצעות מצג שווא או מירמה (לדוגמה, תמסרו פרטים כדי לקבל מתנה או הטבה כשבפועל נועד הדבר לאסוף את המידע הזה לצורך דיוור), עלול לעמוד לדין פלילי בעבירה שעונשה עד שלוש שנות מאסר.
ראוי להדגיש כי עבירות אלה מצטרפות לסעיפי העונשין הקיימים, ומעמידות את המפרים בסיכון של קנסות ואף מאסר בהתאם לחומרת המעשה. בכך מעביר המחוקק מסר ברור: פגיעה בפרטיות מידע היא לא רק עוולה אזרחית, אלא עלולה להיות עבירה פלילית לכל דבר.
סמכויות אכיפה מוגברות ועיצומים מנהליים
השינוי הגדול ביותר בנושא האכיפה שהביא איתו תיקון 13 לחוק הגנת הפרטיות נוגע לחיזוק דרמטי של יכולתה של הרשות להגנת הפרטיות לאכוף את החוק. עתה הוסמכה הרשות להטיל בעצמה עיצומים כספיים מנהליים (קנסות) על מפרי החוק, בהיקפים משמעותיים שיכולים להגיע למאות אלפי שקלים ויותר, בהתאם לחומרת ההפרה. מודל הקנסות שנקבע מדרג את סכומי העיצומים לפי סוג ההפרה והיקפה, למשל, אי-קיום זכות בסיסית של אדם לעיין במידע עליו, אי-מחיקת מידע לבקשת אדם, אי-מינוי ממונה אבטחת מידע כשנדרש, או הפרות כלפי הרשות עצמה, לכל אלה עלולות להיות השלכות כספיות כבדות.
בנוסף, התיקון מקנה לבית המשפט סמכות חדשה לפסוק פיצויים ללא הוכחת נזק עד סכום של 10,000 ₪ לטובת אדם שזכויותיו לפי חוק הפרטיות הופרו. כך, אדם פרטי שנפגע מהפרת זכויותיו (לדוגמה, אם חברה לא אפשרה לו לממש את זכותו לעיין במידע או לתקן מידע שגוי) יכול לתבוע ולקבל פיצוי כספי גם בלי להוכיח שנגרם לו נזק ממשי. זהו נדבך נוסף בהרתעה: לצד האחריות הפלילית, יש כעת גם מחיר כספי ברור להפרות החוק, וזאת בנוסף על פיצוי ללא הוכחת נזק במקרה של פגיעה בפרטיות.
שינויים רגולטוריים נוספים
מעבר להיבטי האכיפה, תיקון 13 כולל עדכונים רבים המיישרים קו עם סטנדרטים בין-לאומיים, ובראשם תקנות ה-GDPR האירופיות. הגדרות החוק הורחבו: מעתה "מידע אישי" מוגדר באופן רחב וכל מידע המזהה אדם או מאפשר לזהותו נכלל תחת הקטגוריה של "מידע אישי", וקטגוריה חדשה של "מידע בעל רגישות מיוחדת" הוגדרה ככזאת הכוללת סוגי מידע רגישים כגון נתונים ביומטריים, מידע רפואי, פרטים על עבר פלילי ועוד.
לצד כל המקלות שהוטלו, בנושא אחד דווקא צומצמה הרגולציה והוא נוגע לצמצום חובת רישום מאגרי מידע: רוב הגופים הפרטיים פטורים כעת מרישום מראש של מאגרי מידע במשרד המשפטים, מלבד גופים שעוסקים במכירת מידע (כדוגמת מאגרי דיוור) וגופים ציבוריים. תחת זאת, ניתן דגש על חובת ניהול פנימי ותיעוד, ארגונים נדרשים להכין "מסמך הגדרות מאגר" ולמפות את המידע והתהליכים אצלם, ולעדכן את הרשות במקרה של מאגרים גדולים בעלי מידע רגיש (מעל 100,000 אנשים).
בנוסף, התיקון מחייב ארגונים גדולים במגזר הציבורי ועסקים שעוסקים בהיקפים נרחבים של מידע אישי למנות ממונה הגנת פרטיות (DPO). תפקיד הממונה הוא לוודא שהארגון עומד בכללי חוק הפרטיות והאבטחה, לייעץ ולהטמיע נהלים מתאימים להגנת מידע. גם חובת הדירקטוריון של חברות גדולות הובהרה, הנהלת ארגון חייבת לפקח מלמעלה על עמידה בדרישות החוק, לקבוע מדיניות פרטיות ולוודא הטמעת מנגנוני הגנה נאותים. צעדים אלו, לצד הנחיות חדשות שהוציאה הרשות, נועדו להטמיע תרבות של ציות לפרטיות בכל חברה וארגון.
חשיבות המודעות וההיערכות
התיקון לחוק הגנת הפרטיות מסמן עידן חדש באכיפת הפרטיות בישראל. המשמעות היא שכל חברה, ארגון ואף בעל עסק קטן שמחזיקים מידע על לקוחות או משתמשים, צריכים לוודא שהם מעדכנים את הנהלים והמדיניות שלהם בהתאם לחוק החדש. מומלץ לבצע בדיקה מקיפה של אופן ניהול המידע בארגון, החל מאבטחת המידע הטכנית, דרך ניסוח מדיניות פרטיות שקופה וברורה ללקוחות, ועד מינוי בעלי תפקידים כנדרש. מי שלא יעשה זאת עלול להתמודד עם קנסות כבדים, תביעות ואף חקירות פליליות. גם הציבור הרחב צריך להכיר את זכויותיו החדשות: כל אדם רשאי לדעת מי מחזיק במידע עליו, לדרוש גישה, תיקון ומחיקה, ולפנות לרשות במקרה של חשש לפגיעה בפרטיותו.
בשורה התחתונה: תיקון 13 משנה את כללי המשחק בעולם הפרטיות בישראל. החוק המעודכן מעניק כלים חזקים יותר לרגולטור להעניש הפרות, ומבהיר שחברות וגורמים המטפלים במידע פרטי חייבים לקחת ברצינות את נושא ההגנה על פרטיות. זה הזמן לוודא שהארגון שלכם עומד בדרישות, ובמידת הצורך, לפנות לייעוץ מקצועי בתחום, כדי להימנע מהסתבכות מיותרת מול החוק החדש ולשמור על אמון הלקוחות והציבור.
d&b – לדעת להחליט
