"מי שיפר את חוק הגנת הפרטיות לאחר תיקון 13 חשוף לסנקציות משמעותיות"
תיקון 13 נועד לשפר קו עם החקיקה האירופאית ומתמחר מחדש את הפגיעה בפרטיות
"הסנקציות לא פשוטות. מי שייפר את החוק או התקנות עלול לעמוד בפני עיצומים במיליוני שקלים ועד עונשי מאסר", מסביר עו"ד ליאב ישראל, שותף במשרד שטיינמץ, הרינג גורמן
"בכל דקה ודקה אנחנו משאירים חותם דיגיטלי במקום כלשהו. אפשר לדעת איפה המיקום שלנו לפי המכשיר הנייד. אנחנו מעבירים מסרים דיגיטליים שאפשר להקליט ולשמור אותם. בכל פעם שאנחנו מחפשים משהו או קונים ברשת, אנחנו משאירים טביעת רגל דיגיטלית – וכל המידע הזה נמסר מרצון. נשאלת השאלה איך שומרים על שליטה במידע האישי שלנו, ואם זה אפשרי בכלל" – כך אומר עו"ד ליאב ישראל, שותף במשרד שטיינמץ, הרינג, גורמן ושות' (SHG), ומתמחה במשפט מסחרי וכן בדיני פרטיות.
בראיון על תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף השנה, מסביר עו"ד ישראל כי "דיני הפרטיות מכוונים להגן על הזכות לפרטיות, או במילים אחרות, הזכות לשליטה על המידע האישי שלנו, בין אם מדובר בפרטים מזהים, במידע רפואי, מידע פיננסי וכדומה. עיקרון היסוד בדיני פרטיות הוא שלא פוגעים בפרטיות ללא הסכמה, וכאמור, בעידן הנוכחי אנחנו מסכימים בהתלהבות למסור את המידע שלנו. אבל עדיין, עומדת לנו הזכות לשלוט במה שיקרה עם המידע הזה, וזה מה שתיקון 13 מנסה לעשות".
בישראל יש חוק הגנת פרטיות מאז 1981. למה צריך את התיקון החדש?
"החוק מ-1981, אף שתוקן מספר פעמים, התיישן מאוד, בוודאי על רקע ההתפתחויות הטכנולוגיות המהפכניות בעשורים האחרונים. המטרה היתה להתאים את הדין בישראל לסטנדרט החקיקה הבינלאומי בתחום, שהוא במידה רבה חוקי ה-GDPR האירופיים (General Data Protection Regulation), שנכנסו לתוקף ב-2018. תיקון 13 מיישר איתם קו בהמשך וכחלק מאישור שניתן על ידי האיחוד האירופי לישראל שהדין בישראל עומד בסטנדרטים גבוהים של הגנת פרטיות. משמעות האישור, בין היתר, היא שניתן להעביר מידע אישי מהאיחוד לישראל ללא הכבדה מיותרת, ולכן חשוב היה לשמור עליו. ויש כאן גם הקשר ביטחוני – מאז ה-7 באוקטובר, ישראל נתונה תחת מתקפות סייבר בלתי פוסקות, ואחד היעדים של תיקון 13 הוא להעלות את הסטנדרט של אבטחת מידע".
תיקון 13: השינויים המרכזיים
כשותף במשרד SHG, עו"ד ליאב ישראל עוסק בתחום המסחרי, וכן בהיבטים של טיפול במידע אישי והגנת הפרטיות. "אני רואה הרבה עיסוק בתיקון הזה לאחרונה – מאחר שהוא נכנס לתוקף ב-14 באוגוסט 2025, אף שנחקק שנה קודם לכן. מדובר ברפורמה גדולה ומקיפה, ולכן המחוקק נתן לארגונים שנה שלמה להיערך אליה".
מה השינויים המרכזיים בתיקון הזה?
"בתיקון 13 יש עדכון של הגדרות מהותיות שעומדות בבסיס החוק, כדי לדבר בשפה משפטית אוניברסלית מקובלת. למשל מהו בכלל מידע אישי וכן מידע בעל רגישות מיוחדת, בכל מיני קטגוריות, כמו מידע על מוצא, על דעות פוליטיות, מידע רפואי, מידע על עבר פלילי; מיהו בעל שליטה במאגר מידע; ומי נחשב כמחזיק ומעבד מאגר מידע. בכל אלה נעשה יישור קו מול ה-GDPR, עם הגדרות כמו עיבוד ושימוש במידע, כדי ליצור שפה אחידה, משפטית, ולהקל על ניסוח ההוראות בהמשך החוק.
"דבר חשוב נוסף, הוא חיזוק הזכות לפרטיות, שהוא כאמור נדרש בעידן הדיגיטלי שבו אנו חיים. נקבעו איסורים עקרוניים, נורמטיביים, על עיבוד מידע שלא כדין. אם לדוגמה, נאסף ממך מידע למטרות רפואיות בתקופת הקורונה, לא ניתן לעשות שימוש במידע הזה, כדי לשווק לך מוצרים של סופר פארם. עוד איסור הוא על עיבוד מידע ללא הרשאה מבעל השליטה במידע, או חריגה מההרשאה. וכמובן, איסור לעשות שימוש במידע שנוצר, התקבל או נאסף שלא כדין. מרכיב מרכזי בתיקון הוא חיזוק הרשות להגנת הפרטיות, תוך הקניית סמכויות אכיפה חדשות לרשות".
"הקנסות עודכנו עד למיליוני שקלים"
איפה התיקון הזה פוגש חברות וארגונים? כמה הוא משפיע עליהם?
"מעכשיו, הפרה של החוק עלולה להיות כואבת הרבה יותר. או כפי שראש הרשות להגנת הפרטיות אמר - תיקון 13 הוא תמחור מחדש של הזכות לפרטיות. אם קודם לכן הקנסות היו בסדר גודל של עשרות אלפי שקלים, כעת לרשות יש סמכות להטיל עיצומים עד לסדר גודל של מיליוני שקלים. ואם קודם לכן, לא נקבעו סנקציות על הפרות של תקנות אבטחת מידע, עכשיו יש סנקציות משמעותיות על מי שמפר חובות אבטחת מידע. נוספו גם עבירות פליליות חדשות.
"יש גם תוספת שמשאירה הרבה ארגונים מבולבלים: החובה למנות DPO, או Data Protection Officer – בעל תפקיד שממונה על הגנת הפרטיות. זאת, להבדיל, ובנפרד, מממונה על אבטחת מידע. ה-DPO מרכז את נושא הפרטיות בארגון, מוודא קיום נהלי אבטחת מידע ותכניות הדרכה ובקרה ומציע להנהלה הצעות לתיקון ליקויים".
מה הסיכונים שצצים עכשיו, עקב התיקון?
"מי שעיקר עיסוקו בעיבוד מידע אישי, נמצא עכשיו בחשיפה רגולטורית גבוהה יותר – ואם הוא לא יקפיד לקיים את החובות שחודדו בתיקון 13, הוא בהחלט יכול למצוא את עצמו במצב לא נעים. חשוב לדעת שהחוק גם לא מבדיל בין ארגון כמו חברה לבין אדם פרטי שאוסף ומעבד מידע ויכול גם הוא להביא לפגיעה בפרטיות. כולם יהיו חשופים לסנקציות, מעיצומים כספיים ועד עונשים ממש, עד שלוש שנות מאסר, במקרה של עבירה פלילית.
"העיצומים לפי תיקון 13 עשויים להיות גבוהים מאוד, עד מיליוני שקלים. החוק קובע שהרף המקסימלי לעיצומים יהיה 5% ממחזור העסקאות השנתי. כלומר, זה יכול להיות סכום מאוד משמעותי, לחברות גדולות במשק, כי נוסחת העיצומים היא הרבה פעמים מכפלה של מספר האנשים שעליהם קיים המידע במאגר הרלוונטי".
השלב הבא: תובענות ייצוגיות
"נקודה חשובה היא שתיקון 13 חידד את עניין הפיצויים ללא הוכחת נזק, שיכולים להיפסק עכשיו על ידי בתי המשפט גם לגבי הפרות שהן לא חמורות בהכרח. לדוגמה, על פי חוק הגנת הפרטיות, כשאוספים מאיתנו מידע אישי, למשל בטופס רכישה באתר או בנסיבות אחרות, אם לא מוסרים לנו את הגילוי המלא הנדרש על פי החוק כדי שנוכל לקבל החלטה מושכלת לגבי מסירת המידע – אנחנו עשויים לקבל בגין הפרה כזאת פיצויים עד עשרת אלפים שקלים, ללא צורך להוכיח שנגרם לנו נזק כלשהו. נקודה נוספת היא שתיקון 13 השווה את תקופת ההתיישנות לגבי תביעות בגין פגיעה בפרטיות לתקופת ההתיישנות הכללית בדין, שהיא 7 שנים. קודם לכן היתה התיישנות מקוצרת של שנתיים לגבי תביעות בנושא פרטיות.
"זה מביא אותנו לתובענות ייצוגיות – עד היום הוגשו תובענות ייצוגיות בעילה של פגיעה בפרטיות בעיקר בהקשר צרכני. על הפרק עומדת הצעת חוק שתאפשר להגיש תובענות ייצוגיות במישרין בגין עילות מכוח חוק הגנת הפרטיות. גופים עסקיים יהיו צריכים להביא זאת בחשבון בשל הפוטנציאל לפגיעה כלכלית משמעותית", מסכם עו"ד ישראל.
מאת ליאב ישראל- עו"ד, שטיימנץ הרינג גורמן
d&b – לדעת להחליט
