"רוב העסקים הקטנים והבינוניים לא ערוכים לחוק הגנת הפרטיות החדש"
תיקון 13 לחוק הגנת הפרטיות ייכנס בקרוב לתוקף ויציב רף חדש של הגנה על פרטיות וקנסות במקרים של הפרה. האם האכיפה אכן תוחמר בפועל ואיפה בכל זאת עוד נותרו פרצות?
תיקון 13 לחוק הגנת הפרטיות אושר לפני כשנה בקריאה שנייה ושלישית בכנסת, ובעוד כשלושה שבועות (14.8.2025) צפוי להיכנס לתוקף. החוק, אם לשפוט לפי כוונת המחוקק, נועד לשפר משמעותית את ההגנה על הפרטיות של הציבור ולאפשר שמירה טובה יותר על הפרטיות של כולנו, בהתאמה לתקופה הטכנולוגית שבה אנחנו חיים. לאור זאת, הוא כולל בתוכו סמכויות אכיפה וענישה נרחבות למחוקק, החמרה דרמטית של קנסות והתאמה לרגולציה הנהוגה בנושא באירופה מזה כעשור (GDPR).
3 צפייה בגלריה
עו"ד גלי סלע וולפמן, מנהלת תחום הגנת הפרטיות בפירמת הייעוץ וראיית החשבון BDO
(צילום: נתי חדד)
בין היתר התיקון מעניק לרשות להגנת הפרטיות סמכות להטיל קנסות כספיים על הפרות בסכומים של עד 5% מהמחזור העסקי – סכום שגבוה משמעותית מהקנסות כיום, מאפשר להורות על חקירה פלילית או מהלכי אכיפה מנהלית, ואף מגדיר חובת העסקה של ממונה פרטיות בחברות כעובד מן המניין או כיועץ חיצוני. כמו כן מתיר החוק לבתי המשפט סמכות לפסוק פיצוי כספי של עד 15 אלף ללא הוכחת נזק במקרים של סירוב חברות לבקשות בנושאי פרטיות – לרבות הזכות לעיין ולתקן מידע.
לדברי עו"ד גלי סלע וולפמן, מנהלת תחום הגנת הפרטיות בפירמת הייעוץ וראיית החשבון BDO, מאז אישור החוק הקיץ שעבר ועד היום ניכר כי המגזר העסקי שינה גישה ביחס להגנת הפרטיות. "בחודשים האחרונים אנו עדים לשינוי דרמטי ביחס הארגונים לנושא", היא אומרת. "שנים ארוכות התמודדנו עם חברות שראו בתחום הזה 'נטל רגולטורי' שצריך לטפל בו רק בהיבט פרוצדורלי ובאופן מינימלי. תיקון 13 שינה את התמונה לחלוטין. חברות שבעבר הציגו עמדה של 'נעשה את המינימום הנדרש, אם בכלל' מבינות שהן עומדות כיום בפני סיכון משמעותי, כיוון שיש להם פערים בין מצבן הנוכחי לבין הדרישות הקבועות בחוק המתוקן".
עו"ד אולגה פרי, שותפה במחלקה המסחרית במשרד עוה"ד הרצוג, מציינת שגם האכיפה בתחום צפויה להיות "משמעותית ומקיפה". לדבריה, הרשות גייסה כוח אדם לצורך ביצוע פעולות האכיפה והצהירה על פעולות אכיפה שתתקיימנה עם כניסת החוק לתוקף (כאמור, ב-14.8) – וזאת ללא 'תקופת חסד'. עם זאת, כן נשמעים קולות הקוראים להתחשב במציאות הישראלית הנוכחית, במיוחד על רקע המלחמה והשלכותיה על עסקים קטנים".
הפרה שלא נעשית בזדון – אך עדיין פוגעת
כניסת החוק לתוקף מגיעה לאחר שלאחרונה מותג אופנה ישראלי מוכר נקנס בכ-35 אלף שקלים, לאחר שמצלמות הוצבו בסמוך לתאי ההלבשה שלו – מבלי ליידע את הלקוחות. "ברור שעל פניו מטרת העסק הייתה להרתיע מפני גניבות ולמרות שהמצלמות לא היו בתוך התאים עצמם, קיומן ברחב רגיש יצר תחושת מעקב וחשש לפגיעה בפרטיות", אומר מגן מרגלית, סמנכ"ל דיגיטל ב-CodeValue. "המקרה הזה ממחיש הפרה שלא נעשית בזדון אלא מחוסר מודעות – אך עדיין פוגעת בזכות יסוד".
לדברי סלע וולפמן, "הסמכויות של הרשות להגנת הפרטיות טרם התיקון הן בהיקפים נמוכים מאלה שיהיו לה עם כניסת התיקון לתוקף. על בסיס הפרסומים בתקשורת ובמידה והמקרה היה מתרחש לאחר כניסת התיקון, לא מן הנמנע שהמקרה הזה היה מסתיים בקנס של מאות אלפי שקלים ועד 5% מהמחזור השנתי של החברה. זאת, כאמור, בהתאם להיקף המידע המעובד ביחס לגודל מאגר המידע וכמות האנשים ששמורים בו".
נדרש שינוי מערכתי
המקרה המדובר אף ממחיש את החשיבות והצורך של החברות להיערך לשינויים וליישם אותם, שכן הנזק הפוטנציאלי עשוי להיות גבוה ורחב היקף. זאת, בפרט לנוכח העובדה שהתיקון החדש אף מטיל אחריות אישית על נושאי משרה בגין מקרים של הפרה.
לדברי פרי, בהקשר הזה, המציאות מורכבת. "היערכות החברות לתיקון 13 לחוק הגנת הפרטיות משתנה מאוד בין חברה לחברה. חברות גדולות ומוסדות פיננסיים החלו להיערך – חלקן מינו ממונה הגנת פרטיות, ביצעו סקרי סיכונים, עדכנו מדיניות פרטיות ואת הסכמי עיבוד המידע שלהם ואף שלחו הודעות פרטיות עדכניות לאנשים שמידע אודותם כלול במאגרים שלהם. עם זאת, נראה כי רוב העסקים הקטנים והבינוניים עדיין לא ערוכים, בין אם בשל חוסר מודעות, מחסור במשאבים, עומס תפעולי או כי חוו פגיעה מהמלחמה".
לטענת מרגלית, "רוב העסקים בישראל עדיין אינם ערוכים לרפורמה. בעוד שארגונים גדולים, מוסדות ציבוריים ובנקים ביצעו היערכות ראשונית ואף מינו ממונה פרטיות (DPO) , עסקים קטנים ובינוניים לרוב אינם מודעים לדרישות או סבורים שמדובר ב"עוד רגולציה", לא נוקטים בצעדים מינימליים להגנה על עצמם ומסתכנים בחשיפה. חשוב להבין כי לא נדרש שינוי מערכתי כולל, אלא אימוץ גישה מדורגת ויישום עקרונות "פרטיות בתכנון" (Privacy by Design) על עסקים למפות מידע קיים, להציב שילוט נכון, ליישם נהלי אחסון בסיסיים, לקיים דיאלוג עם גורם מקצועי בארגון, ולדאוג להכשרת עובדים".
מאידך, טוענת סלע וולפמן כי השנה שחלפה בין אישור התיקון לקראת יישומו חוללה מפנה משמעותי – גם בקרב מקבלי ההחלטות בארגונים. "הדרישה לייעוץ פרקטי של ממונה הגנת הפרטיות כשירות שמתכלל את כל סיכוני הגנת הפרטיות לרבות סיכונים תפעולים, סיכוני משפטיים, סיכוני ציות ועוד הפך להיות כדבר שבשגרה", היא מבהירה. "הפגישות עם בעלי העניין הופכות ממפגשי יעוץ קצרים לפרויקטים מקיפים ומתמשכים, ומנהלים בכירים שבעבר לא השתתפו בדיונים על נושא הפרטיות לפתע מתעניינים ולוקחים חלק פעיל בניהול הסיכון".
רגולציה בעלת 'שיניים'
שאלה נוספת שמתעוררת בעקבות כניסת החוק לתוקף נוגעת גם למטרת החוק – והידוק ההגנה על הפרטיות של כל אחד ואחת מאתנו. "תיקון 13 הוא קפיצת מדרגה בניסיון ליישם את עקרונות הרגולציה האירופית (GDPR) להגנת הפרטיות גם בישראל. כניסת התיקון לתוקף מעביר אותנו לעולם של רגולציה מודרנית ובעלת 'שיניים'. באותה נשימה, בסופו של דבר כל רפורמה נבחנת בהיבטי האכיפה והיישום שלה בפועל בשטח, ופה הרשות להגנת הפרטיות תבחן אל מול הגופים עצמם", אומר מרגלית.
לדברי סלע וולפמן, "התיקון החדש מעניק לאזרחים גם את היכולת לשלוט במידע שלהם, הן מבחינת היכולת לקבל החלטות מושכלות בזכות גישה למידע ועיון בו והן מבחינת הזכות להגיש תביעה בנושא ללא צורך בהוכחת נזק. המכלול המצטבר של ארגז הכלים שהתיקון מעניק לרגולטור ולאזרחים ישפר את הפרטיות של הציבור הישראלי. יחד עם זאת, בעידן של בינה מלאכותית, שאנחנו עדיין לומדים איך לעבוד וממפים את הסיכונים בהקשרים הללו, עוד צפויים לנו אתגרים בהקשר זה".
פרי מציינת כי "השמירה על הפרטיות של הציבור הישראלי ואבטחת המידע האישי אכן צפויים להשתפר, אך נראה שזה יקרה באופן הדרגתי. התיקון מעניק לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה משמעותיות מאוד, ומחייב גם מינוי ממונה הגנת פרטיות בארגונים רבים. בכך הוא מעודד שקיפות ומוסיף הגדרת מדויקות ורחבות של מידע אישי. אולם, ההשפעה בפועל תלויה בסוף בהיערכות של הארגונים, ביכולת הרשות לאכוף את החוק וגם במודעות של הציבור (נושאי המידע) לחוק ולזכויותיהם. אם יישום החוק יבוצע כהלכה, הרי שהוא צפוי להתאים את הפרטיות לסטנדרטים בינלאומיים".
