13 עקרונות של תיקון 13, שכדאי לכל ארגון לדעת...

התיקון לחוק הגנת הפרטיות, הידוע כ"תיקון 13" יוצר לא מעט חוסר וודאות וחששות בקרב ארגונים רבים שמתקשים לדעת איך להיערך אליו ולמה עליהם להיות מודעים במיוחד.

הפוסט הזה ייתן לכם סקירה מקיפה על כמה נקודות עיקריות בתיקון, שכדאי מאוד לארגון שלכם להיות מודע אליהם.

1.      שינויי הגדרות מרכזיים:

התיקון לחוק מעדכן ומרחיב הגדרות מרכזיות בהתאמה לעידן הדיגיטלי ולסטנדרטים בינלאומיים כמו GDPR .

המונח "מידע" הורחב ל"מידע אישי" וכולל כעת כל נתון על אדם מזוהה או הניתן לזיהוי, כולל מזהים דיגיטליים.

הוגדרו מחדש גם המונחים "עיבוד מידע", "בעל שליטה במאגר מידע" (במקום "בעל מאגר") ו"מחזיק במאגר מידע" בהתאמה לתקנים עדכניים. הפונקציה של מנהל מאגר מידע, לא קיימת יותר ביחס לגופים שאינם גופים ציבוריים (כהגדרתם בחוק הגנת הפרטיות). הוגדר גם "מידע רגיש במיוחד" באופן מפורט, המחיל חובות שונות.

2.      שינויים בחובת רישום מאגרי מידע:

צומצמה משמעותית חובת רישום מאגרי המידע.

החובה תחול רק על גופים ציבוריים (למעט מאגרי מידע על עובדיהם בלבד) ובמקרים מצומצמים נוספים. אבל... במקביל, נוספה חובת הודעה לרשות על מאגרים המכילים מידע רגיש במיוחד על יותר מ-100,000 אנשים.

בעלי מאגרים רשומים שלא יהיו חייבים ברישום לאחר התיקון, יצטרכו לבקש את מחיקתם מהפנקס כדי לבטל את הרישום של מאגרים שכבר נרשמו לפני התיקון לחוק.

3.      מינוי ממונה הגנת פרטיות - חובה חדשה:

התיקון מחייב לראשונה מינוי ממונה הגנת פרטיות בארבעה מקרים: גופים ציבוריים Data Brokers עם מידע על מעל 10,000 אנשים, ארגונים שעיסוקם כולל ניטור שיטתי של אנשים בהיקף ניכר, וגופים המעבדים מידע רגיש במיוחד בהיקף משמעותי (כמו בנקים ובתי חולים).

הממונה, שיכול להיות גם חיצוני לארגון, נדרש להיות בעל ידע וכישורים מתאימים.

4.      עדכון חובות ההודעה הנדרשת בעת איסוף מידע אישי:

התיקון מרחיב את הפרטים הנכללים בהודעה שיש למסור לאדם בעת איסוף מידע אישי ממנו.

בנוסף לחובות הקיימות (כמו ציון אם מסירת המידע היא חובה או וולונטרית, מטרת האיסוף ולמי יימסר המידע), יש ליידע גם על: ההשלכות של סירוב למסירת המידע, זהות ופרטי התקשרות של בעל השליטה במאגר, וקיום זכויות העיון והתיקון של המידע.

5.      שינוי הגדרת 'מחזיק במאגר מידע':

התיקון משנה את הגדרת המחזיק מ"מי שמצוי ברשותו מאגר מידע דרך קבע" ל"גורם חיצוני המעבד מידע עבור בעל השליטה". ההגדרה החדשה דומה למונח Processor ב-GDPR.

השינוי עשוי להשפיע על גופים שיחשבו מעתה מחזיקי מאגר, ויהיו חייבים בחובות של מחזיק, וכן על בעלי שליטה במאגרים שיצטרכו לוודא שהם עומדים בכל החובות שמוטלות עליהם ביחס למחזיקי מאגר.

6.      הרחבת סמכויות האכיפה ועיצומים:

התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה משמעותיות ביותר, כולל לגבי הפרות של תקנות אבטחת מידע.

החוק קובע אפשרות להטיל עיצומים כספיים משמעותיים. העיצומים יכולים להגיע למיליוני שקלים, במיוחד במקרים של הפרות מצטברות או מאגרים גדולים (מעל מיליון איש). במקרים מסוימים, סכום העיצום ייקבע כמכפלה של מספר האנשים שנפגעו מההפרה. הפקטורים העיקריים שמעצימים את הקנס הם: רמת האבטחה נדרשת במאגר, סוג המידע, וגודלו.

7.      מדרג והפחתות בסנקציות:

החוק מגדיר מנגנון מפורט להפחתת עיצומים כספיים. למשל: ארגון שלא הוטל עליו עיצום כספי בחמש השנים שקדמו להפרה, זכאי להפחתה של 20%, ואם לא הוטל עליו עיצום בשלוש השנים האחרונות - להפחתה של 10%. הפסקת הפרה ודיווח עליה ביוזמת המפר מזכים בהפחתה של 30%. נקיטת פעולות למניעת הישנות ההפרה ולהקטנת הנזק מזכה בהפחתה של 20%. עסקים קטנים וזעירים (כהגדרתם בחוק) זכאים להפחתות משמעותיות נוספות.

8.      סמכויות מנהליות מורחבות:

החוק מעניק לרשם סמכות להורות לבעל שליטה במאגר או למחזיק במאגר מידע אשר מפירים הוראות מסוימות להפסיק את הפעילות המפרה, סמכות לבקש מבית משפט לעניינים מנהליים לתת צו שיפוטי להפסקת פעולות עיבוד מידע אישי או למחיקת המידע האישי שבמאגר המידע במלואו במקרים מסוימים, סמכות לפרסם באתר הרשות הטלת עיצום הכספי, וכן פרטים נוספים (כגון סכום העיצום הכספי שהוטל, מהות ההפרה, מועד ונסיבות ההפרה ועוד) במקרים מסוימים.

9.      רשימת העבירות הפליליות:

תיקון לחוק מעדכן את רשימת העבירות הפליליות בחוק שדינן מאסר, והיא כוללת בין היתר עיבוד מידע אישי ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר המידע, פנייה לאדם לקבלת מידע אישי לשם עיבוד המידע במאגר מידע תוך מסירת פרטים לא נכונים בניגוד להוראות החוק, בכוונה להטעותו ועוד.

10. תביעת פיצויים ללא הוכחת נזק:

בגין הפרות מסוימות של החוק, ניתן לתבוע פיצוי של עד 10,000 ₪ ללא צורך בהוכחת נזק, בין השאר בגין ניהול מאגר לא רשום, איסוף מידע אישי ללא מתן הודעה כנדרש בחוק, ופגיעה בזכויות נושא המידע לעיון, תיקון או מחיקת המידע האישי שלו. התביעה יכולה להיות מוגשת נגד בעל השליטה במאגר או המחזיק בו.

11. אחריות על מחדלי מחזיק מאגר:

אם מחזיק מאגר מידע מקבל דרישת תשלום בגין הפרת תקנות הגנת הפרטיות, ראש הרשות חייב להודיע על כך לבעל השליטה במאגר ולדרוש ממנו לפעול להפסקת ההפרה בתוך זמן מוגדר. אם בעל השליטה לא פועל כנדרש וההפרה נמשכת, ראש הרשות רשאי להטיל על בעל השליטה את אותו עיצום כספי שהוטל על המחזיק, כאילו הוא עצמו ביצע את ההפרה.

12. חוות דעת מקדמית:

התיקון לחוק מכניס מנגנון חדש של חוות דעת מקדמית (pre-ruling) מטעם הרשות להגנת הפרטיות, המאפשר לבעלי שליטה ומחזיקים במאגרי מידע לקבל עמדה מוקדמת של הרשות לגבי עמידתם בדרישות החוק והתקנות.

הרשות מחויבת להשיב תוך 60 ימים לבקשה המפרטת את העובדות והמסמכים הרלוונטיים, תוך שמירת זכותה לסרב לבקשות מסוימות (כגון בקשות תיאורטיות או הדורשות משאבים בלתי סבירים).

13. פיקוח רוחב ומומחים חיצוניים:

התיקון לחוק מסדיר מנגנון של פיקוח רוחב מטעם הרשות והסתייעות במומחים חיצוניים.

תכנית פיקוח הרוחב על יישום הוראות החוק תסתייע בגורמים חיצוניים לצורך הפצת שאלונים, קבלת המענה לשאלון מהמפוקח, בצירוף המסמכים הנלווים שהתבקשו.

לסיכום -

התיקון לחוק הגנת הפרטיות מהווה צעד משמעותי לעבר התאמה לעידן הדיגיטלי, ומביא עמו שינויים חשובים שישפיעו על כל הגופים המעבדים מידע אישי. עם הרחבת ההגדרות, חובות חדשות והגברת הסנקציות, יש חשיבות רבה להבנת ההשלכות והדרישות החדשות.

כעת, יותר מתמיד, יש צורך להיערך בהתאם לשינויים הללו ולוודא שהארגונים עומדים בדרישות החוק. אנו מזמינים אתכם לפנות אלינו לייעוץ מקצועי ולהדרכה כיצד ליישם את השינויים הנדרשים בעסק שלכם, כדי להבטיח עמידה מלאה בחוק ולשמור על פרטיות המידע של לקוחותיכם. אל תהססו לפנות אלינו עוד היום!