ביום 14/08/2025 ייכנס לתוקף תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א-1981. תיקון זה נועד, בין היתר, להתאים את הדין הישראלי לאתגרים העכשוויים בהגנה על מידע אישי, להתפתחויות טכנולוגיות ולסטנדרטים המודרניים בתחום הגנת הפרטיות בעולם, ובראשם – רגולציית הגנת המידע של האיחוד האירופי (GDPR). התיקון צפוי להשפיע על כל חברה או ארגון במשק, פרטיים או ציבוריים, המחזיקים או מעבדים מידע אישי.
עיקרי השינויים הצפויים בתיקון לחוק:
עדכון מונחים והגדרות:
בין היתר, החוק מגדיר מחדש ומרחיב משמעותית את המונח "מידע" ב"מידע אישי". ההגדרה החדשה תכלול כל מידע שמתייחס לאדם מזוהה או ניתן לזיהוי – בין אם באופן ישיר ובין אם בעקיפין – לרבות שמו, מספר זהותו ופרטים נוספים. בנוסף, המונח "מידע רגיש" הוחלף במונח "מידע אישי רגיש" הכולל, למשל, מידע אישי על צנעת חיי המשפחה של אדם, נטייה מינית, מידע רפואי, מידע גנטי, דעות פוליטיות, אמונות דתיות, עבר פלילי, נתוני מיקום, מוצא, הערכת אישיות, נתוני שכר, פעילות פיננסית ועוד.
חשוב לדעת – כל פעולת עיבוד של מידע אישי בארגונכם , לרבות איסוף, אחסון, עיון, העברה או מסירה – כפופה להוראות החוק.
צמצום משמעותי של חובת רישום מאגרי המידע:
החובה לרישום מאגר מידע תחול רק בגופים ציבוריים, וכן סוחרי מידע (לרבות בדיווח ישיר) שבבעלותם מאגר מידע על אודות למעלה מ-10,000 בני אדם. בנוסף, התיקון מוסיף חובה למתן הודעה מפורטת לרשות אודות מאגר הכולל מידע רגיש במיוחד.
המונח "גוף ציבור" לפי החוק הוא רחב וכולל משרדי ממשלה, מוסדות מדינה אחרים, רשויות מקומיות וכן גופים נוספים הממלאים תפקידים ציבוריים על פי דין. השאלה מיהו "גוף הממלא תפקידים ציבוריים על פי דין…" נדונה לא אחת בפסיקת בתי המשפט, וככלל נקבע כי מדובר בגוף שמאפייניו העיקריים הם "ציבוריים", והמרכיב הפרטי בו אם קיים הוא מצומצם ביותר. בהתאם לכך, ההגדרה עשויה לחול גם על עמותות, תאגידים עירוניים, חברות ממשלתיות ואף גופים פרטיים המבצעים בפועל תפקידים ציבוריים, ומכאן שיש לבחון כל מקרה לגופו, בהתאם למאפייני הגוף ופעילותו.
חשוב לדעת – כי התיקון אמנם צמצם משמעותית את חובת הרישום, עם זאת, כל מאגר מידע, גם אם אינו טעון רישום, כפוף לחובות הקבועות בחוק בנוגע לאיסוף ועיבוד של מידע אישי, לרבות יידוע נושאי המידע, אבטחת מידע, שימוש במידע רק למטרה שלשמה נאסף, ועוד.
חובת מינוי ממונה על הגנת הפרטיות:
החובה תחול על גופים ציבוריים, על מחזיקים במאגר של גוף ציבורי, על גופים הסוחרים במידע אישי של יותר מ – 10,000 איש, וכן על גופים המנהלים מידע רגיש בהיקף נרחב, שפעילותם כרוכה בניטור שיטתי של אנשים או בעיבוד מידע רגיש בהיקף ניכר (כגון בנקים, חברות ביטוח, בתי חולים וקופות חולים).
הממונה יהא אחראי לוודא שהארגון עומד בדרישות החוק, ישמש מוקד ידע מקצועי, ייעץ להנהלה ולעובדים, יכין תוכניות הדרכה ובקרה, יפקח על יישום נוהלי אבטחת מידע, יטפל בפניות הציבור בנוגע לזכויותיהם ולשמש איש הקשר מול הרשות להגנת הפרטיות. הממונה נדרש להיות בעל ידע מעמיק בדיני הגנת פרטיות, הבנה טכנולוגית ובתחום הפעילות של הגוף, וללא ניגוד עניינים – הממונה יכול שיהיה חיצוני שאינו עובד של הארגון.
הרחבת חובות השקיפות:
החוק הגביר את חובת יידוע נושאי המידע (האדם אשר אודותיו נאסף או מעובד המידע) בעת איסופו, וכן את החובה להשתמש במידע רק למטרה המוצהרת. כמו כן, נקבע איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי תוך קביעה של עבירות פליליות חדשות במאגרי מידע.
הרחבה משמעותית של סמכויות הרשות להגנת הפרטיות:
הרשות תוסמך להפעיל סמכויות נרחבות, לרבות פיקוח, בירור מינהלי ואכיפה מינהלית, ולהטיל עיצומים כספיים גבוהים ומשמעותיים בגין הפרת החוק ותקנותיו – לרבות בנוגע לאבטחת המידע.
חוות דעת מקדמית מהרשות להגנת הפרטיות:
התיקון מאפשר לארגון לפנות באופן וולנטרי לרשות הפרטיות לקבלת חוות דעת מקדמית ומחייבת באשר לעמידה בהוראות החוק והתקנות על פיו. כלי זה נועד לאפשר ודאות משפטית מראש ולצמצם חשיפות רגולטוריות.
פיצוי ללא הוכחת נזק:
התיקון קובע פיצוי עד לסכום של 10,000 ש"ח בגין פגיעה בפרטיות של אדם.
בינה מלאכותית:
לצד התיקון, פרסמה הרשות טיוטת הנחיה בנושא תחולת הוראות החוק על מערכות בינה מלאכותית. טיוטה זו קובעת כי הוראות החוק חלות על מודל בינה מלאכותית המאחסן או מעבד בפועל מידע אישי, קרי, כאשר מידע אישי מעובד או מופק באמצעות מערכות בינה מלאכותית, לרבות חובת אבטחת מידע, יידוע, זיהוי בסיס חוקי לעיבוד, ועוד.
נכון למועד זה, ההנחיה טרם אושרה באופן סופי, אך אנו ממליצים לארגונים העושים שימוש בטכנולוגיות מבוססות בינה מלאכותית – להיערך בהתאם.
מה כדאי לעשות כבר עכשיו?
- לבחון האם קיימים בארגון מאגרים הטעונים רישום או דיווח.
- לבחון האם קיימת חובה למנות ממונה על הגנת הפרטיות – ולמנות בהתאם.
- לעדכן נהלי פרטיות, יידוע ואבטחת מידע בהתאם להוראות החוק החדשות.
- לגבש תכנית הדרכה וציות פנימית לעובדים ומנהלים.
אנו עומדים לרשותכם לכל שאלה, ונשמח לסייע לכם בבחינת עמידת ארגונכם בהוראות החוק בכלל ובהשפעות האפשריות של התיקון על ארגונכם לרבות בהערכת הפערים הקיימים, בכלל זה, מיפוי מאגרי מידע ובחינת החובה לרישומם, בחינת החובה למינוי של ממונה על הגנת הפרטיות ומינויו ובגיבוש רגולציה ארגונית פנימית ליישום וציות להוראות החוק.
דוא"ל office@o-n.law
