בלי הרבה רעש, תיקון מספר 13 לחוק הגנת הפרטיות אושר סופית בכנסת באוגוסט 2024, ומסמן כבר כעת נקודת מפנה משמעותית בדיני הפרטיות בישראל. התיקון חל על כל גוף שמחזיק מאגרי מידע כלשהם וקובע לראשונה פיצויים ללא הוכחת נזק עד לגובה של עשרת אלפים בדומה למקובל בחוק הספאם. בנוסף נקבע "תפריט" קנסות אותם תוכל הרשות להגנת הפרטיות להטיל בסכומים שבעבר היו נשמעים דמיוניים. הקנסות המינימליים מתחילים ב-15 אלף שקלים ומגיעים עד כדי מיליוני שקלים בנסיבות מסוימות.
עוד לפני פרוץ המלחמה מדינת ישראל הייתה מוקד לתקיפות סייבר ולנסיונות סחיטה של בעלי מאגרי המידע. רבות מתקיפות אלה נעשות על ידי מדינות אויב וארגונים המזוהים עם מדינות אלה. כך, נפרץ מאגר המידע של אפליקציית ההיכרויות אטרף המיועדת לקהילת הלהט"ב, נחשפו פרטים אישיים רגישים של מבוטחי חברת שירביט וממש לאחרונה דווח על פרסום של מידע רגיש על רוב אזרחי המדינה לאחר פריצה לשרתי חברה המספקת שירותים לרשויות המקומיות. אלו רק דוגמאות בודדות מתוך עשרות אלפי ניסיונות תקיפה של גופים שונים במשק הישראלי, כולל גופים קטנים למדי.
חברות, עמותות או רשויות ציבוריות המחזיקות מידע בעל רגישות מיוחדת חשופות לתביעות, עיצומים ואף עונשי מאסר בפועל. לעיתים, ארגונים אלה נוטים לחשוב כי המידע המוחזק אצלם הוא חסר משמעות משפטית אולם החוק קובע כי מידע אישי על צנעת חייו של אדם, מידע רפואי, פיננסי, דעות פוליטיות, אמונות דתיות ואף השקפת עולם מהווה מידע בעל רגישות מיוחדת שהמחזיק בו נדרש לנקוט בצעדים מסוימים על מנת שלא להיות חשוף לסנקציות הקבועות בחוק.
היום מכירים בכך שכמעט כל גוף עסקי, ציבורי או מגזר שלישי נוטים לאסוף ולעבד כמויות נרחבות של מידע אישי לצרכים שונים כמו רישום חברים, איסוף "לידים", ניהול תרומות, וקיום קשרים עם הלקוחות או הציבור הרחב כך שהתיקון החדש לחוק מציב אתגרים חדשים ומחייב הערכות מקיפה.
כך, ארגון אשר מבקש מהציבור למלא טופס או שאלון אשר ממנו ניתן להסיק על ענייניו האישיים של ממלא השאלון עשוי להוות מאגר מידע. בדומה, עמותה שמסייעת לקורבנות אלימות, מין או מסייעת לאנשים בבעיותיהם הכלכליות ככל הנראה תוכר ככזו המחזיקה מידע בעל רגישות גבוהה. זאת, אף במקרה שבו ממלא השאלון עושה זאת באופן אנונימי. באופן הזה יש להניח כי רשויות מקומיות רבות, אשר עוסקות בארנונה, רווחה, חינוך וכו' – נדרשות להסדיר את מאגריהן על מנת לעמוד בהוראות החוק.
על מנת לוודא עמידה בהוראות החוק החדש נדרשים גופים רבים למינוי ממונה הגנת פרטיות אשר יהווה את הסמכות המקצועית בארגון בכל הנוגע לפיקוח על מאגרי המידע ועל פרטיות הציבור לו נוגע המידע. היערכות נכונה ליישום התיקון כוללת כמה שלבים מרכזיים: מיפוי של כלל המידע האישי שנמצא ברשות הארגון, עדכון נהלי האבטחה והניהול של המידע, הדרכה שוטפת של הצוותים בארגון לגבי חשיבות הגנת הפרטיות וההשלכות המשפטיות של התיקון, וכן מינוי ממונה על הגנת מידע במידת הצורך.
האכיפה והטלת העיצומים יחלו מיד עם כניסת התיקון לתוקף, מה שמחייב ארגונים להיערך במהירות לדרישות החדשות.
לסיכום, תיקון 13 לחוק הגנת הפרטיות מהווה שינוי משמעותי בנוף הרגולטורי הישראלי. הוא מציב רף גבוה יותר לשמירה על פרטיות המידע, תוך הגברת הסיכונים לארגונים שאינם מתאימים עצמם למציאות החוקית החדשה. ארגונים נדרשים לבחון מחדש את נהליהם, להשקיע באבטחת מידע ובהגנת פרטיות, ולהיות ערים לסיכונים המשפטיים והכספיים הכרוכים בהפרת החוק. התיקון מסמן עידן חדש בהגנת הפרטיות בישראל, המחייב תשומת לב מיוחדת מצד כל ארגון המחזיק או מעבד מידע אישי.
נכתב על ידי עו"ד עמרי שגב ועדי שילה
***
כתבה שיווקית בחסות ירקוני, שגב, אלדר עורכי דין; הכתבה נערכה על ידי מערכת Duns 100.