פורסם להערות הציבור תזכיר חוק הגנת הפרטיות (הגדרות וצמצום חובת הרישום), התש"ף -2020
ביום חמישי בשבוע שעבר פורסמה טיוטת תזכיר חוק לתיקון חוק הגנת הפרטיות (להלן – החוק"). הדיונים בנוגע לצורך לבצע עדכונים לחוק, לרבות צמצום חובת רישום מאגרי מידע החלו בשנת 2007 בוועדת שופמן. אבל לאור החלטת בית המשפט האירופי בשבוע שעבר לבטל את הסדר ה Privacy Shield והחשש שהחלטה זו עשויה להוביל לביטול ההכרה שניתנה לישראל כמדינה המעניקה רמת הגנה מספקת למידע אישי באופן שמאפשר להעביר באופן חופשי מידע אישי מאירופה לישראל [ראו לינק לכתבה שפרסמנו בעניין זה], נראה שבמשרד המשפטים החליטו לרענן את הנושא ולקדם אותו באופן מהיר. התזכיר מציע מספר תיקונים חשובים לחוק הגנת הפרטיות אולם הדרך עוד ארוכה ושינויים מהותיים נוספים נדרשים בחוק הגנת הפרטיות המיושן משנת 1981. בנוסף במסגרת התזכיר משרד המשפטים הדגיש כי בכוונת הממשלה לשוב ולקדם את הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018 שעברה בקריאה ראשונה בשנת 2018, שעיקרה שיפור ועדכון יכולות הפיקוח והאכיפה המוקנות כיום לרשם מאגרי המידע ולעובדי הרשות הגנת הפרטיות, לרבות סמכות להטלת עיצומים כספיים, וסמכויות בירור מינהלי ואכיפה. כמו כן, צוין כי בחודשים הקרובים, בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסמכה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל מאגר ומחזיק.
מדובר בכיוון חיובי ומבורך ונקווה שהמחוקק באמת יצליח להעביר את התיקונים האלו בהקדם.
להלן סיכום קצר של הנושאים שהועלו במסגרת התזכיר:
עדכון ההגדרה של מחזיק מאגר מידע. מחזיק מוגדר היום בסעיף 3 לחוק כך: "מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש". במסגרת התזכיר הוצע לעדכן את הגדרת מחזיק כך שתחודד ההבחנה בינו לבין בעל מאגר מידע, מחד, ומורשה גישה, מאידך. ההגדרה המוצעת עומדת על המהות של מחזיק – "מי שקיבל מבעל המאגר, במסגרת התקשרות עימו למתן שירות, הרשאה לעשות שימוש במידע במאגר המידע לשם כך". הגדרה זו אף מבהירה כי אין צורך בהכרח בהחזקה פיסית של עותק מן המאגר, על מנת להיחשב כמחזיק.
עדכון ההגדרה של "שימוש" והוספת הגדרת "עיבוד" – המונח שימוש מוגדר היום בסעיף 3 לחוק על דרך הריבוי: "שימוש – לרבות גילוי, העברה ומסירה". במהלך השנים ועם התפתחות הטכנולוגיה התעורר הצורך להבהיר ולתת ביטוי במסגרת ההגדרה לסוגים נוספים של פעולות המבוצעות במידע שבמאגר, במסגרת הפעילות השוטפת של המאגר, ובכלל זה אחסון, עיון, ארגון, תיקון, השלמה, אחזור ומחיקה. התזכיר עדכן את ההגדרה כך שתכלול פעולות אלו. לצד תיקון הגדרת שימוש, התזכיר מציע להוסיף את הגדרת "עיבוד" – "איסוף או שימוש" ובאמצעות כך החוק יסדיר היבטים שונים של פעולות במידע אישי – איסוף, פעולות שוטפות במאגר, והפצת מידע מן המאגר.
הוספת הגדרה של בעל מאגר מידע –בעל מאגר המידע נושא באחריות המרכזית לעיבוד המידע במאגר המידע ולמימוש זכויות נושא המידע, ומוטלות עליו חובות רבות בחוק ולפיו. הטעם להחלת החובה עליו הוא שבעל מאגר המידע הוא זה שקובע את מטרות עיבוד המידע. אין הכוונה לבעלות קניינית דווקא, אלא לשליטה במטרות העיבוד ובהיבטים המרכזיים הנוגעים לאופן העיבוד – סוגי המידע שיעובדו, למי יועברו וכו'. אף שפרשנות המונח התקבעה במהלך השנים, מונח זה לא הוגדר מפורשות בחוק. לכן הוצע במסגרת התזכיר להוסיף הגדרה כאמור למונח זה כך שבעל מאגר מידע הינו "מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר המידע, או גוף שהוסמך בחיקוק לנהל מאגר מידע".
תיקון להגדרת מאגר מידע – בהקשר זה מוצעים שני תיקונים: האחד – מאגר מידע יוגדר כאוסף פרטי מידע המוחזק באמצעי דיגיטלי. השימוש במונח "דיגיטלי" נועד לכלול מגוון רחב של אמצעים שעליהם מוחזק מידע כיום, כדוגמת מדיה נתיקה. די בהחזקה כאמור כדי לחשוף את האוסף לאפשרויות שימוש מגוונות, ואין צורך בשילוב התיבה הקיימת כיום "והמיועד לעיבוד ממוחשב". השני – שינוי ההחרגה שהייתה קיימת בחוק להגדרת "מאגר מידע" – לפי החוק בנוסחו כיום אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו לא יחשב כמאגר מידע (ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף). התזכיר מחריג כעת רק אוסף הכולל רק שם, מען ודרכי התקשרות, ובלבד שאין בפרטים אלה כדי ללמד על מידע נוסף, ושלבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף. מאחר והגדרת מידע לפי החוק המוצע הינה רחבה וניתן ללמוד מידע נוסף כמעט מכל נתון (למשל משם משפחה ניתן ללמוד מוצא וגזע, ומכתובת ניתן לעיתים ללמוד על מצב כלכלי), אזי חריג זה צומצם באופן משמעותי.
תיקון להגדרת "מידע" – המונח "מידע" הוא מונח היסוד לעניין הגנת הפרטיות במאגרים ממוחשבים. הוא מוגדר היום בסעיף 7 כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". במהלך השנים בית המשפט פירש את המונח בצורה רחבה, הן לעניין סוגי הנתונים הנכללים במסגרתו, והן לעניין הקשר בין נתונים אלה לבין אדם מזוהה. במסגרת התיקון הוצע לעגן פרשנות רחבה של מונח המידע בחוק, ולהגדיר מידע כ"נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר." הגדרה זו הולמת גם את התפיסה המקובלת בחקיקה מתקדמת בעולם, ובכלל זה את הגדרת מידע אישי ב-GDPR.
הוספת הגדרה למונח "מידע ביומטרי" – במסגרת התזכיר הוצע להוסיף הגדרה של מידע ביומטרי, ולקבוע כי מידע ביומטרי הוא מידע בעל רגישות מיוחדת. ההגדרה המוצעת – "נתון המשמש לזיהוי אדם, שהוא מאפיין אנושי פיזיולוגי או התנהגותי ייחודי, הניתן למדידה ממוחשבת". משמעות התיבה "נתון המשמש לזיהוי אדם" היא לנתון שיש יכולת טכנולוגית בעת הנתונה לעשות בו שימוש לזיהוי אדם, ולא נדרש שימוש בפועל כאמור על ידי המעבד הפרטני.
הוספת הגדרת מידע בעל רגישות מיוחדת והשמטת הגדרת מידע רגיש – להגדרת מידע כרגיש אין משמעות לעניין החובות המוטלות לפי החוק, למעט לעניין חובת הרישום של מאגר מידע. לפיכך מוצע למחוק אותה ולכלול הגדרה של "מידע בעל רגישות מיוחדת" הכולל מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד, מידע רפואי או מידע על מצבו הנפשי של אדם, מידע גנטי, מידע אודות דעותיו הפוליטיות או אמונותיו של אדם, מידע אודות עברו הפלילי של אדם, נתוני מיקום ונתוני תעבורה, מידע על נכסיו של אדם ומצבו הכלכלי, מידע על גזע או מוצא של אדם, הרגלי צריכה וכן מידע נוסף שקבע שר המשפטים בצו. להגדרת מידע בעל רגישות מיוחדת תהיה משמעות לעניין חובת הרישום, וכן לעניין גובה העיצום הכספי שיושת בגין הפרות הקבועות בתיקון מס' 13.
חידוד חובת "צמידות המטרה" – עקרון צמידות המטרה (קרי, האיסור להשתמש במידע ממאגר מידע בניגוד למטרה שלשמה המידע נמסר, וכן את האיסור להשתמש במידע או להחזיקו ללא הרשאה של בעל המאגר או תוך חריגה מהרשאה כאמור) אינו תלוי בהיותו של מאגר כפוף לחובת הרישום, אלא הוא חל על כלל מאגרי המידע. בנוסף, בהצעת החוק האמורה מוצע לקבוע כי הפרה של איסורים אלו תהא עבירה פלילית.
צמצום חובת הרישום – לפי חוק הגנת הפרטיות בנוסחו כיום, בעל מאגר מידע מחויב לרשום את מאגר המידע אצל רשם מאגרי המידע אם נתקיימו בו תנאים מסוימים, למשל אם מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000 או אם יש במאגר מידע רגיש. בבסיסו של ההסדר הקיים, הקובע את חובת הרישום, מטרות שונות, שעיקרן שקיפות לציבור לעניין קיומם של מאגרי מידע, כלי אכיפה בידי הרשם, מיפוי המאגרים הקיימים וכלי להגברת הציות לחוק. עם זאת, המרשם אינו ממלא את מלוא מטרות אלה ובהיקפו הנוכחי אינו בהכרח הדרך היעילה להגשמתן. במהלך השנים התעוררו ספקות לעניין האפקטיביות של הרישום ומידת הרלוונטיות של ההסדר למציאות הטכנולוגית הנוכחית ולהיקף הנרחב של מאגרי המידע הקיימים כיום. בשל היקפה הרחב של חובת הרישום ישנה הקצאת משאבים מיותרת של יחידת הרשם אותם ניתן יהיה להפנות לאכיפה ופיקוח וכן לבדיקה מעמיקה ויעילה יותר של המאגרים שימשיכו להיות כפופים לחובת הרישום, בהלימה לסיכון הגדול יותר שהם משקפים לפרטיות. במסגרת ההסדר המוצע החובה תחול רק על מאגרי המידע המהווים את הסיכון הגדול ביותר לפרטיות – מאגרי מידע גדולים, אשר יש בהם מעל 100,000 נושאי מידע, ובנוסף לכך יש בהם רגישות מיוחדת בשל סוג המידע הכלול בהם (מידע בעל רגישות מיוחדת), או בשל סוג בעל המאגר (גוף ציבורי), או בשל מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר), או בשל אופן איסוף המידע למאגר (המידע לא נאסף מנושאי המידע או בהסכמתם). ההיקף המוצע של החובה גובש, בין היתר, תוך הערכה של מספר המאגרים הצפויים להיות כפופים לחובה, באופן שיאפשר לרשם לבדוק באופן מקיף וקפדני יותר את הבקשות לרישום, בהתחשב בין היתר באופי המאגרים. כמו כן, במסגרת התזכיר מוצע לאפשר גמישות וליתן סמכות לרשם להורות על החלת חובת הרישום על מאגר מסוים. אמת המידה להחלה כאמור היא כי הדבר דרוש לשם הבטחת קיום הוראות החוק לגבי מאגר המידע. לצידה, מוצע ליתן לרשם סמכות לפטור במקרים המתאימים מאגר מידע מסוים מתחולת החובה.
איסור על עיבוד לא חוקי – במסגרת התזכיר מוצע לאסור על ניהול מאגר מידע או החזקתו, אם המידע הכלול בו נתקבל, נצבר, נאסף או נוצר בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע. איסור המוצע מבטא ישירות את האיסור, ללא קשר לתחולה של חובת הרישום של המאגר ולהפעלת הסמכות על ידי הרשם. איסור זה נותן מענה לשלב האיסוף של המידע, עוד בטרם נעשה שימוש במידע, ובכך משלים את האיסור על עיבוד לא חוקי.
שימו לב שניתן להעביר את הערות הציבור לתזכיר זה עד ל- 6 באוגוסט, 2020.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל ellat@gkh-law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה
משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-170 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, נדל"ן, ליטיגציה, הגבלים עסקיים, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.
מידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.
