• Yossi Baruch, Adv.

תזכיר חוק חדש בהגנת הפרטיות - האם הפעם זו גברת אחרת, ולא רק שינוי אדרת...

עודכן ב: יול 29

ביום 23/07/2020 פרסמה רשות הגנת הפרטיות להערות הציבור את תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף-2020:

file:///C:/Users/Lenovo/Downloads/%D7%AA%D7%96%D7%9B%D7%99%D7%A8%20%D7%97%D7%95%D7%A7%20%D7%94%D7%92%D7%A0%D7%AA%20%D7%94%D7%A4%D7%A8%D7%98%D7%99%D7%95%D7%AA%20-%20%20%D7%94%D7%92%D7%93%D7%A8%D7%95%D7%AA%20%D7%95%D7%A6%D7%9E%D7%A6%D7%95%D7%9D%20%D7%97%D7%95%D7%91%D7%AA%20%D7%94%D7%A8%D7%99%D7%A9%D7%95%D7%9D%20(1).pdf


מוקדי התיקון הם שניים:


המוקד הראשון, צמצום חובת רישום מאגר מידע, שיהפוך מנטל ביורוקרטי לשומר סף - בהנחת עבודה שהתועלת לציבור מפנקס מאגרי המידע בטלה בשישים לעומת המשאבים הכרוכים באכיפתה, שהובעה כבר בדוח מינואר 2007 שערך צוות במשרד המשפטים לבחינת החקיקה בתחום מאגרי המידע בראשות מר יהושע שופמן (אז המשנה ליועמ"ש וכיום יו"ר המועצה הציבורית להגנת הפרטיות), שדעת הרוב בו תמכה בצמצום חובת הרישום, בשל עמימותה, היקפה הרחב המביא להקצאת משאבים מיותרת של יחידת הרשם, ובשל היעדר יכולת לאכיפתה.

בסיס נוסף לצורך בצמצום הרישום - חובת ה-notification באיחוד האירופי הדומה לזו בישראל, שנגזרה מהדירקטיבה האירופית להגנת מידע אישי משנת 1995, עוררה שנים רבות ביקורת על חוסר יעילות והתמקדות בטפל והושמטה במסגרת חקיקת ה-GDPR.

מוצע לצמצם את חובת הרישום למאגרי מידע שגלום בהם הסיכון הפוטנציאלי הרב ביותר לפרטיות - כאשר קיים מידע על יותר מ-100,000 אנשים, וזאת בשונה מסעיף 8 לחוק הקיים, המחייב בעל מאגר לרושמו בהתקיים כאשר מספרם יותר מ-10,000.

בנוסף - ולא לחילופין כפי שקיים היום, צריך להתקיים אחד התנאים הללו:

  1. מטרתו העיקרית מסירת מידע לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר - קיים כיום חלקית ("משמש לדיוור ישיר").

  2. קיים בו "מידע בעל רגישות מיוחדת" = שמטבעו הינו מידע בעל רגישות מיוחדת כגון מידע ביומטרי, מידע על הרגלי צריכה ועוד - סיווג חדש הכלול בתזכיר (כיום מכונה "מידע רגיש").

  3. המידע לא נמסר למאגר בידי נושאי המידע, מטעמם או בהסכמתם - קיים כיום.

  4. המאגר בבעלות גוף ציבורי - קיים כיום.


המוקד השני, חידוש והרחבת מונחים והגדרות בחוק כך שיתאמו את ערכי הפרטיות של הזמן והמקום - חוק יסוד: כבוד האדם וחירותו שקבע במפורשו כי הזכות לפרטיות היא חוקתית (סעיף 7(א) - "כל אדם זכאי לפרטיות ולצנעת חייו"), וכן הרוח הגלובלית בתקנות ה-GDPR באיחוד האירופי מ-2018 הנחשבות לחקיקת הפרטיות העולמית המתקדמת ובחוק הצרכני בקליפורניה מ-2020 ה-CCPA:

  1. הרחבת "מידע" = "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר" - קרי, במרכז פוטנציאל הזיהוי לפי המידע ולא סוגו או תוכנו הספציפיים.

  2. הרחבת "מחזיק" (סעיף 3) = "מי שבמסגרת התקשרות עם בעל המאגר למתן שירות לבעל המאגר או בשמו, קיבל ממנו הרשאה לעשות שימוש במידע במאגר המידע לשם כך" (ה-Processor מן ה-GDPR) - קרי, די בכך שקיבל הרשאה לשימוש במאגר ולא נדרש שיחזיק ישירות נתונים ממנו.

  3. הגדרה חדשה "בעל מאגר" (סעיף 7) = "מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר המידע, או גוף שהוסמך בחיקוק לנהל מאגר מידע" (ה-Controller מן ה-GDPR).

  4. הרחבת "מידע" (סעיף 7) = "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר" - קרי, במרכז פוטנציאל הזיהוי לפי המידע ולא סוגו או תוכנו הספציפיים.

  5. הגדרה חדשה "עיבוד" = "איסוף או שימוש".

  6. הגדרה חדשה "ניהול חוקי"( 8א) = "לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נתקבל, נצבר, נאסף או נוצר בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע" - מאחר שנתונים במאגר מתרבים לאורך ציר הזמן, עלול הדבר לאלצו לעצור את פעילותו העסקית באחת לצורך רישום.

חוק הגנת הפרטיות, תשמ"א-1981 היה חדשני לזמנו אך התיישן - בדוח הסיכום של עבודת הכנת החקיקה נסקרו התיקונים בו עד כה::

  • מס' 1 (1995) - נוסף פרק העברת מידע בין גופים ציבוריים.

  • מס' 4 (1996) - התאמת פרק ב' לחוק העוסק בהגנה על הפרטיות במאגרי מידע להתפתחות הטכנולוגיה, לתפוצת המחשבים האישיים ולאיומי האבטחה המתגברים.

  • תקנות אבטחת המידע שנכנסו לתוקף במאי 2018 - החלות באופן מודולארי על כלל מאגרי המידע

  • במשק, ציבוריים ופרטיים כאחד, וכוללות מנגנונים ארגוניים, טכנולוגיים ומהותיים.

  • הצעת חוק הגנת הפרטיות (תיקון מס' 13), תשע"ח-2018, אושרה בקריאה ראשונה בכנסת במרץ 2018 - עיקרה בשיפור ועדכון יכולות הפיקוח והאכיפה המוקנות כיום לרשם מאגרי המידע ולעובדי הרשות להגנת הפרטיות,לרבות סמכות להטלת עיצומים כספיים, וסמכויות בירור מינהלי ואכיפה. הליכי החקיקה לא הושלמו במהלך הכנסת ה-20 ובכוונת הממשלה לקדמה במקביל לקידום לתזכיר האמור..

  • במחצית השניה של 2020 יש בכוונת משרד המשפטים לעבוד על תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לעדכון החוק הקיים והתאמתו המהותית למציאות בת זמננו - הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסמכה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות (Accountability) של בעל מאגר ומחזיק.


file:///C:/Users/Lenovo/Downloads/%D7%93%D7%95%D7%97%20%D7%A1%D7%99%D7%9B%D7%95%D7%9D%20%D7%A2%D7%91%D7%95%D7%93%D7%AA%20%D7%94%D7%9B%D7%A0%D7%AA%20%D7%97%D7%A7%D7%99%D7%A7%D7%94%20-%20%D7%AA%D7%96%D7%9B%D7%99%D7%A8%20%D7%A6%D7%9E%D7%A6%D7%95%D7%9D%20%D7%97%D7%95%D7%91%D7%AA%20%D7%A8%D7%99%D7%A9%D7%95%D7%9D%20-%20%D7%A1%D7%95%D7%A4%D7%99.pdf


שינוי עמוק ומשמעותי של חקיקת הגנת הפרטיות בישראל חשוב במיוחד כיום:

ביה"ד הגבוה לצדק של האיחוד האירופי ביטל לאחרונה את החלטת 2016/1250 בדבר הלימת אמנת "מגן הפרטיות" (תקנה 45 של ה-GDPR, בעניין Data Protection/Privacy Shield) להעברת מידע שפרטיותו מוגנת בין האיחוד לארה"ב, במסגרת דיונו בעניין המוכר כ-Schrems II (ע"ש עוה"ד ופעיל הפרטיות Max Schrems אשר נאבק בפייסבוק והעלה נושא זה לתודעה הציבורית); הותר על כנו המנגנון הפרטני של תנאים חוזיים סטנדרטיים בהתקשרות בין גופים המעבירים מידע כאמור (תקנה 46 ל-GDPR), אך נדרש מן המעביר לפקח שהנעבר יכול ומיישם בפועל את דרישות אבטחת המידע והגנת הפרטיות בנסיבות העניין = רגישות תוכנו של המידע המועבר, אך גם מידת התמיכה בפרטיות במסגרת החקיקה המקומית של הנעבר.

הנימוקים המרכזיים שניתנו לכך:

  1. דרישות הביטחון הלאומי של ארה"ב (רשויות מודיעין ואכיפת חוק) מעמידות במרכז את האינטרס הציבורי ואכיפת החוק, דבר שעלול לפגוע בזכויות היסוד של אנשים שנתוניהם הועברו ממדינת איחוד.

  2. לא מתקיים "שוויון ערך חיוני" בחקיקה האמריקאית, ביחס לחוקי האיחוד המקבילים.

  3. העדר סעדים אפקטיביים לנושאי המידע במקרה של פגיעה בפרטיותם.

ישראל מוכרת מ-2011 ע"י האיחוד כמדינה בעלת הגנה מספקת על מידע אישי והדבר מאפשר לחברות טכנולוגיה מקומיות לפעול באירופה בקלות יחסית (אחת מ-13 מדינות שאינן באיחוד וזכו להכרה זו, למשל - קנדה, ארגנטינה, ניו-זילנד ויפן), אך לא לעולם חוסן, והדבר עלול להשתנות לרעה בקרוב.

האיחוד בוחן בעת הזאת מחדש את מעמד המדינות שהוכרו, ומומחים מזהירים כי ישראל בפיגור רב ביחס למדינות בעולם שחקיקת הפרטיות בנן התפתחה מאוד בשנים האחרונות - חוקי הפרטיות מיושנים, כמה חוקים ותקנות מהשנים האחרונות סותרים עקרונות פרטיות, ומדיניות ביטחון הפנים הישראלית כמו גם איכוני השב"כ של חולי הקורונה - כל אלה ישמשו נגדנו.

0 צפיות
עורך דין יוסי ברוך | נורית 17, הוד השרון 4521644 | טלפון 050-6245457
דוא'ל:  yblaw4u@gmail.com
  • Facebook Clean

© 2019 Yossi Baruch