הרפורמה החדשה והקנסות הכבדים: מי חשוף ואיך נערכים?

האם רפורמת ענק שבפתח עומדת לפגוע קשות בעסקים רבים שאינם מוכנים לה? תיקון 13 לחוק הגנת הפרטיות, שנחקק לפני כשנה וצפוי להתחיל ולהיות מיושם מ־14 באוגוסט, מציג לא פחות ממהפכה בכל הנוגע לפרטיות ואבטחת מידע בארגונים ציבוריים ובמגזר הפרטי. זוהי הרפורמה הגדולה ביותר בנושא מאז שחוק הגנת הפרטיות נחקק לראשונה ב־1981.

● בלעדי | האוצר מעלה הילוך בניסיון לתפוס משכירי דירות מעלימי מסים
● תיק וינרוט: הסיפור המלא מאחורי פסק הבורר שמטלטל את ענף המשפט

ברקע התיקון ניצב הזינוק שחל מאז 7 באוקטובר בהיקף התקפות הסייבר. לפי נתונים של מערך הסייבר הלאומי, בשנה שעברה אירעו 17 אלף אירועי סייבר - עלייה של 24% בהשוואה ל־2023. המקרים הבולטים (41%) נגעו לפישינג - משלוח הודעות שנועדו לפרוץ למערכת הממוחשבת של הקורבן.

התיקון נועד גם "ליישר קו" עם הרגולציה הבינלאומית בנושאי פרטיות ולוודא כי הסטנדרט בישראל מתקרב ככל הניתן לתקנות ה־GDPR של האיחוד האירופי, הנחשבות למתקדמות בעולם.

רגולטור עם שיניים

בראש ובראשונה, התיקון מחזק דרמטית את סמכויותיה של הרשות להגנת הפרטיות במשרד המשפטים. הרשות תהפוך לגוף אכיפה "עם שיניים", המוסמך לבצע חקירות, לדרוש מסמכים ולהטיל קנסות. הרשות תוכל להעסיק חוקרים ולבצע אכיפה מינהלית מול חברות עסקיות וגופים ציבוריים - כולל ביטחוניים.

אך זה עוד כלום. החדשות המדאיגות מבחינת העסקים הן שהרשות להגנת הפרטיות תוכל לפגוע בכיס של ארגונים המפירים את כללי אבטחת המידע ולהטיל עליהם קנסות גבוהים.

לדוגמה, ארגון שבו אירעה פריצת סייבר כתוצאה מהפרת הדרישות בחוק, עלול לספוג קנס בגובה 320 אלף שקל עבור כל הפרה בנפרד. אם מאגר המידע שבו אירעה הפריצה גדול במיוחד, הקנס אף עשוי להיות כפול ולהגיע ל־640 אלף שקל לכל הפרה, וזאת עד לתקרה של 5% ממחזור ההכנסות של הארגון. זה אולי נשמע מעט, אבל עבור עסקים רבים מדובר לעתים ברווח כולו - כך שהקנסות עלולים לפגוע בהם דרמטית ולהביא אותם בפני שוקת שבורה.

כאמור, כל אירוע עשוי לכלול מספר רב של הפרות - לא רק דליפה של מידע אלא גם כשלים שקדמו לה כגון אי־ביצוע סקר סיכונים או היעדר מדיניות אבטחת מידע. במצטבר, הקנס עלול אפוא לטפס למיליוני שקלים.

התיקון אף מחזק את האפשרות לקבל פיצויים על פגיעה בפרטיות בתביעות אזרחיות. כך, ניתן יהיה לקבל פיצוי בגובה של עד 10 אלף שקל ללא הוכחת נזק, למשל במקרה שבו אדם גילה כי פרטים עליו נכללים במאגר שלא נרשם לפי החוק או שהתבצע עיון במידע אישי תוך חריגה מהתנאים המאפשרים זאת. תקופת ההתיישנות, שאיפשרה עד כה לתבוע תוך שנתיים בלבד, הוארכה ל־7 שנים.

מה לגבי מידע ישן?

"עסקים רבים לא בהכרח מודעים לשינויים בחוק, ועכשיו עלולים להיחשף אליהם לראשונה דרך תביעות שיוגשו נגדם או במסגרת הליכי אכיפה שהרשות תנקוט מולם - מבלי שהם ערוכים" - כך מתריע עו"ד אליעד שולומוביץ', ראש תחום הגנת הפרטיות במשרד ש. פרידמן, אברמזון.

לדבריו, שימוש במידע שעד כה היה שגרתי עלול לסכן עסקים מעכשיו - לדוגמה, סביב העברת המלצות למשרה במסגרת "חבר מביא חבר" או כאשר לקוח מעביר אקראית לבעל עסק פרטים של לקוח פוטנציאלי אחר. "כדי להגן על עצמם, עסקים יידרשו להיערך מחדש, להכשיר את העובדים, וגם לתעד הסכמה לשימוש במידע אפילו אם זה קורה כשמשלמים בקופה", אומר שולומוביץ'.

החשש במשק מהקנסות נוגע, בין היתר, לדרישה כי ארגונים ימחקו מידע ישן שברשותם. "עסק שיש לו אתר אינטרנט עם Cookies יכול למחוק תוך שנה את המידע, אבל במערכות מורכבות כמו בנקים או חברות ביטוח קשה למחוק מידע על לקוחות עבר מלפני שנים", אומרת עו"ד דלית בן ישראל, שותפה ומנהלת מחלקת הגנת הפרטיות במשרד נשיץ, ברנדס, אמיר, שהשתתפה בדיונים בכנסת סביב תיקון 13. לדבריה, חברות שטרם נערכו לכך עלולות להיות יעד לגביית "כסף קל" באמצעות קנסות שיוטלו עליהן.

 עו''ד אליעד שולומוביץ' / צילום: עמית עזריאל

שנה להתארגנות

ברשות להגנת הפרטיות מודעים לחששות, אך מזכירים כי לארגונים הייתה שנה להיערך ליישום החוק, וממליצים למי שטרם עשה כן להזדרז ולהשלים את הפער. נזכיר כי לפי התיקון, הרשות תוכל גם להתריע בפני ארגון כי אם הפרת הפרטיות מצידו לא תיפסק, יוטל קנס; לדרוש הפקדת עירבון כספי כחלק מהתחייבות הארגון להפסקת ההפרה; ואף לבקש מבית המשפט צו לסגירה של מאגרי מידע.

עוד תחול כעת חובה על ארגונים גדולים למנות ממונה להגנת הפרטיות בארגון. המינוי יידרש בבנקים ובחברות ביטוח, בחברות סלולר ותקשורת, במשרדי ממשלה ורשויות מקומיות, בבתי חולים וקופות חולים, באוניברסיטאות ובמכללות וכן בגופים "שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר".

בהקשר זה, התיקון שינה את ההגדרה לגבי מידע רגיש במיוחד, וזה מתייחס, בין היתר, למידע רפואי, גנטי וביומטרי, למידע אודות עבר פלילי, להערכות אישיות שבוצעו למשל במסגרת קבלה לעבודה, לנתוני שכר, לדעות פוליטיות, לאמונות דתיות ולשירותי מיקום.

הממונה יהיה הכתובת המרכזית בארגון ליישום החוק. לתפקיד יוכל להתמנות מי שבקיא בדיני הגנת הפרטיות, בטכנולוגיה ובאבטחת מידע. הוא יהיה כפוף למנכ"ל ויוכל להגיע מתוך הארגון או כיועץ חיצוני.

לצד זאת, תיקון 13 מקל ברגולציה על רישום מאגרי מידע. רישום לא יחול על רוב המגזר הפרטי, אלא יתחייב רק לגבי גופים ציבוריים או לגבי מאגרים הכוללים מידע על יותר מ־10 אלף בני אדם הכרוך בתשלום.

 עו''ד דלית בן ישראל / צילום: עמי ארליך

במשרד המשפטים כבר עובדים על תיקונים נוספים לחוק. עו"ד בן ישראל סבורה כי הדבר הכרחי, למשל כדי לפתח מערכות בינה מלאכותית. "לפי החוק הקיים מותר לעבד מידע רק אם ניתנה הסכמה או שהחוק הסמיך לכך מפורשות, כמו למשל באכיפה נגד הלבנת הון", היא מסבירה. "אבל איך בנק שרוצה לפתח מערכת AI ישיג הסכמה של לקוחות מלפני חמש שנים? ולכן, במקרים שבהם אין פגיעה משמעותית בפרטיות, יצטרכו לתקן את החוק ולאפשר שימוש במידע גם אם יש לכך אינטרס לגיטימי, כמו באירופה".

מהפכת הפרטיות הצפויה החל מאוגוסט, ואשר עשויה לגבות מחיר כלכלי כבד מעסקים, היא אפוא רק השלב הראשון בדרך לרפורמה מקיפה עוד יותר, העשויה להגיע בשנים הקרובות.