רפורמת הפרטיות / צילום: Shutterstock
תיקון 13 לחוק הגנת הפרטיות נכנס בימים אלה לתוקף, אירוע שציפו לו בכליון-עיניים ברשות להגנת הפרטיות. זהו התיקון המקיף ביותר שנערך בחוק זה מאז שנחקק לפני 43 שנים. למרות התקופה הארוכה שעבדו על התיקון, כדי לאפשר לגורמים הרלוונטיים להיערך, מתברר כי השוק עדיין אינו מוכן לשינוי. גלובס סוקר בהרחבה את השאלות שעדיין פתוחות.
● הרפורמה החדשה והקנסות הכבדים: מי חשוף ואיך נערכים?
אחת הדרישות החדשות בתיקון לחוק הזה הוא "מינוי ממונה הגנת הפרטיות", תפקיד חדש לחברות ואף עשוי להיות בניגוד עניינים מול תפקיד אחר - ממונה אבטחת המידע.
על-פי התיקון בחוק, נקבעה לראשונה בחקיקה החובה למנות "ממונה על הגנת הפרטיות" (DPO) בגופים ציבוריים, ולמעשה בכל ארגון שהעיסוק העיקרי בו כולל עיבוד מידע אישי ורגיש בהיקף ניכר. ממונה כזה יידרש גם בארגונים שבהם הפעילות כרוכה במעקב או בהתחקות שיטתית אחרי אנשים, בהיקף ניכר.
למחוקק היה חשוב להתאים את הוראות החוק הישראלי לרגולציה האירופית המקיפה בתחום הפרטיות, ה-GDPR, כך שברוח החוק האירופי, גם ההגדרות בישראל נותרו עמומות ומרחיבות בנוגע לגורמים שעליהם חלה חובת מינוי הממונה. מה שבטוח הוא שגופים ציבוריים יהיו חייבים במינוי כזה - ממשרד ממשלתי ועד רשות מקומית או רשות סטטוטורית.
ביחס לקנסות, הכנסת קבעה כי הסנקציות יוטלו על גופים ציבוריים וספקיהם, ולא על המגזר הפרטי - זאת בניגוד לעמדת רשות הגנת הפרטיות. בהיעדר מינוי DPO, טווח הקנסות יעמוד בין מאות אלפי שקלים למיליוני שקלים, על בסיס גודל מאגר המידע ורמת האבטחה שלו.
לאילו גופים רלוונטיים ההנחיה החדשה?
עו"ד הילה שרייבמן, שותפה במחלקת ההייטק ומובילה במשותף את תחומי דיני אינטרנט, IT ומדיה במשרדי עורכי הדין שבלת, מסבירה לגלובס כי "החקיקה הולכת לפי הלך-הרוח של ה-GDPR. כמעט כל חברה בישראל עשויה ליפול תחת ההגדרה בחוק, וזו הנחיה שכל חברה בישראל צריכה להכיר. אם לחברה יהיה ממונה הגנת פרטיות, זה בהחלטה מראה שהיא שמה דגש על פרטיות החברה, וזה יקל עליה במצב של קנסות או הליכים".
לעומתה, עו"ד ורד זליכה, שותפה וראש תחום סייבר ואינטליגנציה מלאכותית במשרד ליפא מאיר ושות', מאמינה שהחוק מאוד ברור בזה. "הגופים הטריוויאליים הם חברות ביטוח, קופות חולים ובנקים - ויש קטגוריות שמנויות בו, אז זה לא כל חברה בישראל. המקום של חברות להתלבט זה באמת באזורים שנתונים לפרשנות, כמו לדוגמה בהנחיה 'עיבוד מידע בעל רגישות מיוחדת ובהיקף ניכר'. משמע, צריכים להתקיים פה שני תנאים: גם מידע ברגישות מיוחדת לפי החוק, וגם היקף ניכר - והמבחן כאן מותיר שיקול-דעת לפרשנות, ולכן כדאי שכל ארגון שיבדוק את עצמו ויראה אם הוא נופל תחת ההגדרה".
מה יהיה התפקיד של ממונה הפרטיות?
התפקיד של ממונה הפרטיות הוא להבטיח את קיום הוראות חוק הגנת הפרטיות, התקנות וקידום השמירה על הפרטיות גם מעבר לדרישות החוק היבשות. על-פי התיקון, עליו לשמש כסמכות מקצועית ומוקד ידע, לייעץ להנהלה, להכין תוכנית הדרכה בחברה ולפקח על ביצועה. נוסף על כך, לפי החוק, עליו להכין תוכנית לבקרה שוטפת על המצב בחברה ביחס למאגרי המידע בחברה, לוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות מאגר, לוודא טיפול בפניות של אנשים שמידע אישי עליהם נמצא במאגר המידע, ואף לשמש איש הקשר של הגוף מול רשות הגנת הפרטיות.
על החברה לספק לממונה את התנאים ואת המשאבים למילוי נאות של תפקידו, ועליו לדווח למנכ"ל. בחוק אף מגדירים שאותו אדם צריך להיות בעל הידע והכישורים הנדרשים למילוי התפקיד שלו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה בטכנולוגיה ואבטחת מידע - וכל זאת מתוך הבנה של אופי עיבוד המידע, ההיקף והמטרות.
עו"ד זליכה אומרת שמדובר באדם "שצריך להיות משולב בתהליכים מתחילת הדרך. לדוגמה, אם חברה מטמיעה מערכות חדשות שנוגעות למידע אישי, ממונה הגנת הפרטיות צריך להיות מעורב מתחילת הדרך ולהשפיע על העיצוב של המערכת ככל שהוא יכול. מדובר בין היתר בהדרכה של עובדים בחברה ובסקרי ציות בה. הוא איש הקשר מול הגנת הפרטיות ואיש הקשר לאנשים שהמידע עליהם מעובד".
האם המלצותיו מחייבות את הבכירים?
גם עו"ד שרייבמן מסכימה שמדובר למעשה בסוג של מבקר ומפקח. "הוא לא זה שצריך למלא בפועל חלק מהדרישות, אלא עליו להכין את התוכנית ולפקח ולוודא את היישום של התוכניות האלה".
חשוב לציין כי מדובר בתפקיד שונה מממונה אבטחת מידע בארגון, והשניים אפילו עשויים להימצא בניגוד עניינים. ממונה אבטחת מידע עוסק במידע באופן כללי, גם אישי וגם מסחרי. לעומת זאת, ממונה הגנת הפרטיות צריך להתעסק ספציפית במידע אישי, ובאופן איסוף המידע הזה.
נכון שיש לא מעט תחומי חפיפה בין התפקידים, מסבירות המומחיות. אבל במקרה הזה, צריך להגיד שיש איסור מפורש בחוק על הימצאות בניגד עניינים. "לדוגמה, ממונה אבטחת המידע יכול להגיד שצריך כמה שיותר מערכות ניטור, מול ממונה הגנת הפרטיות, שיעלה בעיות שקשורות למידע של המשתמשים. ולכן צריך לשים לב לזה", מסבירה עו"ד זליכה. לדבריה, אפשר למצוא דרכים כמו פורום משותף עם נושאי משרה רלוונטיים, שם יעלו השיקולים, וההחלטה בסופו של דבר תהיה של המנכ"ל או ראש אגף שכפוף לו.