קצת אחרי פרוץ המלחמה, לאור ריבוי איומי הסייבר, החליטו ברשות להגנת הפרטיות לקדם רפורמה מקיפה בכל היבטי אבטחת המידע בארגונים. במשך שמונה חודשים נערכו בנושא 20 דיונים בוועדת חוקה בראשות ח"כ שמחה רוטמן, שבסופן אישרה הכנסת סופית את התיקון.

בפן החיובי, הרפורמה הזו מיישרת קו עם שורה של מדינות מערביות ומביאה לעמידה בתקני פרטיות גלובליים מחמירים. בצד השני של המטבע, נחתו כמעט על כל ארגון בישראל חובות רגולטוריות נרחבות, שעלות הטמעתן יכולה להגיע למיליוני שקלים. הסנקציות מחמירות במיוחד - ויכולות להגיע לאחוזים נכבדים מהמחזור השנתי של בית העסק. עבור עסקים שמתקיימים על שולי רווח נמוכים, קנסות אלו יכולים להיות מכה אנושה.

ברשות הפרטיות מדגישים כי בשלב זה טרם ננקטו סנקציות מחמירות, אך להערכתם זה עשוי לקרות ממש בקרוב. "אנחנו שלושה חודשים לכניסת התיקון לתוקף. בהחלט יש הליכי אכיפה, אך עוד לא הוטלו עיצומים. יש זכות שימוע, אני מניח שבחודשים הקרובים יוטלו עיצומים, 3 חודשים זה פרק זמן קצר לממש את העיצומים", אומר גורם ברשות.

מה כולל התיקון?

התיקון הוא אבן דרך בהגנה על הזכות לפרטיות והוא נותן בפעם הראשונה "שיניים" לרגולטור שעד לאחרונה פעולותיו היו מצומצמות ולא משמעותיות. לשם המחשה עד כמה המצב היה פרוץ עד היום, גם אם מידע פרטי שלכם דלף מבית עסק, הסנקציות הכספיות היו אפסיות.

"תקנות הגנת הפרטיות היו קיימות כבר בשנת 2017 אבל עד שהתיקון נכנס לתוקף אי אפשר היה להטיל סנקציה על הפרה שלהן. ראינו מצבים שמגישים תביעות אזרחיות אבל לרגולטור לא הייתה סמכות אמיתית לאכוף", מסביר עו"ד ד"ר עמרי רחום-טוויג, שותף, מחלקת סייבר וטכנולוגיות מידע, פישר (FBC).

"למדינת ישראל יש מעמד מול האיחוד האירופי ששווה הרבה כסף לכלכלה הישראלית, וזה חייב אותנו לעדכן את החקיקה", מסבירים ברשות. רו"ח חנן טויזר, שותף ומנהל מחלקת מערכות מידע, פאהן קנה ניהול בקרה GT Israel, מוסיף כי בעידן ה-AI, הכרוך בסיכונים נרחבים להתחזות, יש חשיבות יתרה בשינוי.

טויזר מוסיף כי "הרעיון העיקרי היה לעשות בסיס לזכות לפרטיות ולתמחר אותה. התיקון נותן כוח לנושא המידע, הלקוח, מול מי שאוסף את המידע, העסק. למשל, קיבלתי שיחת טלפון שבה ניסו להציע לי שירות. לאור התיקון אני יכול לבוא אליו בטענות בקובלנה שאני רוצה וצריך לקבל פיצוי נגד האירוע הזה, ללא כל הוכחת נזק".

בשורה התחתונה, התיקון דורש מעסקים שורה ארוכה של חובות, בהתאם לגודל מאגרי המידע שהם מנהלים. מדובר בין היתר בייעוץ משפטי, הדרכות עובדים, ביקורות פנימיות קבועות, הטמעת נהלים ותהליכים ומערכות מידע מתקדמות. כל אלו כרוכים בהקצאת משאבים ובעלויות נרחבות נוספות.

רו''ח חנן טויזר / צילום: אסנת קרסננסקי

האכיפה והסנקציות

"השוק כבר עוסק בזה יותר משנה. יש ארגונים שכבר טיפלו בזה מזמן, אבל יש עסקים שאין להם המשאבים המשפטיים. עכשיו פתאום הם יקבלו מכתב מהרגולטור שהם תחת חקירה", מסביר רחום-טוויג.

החובות המוטלות הן מדורגות ומשתנות מעסק לעסק. הן נקבעות לפי מדדים כמותיים הכוללים את כמות פרטי המידע שהעסק מחזיק. "יש מפרט קנסות, טבלה עם כל הוראה של הפרת מידע והקנסות יכולים לנוע בין אלפי שקלים לעסק קטן ועד למאות אלפים לעסק גדול, כשהמאגר מונה מעל מיליון איש", אומר ד"ר רחום-טוויג.

הוא מוסיף כי "אחת הסנקציות בחוק נוגעת למצב שבו בעל עסק ביקש לאסוף מידע על אנשים ולא פרסם מדיניות פרטיות בצורה ברורה ולא הסביר מדוע הוא אוסף את המידע. במקרה זה, הקנס יכול להיות 100 שקל כפול מספר האנשים שפנה אליהם לקבלת מידע. כלומר, אם פניתי למאה אלף איש, מגיעים ל-10 מיליון שקל קנס. לשם המחשה, זה יכול להיות אתר אונליין של מכירת בגדים שלא צירף את מדיניות הפרטיות ויצטרך להתמודד עם קנס עתק.

"הקושי כאן הוא שההוראה חלה על כל המשק הישראלי, על כל עסק שפועל בישראל, ובגלל שאין שיקול דעת להפחית עיצומים במצבים מסוימים, זה יכול לייצר מצבים אבסורדיים".

החוק גם מטיל חובה על עיבוד מידע שלא כדין (העברתו לאחר, אחסונו, העתקתו). רו"ח טויזר מסביר כי חובה זו קריטית ועלולה לגבות גם היא קנסות גבוהים. "הרגולטור אמר - בואו נגרום לעיצום שיהיה משמעותי. אם אתה אוסף עליי כמויות של מידע, אני קונס אותך פר רשומה. גם במקרה הזה, אם במאגר יש 200 אלף לקוחות, אפשר להטיל עלייך עיצום של 800 אלף שקל".

ברשות מסבירים כי במקרה של עיבוד מידע שנאסף שלא כדין, כל הפרה של חוק הגנת הפרטיות בחלק מהמקרים יכול להיות עיצום כספי ישיר, אך בחלק מהמקרים העיצום הוא מרוכך בכך שהוא מתפרס על שני שלבים תוך מתן זכות טיעון ורק לאחר הפרה חוזרת.

בגופים ציבוריים או בגופים עם מאגרי מידע משמעותיים יש גם חובה של מינוי ממונה על הגנת הפרטיות שאמור לעזור לארגון עם תוכנית עבודה. כמו כן, יש חובה למנות ממונה אבטחה אם סוג העסק מחזיק מעל חמישה מאגרי מידע. גם כאן העיצום יכול להגיע למאות אלפי שקלים.

עו''ד ד''ר עמרי רחום טויג / צילום: רמי זרנגר

הקושי של העסקים הקטנים

החוק מטיל חובות על זכות עיון של אדם במידע האישי שלו. עיצום על הפרה של זכות זו יכול להגיע ל-15 אלף שקל. רו"ח טויזר עומד על הקושי כשמדובר בעסקים קטנים או עסקים עם מערכות מיושנות: "לא תמיד יש לגופים אפשרות להראות לכל אדם מה נאסף עליו, וצריך לפתח פלטפורמה שתאפשר להציג את המידע הזה, המשמעות של העיצום הוא 'אל תזלזל במידע שאספת'. לעסקים קטנים לא תמיד יש מספיק תשומות ויכולות טכנולוגיות לוודא שהמערכות מעודכנות".

בשוק קיימת ביקורת רבה על החוק והסנקציות הדרקוניות המופיעות בו. "אחת ההוראות שיש בצידן סנקציות היא אם קרה אירוע אבטחת מידע ולא דיווחו לרגולטור. זה חשוב לדווח על אירוע אבטחתי אבל זה דרקוני, רק על עצם זה שלא דיווחת, אתה מקבל את העיצום", אומר עו"ד ד"ר עמרי רחום-טוויג.

"הבעיה הכי גדולה עם חובת הדיווח הזו היא שאין לה שום 'באפר'. מספיק ששלחת מייל לכתובת הלא נכונה והיה בו מידע אישי של בן אדם, אין לך שום שיקול דעת להגיד 'זה שטויות, זה זוטי דברים, אין סיבה לדווח על זה'. ניסוח ההוראה הזו הוא בניגוד למה שקורה בכל מדינה אחרת בעולם, גם באירופה וגם ארה"ב, שם הדיווח הוא רק מעל רף מסוים של מהות רגישות המידע".

עו''ד גלעד סממה, ראש הרשות להגנת הפרטיות / צילום: איל יצהר

הרשות מבהירה שההוראה הזו עוסקת רק באירועי אבטחה חמורים שנועדה למאגרים שיש להם רמת אבטחה גבוה או בינונית, ולא חלה על כל אירוע אבטחה. עסק קטן (עד עשרה מורשים למאגר) לא נחשב ברמת אבטחה גבוה או בינונית ולכן הוא לא יכנס בגדר ההוראה.

עם זאת, עסקים קטנים ועצמאים יכולים להיפגע מיישום התיקון בכמה רמות. "מעצם זה שהחוק עבר והם חשופים לסנקציות הם יכולים להיפגע, הם צריכים יועץ שיבדוק האם החובות חלות עליהם ומה הם צריכים לעשות, בלי קשר לשאלה אם לעשות או לא. עצם הבדיקה עולה כסף. אחרי זה, כתלות בגודל או בסוג המידע שלהם לפי ההגדרות השונות, יש כל מיני דברים שהם צריכים להוציא עליהם כסף, אמצעי אבטחת מידע או בעלי תפקידים, או ממונה אבטחת מידע". אומר ד"ר רחום-טוויג.

ברשות מסבירים שהחוק כולל שורה ארוכה של מנגוני בקרה, שיקלו על עסקים זעירים וקטנים, עיצומים כספיים נמוכים יותר יצמצמו את היקף האכיפה כדי למנוע קריסה. כך או אחרת, העלויות הללו בסופו של דבר מתגלגלות לצרכן.

הקנס המקסימלי, והסייגים

הקנס המקסימלי שיכול לחול על עסק מסוים הוא כ-5% ממחזור ההכנסות השנתי שלו. עבור עסקים מסוימים זה כל ההבדל בין רווח להפסד. ברשות מבהירים שהתקרה כללית של 5% מהמחזור העסקי היא פחות רלוונטית לעסקים קטנים, מאחר שלגביהם ממילא הסכומים נמוכים משמעותית. נוסף על כך, ניתן להפחית את העיצומים הכספיים שהוטלו בצורה משמעותית, אם המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק.

אולם, כך לפי ד"ר רחום-טוויג, הקנסות לא נקבעו בחוק על דרך של רף מקסימלי ולכן נראה שלא ניתן להתאים את סכום העיצום לנסיבות המקרה הספציפיות: "גם כאן נוצרת שרירותיות. אני חושב שאפשר היה לייצר עוד החרגות או הפחתות לארגונים קטנים יותר, או לארגונים שהמידע שיש בידם לא רגיש במיוחד".

רוטמן מגן על התיקון

ח"כ שמחה רוטמן, יו"ר ועדת חוקה שקידם את התיקון לחוק, דוחה את הטענות נגדו. לטענתו, התיקון דווקא מוריד רגולציה, ולדבריו כל התהליך לווה בידי נציגי העסקים הקטנים. "במדינת ישראל היו עבריינים לפי החוק הקודם. הם לא רשמו את מאגרי המידע והיו חשופים לתביעות פרטניות גם אם הם כן שומרים על המידע, רק על עצם ההחזקה במאגר המידע. את הרגולציה הזו ביטלתי, התיקון לחוק מייצר מהלך דה רגולציה לעסקים הקטנים".

בנוסף, הוא סבור שעסקים קטנים פחות נפגעים כתוצאה מהתיקון כי העיצומים בעניינם נמוכים משמעותית. "אם יש עסק שהמטרה שלו היא לקחת את המידע שלך ולמכור אותו, אז אין לו מודל עסקי לגיטימי וטוב שיוטלו עליו עיצומים", הוא מוסיף.

מהרשות להגנת הפרטיות נמסר בתגובה: "במציאות טכנולוגית מואצת קיימים סיכונים של ממש למידע האישי של אזרחי המדינה ולפרטיותם. על חברות, עסקים וגופים ציבוריים לעשות שימוש מושכל במידע הרגיש של אזרחי ישראל ולעמוד בהוראות החוק על מנת למנוע ניצולו לרעה או דליפתו לגורמים עוינים. טיפול ראוי במידע האישי, בהתאם לחוק, מייצר אמון של הלקוחות כלפי הגופים העוסקים במידע ומאפשר פיתוח שירותים יעילים לטובת הכלל".