תיקון מס 13 לחוק הגנת הפרטיות

ישראל, הנחשבת למוקד עולמי של חדשנות, פיתוחים טכנולוגיים והמצאות פורצות דרך, הציבה לעצמה יעד אסטרטגי ליישר קו עם הסטנדרטים הבינלאומיים בתחום הגנת הפרטיות והמידע. במסגרת מגמה זו נולד תיקון מספר 13 לחוק הגנת הפרטיות, תשמ״א–1981, שנועד לחזק את ההגנה על המידע האישי בישראל, ולהתאים את הדין המקומי לעקרונות הנהוגים במדינות ה- OECD וה- EU.
תכליתו של התיקון היא גם לעודד אמון ושיתופי פעולה כלכליים בין חברות ישראליות לגורמים זרים – מתוך מטרה לצמצם חששות רגולטוריים וליצור תשתית בטוחה להעברת מידע, מסחר ורכישת שירותים עם מדינות זרות.

חוק הגנת הפרטיות, תשמ״א–1981, כפי שתוקן במסגרת תיקון מספר 13, חל על כל מידע אישי המתייחס לאדם מזוהה או שניתן לזהותו, וזאת ללא תלות בדרך היווצרותו או באמצעי העיבוד שבו נעשה שימוש.

בהתאם לכך, החוק חל הן על מידע אישי שנאסף או הוזן למערכת מידע – לרבות מערכת מבוססת בינה מלאכותית- (AI) והן על מידע חדש שנוצר או נגזר כתוצאה מעיבוד הנתונים במערכת, או מהסקת מסקנה מהנתונים שהוזנו אליה , כל עוד ניתן לקשרו לאדם מסוים.

מידע כזה עשוי לכלול, בין היתר, תחזיות, הערכות, סיווגים או פרופילים שנוצרו על בסיס נתונים קיימים. גם אם מדובר בתובנות "חדשות" שלא נמסרו ישירות על ידי האדם, הרי כל עוד הן מתייחסות אליו – הן נחשבות מידע אישי לצורך תחולת החוק, ועל כן חלות עליהן כל החובות וההגנות הקבועות בו.

עם זאת, מקום שבו הנתונים עברו אנונימיזציה מלאה, באופן שאין עוד אפשרות סבירה לזהות את האדם שממנו הופקו, הם יוצאים מגדר תחולת החוק.

בכל שלב של עיבוד מידע אישי – בין אם במסגרת אימון מודל הבינה המלאכותית ובין אם בשלב הפעלתו השוטפת – נדרש לקיומו של בסיס חוקי מפורש לעיבוד המידע, בהתאם לעקרונות הקבועים בחוק הגנת הפרטיות, תשמ״א–1981, ובתיקון מספר 13 לו.

בהתאם לעקרון השקיפות וההוגנות, מחויב המחזיק או המעבד ליידע את נושא המידע בדבר מטרות העיבוד, זהות הגורם המעבד, היקף השימוש במידע והבסיס החוקי שעליו הוא נסמך – בין אם מדובר בהסכמה, חובה חוקית, קיום חוזה, או אינטרס לגיטימי אחר בהתאם להוראות הדין.

יש להבחין בין מידע אישי מזוהה או ניתן לזיהוי, אשר לגביו חלות הוראות החוק במלואן, לבין מידע שעבר אנונימיזציה מלאה ואינו מאפשר עוד זיהוי של הפרט – שאז אין תחולה לחוק.

חשוב להדגיש כי עצם פרסום מידע אישי ברשת האינטרנט אינו שקול להסכמה לשימוש בו לצורכי אימון מודלים של בינה מלאכותית. עיבוד מידע מסוג זה, לרבות קריאתו או ניתוחו באמצעות אלגוריתם, עשוי להיחשב פגיעה בפרטיות אם אינו נשען על בסיס חוקי מתאים או על הסכמה מדעת וברורה של נושא המידע.

לפיכך, על כל גוף המשתמש במידע אישי לצורך פיתוח, אימון או הפעלת מערכות ,AI לקיים בחינה מקדמית של הבסיס החוקי לעיבוד, ולוודא כי הפעולה נעשית באופן הוגן, שקוף ומידתי, ובהתאם לתכליות החוק.

תיקון מספר 13 לחוק הגנת הפרטיות קובע כי גישה למידע אישי או כרייתו מתוך מאגר מידע ללא הרשאה כדין מהווה עבירה פלילית.
הוראה זו נועדה לחזק את ההגנה על פרטיותם של אזרחים ולמנוע פעולות של איסוף, שליפה או עיבוד מידע אישי על ידי גורמים שאינם מוסמכים לכך.

כרייה או איסוף אוטומטי של מידע אישי ממקורות מקוונים או ממאגרי מידע, כאשר אינם מלווים בהרשאה כדין או בהסכמת נשוא המידע, עלולים להוות אירוע אבטחה חמור כהגדרתו בחוק הגנת הפרטיות, תשמ״א–1981, ובתקנות הגנת הפרטיות (אבטחת מידע), תשע״ז–2017.

יוצא איפוא שרשתות חברתיות ושירותים המאפשרים שיתוף מידע אישי באינטרנט- נדרשים לנקוט באמצעים למניעת כריית מידע אסור.

במקרים אלה, מפעיל השירות או בעל המאגר חייב לדווח לרשות להגנת הפרטיות באופן מיידי, לנקוט באמצעים למניעת המשך הגישה, ולבצע בירור ותיעוד של נסיבות האירוע בהתאם להוראות התקנות.

החובה חלה גם כאשר הכרייה נעשתה באמצעות כלים אוטומטיים ("סקראפינג"), לרבות לצורכי אימון או שיפור מודלים של בינה מלאכותית.
עצם פרסום מידע אישי באינטרנט אינו מהווה הרשאה לשימוש בו לצורכי כרייה או עיבוד, וכל שימוש כזה ללא עילה חוקית תקפה עשוי להיחשב להפרה של הוראות החוק.

דיוק מידע אישי וזכויות נושא המידע

אדם הסבור כי מידע המתייחס אליו ואשר מצוי במאגר מידע אינו נכון, אינו שלם או עלול להטעות, רשאי לפנות אל בעל המאגר בבקשה לתקן את המידע או למחוק אותו, בהתאם לסעיף 14 לחוק הגנת הפרטיות, תשמ״א–1981.

הפנייה נעשית ישירות אל בעל המאגר או המפעיל מטעמו, והחוק מחייב את בעל המאגר להשיב לפונה בתוך זמן סביר וליידע אותו האם בקשתו התקבלה או נדחתה, תוך הנמקת ההחלטה.

זכות זו נועדה להבטיח כי המידע הנאסף, נשמר או מעובד לגבי אדם יהיה מדויק, מעודכן ואמין, וכי לא ייעשה שימוש במידע שגוי או מטעה העשוי לפגוע בו.

החידושים הרלוונטיים בתיקון מס' 13

הרחבת ההגדרה של "מידע אישי" – עקרון יסוד בתיקון מספר 13

אחד החידושים המרכזיים בתיקון מספר 13 לחוק הגנת הפרטיות, תשמ״א–1981, הוא עדכון והרחבת ההגדרה של "מידע אישי", באופן המשקף את המציאות הדיגיטלית העכשווית.

על פי התיקון, "מידע אישי" הוא כל נתון המתייחס לאדם מזוהה או שניתן לזהותו, במישרין או בעקיפין.
ההגדרה רחבה וכוללת טווח רחב של נתונים – החל מפרטים מזהים מובהקים כגון שם, כתובת, מספר זהות, נתוני מקום ונתונים ביומטריים, וכלה בפרטים עקיפים יותר כגון כתובת ,IP דפוסי גלישה באתרים, העדפות אישיות, דעות פוליטיות, נתונים רפואיים או מצב כלכלי.

גם נתון יחיד אשר כשלעצמו אינו מזהה אדם, אך ניתן לשלבו עם נתונים נוספים באופן שמאפשר לזהותו, ייחשב למידע אישי לצורך תחולת החוק.
תכלית ההרחבה היא להבטיח הגנה אפקטיבית על פרטיות האדם בעידן שבו טכנולוגיות מתקדמות מאפשרות זיהוי עקיף ומורכב באמצעות שילוב מקורות מידע שונים.

מידע בעל רגישות מיוחדת – הערכת אישיות (Personality Profile)

תיקון מספר 13 הוסיף לחוק הגנת הפרטיות קטגוריה חדשה של "מידע בעל רגישות מיוחדת", הכוללת, בין היתר, את המונח "הערכת אישיות".
הכוונה היא למידע שנערך על ידי גורם מקצועי, או שנוצר באמצעות מערכת או אמצעי טכנולוגי, אשר נועדו להעריך מאפייני אישיות מהותיים של אדם – כגון קווי אופי, יכולות שכליות או קוגניטיביות, וכן יכולת תפקוד בעבודה, בלימודים או בסביבה חברתית.

הגדרה זו נועדה להבטיח רמת הגנה מוגברת על מידע שנוגע לעומק זהותו, תפיסתו העצמית ויכולתו של האדם, נוכח הפוטנציאל הגבוה לפגיעה בפרטיותו ובכבודו במקרה של שימוש לרעה או דליפה של מידע מסוג זה.

הרחבת ההגדרה של "מחזיק" ו"מעבד מידע" – חיזוק אחריות הגנת הפרטיות

תיקון מספר 13 הרחיב את ההגדרות והחובות החלות על גורמים המטפלים במידע אישי, כך שהן אינן מוגבלות עוד לבעל המאגר בלבד.
החוק קובע כעת כי גם כל גורם חיצוני המעבד מידע אישי עבור בעל המאגר – לרבות ספק שירות, קבלן משנה, או נותן שירות טכנולוגי – ייחשב "מעבד מידע" ויחולו עליו חובות ישירות על פי הדין.

הרחבה זו נועדה לחזק את תכליותיו המרכזיות של החוק, ובהן: שמירה על פרטיות נושאי המידע, הבטחת שימוש הוגן, ושקיפות מלאה בניהול מאגרי מידע.
בהתאם לכך, כל התקשרות בין בעל מאגר לגורם חיצוני מחייבת הסדרה חוזית מפורשת, הכוללת הוראות בדבר אבטחת מידע, שמירת סודיות, תחולת הדין הישראלי, ואיסור שימוש במידע למטרות זרות.

הרחבת ההגדרה של "שימוש במידע אישי"

תיקון מספר 13 לחוק הגנת הפרטיות הרחיב באופן משמעותי את משמעות המונח "שימוש במידע אישי".
לפי התיקון, כל פעולה המתבצעת במידע אישי – לרבות איסוף, שמירה, עיבוד, העברה, שילוב, ניתוח, הצלבה, עדכון, מחיקה או מסירה לצד שלישי – תיחשב לשימוש במידע, ועל כן תחול עליה חובת עמידה בהוראות החוק.

המשמעות היא כי כל גורם המחזיק או נוגע במידע אישי, גם אם אינו עושה בו "שימוש פעיל" במובן המסורתי, נדרש לפעול בהתאם לעקרונות ההגנה על פרטיות, ובכלל זה קיומו של בסיס חוקי לעיבוד, שמירה על אבטחת מידע, הגבלת הגישה, ושמירה על שקיפות כלפי נושאי המידע.

הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות

תיקון מספר 13 לחוק הגנת הפרטיות חיזק באופן מהותי את מעמדה של הרשות להגנת הפרטיות והפך אותה לרגולטור עצמאי ועוצמתי, בעל סמכויות פיקוח ואכיפה נרחבות כלפי גופים ציבוריים ופרטיים כאחד.

הרשות מוסמכת עתה לבצע בירורים מנהליים, לקיים בדיקות פיקוח וביקורת במאגרי מידע, ולהוציא הוראות מחייבות להפסקת שימוש מפר במידע אישי או לתיקון ליקויים שנמצאו בהתנהלות הגורם המחזיק או המעבד את המידע.
כן הוענקו לה סמכויות מנהליות להטלת עיצומים כספיים, מתן התראות, ואף המלצה על פתיחה בהליכים פליליים במקרים חמורים.

מעמדה החדש של הרשות כרשות אכיפה עצמאית, בעלת כלים אופרטיביים ואמצעי פיקוח מודרניים, מהווה את ליבת התיקון ומבטא את המעבר מתפיסה הצהרתית להגנה אקטיבית ואכיפה אפקטיבית על פרטיותם של אזרחי ישראל.

חובת שיתוף פעולה עם הרשות להגנת הפרטיות

תיקון מספר 13 לחוק הגנת הפרטיות קבע לראשונה חובת שיתוף פעולה מלאה עם הרשות להגנת הפרטיות, החלה הן על גופים פרטיים והן על גופים ציבוריים.
החובה כוללת מתן מענה לפניות הרשות, מסירת מידע או מסמכים הנדרשים לצורך פיקוח, וכן היענות להוראות ולבקשות הבהרה מטעם נציגי הרשות.

הימנעות ממסירת מידע או עיכוב בהעברת נתונים שנדרשו על ידי הרשות עשויים להיחשב הפרה מנהלית חמורה, ולגרור עיצום כספי משמעותי – עד לסכום של 300,000 ₪ ליחיד, ובמקרים מסוימים אף סכום גבוה יותר לתאגיד.

הוראה זו נועדה להבטיח כי סמכויות הפיקוח של הרשות לא ייוותרו על הנייר בלבד, אלא ילוו במנגנון אכיפה מעשי ואפקטיבי, המחייב שיתוף פעולה מצד כל הגורמים המטפלים במידע אישי.

סמכויות הפיקוח והביקורת של מפקחי הרשות

תיקון מספר 13 העניק למפקחים מטעם הרשות להגנת הפרטיות סמכויות פיקוח וביקורת נרחבות, הדומות במהותן לאלה של רשויות אכיפה מנהליות אחרות.

המפקחים מוסמכים להיכנס למשרדי גופים ציבוריים ופרטיים, לדרוש לעיין במסמכים, להעתיק נתונים, ליטול דגימות מידע, וכן לדרוש כל פרט הנדרש לצורך בירור עמידתו של הגוף בהוראות החוק והתקנות.

לראשונה, ניתנה לרשות הסמכות לבצע ביקורות יזומות ושגרתיות גם בהיעדר תלונה קונקרטית או חשד מוקדם להפרה, מתוך גישה פיקוחית מניעתית, שמטרתה לוודא עמידה שוטפת בדרישות החוק ולחזק את רמת הציות הארגוני במשק.

סנקציות בגין אי שיתוף פעולה עם מפקחי הרשות

גוף המסרב לאפשר למפקחי הרשות להגנת הפרטיות להיכנס למשרדיו, לעיין במסמכים או לקבל מידע שנדרש לצורך ביקורת, עובר על הוראות החוק ועלול להיחשף לסנקציות משמעותיות.

בהתאם לתיקון 13, סירוב למסור מידע, עיכוב בביצוע דרישת פיקוח, או מניעה של גישה למידע או למערכות מידע, עשויים להיחשב הפרה מנהלית חמורה, ולהביא להטלת עיצום כספי גבוה, צו תיקון, ואף צו להפסקת עיבוד המידע עד להסדרת הליקוי.

במקרים חמורים במיוחד, שבהם אי שיתוף הפעולה נעשה בזדון או במטרה להסתיר הפרת פרטיות, רשאית הרשות להמליץ על פתיחה בהליך פלילי נגד האחראים לכך.

הוראה זו נועדה להבטיח כי סמכויות הפיקוח של הרשות יהיו אפקטיביות, וכי גופים המחזיקים במידע אישי יבינו שחובתם לשתף פעולה עם הרשות אינה רשות – אלא חובה משפטית מחייבת.

פיצוי ללא הוכחת נזק ועיצומים כספיים מוגדלים

תיקון מספר 13 לחוק הגנת הפרטיות קבע מנגנון סנקציות רחב ומעודכן, שנועד להבטיח הרתעה אפקטיבית ואכיפה משמעותית כלפי מפרי החוק.

ראשית, בתי המשפט הוסמכו לפסוק פיצויים ללא הוכחת נזק לנושא מידע שנפגע כתוצאה מהפרת הוראות החוק או התקנות, בסכום של עד 10,000 ₪ לכל הפרה, לפי שיקול דעת בית המשפט.
הוראה זו חלה, בין היתר, על מקרים של סירוב בלתי מוצדק לבקשת עיון או תיקון מידע אישי, או על מחיקת מידע בניגוד לדין.

בנוסף, התיקון קבע מדרג של עיצומים כספיים מנהליים שניתן להטיל על ידי הרשות להגנת הפרטיות, בהתאם לחומרת ההפרה ולמאפייני הגוף המפר.
בין היתר, ניתן להטיל עיצום כספי בשיעור של עד 3% מהמחזור השנתי של הגוף המפר, או עד 200,000 ₪ – לפי הנמוך מבניהם.

הרחבה זו של סמכויות הענישה נועדה להתאים את הדין הישראלי לסטנדרטים הבינלאומיים בתחום הגנת הפרטיות, ולהעביר מסר ברור בדבר החובה לשמור על רמת ציות גבוהה, שקיפות ואחריותיות (Accountability) בעיבוד מידע אישי.

דברי סיכום – משמעותו וחשיבותו של תיקון מספר 13

תיקון מספר 13 לחוק הגנת הפרטיות, תשמ״א–1981, מהווה נקודת מפנה משמעותית בדיני הגנת הפרטיות בישראל, ומעיד על מעבר ממסגרת הצהרתית למערכת אכיפה מהותית, רבת שיניים ואפקטיבית.

התיקון מבסס תפיסה מודרנית של פרטיות כזכות יסוד חוקתית, המעוגנת באחריות ישירה של כל גוף המחזיק או מעבד מידע אישי לפעול בשקיפות, בהוגנות ובזהירות מרבית.

תיקון 13 מעדכן את החוק לעידן הדיגיטלי ומטיל חובות חדשות על ארגונים פרטיים וציבוריים.
הוא יוצר משטר משפטי חדש, שבמרכזו עומדים עקרונות האחריותיות (Accountability) מניעת הפגיעה מראש ,(Prevention) והגברת אמון הציבור בשימוש הנעשה במידע אודותיו.

על כן, כל ארגון – ציבורי או פרטי – נדרש כיום לבחון מחדש את מדיניותו הפנימית, את מנגנוני אבטחת המידע וההסכמה, ואת מערכות היחסים עם גורמים חיצוניים המעבדים עבורו מידע.
עמידה מוקפדת בדרישות התיקון אינה רק חובה משפטית, אלא ערובה למוניטין, אמון ועמידה בסטנדרטים בינלאומיים של ממשל תאגידי ואחריות חברתית.

תיקון 13 אינו מהווה רק שינוי חקיקתי – הוא מסמן תרבות פרטיות חדשה בישראל: כזו המחייבת זהירות, שקיפות וכבוד כלפי הפרט במרחב הדיגיטלי.
חשוב להדגיש שמשאבים שיושקעו להימנע מהפרת החוק נמוכים בהרבה מהמשאבים שיושקעו אם הוראות החוק יופרו, תיקון ההפרה , כולל נזקים עקיפים כגון: פגיעה בשווי מניות החברה, הדרה ממכרזים, אבוד לקוחות אסטרטגיים ופגיעה במוניטין.

בעקבות התיקון לחוק כל אתר נדרש כיום לפרסם את תנאי השימוש ומדיניות הפרטיות עבור המשתמשים, כשהם מותאמים לעקרונות התיקון כפי שפורטו כאן – ככל שאתם רוצים לשמור על עצמכם ולבצע את ההתאמות הנדרשות נדרש לפנות אל עורך דין אינטרנט מומלץ.

לקבלת מידע נוסף ויעוץ משפטי בנושא – ניתן לפנות למשרד עו”ד אורלי ספיר סחייק בטלפון: 054-212-2878 או להשאיר פרטים ואנו נחזור אליכם.

עורכת דין אורלי ספיר סחייק

עו״ד אורלי ספיר סחייק, בוגרת משפטים מאוניברסיטת ת״א, בעלת מעל 30 שנות ניסיון וראש משרד עורכי דין פעיל.
מומחית לדיני אינטרנט, קניין רוחני, פטנטים, סימני מסחר וזכויות יוצרים.
מייצגת יזמים וסטארטאפים, מלווה מיזמים באקדמיה ובתחום החברתי-טכנולוגי.
מרצה ומובילה ציבורית בתחומה, עם הישגים משפטיים בולטים ומאות לקוחות מרוצים.