דלג לתוכן

ידיעות

תיקון מס' 13 לחוק הגנת הפרטיות

24-11-2024 15:24 25-11-2024 11:20

שלום רב לכולם,

בשנים האחרונות נושא הפרטיות ומאגרי המידע (בפרט  מאגרי מידע רגישים) הופך להיות נדבך משמעותי אשר הרשויות הממונות מאמצות דרישות אשר מקורן באירופה ואף מבצעות תהליכי בקרה לבחינת עמידה בדרישות.

בשנים האחרונות ביצעה רשות הגנת הפרטיות מספר פיקוחי רוחב לבחינת מענה לתקנות הפרטיות כמפורט להלן:

  • 2024: עמותות ומגזר שלישי.
  • 2024: מגזר בתי חולים.
  • 2020: מגזר נתוני שירות סיוע במימוש זכויות רפואיות.
  • 2019: מכונים רפואיים ומעבדות רפואיות.
  • 2019: מגזר מרפאות בריאות הנפש.

כמו כן בחודשים האחרונים נחקק תיקון משמעותי לנושא תקנות הפרטיות (בדגש על בעלי מאגר מידע רגיש) כמפורט להלן:

תיקון 13 לחוק הגנת הפרטיות

בתאריך 5/8/2024 אושר בכנסת בקריאה שנייה ושלישית הנוסח הסופי של תיקון מס’ 13  לחוק הגנת הפרטיות, החוק אמור להיכנס לתוקף בשנה הקרובה, ובכך לחולל את הרפורמה המשמעותית ביותר בדיני הפרטיות מאז שחוקק לראשונה בשנת 1981.

התיקון לחוק יוצר מסגרת מעודכנת להגנה על מידע אישי ומחזק את הזכות לפרטיות בישראל, כך שתהיה קרובה יותר לתפיסה הנהוגה במדינות האיחוד האירופי. התיקון מעניק סמכויות פיקוח ואכיפה מרחיקות לכת לרשות הגנת הפרטיות, מבטל דרישות מכבידות ומיושנות שהיוו נטל על חברות ובעלי עסקים, לרבות צמצום חובת הרישום, ומעניק כלים להתמודדות נכונה יותר עם האתגרים הגדולים שמציבה הטכנולוגיה בתחום זה.

הנ"ל רלוונטי לחברות אשר עובדות מול גופי בריאות בישראל.

עיקרי התיקון הינם:

  • הרחבת סמכויות משטר הפיקוח:  התיקון מרחיב משמעותית את סמכויות רשות הגנת הפרטיות והופך אותה לרגולטור חזק בעל יכולת פיקוח ואכיפה על גופים פרטיים וציבוריים כאחד, תוך הקניית סמכויות חקירה, סמכויות להורות על הפסקת העיבוד המפר, סמכויות לביצוע בירורים מנהליים לרבות הטלת אמצעי אכיפה מנהליים מסוגים שונים, הטלת עיצומים כספיים ועוד.
  • הטלת עיצומים כספיים בסכומים משמעותיים: החוק מסמיך את ראש הרשות לראשונה להטיל עיצומים כספיים מנהליים בסכומים משמעותיים בנוגע להפרות הוראות החוק. מודל העיצומים מתבסס על קריטריונים שונים, הכוללים את:
  • חובת מינוי ממונה הגנת הפרטיות (DPO): במסגרת התיקון, גופים שונים יחוייבו במינוי ממונה הגנת פרטיות אשר ישמש כגורם בעל סמכות מקצועית בארגון לתחום הפרטיות. החובה החדשה בחוק נועדה להביא לשיפור משמעותי בהגנה על עקרונות דיני הפרטיות בארגונים, ויש לומר כי היא נולדה מתוך הדיאלוג שבין גורמי החקיקה לבין נציגי הציבור וכלל לא הופיעה בהצעת החוק הממשלתית בתחילה.

בימים אלו מרחיבה הרשות להגנת הפרטיות את גוף האכיפה שלה, על מנת להמשיך בביצוע ביקורות רוחב במגזרים בהם מנוהל מידע רגיש, בכל פיקוח רוחב (החל מכניסת התיקון לתוקף), הרשות תוכל להטיל סנקציות כספיות על הפרות של תקנות הפרטיות, כמפורט להלן:

  • הפרת זכויות מהותיות של נושא מידע יחיד- 15,000 ₪.
  • הפרת זכויות מהותיות בנוגע לכלל המאגר- 30,000 ₪ או לפי מספר נושאי המידע: 50 ₪ במידע רגיל, 100 ₪ במידע בעל רגישות מיוחדת.
  • הטלת עיצומים כספיים בסך 320,00 ₪ על אי ביצוע סקר סיכונים מבדקי חדירות וחוסן (נדרש אחת ל- 18 חודש).
  • הפרת חובות מהותיות בניהול מאגר (אי מינוי ממונה הגנת פרטיות)- לפחות 20,000 ₪ במאגר מידע רגיל (או 40,000 ₪ במאגר מידע בעל רגישות מיוחדת) או לפי מספר נושאי המידע: 2 ₪ במידע רגיל, 4 ₪ במידע בעל רגישות מיוחדת.
  • אי ממונה הגנת הפרטיות עלול להוביל לעיצום כספי כמפורט להלן: מאגר מידע של חברה בגודל בינוני, ובו מידע אישי אודות 50,000 אנשים, שמנכ"ל החברה לא ימנה ממונה הגנת פרטיות - עלול לשלם סך של 100,000 ₪ ואם המידע היה רגיש במיוחד -200,000 .
  • הפרות מהותיות כלפי נושאי מידע או הפרה כלפי הרשות (כגון עיבוד מידע אישי למטרה שאינה כדין)- לפחות 200,000 ₪ או לפי מספר נושאי מידע: 4 ₪ במידע רגיל, 8 ₪ במידע בעל רגישות מיוחדת.
  • אי מסירת מידע למפקח- 300,000 ₪.
  • הפרת הוראות תקנות אבטחת מידע (לפי התוספת השלישית לחוק- סכום העיצום נקבע לפי סוג ההפרה, וכן רמת האבטחה של המאגר (בסיסית, בינונית, גבוהה) ונע בין אלפי שקלים בודדים למאגרים קטנים ועד 320,000 ₪ לכל הפרה במאגר בעל רמת אבטחה גבוהה, כתלות בסוג ההוראה שהופרה, ובמאגר מידע אודות מיליון נושאי מידע ומעלה ניתן להטיל כפל קנס (למשל 640,000 ₪ להפרה).
  • כמו כן, קיימות בקשר לתפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות, הכוללות, ודורשת מעורבות ישירה בפיקוח על עמידה בדרישות להגנה על פרטיות מידע אישי, תוך קביעות חובות ספציפיות החלות על התאגיד, בכלל והדירקטוריון, בפרט. ההנחיה חלה על חברות שבליבת עיסוקן מעבדות מידע אישי רגיש בהיקף ניכר, חברות המעורבות בפעילויות בסיכון גבוה לפרטיות, או חברות המעבדות מידע על אוכלוסיות רגישות, עיקרי האחריות של הדירקטוריון הינה:
    • גיבוש ויישום מדיניות.
    • קיום דיונים ובחינות שוטפות בנושאי ניתוח סיכוני סייבר, ביקורות אבטחת מידע ותחקור אירועי אבטחת מידע.
    • דיון על מסמך הגדרות מאגר. 

משמעות פרקטית לחברות אשר מנהלות מידע רגיש על מנת להיות תואם לתיקון 13:

  • לבחון האם נדרש לבצע רישום למאגרי המידע שלכם.
  • לבצע מיפוי פערים ביחס לדרישות תיקון 13 (טכני/נהלים/הסכמים/זכויות נשואי המידע)
  • להשלים תהליך כתיבת נהלים אשר נותנים מענה לתקנות הפרטיות.
    • מטריצת סיכונים.
    • מדריך תקנות הפרטיות.
    • מטריצת מאגרי מידע.
    • נהלים הקשורים לאירועי אבטחת מידע, גיבוי ושחזור, בקרות גישה ועוד.
  • לבחון מינוי DPO.
  • ביצוע הדרכות בתחום הפרטיות.
  • ביצוע בקרות שוטפות בהתאם לדרישות התקנות.

 

לשאלות בנדון ניתן לפנות אלינו למתן מענה,

בברכה צביקה מ-TQR.

 

פרטים ליצירת קשר:

צביקה דודאי

tzvika@tqr.co.il

050-7244689