"התיקון לחוק הגנת הפרטיות – דרמטי"

לפני שנה, באוגוסט 2024, הכנסת אישרה את תיקון מס' 13 לחוק הגנת הפרטיות, שנכנס לתוקף היום (ה'). "התיקון לחוק מ-1981 הוא דרמטי ונועד לעדכן את החוק למציאות של ימינו – בה מידע אישי זורם בין ארגונים, מערכות וטכנולוגיות", כך אמר ריצ'ארד פודלס, ראש תחום חדשנות הנדסית והצלחת לקוח, יבמ (IBM) ישראל.

בראיון לאנשים ומחשבים אמר פודלס, כי "בין השינויים שבתיקון: הוא מעניק לרשות הגנת הפרטיות סמכויות אכיפה, כגון קנסות מנהליים, ביטול הצורך להוכיח נזק לצורך תביעה וחובות ברורים לניהול מאגרי מידע. זהו צעד ראשון וחשוב לקראת הפיכת פרטיות המידע בישראל למשהו שלא ניתן עוד להתעלם ממנו".

לדבריו, "השאלה על מי חל החוק? – תלויה באלמנטים מסוימים, כמו אופי וגודל הנתונים. החוק מבחין בין גופים ציבוריים לפרטיים ובין סוגי נתונים. עסק קטן שלו מאגר שמות ומספרי טלפון לא יידרש להירשם, אך עדיין מחויב לעקרונות החוק, לרבות הגנת הנתונים, שימוש חוקי בהם ושקיפות כלפי הלקוחות. לעומתם, ארגונים שלהם נתונים רגישים או מאגר נתונים של יותר מ-10,000 איש, נדרשים לרישום ולציות מחמיר יותר". הוא ציין ש"לחוק לא משנה אם הנתונים נמצאים בשרת פיזי או בענן – אתם אחראים לאבטחתם, לנגישותם, לעמידתם בכללי עיבוד נאותים ולחובות חוקיות אחרות".

"התיקון מחייב כל בעל מאגר מידע לדעת – ולהיות מסוגל להוכיח – מהו מקור הנתונים, באילו תנאים נאספו, והאם הייתה הסכמה או בסיס חוקי אחר לעיבודם", ציין פודלס, "זו דרישה מהותית, שנועדה להבטיח שהנתונים לא נאספו בצורה לא נכונה, או נרכשו ממקורות מפוקפקים".

"לא כל ארגון נדרש למנות DPO – קצין הגנת נתונים (Data Protection Officer). ישנם כמה קריטריונים – כמו ארגונים מסוימים, שמנהלים מידע רגיש או מסד נתונים גדול. תפקיד ה-DPO לוודא, שהארגון פועל לפי החוק, ומתנהל בצורה שקופה, מדודה ואחראית".

הזכות להימחק

"הזכות להימחק היא מאבני היסוד של החוק", אמר פודלס, "אדם רשאי לבקש הסרת נתונים אודותיו, ואם מתקיים אחד התנאים למחיקה – הארגון חייב למלא את הבקשה בזמן סביר, אלא אם קיימת חובה לשמירת הנתונים".

לדבריו, "ארגונים צריכים להבטיח שהמידע שלהם תקין, עומד בתקנות ושהם עצמם עומדים בתקנות. זה קשה יותר ככל שהארגון גדול יותר. הפתרון מתחיל במיפוי הנתונים – לדעת מה קיים, היכן ומדוע. על הארגון לקבוע מדיניות פרטיות מתאימה, להבטיח הרשאות, לפרוס בקרות ולנהל את הנתונים בהתאם לעקרונות של שקיפות, צמצום נתונים, הגנה ודיוק".

הוא הוסיף, ש"גם מידע ביומטרי נחשב לרגיש לפי החוק, ואם אתם מאחסנים אותו – במיוחד מידע של עובדים – יש לרשום את מאגר המידע ברשות ולשמור על רמת אבטחה גבוהה".

"מותר לארגונים להפעיל כלים שאוספים מידע על משתמשים – למשל הקלקות על לינקים או באנרים, או כניסות", ציין, "אבל חשוב לעשות זאת בשקיפות. יש ליידע את המשתמשים במדיניות הפרטיות באופן הקבוע בחוק. ייתכן שנדרש לקבל הסכמה מראש, במיוחד אם הנתונים מועברים לצד שלישי או משמשים לפרסום ממוקד. איסוף 'שקט' כבר לא יכול לעבוד".

עוד הוסיף ,כי "התקנות חלות גם על ארגון שפועל בישראל אבל הנתונים שלו הם של אנשים מכל העולם. החוק חל על ארגונים הפועלים בישראל בלא קשר למקור הנתונים. מצד שני, אם אתם מחזיקים בנתונים של אזרחים ממדינות אחרות, ייתכן שתהיו כפופים גם לחוקי הפרטיות שלהן – לדוגמה, ה-GDPR באירופה. מותר להעביר נתונים ממאגר בישראל לגורמים מחוץ לישראל – אך בתנאים מסוימים, כגון קיומה של רמת הגנה שוות ערך לזו המקובלת בישראל, או קבלת הסכמה מפורשת מנשוא המידע".

לפי פודלס, "אם למידע האישי שנאסף אין הסכמה לשימוש בבינה מלאכותית, צריך לבקש הסכמה חדשה ומפורשת. העיקרון פשוט: המידע נאסף למטרה אחת, אי אפשר להשתמש בו למטרה אחרת בלי אישור: אימון מודל AI נחשב לשימוש חדש. צריך להתעדכן בהנחיות ובשינויים לגבי AI, כי המצב המשפטי בתחום מתפתח כל הזמן".

"ישנם פתרונות טכנולוגיים רבים שיכולים לעזור", סיכם פודלס, "לנו ביבמ יש מגוון רחב של פתרונות בעולמות אבטחת מידע ארגונית, ניהול נתונים ותאימות. הכלים שלנו מסייעים ליצירת שקיפות ובקרה מלאות, מה שהופך את מאמצי הציות לתקנות מורכבות, כגון תיקון 13 וחוק הפרטיות, לישימים ויעילים יותר. המענה משלב אלמנטים כמו אבטחת מידע, הגנת נתונים, ניהול סיכונים ותאימות לתקנות – והטכנולוגיה היא המפתח לכך".