"תמחרנו מחדש את הזכות לפרטיות"

"הכותרת הראשית היא שתמחרנו מחדש את הזכות לפרטיות. ארגון, גוף או חברה שמפרים את הפרטיות של אזרחי ישראל צריכים לדעת שיש לכך עכשיו תג מחיר הרבה יותר גדול. זה בפני עצמו יגרום לארגונים לנהל את הסיכונים בצורה אחרת, ולשים במקום יותר בולט את השמירה על הפרטיות. זאת, אחרי שביצענו התקדמות גדולה להתאמה של החוק לשמירה על הפרטיות לתקן הבינלאומי, גם אם יש עוד עבודה", כך אמר היום (ה') עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות במשרד המשפטים.

סממה אמר את הדברים בדו שיח וירטואלי שערך עם עו"ד עדי מנחם-באר, מנהלת מחלקת האכיפה של הרשות, לאור כניסתו היום לתוקף של תיקון 13 לחוק הגנת הפרטיות. התיקון מגדיר מחדש כמה היבטים של החוק, מצמיד אותו עוד יותר לתקנות ה-GPDR של האיחוד האירופי, וגם מניח כמה היבטים חדשים שארגונים צריכים היו כבר לממש – אם כי יש להם עדיין זמן לעשות זאת, עד ה-31 באוקטובר.

מה מהות התיקון?

התיקון לחוק מביא שינוי משמעותי לתמונה: הוא מרחיב את הסמכויות של הרשות ומטיל חובות נוספים על כל גוף ציבורי – ממשרדי ממשלה ועד למועצות מקומיות וכל מה שבאמצע, וכן על כל גוף פרטי גדול שעוסק בעיבוד מידע אישי. בין השאר, הוא מחייב ארגונים גדולים וכאלה שמוגדרים בתקנות למנות מנהל הגנת מידע (DPO), לנהל מיפוי קבוע של סיכונים והשפעות על הפרטיות, בעיקר בפעילות עיבוד נתונים בסיכון גבוה, וליישם עקרונות של "פרטיות כחלק מהתכנון עצמו, החל בשלב הראשון".

יתרה מזאת, התיקון מעניק שיניים לרשות: היא יכולה להוציא צווים מנהליים, לדרוש מארגון למחוק נתונים או להפסיק לעבד נתונים פרטיים לחלוטין, ואף לחייב חברות, במקרים מסוימים, להיות כפופות לביקורת חיצונית. יש גם מקרים שבהם הרשות תוכל להוביל מהלך של הטלת סנקציות פליליות: לדוגמה, כשיש חשד למסירת מידע כוזב, או כשארגונים לא ממנים מנהל הגנת מידע.

כלי חזק נוסף שהתיקון מעניק לרשות הוא קנסות מנהליים: היא יכולה להחליט להטיל קנס על כל הפרה. לדוגמה, בעת אי הגשה או איחור בדיווח על מתקפת סייבר על חברה שמחויבת לכך על פי החוק, הרשות יכולה להטיל עליה קנסות של 10,000 שקלים ויותר לכל יום איחור מעבר ל-72 שעות מרגע גילוי התקיפה.

"החוק ישפיע באופן מהותי על החוסן הלאומי"

לפי עו"ד סממה, תחום הגנת הפרטיות בישראל נשרך מאחור בהשוואה לסטנדרטים בינלאומיים, ועכשיו המדינה מיישרת קו עם שאר העולם המתקדם. "רואים את זה במשק וגם במשרדים הממשלתיים, וטוב לדעת שהצלחנו לקדם זכות יסוד של אזרחי מדינת ישראל בעידן כזה מורכב. זה היה כל כך חשוב, עד כדי כך שפעלנו לקדם את הנושא בצורה כל כך חזקה, על אף שאנחנו בשנים של מלחמה", אמר.

לדבריו, החוק החדש ישפיע באופן מהותי על החוסן הלאומי. "בהגנה שאנחנו מספקים כעת, עם כניסת התיקון לתוקף, על המידע האישי, שבפעם הראשונה יש לה שיניים, אנחנו משפרים את איכות ההגנה ולו מהמחשש של אנשים וארגונים לסנקציות מצד הרשות להגנת הפרטיות. זה משפיע גם במרחב הסייבר, על החוסן הלאומי של מדינת ישראל – ואפילו על כלכלת ישראל. כשאנחנו מעלים את רף הגנת הפרטיות, למדינות אחרות יהיה קל יותר לעשות עסקים עם חברות מישראל, כי הן לא יידרשו לרגולציה נוספת. מכאן שאנחנו פתוחים את שערי המסחר", ציין סממה.

"אנחנו מגיעים ערוכים"

עו"ד מנחם-באר סיפרה כי "אנחנו, ברשות, מגיעים ערוכים ליישום התיקון החדש לחוק. ביצענו עבודה מאומצת בכלל הרשות, ולא רק במחלקת האכיפה, של גיבוש מדיניות וקביעת נהלים, וזה כלל השתתפות בכנסים, כדי להעלות את המודעות בחוץ ולעזור למשק להיערך. עשינו עבודה מאוד משמעותית לגבש את שיטות העבודה של האכיפה לאחר כניסת התיקון לתוקף, להבין איפה רוצים ליישם את הסמכויות החדשות, כולל גיבוש נהלים מתי בוחרים באכיפה, ומתי באכיפה פלילית, עם הסברים ברורים כיצד זה נקבע".

היא הוסיפה כי לקראת יישום התיקון בוצעה במחלקת האכיפה ברשות להגנת הפרטיות עבודה מאומצת לסגירה של תיקים פתוחים. "אנחנו מגיעים הרבה יותר פנויים לקראת מה שיכול להתרחש כעת, עם הסנקציות שהרשות תטיל על פי התיקון החדש. בכל תיק שסגרנו הוספנו הערה, כמסר החוצה: שימו לב, אם הסיום היה לאחר תאריך החלת התיקון, הסכומים היו יכולים להיות מאוד משמעותיים", אמרה מנחם-באר.

סממה העביר עוד מסר משמעותי: "אנחנו לוקחים בחשבון שהגופים נערכו ועדיין נערכים, אבל לא לשכוח – רוב הרגולציה היא לא חדשה. האירוע המרכזי הוא הוספת תג המחיר. תקנות אבטחת המידע קיימות כבר שבע שנים, כך שאי אפשר לומר 'אנחנו לא מוכנים'. התיקון החדש יגרום לחברות להתעורר – כמו שתקנות ה-GDPR גרמו באירופה".