טיוטת חוק הגנת הפרטיות

ביום 5 בינואר 2022 אישרה ועדת השרים לענייני חקיקה את הצעת תיקון מס' 14 לחוק הגנת הפרטיות התשמ"א-1981, אשר ממתינה לאישור ועדת החוקה של הכנסת לקריאה שנייה ושלישית.

בבחינה ראשונה של טיוטת התיקון, ניתן היה להניח כי היא מתייחסת בעיקר להסדרים מפורטים שנועדו לשפר את יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות ולפיכך, בעלי מאגרי מידע נדרשים לכאורה 'רק' להמשיך ולהיפגש. דרישות החוק.

אולם לדעתנו, אחד החלקים המשמעותיים של התיקון לחוק הוא עדכון נרחב של סעיף 'הגדרות' שלו; עדכון שחברות שאוספות מידע אישי בממשקים הדיגיטליים שלהן חייבות לקחת בחשבון.

ראשית, ההגדרות הקובעות מיהו 'בעלים' ו'מחזיק' של מסד נתונים עודכנו ברוח תקנות חדשות דומות במדינות אחרות[1], באופן שיוצר הבחנה בין מי שיש לו שליטה במסד נתונים (בניגוד למי שהוא ה'בעלים' של מאגר מידע, בחוק הקיים) ו-A Holder Of A Database (כלומר, מי שיש לו גישה למאגר למטרות שונות, כגון יישומים של צדדים שלישיים המבצעים פעולות שונות על הנתונים במאגר וכו'). הבחנה זו קובעת את גבולות האחריות בין גורמים אלו בצורה ברורה יותר מאשר בחוק הקיים. לחלוקה זו יש משמעות גם לגבי הקנסות המינהליים המוצעים לקבוע בתיקון. בהתאם לטיוטת החוק האחראי על מאגר המידע יצטרך, לכל הפחות, להגדיר במפורש את השירות הניתן לו ואת האחריות של כל אחד מהצדדים במסגרת הקשר החוזי שלהם, בדומה להסכמי עיבוד הנתונים (DPAs) אשר מתבצעים מאז כניסת ה-GDPR לתוקף.

כמו כן, התיקון לחוק מגדיר מחדש את 'שימוש במידע' ואף מוסיף הגדרה למונח 'עיבוד', שאינו קיים בחוק במתכונתו הנוכחית, ולמעשה מרחיב את תחולת החוק ביחס ל פעולות שבוצעו על המידע במסד הנתונים על ידי הבקר ומחזיק המאגר.

אין ספק כי השינוי המהותי בטיוטת התיקון הוא חיזוק כלי הפיקוח וסמכויות האכיפה הנתונות לראש הרשות להגנת הפרטיות. הסדרי האכיפה המוצעים מתייחסים גם להפרות בכל הנוגע לאופן איסוף המידע. המשמעות של זה היא שגורמים אלו, ה'בקר' וה'מחזיק' במאגר מידע, חייבים לוודא שהגדרות החובות והאחריות המוטלת עליהם, גם בכל הקשור לאיסוף מידע, יטופלו ב ההסכם ביניהם. משמעותה של תוספת חשובה זו, אם תתבצע באופן בו מנוסחים החוקים במדינות אחרות, כגון ה-GDPR, היא הגדלת החובה של בעלי מאגרי מידע לגבי קבלת הסכמה מנושאי מידע ( משתמשים המספקים את המידע) והתמודדות עם מציאות שבה קיימת הגבלה ממשית על היכולת לאסוף מידע.

לסיכום, על הערך הנקוב, נראה שעבור בעלי מאגרי מידע לא מדובר בשינוי מרחיק לכת שעולה לרמת ה-GDPR, אבל למעשה אם טיוטת החוק הזו תעבור, אז היא תטיל חובות על ישראלים בעלי מאגרי מידע, גם אלו שלא נחשפו בעבר ל-GDPR ולחוקים זרים אחרים. מעתה יהיה עליהם לעדכן את ההסכמים עם המחזיקים, כדי להתאים אותם לדרישות הפרטיות החדשות בישראל כפי שהן באות לידי ביטוי גם בחקיקה המודרנית באירופה, קליפורניה ובמדינות נוספות, וכן להיערך וליישם. נהלים על מנת לעמוד בדרישות המעודכנות של החוק הישראלי.

מאמר זה נכתב על ידי עו"ד. יריב קסנר ועו"ד. הילה יצחקי ממחלקת התאגידים וההיי-טק של נוב, קסנר, שניר ושות' – משרד עורכי דין. פרקטיקת ההיי-טק וה-VC שלנו שומרת גם על היכרות מעמיקה עם חקיקת הפרטיות המקומית והבינלאומית.

לייעוץ לגבי כל ההיבטים המשפטיים של הסטארט-אפ שלך, צור איתנו קשר בכתובת: 03-5441411 / office@novlaw.com

[1] כגון ה-GDPR האירופי – תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מ-27 באפריל 2016 על ההגנה על אנשים טבעיים בכל הקשור לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה , וביטול הוראת 95/46/EC (תקנת הגנת מידע כללית).