למרות החמרת הקנסות והרחבת סמכויות האכיפה

עסקים בחברה הערבית עדיין אינם ערוכים לתיקון 13 לחוק הגנת הפרטיות

למרות ההחמרה המשמעותית בגובה הקנסות והרחבת היקף החובות החוקיות, עסקים רבים בחברה הערבית עדיין אינם ערוכים ליישום חוק הגנת הפרטיות בנוסחו המתוקן.

ביום 15 באוגוסט נכנס לתוקפו תיקון מס’ 13 לחוק הגנת הפרטיות, אשר הביא עמו שינויים מרחיקי לכת במערכת החובות המשפטיות החלות על כל עסק, חברה או ארגון המעבדים מידע אישי על אודות יחידים – בין אם מדובר בלקוחות, עובדים או ספקי שירותים. למרבה הצער, אנו ממשיכים לראות כי מרבית העסקים והמוסדות בחברה הערבית רחוקים מלעמוד בדרישות החוק. מצב זה חושף אותם לסיכונים משמעותיים, ובהם הטלת עיצומים כספיים גבוהים במיוחד על-ידי הרשות להגנת הפרטיות, וכן לגל הולך וגובר של תובענות ייצוגיות המוגשות נגד חברות בתקופה האחרונה.

נוכח מציאות זו, קיימת חשיבות מכרעת לכך שבעלי עסקים ומעסיקים – בכל תחומי הפעילות וללא קשר לגודל העסק – יעצרו לרגע ויבצעו בחינה מהותית: האם אנו עומדים בחובות הקבועות בדין? האם אנו מודעים להיקף הסיכונים אליהם אנו חשופים במקרה של ביקורת מצד הרשות להגנת הפרטיות?

בראש ובראשונה יש להדגיש כי הזכות לפרטיות היא זכות יסוד בישראל, המעוגנת בחוק-יסוד: כבוד האדם וחירותו ומוסדרת בחוק הגנת הפרטיות, התשמ״א–1981. בעידן הנוכחי, המאופיין בהתפתחות טכנולוגית מואצת ועמוקה, מדינות ברחבי העולם פועלות לחקיקת דיני הגנת פרטיות והגנת מידע. מידע אישי הפך למשאב מרכזי ולכוח המניע מאחורי פיתוחים טכנולוגיים – ובפרט בתחומים כגון בינה מלאכותית ורפואה מותאמת אישית.

על רקע זה, תיקון 13 מהווה את הרפורמה המקיפה ביותר שנערכה בחוק מאז חקיקתו. תכליתו היא להתאים את מערך הגנת המידע והפרטיות בישראל לאתגרי העידן הדיגיטלי, באמצעות הטלת חובות ממשיות, ברות-אכיפה, על כל גורם – יחיד, חברה, עמותה, ספק שירותים, רשות מקומית ואף גוף ממשלתי – האוסף ומעבד מידע אישי למטרות מסחריות.

בהתאם לכך, כל בעל או בעלת עסק – בין אם מדובר במרפאה, משרד עורכי דין, משרד שיווק, מוסד חינוכי, סלון יופי או ארגון חברה אזרחית – עשוי להיחשב לפי החוק כ“בעל מאגר מידע”. מעמד זה מחייב עמידה בשורה של דרישות, ובהן: הכנת מסמך הגדרות מאגר, קביעת ויישום נוהל אבטחת מידע, קיום חובות שקיפות ומסירת הודעה לנושאי המידע, קבלת הסכמתם לאיסוף המידע, ובמקרים מסוימים אף מינוי ממונה/ת על הגנת מידע (DPO). מטבע הדברים, החוק והנחיות הרשות להגנת הפרטיות מטילים דרישות נוספות ומחמירות במקרים בהם נעשה שימוש או פיתוח של מערכות בינה מלאכותית בקשר למאגרי מידע.

כמשפטנית, אני מברכת על כניסתו לתוקף של התיקון, מתוך אמונה עמוקה בצורך להציב גבולות וכלים משפטיים שיתמודדו עם ההתרחבות הטכנולוגית הבלתי מרוסנת החודרת לכל תחומי חיינו – מערכת הבריאות, המערכת הבנקאית, החינוך, הרשתות החברתיות, ואף תחומי המשפט הפלילי והביטחוני.

בד בבד, אני רואה חובה מקצועית ואתית לפנות אל כלל העסקים והגופים במגזר הערבי ולקרוא להם להיערך ללא דיחוי לעמידה בדרישות החוק. חובה זו נובעת מהמחויבות שלנו לכבד את זכותו של כל אדם לבעלות על פרטיותו. שקיפות מהווה אבן יסוד בביסוס אמון הלקוחות, וכן אמצעי מרכזי להימנעות מקנסות כבדים שהרשות להגנת הפרטיות מוסמכת להטיל על מי שאינו עומד בדרישות – החל כבר מהחודשים הקרובים.

חשוב להבהיר כי אין מדובר בקנסות סמליים. סכומם עשוי להגיע למאות אלפי שקלים, ובמקרים מסוימים אף ללא צורך בהוכחת נזק בפועל. כך למשל, עסק שלא ערך מסמך הגדרות מאגר עשוי להיקנס בסכומים הנעים בין 2,000 ש״ח ועד 160,000 ש״ח. אי-דיווח לרשות להגנת הפרטיות על אירוע של דליפת מידע או גישה בלתי מורשית עלול להוביל לקנסות של עד 320,000 ש״ח – וזאת מבלי להביא בחשבון פגיעה במוניטין וחשיפה משפטית נוספת. גובה הקנס נקבע, בין היתר, לפי רגישות המידע הנאסף (לדוגמה, מידע רפואי לעומת כתובת מגורים), היקף המאגר (מאגר הכולל מידע על 200,000 איש שונה ממאגר הכולל מידע על 250 איש), ושיקולים נוספים.

משכך, קיימת חשיבות עליונה להיוועץ באנשי מקצוע המתמחים בתחום, אשר ביכולתם להעניק ייעוץ משפטי מותאם אישית בהתאם לאופי הפעילות, סוגי הטכנולוגיות והמערכות הממוחשבות בהן נעשה שימוש, וההסכמים החוזיים המחייבים את העסק כלפי לקוחות וספקים.

אין להקל ראש גם בסיכוני אבטחת המידע והסייבר. עסקים הפכו יעד מועדף לתקיפות סייבר, ומחקרים מצביעים על כך שארגונים בישראל מתמודדים עם כ-2,000 ניסיונות תקיפה בשבוע, בכלל המגזרים. בהקשר זה, אשמח וגאה להעמיד לרשות ארגונים ליווי וייעוץ משפטי בתחום, לרבות ביצוע בדיקות תאימות, ניסוח מדיניות פרטיות לאתרי אינטרנט, עריכת הסכמי עיבוד מידע (DPA), והדרכה מקצועית לצוותי הנהלה ועובדים.

בסופו של יום, ההיערכות לעמידה בדרישות החוק אינה עוד בגדר רשות – אלא הכרח. בין אם אתם מנהלים חנות קטנה, מרפאה, עמותה או סטארט-אפ טכנולוגי, אני קוראת לכם לבחון כבר היום את מצב התאימות המשפטית של הארגון שלכם – לפני שתתמודדו עם ביקורת רגולטורית, אירוע סייבר או תביעה משפטית יקרה שניתן היה למנוע.

נשרין מסארווה-עודה, עורכת דין  (DPO, CIPP/E)

מייסדת NMO Legal – חברה לייעוץ משפטי