תיקונים בחוק הגנת הפרטיות בישראל? פורסם תזכיר חוק ראשון

משרד המשפטים מפרסם הלילה להערות הציבור את תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף -2020. התזכיר מיועד לצמצם - אך לא לבטל לחלוטין - את החובה המיושנת בחוק לרשום מאגרי מידע.

דברי ההסבר לתזכיר מבהירים כי זהו תיקון ראשון צפוי לחוק הגנת הפרטיות, וכי בעקבותיו צפויים שניים נוספים - הגברת סמכויות האכיפה של רשם מאגרי המידע (תיקון כזה נכשל כבר פעמיים בעבר) וכן "מהלך התיקון המהותי הנדרש לשם עדכון החוק הקיים והתאמתו למציאות בת זמננו. תיקון זה צפוי לכלול סוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, מעבר להסכמה והסמכה בחיקוק, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל מאגר ומחזיק".

law.co.il מעיר שגם אם הכנת התזכיר ארכה זמן רב, הוא מתפרסם שבוע ימים לאחר החלטת בית המשפט לצדק באירופה (ECJ) שביטל את ההסדר להעברת מידע בין האיחוד האירופי לבין ארצות-הברית. הפרסום מעיד על חשש גובר במשרד המשפטים משלילת ההכרה בישראל כתואמת את אמות המידה להגנה על מידע אישי באירופה. אם אכן כך יהיה, עלול להיגרם נזק ליחסים בין ישראל לבין שוק הסחר העיקרי שלה, אירופה, וזאת בעיצומו של המשבר הכלכלי שנגרם ממגפת הקורונה (להרחבה ראו כאן).

תועלת מצומצמת

תזכיר החוק שפורסם הערב מכיר בכך שהתועלת לציבור מחובת רישום מאגרי המידע – מצומצמת, וכי לחובה הזו יש רלוונטיות מועטה למציאות הטכנולוגית הנוכחית ולהיקף הנרחב של מאגרי המידע הקיימים. על-פי ההקדמה לתזכיר, "הניסיון שהצטבר ברשות להגנת הפרטיות מלמד על היעדר אפקטיביות של המתכונת הנוכחית של חובת הרישום". ועם זה, התזכיר נמנע מללכת בדרכה של חקיקה מודרנית כדוגמת ה-GDPR ולוותר כליל על חובת הרישום. לדבריו, "יש חשיבות בשימור מוגבל של החובה באופן שיאזן בין תועלות מסוימות הכרוכות בו לבין ההקלה שצמצומו יביא בנטל הרגולטורי. איזון זה מתבטא בהסדר המוצע, שלפיו החובה תחול רק על מאגרי המידע המהווים את הסיכון הגדול ביותר לפרטיות".

משכך מציע התזכיר לצמצם את חובת הרישום כך שתחול רק על מאגרים שיש בהם מידע על 100,000 בני אדם או יותר ושבנוסף לזה מתקיים בהם אחד מאלה: (1) מטרת המאגר העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר; (2) יש במאגר מידע בעל רגישות מיוחדת; (3) המידע לא נמסר למאגר זה על ידי נושאי המידע, מטעמם או בהסכמתם (כלומר, גם אם פרסמו את המידע ברבים במקום אחד - לדוגמה ברשת חברתית - ומשם המידע הועתק למאגר, המאגר המעתיק חייב ברישום - ח.ר.); (4) המאגר הוא של גוף ציבורי.

הגדרת "מידע בעל רגישות מיוחדת" המצדיק רישום מאגרים שיש בהם יותר מ-100,000 בני אדם, חופפת לסוגי המידע המפורטים בתקנות הגנת הפרטיות (אבטחת מידע) ככאלה שבעטים הופך מאגר מידע לחייב ברמת אבטחה בינונית ולא בסיסית - מידע על צנעת חיים, מידע רפואי או נפשי, מידע גנטי, מידע על דיעות פוליטיות, נתוני מיקום ותעבורה, מידע ביומטרי, מידע על גזע או מוצא, מידע מידע על נכסיו והתחייבויותיו של אדם ומצבו הכלכלי, על הרגלי צריכה ומידע נוסף ששר המשפטים רשאי לקבוע בתקנות. 

השוואה ל-GDPR

במקביל לזה, תזכיר החוק מבקש להרחיב את הגדרת "מידע", שהיא אבן-הבסיס לחובת הרישום. אם כעת חוק הגנת הפרטיות נוקב בקטגוריות מסוימות של מידע, בא התזכיר ומרחיב את ההגדרה כך שתהיה מקבילה לזו שב-GDPR האירופי: "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר".

law.co.il סבור שהתוצאה המצטברת של אמות-המידה החדשות לרישום מאגרים והרחבת ההגדרות בתזכיר תהיה שחובת הרישום שביחס אליה מודים דברי ההסבר כי אינה אפקטיבית - תוסיף לחול על מאגרים רבים מידי.

אין זאת ההגדרה היחידה שתזכיר החוק מבקש להשוות לאמות-המידה של ה-GDPR. הוא מתקן בהתאם את הוראת "בעל מאגר מידע" כך שתהיה שוות ערך לזו של Controller בחקיקה האירופאית ("מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר המידע, או גוף שהוסמך בחיקוק לנהל מאגר מידע"). במקביל הוא מציע להיפטר מההגדרה המיושנת ל"מחזיק" ולהמירה בלשון שלוכדת לא רק מי שקיבל עותק של מאגר כדי לטפל בו עבור בעליו, אלא כל מי שקיבל הרשאה להשתמש במידע במסגרת שירות לבעל המאגר. לבסוף הוא מרחיב את הגדרת "שימוש" בחוק כך שתקביל לזו של Processing ב-GDPR ותכלול גילוי, העברה ומסירה, אחסון, עיון, ארגון, תיקון, השלמה, אחזור ומחיקה של מידע.

תזכיר החוק מבקש להקשיח את האיסורים שבו. לשם כך הוא איסור לנהל ולהחזיק מאגר מידע "אם המידע הכלול בו נתקבל, נצבר, נאסף או נוצר בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע".