ביום 7 בנובמבר 2021 אישרה ועדת השרים לענייני חקיקה את הצעת תיקון מס' 14 לחוק הגנת הפרטיות ("הצעת החוק"), שמטרתה לקדם את ההגנה על האזרח ולהתאים את חוק הגנת הפרטיות לעידן הדיגיטלי, תוך צמצום חובת רישום מאגרי המידע והרחבת סמכויות האכיפה של רשות הגנת הפרטיות, בין היתר על רקע תקיפות הסייבר המרובות על מאגרי מידע רגישים ודליפת מידע אישי של אזרחים.
הצעת החוק מבקשת לשפר את יכולת הפיקוח והאכיפה של הרשות (בהמשך להצעות תיקון דומות שלא התקדמו במושבים קודמים של הכנסת), תוך חיזוק סמכויות רשם מאגרי המידע, במטרה להבטיח את קיום הוראות חוק הגנת הפרטיות.
מוצע להוסיף סמכויות פיקוח לממונה על הגנת המידע (תוארו החדש של רשם מאגרי המידע, לפי הצעת החוק) לצורך קיום בירור מינהלי, כאשר הוא נדרש; סמכויות חקירה במקרה של חשד לביצוע עבירות פליליות; וסמכויות אכיפה חלופיות לענישה פלילית, לרבות הטלת עיצום כספי, מתן התראה מנהלית או דרישה להתחייבות להימנע מהפרה.
הצעת החוק מבקשת גם לצמצם באופן משמעותי את היקף חובת הרישום החלה על בעלים של מאגרי מידע (אך בניגוד למצב המשפטי ברוב מדינות העולם – לא לבטלה כליל), כך שהרגולציה תתמקד בעיקר במאגרים גדולים לגביהם קיימים איומים משמעותיים בהיבטי הגנת הפרטיות. חובת רישום תחול על המאגרים הבאים:
מאגרים הכוללים למעלה מ-100,000 נושאי מידע, ושגם טבועה בהם רגישות מיוחדת בשל סוג בעל השליטה במאגר (אם הוא גוף ציבורי), מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר כדרך עיסוק) או אופן איסוף המידע למאגר (כאשר המידע אודות נושאי המידע לא נמסר מטעמם ובהסכמתם).
מאגרים הכוללים למעלה מ-500,000 נושאי מידע, אם הם בעלי רגישות מיוחדת הנוגעת לסוג המידע בלבד (בין היתר, מידע על צנעת חייו האישיים של אדם לרבות התנהגותו ברשות היחיד, מידע רפואי, מידע גנטי, מידע אודות דעותיו או אמונותיו של נושא המידע, מידע על עבר פלילי, נתוני מיקום, מוצאו של אדם, מידע ביומטרי).
על מאגרי מידע בעלי רגישות מיוחדת כאמור, שבהם מידע על יותר מ-100,000 נושאי מידע אך פחות מ-500,000 נושאי מידע, תחול חובת דיווח על פרטי היסוד של המאגר, ללא צורך ברישומו.
עוד מוצע להתאים את ההגדרות בחוק הגנת הפרטיות להתפתחויות הטכנולוגיות, החברתיות והמשקיות שחלו מאז חקיקתו בתחילת שנות השמונים ועד היום, לאור הסדרים מודרניים של דיני הגנת הפרטיות והגנת המידע, ובראשם רגולציית הגנת המידע של האיחוד האירופי (GDPR). הצעת החוק כוללת תיקון של המונחים וההגדרות הנוגעים למאגרי מידע, בהתאם לפרשנות המשפטית שהתגבשה לגביהם עם השנים בפסיקה ולרגולציה בינלאומית, מוסיפה מונחים מרכזיים הנוגעים למאגרי מידע, ומעדכנת מונחים קיימים. ההצעה מרחיבה את הגדרת המונח "מידע" לעומת זו הקיימת כיום בחוק, כך שתכלול כל נתון הנוגע לאדם מזוהה או שניתן לזהותו על פיו.
תיקון משמעותי נוסף בהצעת החוק הוא הרחבת עיקרון "צמידות המטרה", בדרך של קביעת עבירות על שימוש במידע ממאגר מידע בניגוד למטרה לשמה נמסר. בין העבירות שנקבעו: איסור על שימוש במידע או ידיעה על ענייניו הפרטיים של אדם ממאגר מידע, או החזקתו, בלא הרשאה של בעל השליטה במאגר או בחריגה מהרשאה כאמור, ואיסור על שימוש במידע כאמור או החזקתו בניגוד למטרה שלשמה נמסר (לרבות איסור על אדם להרשות למי מטעמו לעשות שימוש במידע או בידיעה כאמור).
מדברי ההסבר להצעת החוק עולה כי בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את התיקון במטרה להתאימו למציאות הטכנולוגית, אשר ירחיב את הבסיסים המשפטיים המאפשרים עיבוד מידע (מעבר לבסיסים הקיימים שהם הסכמה והסמכה בחוק), יתייחס להסכמה והסמכה בחוק ואף ירחיב ויעדכן את הזכויות המוקנות לנושאי המידע ואת הסדרי האחריות של בעל השליטה במאגר והמחזיק בו.
עם אישור ועדת השרים, עתיד משרד המשפטים להגיש את הצעת החוק לאישור מליאת הכנסת בקריאה שנייה ושלישית, כאשר אך לאחרונה ציין יו"ר ועדת החוקה, חוק ומשפט של הכנסת שנושא הפרטיות הוגדר כאחד הנושאים המרכזיים בהם תטפל הועדה בשנת 2022.
לפרטים נוספים ולייעוץ בנושא, ניתן לפנות לעו"ד אביעד לחמנוביץ', עו"ד גיא פוקס או עו"ד רינת גרויסמן ממחלקת הבנקאות במשרדנו.