המוקשים בתיקון 13 לחוק הגנת הפרטיות: מוקדי סיכון חדשים לתאגידים

מאמר אורח מאת אור אוליבר.

תיקון 13 לחוק הגנת הפרטיות מביא עימו שינויים משמעותיים, הן בהיבט החוקי והן בהיבט האכיפתי, שמשפיעים ישירות על תאגידים, חברי דריקטוריון ובעלי תפקידים. מטרת מאמר זה היא להדגיש את נקודות הסיכון המרכזיות הנובעות מתיקון 13 ולהציע תובנות שיכולות לשמש בעלי שליטה ובעלי תפקידים להתמודד באופן אפקטיבי עם השינויים.

מוקש ראשון: תמחור מחודש של הזכות לפרטיות באמצעות קנסות.

אחד מהשינויים המרכזיים בתיקון 13 הוא החמרה בתמחור הקנסות על הפרות חוק הגנת הפרטיות ותקנותיו. תחת התנאים החדשים, הקנסות יכולים להגיע למיליוני שקלים, שינוי שמגדיל את הסיכון עבור תאגידים רבים. חשוב לציין כי לא רק שהקנסות הועלו, אלא גם נרשמה החמרה בפרשנות ובאכיפה של כל הפרה, וכתוצאה מכך נדרש מבעלי השליטה במאגרי המידע ומהמחזיקים בהם להיות ערניים יותר ולהקפיד על עמידה בהוראות הדין.

מוקש שני: תביעות ללא הוכחת נזק.

תוספת חדשה שחשוב להכיר היא האפשרות להגיש תביעות פיצוי ללא הוכחת נזק. התיקון לחוק מונה מספר מקרים בהם ניתן יהיה להגיש תביעה ולזכות בפיצויים של עד 10,000 ש"ח כנגד בעל שליטה במאגר מידע או כנגד המחזיק בו, ללא הצורך להוכיח נזק ממשי:

במידה ומאגר שחייב ברישום, לא נרשם, ופנה אחד מנושאי המידע בבקשה לרישום המאגר, וחלפו 90 ימים.

בעל שליטה או מחזיק מאגר שפנה לאדם לצורך קבלת מידע אישי לשם עיבודו במאגר המידע, מבלי שמסר לאותו אדם הודעה כנדרש בחוק, יהיה חייב בפיצוי, ובלבד שנושא המידע פנה אל בעל השליטה בדרישה להודיע לו כדין וחלפו 30 ימים מיום פנייתו.

לא נענה לבקשת עיון במידע שהגיש אחד מנושאי המידע במאגר, וחלפו 30 ימים מיום פנייתו.

בעל שליטה או מחזיק מאגר אשר הסכים לבקשה לתיקון או למחיקת מידע אישי שאינו נכון, אך לא ביצע את השינויים הנדרשים או לא הודיע עליהם לכל מי שקיבל ממנו את המידע האישי שנתבקש תיקונו במסגרת תקופה מוגדרת.

בעל שליטה או מחזיק מאגר שהתקבלה אצלו בקשה לתקן או למחוק מידע אישי מאת נושא המידע, ולא השיב למבקש על סירובו לבצע את המבוקש באופן ובדרך שנקבעו בחוק.

בעל שליטה במאגר שלא הודיע לראש הרשות להגנת הפרטיות על קבלת דרך קבע של מידע אישי. ובתנאי, שאחד מנושאי המידע במאגר פנה לבעל השליטה בבקשה שיודיע כאמור, וחלפו 30 ימים מיום הפניה.

המשמעות היא שתאגידים יהיו חייבים לפקח בקפידה על בקשות מצד נושאי המידע במאגריהם, ובפרט בקשות לתיקון ועיון במידע, מכיוון שמדובר בפניות שבדרך כלל קל מאוד לפספס אותן, שעלולות להוביל לתביעות פיצוי משמעותיות.

מוקש שלישי: הגדילה בהכרה ובאכיפה.

עם הסמכויות הרגולטוריות החדשות שהביאו עימו תיקון 13, ניתן לצפות להרחבה משמעותית באכיפת חוקי הגנת הפרטיות. למעשה, אנו כבר כיום עדים לעלייה של 11.5% בכמות הפניות והתלונות בתחום הפרטיות בהשוואה בין שנת 2023 לשנת 2022. זאת ועוד, גם הרגולטור לא נח על דפנותיו ובשנת 2023 נרשמה עלייה של 40.7% בכמות הליכי האכיפה המנהליים שנפתחו בתחום אבטחת המידע לעומת שנת 2022, מה שמעיד גם על גידול משמעותי בעיסוקה של הרשות בנושא זה. בנוסף, אם נשווה את הנחיות התיקון שהרשות נוהגת לשלוח לחברות המפוקחות, נמצא עליה בכמות ההנחיות שנשלחו בשנת 2023 – 52 מכתבים, בהשוואה ל-40 בלבד שנשלחו בשנת 2022.

מגמת הגברת האכיפה, המתוארת לעיל, משקפת הן את ההתעניינות וההבנה הגוברת בציבור לגבי הזכות לפרטיות, והן על פעולתה האקטיבית של הרשות להגנת הפרטיות להבטחת השמירה על חוקים אלו.[1]

מוקש רביעי: סמכויות מנהליות חדשות.

תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות מנהליות חדשות, כגון היכולת להוציא צווים מיוחדים כגון צו מחיקה וצו הפסקת פעילות כנגד מאגרי מידע שפועלים בניגוד לחוק. צווים אלו יכולים לשתק את פעילותן של חברות, ולגרום נזקים כלכליים משמעותיים. חשוב לציין, כי הרף להוצאת הצווים הללו הוא "יסוד סביר" להפרת החוק לשם קבלתם מבית המשפט.

מוקש חמישי: סמכויות פליליות חדשות.

תיקון 13 כולל הוספה של סמכויות פליליות רחבות בידי הרשות להגנת הפרטיות כמו:

המפריע לראש הרשות לחוקר או למפקח, דינו מאסר שנתיים.

המעביר מידע אישי ממאגר בלא רשות בעל השליטה במאגר דינו, מאסר שלוש שנים.

הפונה לאדם לקבלת מידע אישי למטרת עיבוד המידע במאגר מידע, ומוסר לו פרטים לא נכונים בהודעה שמיידעת על עיבוד המידע האישי שלו בכוונה להטעותו באשר למסירת המידע האישי דינו, מאסר שלוש שנים.

העברת מידע מגוף ציבורי שלא כדין, מאסר שלוש שנים.

מוקש שישי: אחריות חברי הדירקטוריון.

לאור מושכלות תיקון 13 לחוק הגנת הפרטיות, הרשות להגנת הפרטיות הוציאה הנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע). ההנחיה, אשר יצאה לפני תיקון 13, קובעת כי בחברות שעיקר עיסוקן הוא בעיבוד מידע אישי או בחברות שבהן יש סיכון מוגבר לפגיעה בפרטיות, על הדירקטוריון להיות מעורב באופן משמעותי בקביעת מדיניות הפרטיות , כפי שמוסבר בהנחיה.

אם הדירקטוריון לא יקיים את החובות המוטלות עליו, או לא יהיה מעורב במידה נאותה בביצוע פעולות המדיניות המפורטות בהנחיה – הוא יפר את הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. הפרות אלו עלולות להוביל לחשיפה לסנקציות חמורות, כולל הסנקציות שנקבעו בתיקון 13 לחוק הגנת הפרטיות. לא למותר לציין כי דירקטוריון שהתרשל במילוי חובותיו והוביל להפרת חוק הגנת הפרטיות, יכול להיות חשוף לאחריות אישית גם מכוח דיני התאגידים ודינים אחרים.

מוקש שביעי: גידול בתביעות נגזרות.

כאמור, חוק הגנת הפרטיות, בעקבות תיקון 13, מציב בפני החברה והדירקטוריון חובות מחמירות. עד התיקון, העיצומים הכספיים שהוטלו לא פגעו בצורה משמעותית בתזרים המזומנים של החברות, ואולם, עם העלות הגבוהה של הקנסות החדשים, הרי שהפגיעה הכלכלית צפויה להיות ניכרת. בהתאם, בעלי המניות ירגישו את ההשפעה הכלכלית באופן ישיר. וכתוצאה מכך, סביר להניח שיותר ויותר בעלי המניות יפנו לבית המשפט בתביעה נגזרת, על מנת לקבל פיצוי הולם על הנזק שנגרם להם בעקבות אי-עמידה בחוק מצד החברה ונושאי המשרה המופקדים על כך.

הדינמיקה הזו דומה לפרקטיקות הקיימות כיום בארץ בנושא עמידה בחובות הגילוי החלות על חברות ציבוריות לפי דיני ניירות הערך. זאת ועוד, הפרקטיקה של הגשת תביעות נגזרות בנושאי הגנת הפרטיות כבר קיימת בעולם.[2]

מוקש שמיני: תביעות ייצוגיות.

כפי שניתן לראות, קנסות הם רק צד אחד של המטבע, וכמו כל מטבע, יש לו גם צד נוסף. במקרה זה, מדובר בתביעות ייצוגיות בתחום הגנת הפרטיות, אשר מתעוררות לאחר פתיחה בחקירה מצד רשות הגנת הפרטיות. תיקון 13 לחוק הגנת הפרטיות מביא עימו מספר שינויים בתחום זה.

סעיף 33 לתיקון 13 המעגן את פרק ד'3 שעניינו באמצעי אכיפה מנהליים, הרשות תפרסם פרטים על המפר לאחר הטלת עיצום כספי. פרסום זה יקל על תובעים בתביעות ייצוגיות, שכן הוא צפוי לספק להם מידע חשוב שיאפשר להם להגיש תביעות יצוגיות כנגד הגורמים המפרים.

בנוסף, תיקון 13 מבטל באופן כוללני את ההתיישנות המיוחדת של שנתיים שנשמרה עד כה בתחום הפרטיות, ומחיל במקומה את תקופת ההתיישנות הרגילה של 7 שנים. שינוי זה מאפשר לתובעים להגיש תביעות גם לאחר פרק זמן ארוך יותר מהתקופה שהייתה נהוגה בעבר. כתוצאה מכך, גדל הסיכון בתובענות ייצוגיות פוטנציאליות בתחום הפרטיות.

נקודה חשובה אחרונה שכדאי לקחת בחשבון היא השינוי בחוק תובענות ייצוגיות (תיקון מס' 16). שינוי זה, מרחיב את התוספת השנייה לחוק תובענות ייצוגיות שעניינה המקרים בהם מותר להגיש בקשה לאישור תובענה ייצוגית. ומאפשר הגשת תביעות ייצוגיות מכוח דיני הגנת הפרטיות, דבר שיכול להוביל לעלייה משמעותית במספר התביעות בתחום זה.

[1] הנתונים המצוינים נלקחו מהדוח השנתי של רשות להגנת הפרטיות לשנת 2023.

[2] https://news.bloomberglaw.com/esg/meta-sued-by-pension-funds-over-eus-1-3-billion-privacy-fine

מאמר זה נכתב על ידי אור אוליבר, בעל תואר ראשון במשפטים מאוניברסיטת תל אביב, מוסמך כממונה על הגנת הפרטיות מטעם הרשות והאוניברסיטה, ומתמחה בליווי משפטי בתחומי הפרטיות, הגנת מידע וטכנולוגיה. יוצא יחידה טכנולוגית מסווגת בחיל האוויר, עם שילוב בין הבנה משפטית להיכרות עמוקה עם אתגרים טכנולוגיים. מעבר לכך, אור הוא גם חבר יקר, ואנחנו ב TrustIZ שמחים לארח אנשי מקצוע שרואים ערך בשיתוף ידע איכותי. אם גם לכם יש תובנות שיכולות לתרום לקהילה – נשמח לשמוע.