במה משנה תיקון 13 לחוק הגנת הפרטיות את המצב לעומת העבר? תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט האחרון, הוא הרפורמה המשמעותית ביותר בתחום בעשורים האחרונים. התיקון מחזק את סמכויות האכיפה של הרשות להגנת הפרטיות, מוסיף קנסות וסנקציות מרובות ומאפשר להטיל אותן סנקציות בצורה ישירה, מהירה ואפקטיבית יותר מבעבר, מעדכן הגדרות מפתח בהתאם ל-GDPR האירופי לשימור מעמד ה-Adequacy של ישראל, ממקד את חובת הרישום במאגרים לגורמים בעלי פוטנציאל לפגיעה חמורה יותר בפרטיות. הוא מהדק את החובה להסדרה משפטית ביחסים שבין בעל שליטה במאגר לבין המחזיק בו (וכן מרחיב את ההגדרה של "מחזיק" באופן משמעותי לכל מי ש"מעבד מידע בעבור בעל שליטה במאגר") ומחייב מינוי ממונה הגנת פרטיות (DPO) בארגונים רבים. כמו-כן, מעגן התיקון עקרונות יסוד כמו "צמידות מטרה", לפיהם אסור לעשות שימוש במידע למטרות החורגות מהתכלית שלשמה נאסף ועקרונות נוספים. על מי תחול הרגולציה? התיקון חל על כל אדם או ארגון בישראל או המנהל מאגר מידע בישראל. בשונה מה-GDPR, החוק אינו קובע תחולה אקסטריטוריאלית מפורשת, אך הרשות להגנת הפרטיות מציגה עמדה פרשנית רחבה ולפיה ייתכן שתחול רגולציה גם על גופים זרים הפועלים מול קהל יעד של ישראלים. בפועל קיימת כבר רגולציה חלקית ביחסים בין בעלי מאגר ישראלי עם מחזיק זר, באמצעות תקנות העברת מידע לחו"ל, וצפויות הבהרות נוספות מצד הרשות בעתיד. במה דומה/ שונה התיקון מתקן GDPR האירופי? תיקון 13 מקרב את הדין הישראלי לסטנדרטים האירופיים, בעיקר בהגדרות "מידע אישי", "עיבוד" ו"בעל שליטה". עם זאת, ה-GDPR מקנה זכויות רחבות יותר לנושאי מידע (כגון הזכות להישכח וניוד מידע), תחולתו אקסטריטוריאלית רחבה יותר ומנגנוני האכיפה בו מחמירים יותר. לעומת זאת, הדין הישראלי מספק בהירות פרקטית גבוהה יותר באמצעות תקנות אבטחת מידע, מטיל סנקציות מנהליות משמעותיות, מרחיב את הגדרת "מחזיק" ומחלק מחדש אחריות בין בעל השליטה, המחזיק והממונה על אבטחת מידע. חשוב לציין כי עמידה בתיקון 13 אינה שקולה לעמידה מלאה ב-GDPR ולהפך. מתי תחול חובת מינוי ממונה הגנת פרטיות (DPO)? הרשות מפרטת את ארבע הקטגוריות לחובה זו:

• גופים ציבוריים וכל מי שמעבד מידע אישי עבורם (כלומר, כל ה"מחזיקים" של גופים אלה).

• Data Brokers ועסקים שאוספים מידע אישי לשם העברתו לצדדים שלישיים כמו חברות דיוור ישיר.

• ארגונים שפעילותם העיקרית כרוכה ב"ניטור שוטף ושיטתי" ב"היקף ניכר", כגון ניטור אונליין, פרופיילינג, אפליקציות מעקב, או IoT וכן כל מי שמעבד מידע אישי עבורם או מטעמם (כלומר, כל ה"מחזיקים" של גופים אלה).

• ארגונים שהפעילות העיקרית שלהם כוללת "עיבוד מידע בעל רגישות מיוחדת" (כהגדרת סעיף 1 בתיקון 13) ב"היקף ניכר" (למשל, מוסדות רפואיים, פיננסיים וכדומה) וכן כל מי שמעבד מידע אישי עבורם ומטעמם (כלומר, כל ה"מחזיקים" של גופים אלה).

הרשות להגנת הפרטיות צפויה לפרסם בקרוב הנחיות בנושא, לאחר שפרסמה טיוטה של הנחיה להערות הציבור. ההנחיות צפויות לעשות סדר בכמה מהקטגוריות העמומות יותר כמו "היקף ניכר", "ניטור שוטף ושיטתי" ויש לעקוב מקרוב אחר הפרקטיקה שתיווצר. מה מצופה ממונה הגנת הפרטיות? מדובר בתפקיד ייעוצי כחלק ממערך הציות, שמטרתו להטמיע תרבות של פרטיות ולעקוב אחר עמידת הארגון בחוק. המינוי חייב להיות אישי (גם במיקור חוץ), והממונה אינו נושא באחריות אישית להפרות. על הממונה להיות בעל שליטה בשפת הארגון ועברית, ידע משפטי מעמיק בדיני פרטיות, ידע טכנולוגי בסיסי באבטחת מידע, והיכרות עם פעילות הארגון ותהליכי עיבוד המידע. תפקידיו כוללים: פיקוח על מסמכים ונהלים לפי התקנות, בניית תוכנית בקרה והדרכות, טיפול בפניות נושאי מידע, וקשר עם הרשות להגנת הפרטיות. הוא אינו יכול לכהן בתפקידים העלולים ליצור ניגוד עניינים (כגון סמנכ"ל כספים או מנהל שיווק). נוסף לכך, ארגונים נדרשים לגבש מדיניות לשימוש בבינה מלאכותית, לתעד החלטות הנוגעות לפרטיות (עקרון האחריותיות), ולהיערך לעמידה בדרישות מכרזים או התקשרויות עם גופים ציבוריים. כיצד על ארגונים להיערך תחום הפרטיות הופך במהירות לחזית משפטית מרכזית, בדומה לנגישות והגנת הצרכן, וצפויים בו שינויים חקיקתיים נוספים. לכן חיוני לארגונים להישאר מעודכנים בהנחיות הרשות, לתקף ולעדכן את נהלי הפרטיות, להבטיח חובות יידוע נכונים (מדיניות פרטיות, טפסי הסכמה, באנרי קוקיז), ולאפשר מימוש זכויות נושאי המידע כגון עיון, תיקון ומחיקה. על הארגונים לחתור לסגירת פערים בציות בהקדם, ולהיוועץ עם משרד עורכי דין או חברת ייעוץ הכוללת שירותים בתחום זה כדי:

• לבחון את המסמכים המשפטיים של אתרי האינטרנט, האפליקציות או ערוצי איסוף המידע הישירים מול הציבור הרחב או הלקוחות (עמודי נחיתה, חוזים אחידים וכיוצ"ב), מועמדים לעבודה ועובדים או גורמים המציעים להם שירותים, כדי לוודא שהאיסוף נעשה רק כפוף ליידוע מלא ונעשה בהסכמה מדעת.

• לבחון את המסמכים המשפטיים הקיימים שלהם לפי תקנות אבטחת מידע (נוהל אבטחת מידע, מסמכי הגדרות מאגר עבור כל מאגר ומסמכי מיפוי מערכות המידע שלהם) ועדכניותם.

• לבחון את ההסכמים עם הספקים שלהם ולראות שהם מספקים להם הגנה מספקת (בין אם הם בעלי השליטה במאגר או המחזיקים במאגר של לקוחותיהם).

• לבחון הסדרה של היבטי פרטיות במישור היחסים בין המעסיק לעובד כמו בשימוש במידע ביומטרי, מצלמות אבטחה, ניטור אחר שימוש במייל או במערכות מחשוב.

• לבחון את השימוש בבינה מלאכותית בארגון, אם בכלל, ולוודא שיש כללים ברורים לגבי אופן השימוש במודולים אלה כדי למנוע דלף של מידע עסקי או במידע אישי של לקוחות, עובדים או ספקים בשימוש במודולים ציבוריים או שאין בהם התחייבות שלא להתאמן על בסיס המידע שמוזן או מועלה למנוע ה-AI.