מאת: ; ;

המשטר החדש של סנקציות בתחום הגנת הפרטיות - משמעויות לארגונים

המהפך במנגנוני האכיפה
תיקון 13 לחוק הגנת הפרטיות מסמן שינוי דרמטי באופן שבו מדינת ישראל מתמודדת עם הפרות של כללי הגנת הפרטיות. עד כה, הרשות להגנת הפרטיות פעלה עם ארגז כלים מצומצם יחסית, ויכולת הענישה הייתה מוגבלת. כעת, בדומה למגמה הגלובלית, ובפרט למודל האירופי, התיקון מעניק לרשות מגוון אמצעי אכיפה אפקטיביים.
 

העיצום הכספי כמנגנון מרכזי

העיצום הכספי מהווה כלי אכיפה מנהלי (להבדיל מפלילי) המאפשר לרשות להטיל תשלומי חובה משמעותיים בגין הפרות של הוראות החוק, תקנות אבטחת המידע, ותקנות העברת מידע מהאזור הכלכלי האירופי.
 

מדרג הסכומים לפי חומרת ההפרה

התיקון קובע מדרג של סכומים בהתאם לאופי ההפרה, חומרתה, והיקף המידע הכלול במאגר:
  • הפרות ברף החומרה הגבוה (למשל: עיבוד נתונים למטרות בלתי חוקיות או ללא הרשאה נדרשת) - תשלום בסיס של 200,000 ש"ח, או לחלופין 4-8 ש"ח עבור כל רשומה אישית במאגר (בהתאם לרגישות הנתונים)
  • אי-עמידה בחובות רישום (כאשר קיימת דרישה כזו) - 150,000 ש"ח, והסכום מוכפל ל-300,000 ש"ח במאגרים המכילים מעל מיליון רשומות
  • הפרות של תקנות אבטחת מידע - עד 320,000 ש"ח במאגרים בדרגת האבטחה הגבוהה, ובמקרים מסוימים הסכום עשוי להגיע ל-640,000 ש"ח
 

קטגוריות הפרה מיוחדות

החוק מזהה "הפרה מתמשכת" (המחייבת תוספת של אחוז מסוים מסכום העיצום לכל יום המשך) ו"הפרה חוזרת" (המחייבת הכפלת הסכום המקורי). קיימות אפשרויות להפחתת הסכום הבסיסי בנסיבות מוגדרות (עד 70% במצטבר) וישנן הקלות ספציפיות לעסקים קטנים ולעסקים זעירים.


כלי אכיפה משלימים

מלבד העיצומים הכספיים, התיקון מרחיב את סל הכלים הרגולטורי:

  • צווי הפסקה מנהליים  - בהפרות מסוימות, הרשות תידרש תחילה להורות על הפסקת הפעילות המפרה לפני הטלת עיצום
  • מנגנון התראה -  במקום עיצום, הרשות רשאית להסתפק בהתראה רשמית ובדרישה לחדול מההפרה
  • מסלול התחייבות  - אפשרות לדרוש התחייבות בכתב להפסקת ההפרה והפקדת סכום ערבות
  • התערבות שיפוטית -  במקרים קיצוניים, ניתן לפנות לבית המשפט בבקשה להפסיק עיבוד או למחוק נתונים
 

תקנות אבטחת מידע כבסיס לפעולות אכיפה

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, משמשות כבסיס מרכזי למהלכי אכיפה. התקנות מגדירות שלושה רבדים של אבטחה (בסיסית, בינונית וגבוהה) וקובעות דרישות ספציפיות לכל רובד.
דרישות מרכזיות במסגרת התקנות
  • מסמך אפיון מאגר  - תיעוד היעדים של המאגר, סוגי המידע השמור בו, מקורותיו, ואופני השימוש
  • נוהל אבטחה  - הגדרת תהליכי הגנה על המידע, הרשאות גישה, אמצעי אבטחה ותגובה לאירועים חריגים
  • מערך הרשאות וזיהוי  - מנגנוני ניהול גישה, זיהוי ואימות של משתמשים
  • תיעוד אירועים חריגים -  רישום מקרים של פגיעה בשלמות המידע או גישה לא מורשית
  • בקרה ובדיקות -  ביקורות תקופתיות, ניתוחי סיכונים ובדיקות חוסן
 

תפקידו של הדירקטוריון

לאחרונה פרסמה הרשות להגנת הפרטיות הנחיה המבהירה את אחריות הדירקטוריון בתאגידים לפיקוח על יישום תקנות אבטחת מידע. ההנחיה חלה בעיקר על חברות שעיבוד מידע מהווה חלק מרכזי בפעילותן או שפעילותן יוצרת סיכון מוגבר לפרטיות.

האחריות כוללת, בין השאר:
  • וידוא קיומה של מדיניות פרטיות פנימית מקיפה
  • דיון מעמיק במסמך אפיון המאגר ובעקרונות נוהל האבטחה
  • קבלת דיווחים תקופתיים על מצב הציות לתקנות
 

ההיערכות הארגונית הנדרשת

לאור הסיכון המשמעותי של סנקציות והרחבת יכולות האכיפה, נדרשת היערכות ארגונית מתאימה:

  1. ביצוע בדיקת ציות מקיפה  - מיפוי עדכני של כלל תהליכי עיבוד המידע בארגון ואיתור פערים אל מול דרישות החוק
  2. עדכון התיעוד הרגולטורי  - מסמך אפיון המאגר, נהלי אבטחה ומדיניות פרטיות
  3. מינוי בעלי תפקידים נדרשים -  ממונה על אבטחת מידע ואחראי הגנת פרטיות (DPO)
  4. הטמעת תוכנית ציות -  יישום פרוטוקולים ותהליכים להבטחת עמידה בכל דרישות החוק
  5. תוכניות הדרכה  - העלאת המודעות בקרב עובדים וההנהלה לחשיבות הציות להוראות החוק
 
שיתוף פעולה יזום עם הרשות להגנת הפרטיות, כולל שימוש במנגנון חוות הדעת המקדמית שנקבע בתיקון, עשוי לסייע בהפחתת סיכונים. כאשר הבנה מעמיקה של מערך האכיפה והסנקציות, לצד היערכות מתאימה, יכולות למנוע מארגונים חשיפה משפטית, כספית ותדמיתית משמעותית בעידן שבו הגנת הפרטיות תופסת מקום מרכזי בשיח הציבורי והרגולטורי.
 
 

לשיחת ייעוץ
חייגו 03-6109100

או השלימו את הפרטים הבאים

הדפסת המאמר

דירוג המאמר

 

1 ע"י 1 גולשים

הוסף תגובה

זקוקים לעורך דין?

חייגו: 03-6109100 או השאירו פרטים
אני מאשר/ת בזאת לדורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות' לשלוח לי ניוזלטרים/דיוור של מאמרים, מידע, חידושים, עדכונים מקצועיים והודעות, במייל ו/או בהודעה לנייד. הרשמה לקבלת הדיוור כאמור תאפשר קבלת דיוור שבועי ללא תשלום. ניתן בכל עת לבטל את ההרשמה לקבלת הדיוור ע"י לחיצה על מקש "הסרה" בכל דיוור שיישלח.