מוכנים לתיקון 13? טיפים מעשיים להגנת פרטיות חדשה – מידע בעל רגישות מיוחדת

לקוחות יקרים,

לקראת כניסתו לתוקף של תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981 ביום 14.8.2025, הכנו עבורכם סדרת מזכרים קצרים המתמקדים בשינויים המהותיים הצפויים.

כל מזכר יעסוק בשינוי ספציפי, יבחן את משמעויותיו המעשיות ויציג את הצעדים הנדרשים להבטחת עמידה בדרישות החדשות.

 

מידע בעל רגישות מיוחדת

 

תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות" ו-"התיקון"), מחליף את המונח "מידע רגיש" ב-"מידע בעל רגישות מיוחדת". ההגדרה כוללת 12 קטגוריות של מידע אישי (המוגדר כנתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי), והן –

(1) מידע אישי על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית; (2) מידע אישי המתייחס למצב בריאותו של אדם, ובכלל זה "מידע רפואי" כהגדרתו בחוק זכויות החולה, התשנ"ו-1996; (3) מידע אישי שהוא מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א- 2000; (4) מידע אישי שהוא מזהה ביומטרי המשמש או המיועד לשמש לזיהוי אדם או לאימות זהותו באופן ממוחשב; (5) מידע אישי על מוצאו של אדם; (6) מידע אישי על אודות עברו הפלילי של אדם; (7) מידע אישי על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו; (8) מידע אישי שהוא הערכת אישיות שנערכה מטעם גורם מקצועי שכדרך עיסוק מחווה דעתו על אישיותו של אדם, או שנערכה באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, ובכלל זה קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה או בלימודים; (9) מידע אישי שהוא נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר, הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח-2007- שנוצרו על ידי ספק מורשה כהגדרתו בחוק האמור, לגבי אדם, ונתונים על אודות מיקומו של אדם שיש בהם כדי ללמד על מידע לפי פסקאות (1) עד (7) ו- (11); (10) מידע אישי על נתוני שכר של אדם ועל פעילותו הפיננסית; (11) מידע אישי שחלה עליו חובת סודיות שנקבעה בדין; (12) מידע אישי אחר שקבע שר המשפטים, באישור ועדת החוקה, בתוספת השנייה, ובלבד שהוא מידע אישי במאגר מידע הנמצא בישראל שהועבר אליו מחוץ לגבולות המדינה, ושבמקום שממנו הועבר חלות על מידע אישי מסוגו הוראות דין מיוחדות ביחס לדין החל על מידע אישי אחר.

 

עיבוד מידע בעל רגישות מיוחדת מביא עימו השלכות משמעותיות על ארגונים המעבדים מידע כאמור:

 

1. חובת הודעה לרשות להגנת הפרטיות ("הרשות"): במקרה שמדובר במאגר מידע, שאינו חייב ברישום, המכיל מידע בעל רגישות מיוחדת על אודות למעלה מ-100,000 איש (גם ללא חובת רישום), קיימת חובה למסור לרשות הודעה על זהות בעל השליטה, מענו ודרכי ההתקשרות עימו, על זהות הממונה על הגנת הפרטיות (אם נדרש מינויו), דרכי ההתקשרות עימו, והעתק ממסמך הגדרות המאגר.

 

2. מינוי ממונה על הגנת הפרטיות: בין המצבים שבהם קמה חובה למנות ממונה על הגנת הפרטיות, נכלל בעל השליטה או מחזיק במאגר המידע המעבד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר תאגיד בנקאי כהגדרתו, בחוק הבנקאות (שירות ללקוח), התשמ"א-1981, מבטח כהגדרתו בחוק הפיקוח על שירותים פיננסיים (ביטוח) התשמ״א-1981, בית חולים כללי כמשמעותו בפקודת בריאות העם 1940, וקופת חולים כהגדרתה בחוק ביטוח בריאות ממלכתי, התשנ"ד-1994.
מהו היקף ניכר? יש להתייחס בין השאר בשים לב למספר בני האדם שמידע מעובד לגביהם, לשיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו ולטווח של סוגי המידע המעובד, למשך ולתדירות של פעולות העיבוד, למשך שמירת המידע ולתחום הגאוגרפי של פעולות העיבוד.

 

3. עיצומים כספיים מוגברים: העיצומים הכספיים שניתן להשית בגין הפרות הקבועות בחוק הגנת הפרטיות גבוהים יותר משמעותית כאשר מדובר במאגר מידע המכיל מידע בעל רגישות מיוחדת.

 

מה כדאי לעשות?

 

  • ראשית חשוב לבחון אם ארגונכם מעבד מידע בעל רגישות מיוחדת. שימו לב שאינכם חייבים להיות בעלי שליטה במאגר מידע בו מידע בעל רגישות מיוחדת כדי שההוראות המחמירות שמתייחסות אליו יחולו עליכם (לפחות בחלקן). חלק לא מבוטל מההוראות הדין חל גם על מחזיקים במאגר מידע בו מידע בעל רגישות מיוחדת (לפי הגדרתם החדשה בתיקון).

 

  • ככל שארגונכם מעבד נתונים העונים להגדרת מידע בעל רגישות מיוחדת, רצוי לבחון ביתר קפידה אם לא קמה לארגונכם חובה למנות ממונה הגנת פרטיות. במיוחד לאור הסנקציות הקמות למי שמעבד מידע בעל רגישות מיוחדת ולא מינה ממונה הגנת פרטיות למרות שנדרש.

 

  • כן רצוי לבדוק אם קמה לו חובת מסירת הודעה לרשות, ואם לא קמה לו כעת, להסדיר מנגנון שיבטיח דיווח לרשות במועד בו יעלה מספר נושאי המידע במאגר על 100,000. כמו כן, יש להודיע לרשות בכל מקרה של שינוי בנתונים שנמסרו לרשות במסגרת חובה זו.

 

  • לאור הסנקציות החמורות למי שמפר את הוראות החוק ביחס למידע בעל רגישות מיוחדת (בהשוואה למידע אישי "רגיל"), ככל שארגונכם מעבד מידע כאמור אנו ממליצים לבחון את כל תהליכי העיבוד בקפידה ולוודא את העמידה בהוראות הדין. משלב היידוע ועד לעדכון המחזיקים במסמך הגדרות המאגר ועדכונו אצל הרשם ככל שנדרש.

 

  • להשלמת התמונה נציין אין הלימה מוחלטת בין סוגי המידע הנכללים בהגדרה של 'מידע בעל רגישות מיוחדת' לבין סוגי המידע המפורטים בתוספת הראשונה לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. לצורך סיווג רמת האבטחה שחלה על מאגר המידע ודרישות התקנות בהתאם ושינוי ההגדרה כשלעצמה אינה משפיעה באופן ישיר על רמת האבטחה שחלה על מאגר המידע.

 

למידע מפורט, ראו את המזכר המלא שפרסמנו בנושא התיקון.

 

נשמח לסייע לכם בהתאמת הארגון לדרישות החדשות ובבחינת עמידתכם בהוראות חוק הגנת הפרטיות.