תקנות הגנת הפרטיות (התראה מינהלית), התשפ"ה-2025
מוצע להתקין תקנות אשר ייקבעו מהן הנסיבות בהן רשאי ראש הרשות להגנת הפרטיות לעשות שימוש בסמכותו למסור התראה מינהלית חלף הטלת עיצום כספי.
טיוטת תקנות מטעם משרד המשפטים:
|
|
|
בתוקף סמכותי לפי סעיף 23לו(א) לחוק הגנת הפרטיות, התשמ"א-1981,[1] אני מתקין תקנות אלה: |
|
|
נסיבות למסירת התראה מינהלית |
1. |
היה לראש הרשות יסוד סביר להניח כי אדם הפר הוראה שראש הרשות רשאי להטיל עיצום כספי בגין הפרתה, בהתאם להוראות סעיף 23כו לחוק, רשאי ראש הרשות למסור לו התראה מינהלית במקום להטיל עליו עיצום כספי, בהתקיים אחת או יותר מהנסיבות הבאות: |
|
|
הפרת הוראה חדשה |
|
(א) הפרת הוראה חדשה, ובלבד שטרם ניתנה למפר התראה מינהלית לגבי אותה ההפרה; לעניין זה, "הוראה חדשה" – חובה חדשה או איסור חדש שנקבעו בחוק הגנת הפרטיות או בתקנות לפיו, לאחר מועד פרסום תקנות אלה, ושראש הרשות רשאי להטיל עיצום כספי בגין הפרתם, בהתאם להוראות סעיף 23כו לחוק, וטרם חלפו שלושה חודשים ממועד כניסתם לתוקף; |
|
|
הפרה ראשונה |
|
(ב) הפרה ראשונה של אחת מבין ההוראות בטור א' לתוספת השלישית לחוק (להלן – התוספת) המפורטות להלן, ובלבד שהמפר לא ביצע הפרה קודמת של אותה הוראה; לעניין זה, "הפרה קודמת" – הפרה של אותה הוראה, בגינה הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלי אחר לפי פרק ד'3 לחוק: |
|
|
|
|
|
(1) פרט 1 לתוספת בדבר הכנת מסמך הגדרות המאגר, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או במאגר מידע שחלה עליו רמת האבטחה הבסיסית; |
|
|
|
|
(2) פרט 2 לתוספת בדבר עדכון מסמך הגדרות המאגר, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או במאגר מידע שחלה עליו רמת האבטחה הבסיסית; |
|
|
|
|
(3) פרט 17 לתוספת בדבר יישום נוהל הרשאות גישה לגבי בעל הרשאה שסיים את תפקידו; |
|
|
|
|
(4) פרט 22 לתוספת בדבר עדכון מערכות המאגר, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או מחזיק במאגר כאמור; |
|
|
|
|
(5) פרט 23 לתוספת בדבר אבטחת חיבור ברשת; |
|
|
|
|
(6) פרט 26(ג) לתוספת בדבר גיבוי נתוני התיעוד; |
|
|
|
|
(7) פרט 27 לתוספת בדבר חובות תיעוד; |
|
|
|
|
(8) פרט 28 לתוספת בדבר הפרדת מערכות המאגר (מידור); |
|
שינוי מדיניות אכיפה לחומרה |
|
(ג) ההפרה שבוצעה היא הפרה שביחס אליה פרסם ראש הרשות הודעה לציבור על שינוי מדיניות האכיפה לחומרה, בעניינים שקודם לכן לא ננקטו בגינם פעולות אכיפה. ראש הרשות יפרסם באתר הרשות הודעה על שינוי מדיניות כאמור, בה יפרט, בין השאר, את פרק הזמן שבו תימסר התראה מינהלית חלף הטלת עיצום כספי; לעניין זה, פרק הזמן שיקבע ראש הרשות לא יעלה על תקופה של שלושה חודשים. ראש הרשות רשאי להאריך את התקופה לפרק זמן נוסף, אם שוכנע כי נדרשת תקופת היערכות ארוכה יותר, ובלבד שפרק הזמן הכולל שבו תימסר התראה מינהלית לא יעלה על שישה חודשים; |
|
|
הוראה שקיים לגביה חוסר בהירות |
|
(ד) ההפרה שבוצעה היא הפרה של הוראה שראש הרשות קבע כי קיים לגביה חוסר בהירות המצריך מסירת התראה מינהלית לפרק זמן שיקבע, לאחר שפרסם לגביה את פרשנותו. ראש הרשות יפרסם באתר הרשות הודעה כאמור, בה יפרט, בין השאר, את פרק הזמן שבו תימסר התראה מינהלית חלף הטלת עיצום כספי; לעניין זה, פרק הזמן שייקבע לא יעלה על תקופה של שלושה חודשים. ראש הרשות רשאי להאריך את התקופה שנקבעה לפרק זמן נוסף, אם שוכנע כי נדרשת תקופת היערכות ארוכה יותר, ובלבד שפרק הזמן הכולל שבו תימסר התראה מינהלית לא יעלה על שישה חודשים; |
|
|
תחילה |
2. |
תחילתן של תקנות אלה ביום פרסומן. |
|
___ ב________ התשפ"ה (___ ב________ 2025)
(חמ _____-3)
__________________
יריב לוין
שר המשפטים
דברי הסבר
בחוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024 (להלן: החוק או תיקון מס' 13),[2] נקבעו בין היתר אמצעי האכיפה המנהליים המוקנים לרשות להגנת הפרטיות (להלן: הרשות). בתוך כך, נקבעו הסדרים המאפשרים הטלת עיצום כספי בגין הפרת ההוראות המנויות בסעיף 23כו לחוק, ולחלופין מסירת התראה מינהלית או הגשת כתב התחייבות להימנע מהפרה. אם כן, הפרה של הוראה מהוראות סעיף 23כו לחוק, עשויה להוביל לפתיחה בהליך אכיפה, שבסופו רשאי ראש הרשות לנקוט אחד מאמצעי האכיפה האמורים נגד המפר.
סעיף 23לו(א) לחוק מסמיך את שר המשפטים לקבוע מהן הנסיבות שבהתקיימן רשאי ראש הרשות למסור התראה מינהלית חלף הטלת עיצום כספי. יודגש כי כלי אכיפה חלופי זה יינקט בנסיבות בהן מדובר בהפרה שבגינה ניתן היה להטיל עיצום כספי. דהיינו, ככל שבתום הליך האכיפה יימצא כי לא הופרו הוראות החוק או התקנות לפיו, לא תימסר התראה מינהלית.
כפי שיפורט להלן, התקנות המוצעות קובעות ארבע נסיבות, שבהתקיים אחת מהן רשאי ראש הרשות למסור התראה מינהלית חלף הטלת עיצום כספי: הפרת הוראה חדשה אשר ניתן להטיל עיצום כספי בגין הפרתה; הפרה ראשונה של הוראה מההוראות המנויות בתקנה 1(2); הפרת הוראה שביחס אליה ראש הרשות פרסם הודעה לציבור על שינוי מדיניות האכיפה לחומרה בעניינים שקודם לכן לא ננקטו בגינם הליכי אכיפה; הפרת הוראה שראש הרשות קבע כי קיים לגביה חוסר בהירות המצריך מסירת התראה מינהלית ופרסם לגביה את פרשנותו.
תקנה 1
תקנה זו מבקשת לפרט מהן הנסיבות שבהתקיים אחת מהן, רשאי ראש הרשות למסור התראה מינהלית חלף הטלת עיצום כספי.
בפסקה (א) מוצע לקבוע כי תוקנה לראש הרשות סמכות למסור התראה מינהלית חלף הטלת עיצום כספי, במקרים בהם ההוראה שהופרה היא הוראה חדשה, ובלבד שטרם נמסרה למפר התראה מינהלית בגין הפרה של אותה הוראה. מוצע להגדיר את המונח "הוראה חדשה" כחובה חדשה או איסור חדש שנקבעו בחוק הגנת הפרטיות או בתקנות לפיו, לאחר מועד פרסום התקנות המוצעות, שמוקנית לראש הרשות סמכות להטיל עיצום כספי בגין הפרתם מכוח סעיף 23כו לחוק, ואשר טרם חלפו שלושה חודשים ממועד כניסתם לתוקף. זאת, על מנת לאפשר תקופת היערכות מתאימה, בטרם הטלת עיצום כספי בגין הוראות חדשות שתיקבענה בחוק או בתקנות. יצוין כי חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024 אינו בבחינת הוראה חדשה לעניין תקנות אלו. למען הסר ספק, יובהר כי תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, אף הן אינן בבחינת הוראה חדשה, לעניין תקנות אלו.
בפסקה (ב) מוצע לקבוע כי ניתן למסור התראה מינהלית חלף הטלת עיצום כספי, במקרים בהם הופרה הוראה אחת או יותר מבין ההוראות המנויות בפסקה (ב), ובלבד שהמפר לא ביצע הפרה קודמת של אותה הוראה: (1) הכנת מסמך הגדרות מאגר בהתאם לפרט 2 לתוספת השלישית, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או במאגר מידע שחלה עליו רמת האבטחה הבסיסית לפי התוספת השלישית לחוק; (2) עדכון מסמך הגדרות המאגר בהתאם לפרט 2 לתוספת השלישית, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או במאגר מידע שחלה עליו רמת האבטחה הבסיסית לפי התוספת השלישית; (3) יישום נוהל הרשאות גישה לגבי בעל הרשאה שסיים את תפקידו בהתאם לפרט 17 לתוספת השלישית; (4) עדכון מערכות המאגר בהתאם לפרט 22 לתוספת השלישית, בידי בעל שליטה במאגר מידע המנוהל בידי יחיד או מחזיק במאגר מידע כאמור; (5) אבטחת חיבור ברשת בהתאם לפרט 23 לתוספת השלישית; (6) גיבוי נתוני התיעוד בהתאם לפרט 26(ג) לתוספת השלישית; (7) הפרת חובות תיעוד בהתאם לפרט 27 לתוספת השלישית; (8) הפרדת מערכות המאגר (מידור) בהתאם לפרט 28 לתוספת השלישית. לעניין זה, מוצע להגדיר את המונח "הפרה קודמת" כהפרה של אותה הוראה, שבגינה הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלי אחר לפי פרק ד'3 לחוק.
יוער, כי בדיוני ועדת החוקה, חוק ומשפט של הכנסת בתיקון מס' 13 הוצג במהלך הדיונים כי בפסקה זו ייכלל גם פרט 16 לתוספת השלישית, שעניינו יישום נוהל הרשאות גישה ונקיטת אמצעים מקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות, בהתאם להוראת תקנה 9(א) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וזאת – ככל שראש הרשות להגנת הפרטיות לא יפרסם הנחיות לעניין אמצעים מקובלים כאמור. בהתאם לכך, בכוונת ראש הרשות לפרסם הנחיות לעניין האמצעים המקובלים הדרושים לפי תקנה 9(א) עד למועד התקנת התקנות. לפיכך, בכפוף לפרסום ההנחיות האמורות עד למועד התקנת התקנות, לא ייכלל פרט 16 בפסקה (ב) לתקנות.
בפסקה (ג) מוצע לקבוע כי תוקנה לראש הרשות סמכות למסור התראה מינהלית חלף הטלת עיצום כספי, במקרים בהם הופרה הוראה שלגביה פרסם ראש הרשות הודעה לציבור על שינוי מדיניות האכיפה לחומרה, ביחס לעניינים שקודם לכן לא ננקטו בגינם פעולות אכיפה. זאת, על מנת לאפשר תקופת היערכות מתאימה למשק, טרם הטלת עיצום כספי, במקרים בהם הוחלט על שינוי מדיניות האכיפה לחומרה. מוצע לקבוע כי התקופה שבה תימסר התראה מינהלית חלף הטלת עיצום כספי בנסיבות אלה לא תעלה על שלושה חודשים, תוך שלראש הרשות תהיה סמכות להורות על הארכת התקופה לפרק זמן נוסף, אם שוכנע כי נדרשת תקופת היערכות ארוכה יותר, ובלבד שפרק הזמן הכולל לא יעלה על שישה חודשים. מוצע כי הודעה על שינוי מדיניות אכיפה כאמור תפורסם באתר האינטרנט של הרשות להגנת הפרטיות, וכי בהודעה יפורט פרק הזמן שבמהלכו תימסר התראה מינהלית חלף הטלת עיצום כספי. יובהר כי נקיטת פעולות אכיפה מכוח הוראות חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024, ובכלל זה הטלת עיצום כספי בגין הפרת הוראה מהתקנות לפי חוק הגנת הפרטיות שעומדות בתוקף כיום, אינה בבחינת שינוי מדיניות אכיפה לחומרה, לעניין תקנות אלו.
בפסקה (ד) מוצע לקבוע כי ניתן למסור התראה מינהלית חלף הטלת עיצום כספי, במקרה שבו הופרה הוראה אשר ראש הרשות קבע כי קיים לגביה חוסר בהירות המצריך מסירת התראה מינהלית, ופרסם לגביה את פרשנותו. זאת, על מנת לאפשר תקופת היערכות מתאימה למשק, טרם הטלת עיצום כספי, במקרים שבהם נמצא כי קיים חוסר בהירות ביחס להוראה מסוימת בחוק או בתקנות, וראש הרשות החליט לפרסם לגביה את פרשנותו. מוצע לקבוע כי התקופה שבה תימסר התראה מינהלית חלף הטלת עיצום כספי בנסיבות אלה לא תעלה על שלושה חודשים, תוך שלראש הרשות תהיה סמכות להורות על הארכת התקופה לפרק זמן נוסף, אם שוכנע כי נדרשת תקופת היערכות ארוכה יותר, ובלבד שפרק הזמן הכולל לא יעלה על שישה חודשים. מוצע לקבוע כי הודעה כאמור מטעם ראש הרשות תפורסם באתר האינטרנט של הרשות להגנת הפרטיות, וכי בהודעה יפורט פרק הזמן שבמהלכו תימסר התראה מינהלית חלף הטלת עיצום כספי בגין הפרתה.
תקנה 2
מוצע לקבוע כי תחילתן של התקנות תהיה ביום פרסומן.