חומר רקע

PDF 30,024 תווים המסמך המקורי ↗
- 1 - תוספות ותיקונים עקיפים– 'נספח מס מ- 1496 '/א 'חוק הגנת הפרטיות (תיקון מס13), התשפ"ד– 2024 הוספת תוספות23 .אחרי סעיף 37 לחוק העיקרי יבוא: "תוספת ראשונה ( ,"ההגדרה "הרשות, "הרשות להגנת הפרטיות סעיף 3) החלטת ה ממשלה מס ' 1890 נושא ההחלטה: עצמאות הרשות להגנת הפרטיות ותיקון החלטת ממשלה מחליטים: 'בהמשך להחלטות הממשלה מס4660 מיום19 בינואר2006 ', מס4820 מיום28 ביוני2012 'ומס3019 מיום7 בספטמבר2017 : 1 .(א) הרשות להגנת הפרטיות (להלן: הרשות) היא יחידה במשרד המשפטים שבראשה עומד ראש הרשות. )(ב הרשות תהיה עצמאית בהפעלת הסמכויות המוקנות לראש הרשות לשם מילוי תפקידיה באמצעות עובדי הרשות ובהתאם להוראות כל דין, ותקציב הפעילות של הרשות ינוהל בנפרד בתוך תקציב משרד המשפטים. מתוך כיבוד עצמאותה של הרשות, תפעל הרשות באופן בלתי תלוי בעת הפע לת הסמכויות המוקנות לראש הרשות. 2 .תפקידי הרשות הם בין היתר אלו: )(א לפקח על מילוי הוראות חוק הגנת הפרטיות, התשמ"א– 1981 והתקנות שלפיו ביחס למאגרי מידע. )(ב לחקור חשדות לביצוע עבירות לפי חוק הגנת הפרטיות, התשמ"א– 1981 ביחס למאגרי מידע בהתאם לסמכויותיה על פי דין. )(ג להעלות את המודעות בציבור לזכות לפרטיות במאגרי מידע, לערך ההגנה על הפרטיות ולחשיבותו בעידן המידע, באמצעות חינוך, הדרכה והסברה. - 2 - )(ד ,לטפל בפניות ציבור שיש בהן ממש בעניין פגיעה בנושאי מידע לפי חוק הגנת הפרטיות התשמ"א– 1981 . )(ה לפתח וליישם תוכניות מקצועיות והכשרות בתחומי פעילותה. )(ו לקדם ולקיים קשרים עם גופים מקבילים בעולם ובמסגרת פורומים בין-לאומיים שבהם משתתפים גופים מקבילים. )(ז לבצע את סמכויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס"א– 2001 . 3 . )(א 'בהמשך להחלטות הממשלה מס4660 מיום19.1.2006 'ומס3543 מיום11.2.2018 , לקבוע כי תנאי הכשירות למינוי כראש הרשות יהיו כדלקמן: (1) מי שמתקיימים בו תנאי הכשירות ל התמנות כשופט של בית המשפט המחוז;י (2) לא ימונה לראש הרשות מי שהורשע בעבירה פלילי ת או בעבירת משמעת שמפאת מהותה, חומרתה או נסיבותיה אין הוא ראוי לכהן כראש הרשות, או שהוגש נגדו כתב אישום או קובלנה בעבירה כאמור וטרם ניתן פסק דין סופי בעניינו. )(ב 'יובהר, כי בהתאם להחלטת ממשלה מס4470 מיום8.2.2009, ראש הרשות ימונה לתקופת כהונה אחת בת שש שנים. 4 . 'לתקן את החלטת הממשלה מס4660 מיום19.1.2006 ולקבוע כי: )(א הממשלה תמנה את ראש הרשות בהודעה ברשומות כרשם לעניין סעיף7 לחוק הגנת הפרטיות, התשמ"א– 1981 . )(ב שר המשפטים ימנה את ראש הרשות כרשם לעניין סעיף9 ,לחוק חתימה אלקטרונית התשס"א– 2001 . תוספת הי שני (פסקה ( 12 ) להגדר ה "מידע רגיש במיוחד" ,סעיף 3) (1) מידע על חברות בארגון עובדים כאמור בתקנה7 לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי ,)התשפ "ג– 2023 1. תוספת שלישית (סעיף 23כג(ה)) עיצום כספי על הפרת תקנות הגנת ,)הפרטיות (אבטחת מידע התשע "ז– 2017 1 ... 'ק"ת התשפ"ג, עמ - 3 - בתוספת זו – "גורם חיצוני " – כמשמעותו בתקנה 15 (א )לתקנות; ""יחיד– ;אדם וקרובו, אדם ובא כוחו "לעניין זה "קרוב– בן זוג, אח, אחות, הורה, הורה הורה, צאצא וצאצא של בן זוג, ובן זוגו של כל אחד מאלה וכן,צאצא של אח או של אחות ואח או אחות של הורה;; "מאגר המנוהל בידי יחיד" – מאגר מידע שבעל השליטה בו הוא יחיד או תאגיד בבעלות יחיד או תאגיד בבעלות שני יחידים, ושלכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש ,ולמעט מאגרי מידע כמפורט להלן: (1) מאגר מידע ש מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה , לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג; (2) מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה; (3) מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית; "מאגר שחלה עליו רמת האבטחה הבסיסית " – מאגר מידע שאינו מאגר המנוהל בידי יחיד :שמתקיימים בו כל אלה (1) מטרתו העיקרית אינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג; (2) בעל השליטה במאגר המידע אינו גוף ציבורי כהגדרתו בסעיף23 ; (3) אם יש במאגר מידע רגיש במיוחד מתקיים בו גם אחד מאלה: )(א מספר ;בעלי ההרשאה למאגר אצל בעל השליטה אינו עולה על עשרה )(ב המאגר כולל מידע רגיש במיוחד רק על אודות המועסקים אצל בעל השליטה או הספקים ו של ,הוא משמש למטרות ניהול העסק של בעל השליטה במאגר המידע בלבד והוא מהסוגים ש:להלן בלבד (1) מידע ( לפי פסקאות2 ( ,) 6 )ו-(8 ( ) עד10 ) להגדרה" מידע רגיש במיוחד ;" מידע אישי המתייחס למצב בריאותו ,מידע אישי על אודות עבר ו ה פלילי, מידע אישי על אודות אמונותיו הדתיות ,הערכת אישיות ו נתוני מיקום ונתוני תעבורה ומידע על נתוני שכר ופעילותו הפיננסית; (2) מידע אישי על נטייתו המינית צנעת חייו של העובד המועסק או של ,בן זוגו ,ככזה והוא ה נובע מרישום ממידע שמסר המועסק; . - 4 - (3) מידע אישי על אודות אמונותיו הדתיות; (4) מידע מזהה ביומטרי כאמור בפסקה(4 8) להגדר ה "מידע רגיש במיוחד "שהוא תמונת פנים בלבד; "מאגר שחלה עליו רמת האבטחה הבינונית " – מאגר שאינו מאגר מידע המנוהל על ידי יחיד ואינו מאגר שחלה עליו רמת האבטחה הגבוהה ומתקיים בו אחד מאלה: (1) מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר כהגדרתם בסעיף17ג ; (2) בעל השליטה בו הוא גוף ציבורי כהגדרתו בסעיף23 ;לחוק (3) במאגר המידע מידע רגיש במיוחד, למעט מידע רגיש במיוחד המוחרג בפסקה (3 ))(ב להגדרה "מאגר שחלה עליו רמת האבטחה הבסיסית;" "מאגר שחלה עליו רמת האבטחה הגבוהה " – מאגר מידע שמתקיים בו אחד מאלה: (1) מאגר ( מידע כאמור בפרט1 ) ( או3) להגדר ה " מאגר שחלה עליו רמת האבטחה הבינונית" או מאגר מידע שיש בו מידע רגיש במיוחד שמספר בעלי ההרשאה אצל בעל השליטה בו עולה על100 או שיש בו מידע על אודות100,000 בני אדם ומעלה; (2) מאגר מידע שיש בו מזהים ביומטריים של100,000 בני אדם ומעלה; "התקנות " – תקנות הגנת הפרטיות (אבטחת מידע ,)התשע"ז– 2017 2. 2 ק "ת 'התשע"ז, עמ1022 . - 5 - ההפרה ההפרה )סכום העיצום הכספי (בשקלים חדשים טור א' טור ב' טור ג' טור ד' טור ה' מאגר המנוהל בידי יחיד מאגר שחלה עליו רמת האבטחה הבסיסית מאגר שחלה עליו רמת האבטחה הבינונית מאגר שחלה עליו רמת האבטחה הגבוהה (1) הכנת מסמך הגדרות :המאגר בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א )לתקנות , בניגוד להוראות אותה תקנה לרבות סוגי המידע השונים הכלולים במאגר המידע לפי תקנת משנה(3 ,)בשים לב לרשימת סוגי המידע המהווים מידע רגיש במיוחד לפי סעיף 3 לחוק; 2,000 בכפוף לנוהל התראה 2,000 בכפוף לנוהל התראה 40,000 160,000 (2) :עדכון מסמך הגדרות מאגר בעל שליטה במאגר מידע שלא עדכן את מסמך הגדרות המאגר , בניגוד להוראות תקנה 2(ב ) לתקנות; 2,000 בכפוף לנוהל התראה 2,000 בכפוף לנוהל התראה 40,000 160,000 (3) :בדיקת מידע עודף בעל שליטה במאגר מידע שלא בחן או תיעד את הבחינה אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר ,בניגוד להוראות תקנה 2(ג) או19 )(ב לתקנות ; 2,000 2,000 40,000 160,000 (4) :הכנת נוהל אבטחת מידע בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר – 2,000 40,000 160,000 - 6 - והתקנות (להלן – נוהל אבטחה ,) בניגוד להוראות תקנה 4(א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; - 7 - (5) נוהל אבטחה– ,הכנה :שמירה וקביעת הוראות בעל שליטה במאגר מידע או מחזיק במאגר מידע ,לא ש עשה אחד מאלה ,לגבי נוהל האבטחה , בניגוד להוראה כמפורט בפסקאות משנה (א )עד (ד ) שלהלן החלה עליו: – 2,000 40,000 160,000 - 8 - (א) לא שמר את נוהל האבטחה כך שפרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך בניגוד תפקידיהם, ביצוע להוראות תקנה 4(ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; (ב) לא כלל ונב הל האבטחה את הפרטים המנויים בתקנה 4(ג ) לתקנות ; ו לעניין מאגר מידע שחלה עליו רמת האבטחה ה בינונית או הגבוהה – לא כלל בו התייחסות לפרטים המנויים בתקנה 4(ד )לתקנות או ל הוראות כאמור בתקנה 9(ב() 2) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; (ג) לא קבע ונב הל האבטחה הוראות לעניין התמודדות עם אירועי א בטחת מידע או לעניין דיווח לבעל השליטה במאגר , בניגוד להוראות תקנה 11 (ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א ) לתקנות ,לפי העניין; (ד) לא פירט בנוהל האבטחה ו את העניינים המנויים ב תקנה 15 )(א(2 ()א )עד (ה )לתקנות , בניגוד להוראות תקנה15 )(א(3 ;) (6) :מבנה המאגר ומערכותיו בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא החזיק – 1,000 20,000 80,000 - 9 - מסמך מעודכן של מבנה מאגר המידע או רשימת מצאי מעודכנת של מערכות המאגר, בהתאם להוראות תקנה 5(א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; (7) מסירת פרטי מבנה המאגר :ורשימת מצאי בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי לפי הרשאות הגישה שנקבעו בהתאם להוראות תקנה 5(ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; – 1,000 20,000 80,000 (8) :הגנת מערכות בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא הבטיח כי המערכות המפורטות בתקנה 5(א() 1 ) לתקנות יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, באופן התואם את אופי פעילות המאגר ורגישות המידע ,בו בהתאם להוראות תקנה 6(א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 1,000 1,000 20,000 80,000 (9) :סקר סיכונים בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה או מחזיק במאגר כאמור ,שלא דאג לכך שייערך סקר לאיתור סיכוני אבטחת מידע אחת ל- 18 חודשים – – – 320,000 - 10 - לפחות (להלן – סקר סיכונים ,) או שלא דן בתוצאות סקר הסיכונים שהועברו לו ולא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן ,או שלא פעל לתיקון הליקויים שהתגלו במסגרת סקר הסיכונים , בניגוד להוראות תקנה 5(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; ( 10 ) : חדירות מבדקי בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה או מחזיק במאגר כאמור שלא דאג לכך שייערכו מבדקי חדירות למערכות המאגר ,אחת ל- 18 חודשים לפחות ,או ש לא דן בתוצאות מבדקי החדירות או לא ש פעל לתיקון הליקויים שהתגלו ,בניגוד להוראות תקנה 5(ד )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – – – 320,000 ( 11 ) כניסה ותיעוד בקרה :לאתרים בעל שליטה במאגר מידע או מחזיק במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, שלא נקט אמצעים לבקרה ולתיעוד בהתאם להוראות תקנה 6(ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; – – 20,000 80,000 ( 12 ) :ניהול כוח אדם בעל שליטה במאגר מידע או מחזיק – 1,000 20,000 80,000 - 11 - במאגר מידע שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה ,בלי שנקט אף אמצעי סביר כאמור בתקנה 7(א )לתקנות ,בניגוד להוראות אותה תקנה או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; ( 13 ) :הדרכת כוח אדם בעל שליטה במאגר מידע או מחזיק במאגר מידע שנתן גישה למידע המצוי במאגר לבעלי הרשאות גישה למידע ממאגר המידע או ששינה את היקף הרשאותיהם בלא שקיים לפני כן הדרכות או בלא שמסר להם מידע ,בניגוד להוראות תקנה 7(ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; – 1,000 20,000 80,000 ( 14 ) :הדרכה תקופתית בעל שליטה במאגר מידע או מחזיק במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה , שלא קיים פעילות הדרכה תקופתית לבעלי ההרשאות שלו, בניגוד להוראות תקנה 7(ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – – 20,000 80,000 ( 15 ) :תיעוד בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא שמר באופן מאובטח, במשך שנה ,לפחות את הנתונים הנצברים במסגרת יישום הוראות – 1,000 20,000 80,000 - 12 - תקנות 6(ב ,) 8 עד 11 , 14 , 15 (א() 4 )ו- 16 לתקנות ,החלות עליו ,בניגוד להוראות תקנה 17 (א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; ( 16 ) קביעה וניהול של הרשאות :גישה בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר , בניגוד להוראות תקנה 8(א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין ,או שלא ניהל רישום מעודכן של בניגוד התקפות, ההרשאות להוראות תקנה 8(ב )לתקנות או להור אות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין (להלן – רשימת הרשאות תקפות;) – 2,000 40,000 160,000 ( 17 ) הרשאות נוהל יישום :גישה בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא נקט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר המידע ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות ,בניגוד להוראות תקנה 9(א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 2,000 בכפוף ל נוהל התראה 2,000 בכפוף ל נוהל התראה 40,000 בכפוף ל נוהל התראה 160,000 בכפוף ל נוהל התראה - 13 - ( 18 ) הרשאות נוהל יישום ה גישה לגבי בעל הרשאה שסיים את תפקידו: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו , בניגוד להוראות תקנה 9(ג ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – 2,000 בכפוף ל נוהל התראה 40,000 בכפוף ל נוהל התראה 160,000 בכפוף ל נוהל התראה ( 19 ) אבטחת אירוע תיעוד :מידע בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע ,לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירוע י אבטחת מידע) , בניגוד להוראות תקנה 11 (א ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 2,000 2,000 40,000 160,000 ( 20 ) באירועי תקופתי דיון :אבטחת מידע בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה או מחזיק במאגר כאמור שלא קיים דיון באירועי אבטחת המידע ותיעד את קיומו או שלא בחן את הצורך בעדכון נוהל האבטחה ותיעד דיון ובחינה כאמור ,בניגוד להוראות תקנה 11 (ג ) ותקנה 19 )(ב לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – – 40,000 160,000 - 14 - ( 21 ) דיווח לרשות אודות אירוע :אבטחה חמור בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה או מחזיק במאגר כאמור שלא הודיע ל ראש הרשות באופן מיידי על אירוע אבטחה חמור ,או שלא דיווח לראש הרשות על הצעדים שנקט בעקבות האירוע , בניגוד להוראות תקנה 11 (ד() 1 )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; – – 80,000 320,000 ( 22 ) :עדכון מערכות המאגר בעל שליטה במאגר מידע או מחזיק במאגר מידע או מנהל מאגר שלא דאג לכך שייערכו עדכונים שוטפים של מערכות המאגר ,לרבות חומר המחשב הנדרש לפעולתן ,או לכך שלא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן בלא שניתן כל מענה אבטחתי מתאים ,בניגוד להוראות תקנה 13 (ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; 2,000 בכפוף לנוהל התראה 2,000 40,000 160,000 ( 23 ) :אבטחת חיבור ברשת בעל שליטה במאגר מידע או מחזיק במאגר מידע שחיבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת ,בלא התקנת כל אמצעי הגנה מתאימים ,בניגוד להוראות תקנה 14 (א )לתקנות או להוראות 2,000 2,000 40,000 160,000 - 15 - התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; ( 24 ) בקרה ופיקוח על גורם :)חיצוני (מיקור חוץ בעל שליטה במאגר מידע שהתקשר עם גורם ,חיצוני לצורך קבלת שירות שלא קבע במפורט במפורש בהסכם עם הגורם החיצוני את העניינים המנויים שלהלן ו שלא נקט כל אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות שנקבעו בהסכם איתו ,בניגוד להוראות ב תקנה 15 )(א(2)ו-(4) או שלא נקט כל אמצעי בקרה ופיקוח על עמידתו של הגורם שנקבעו בהוראות החיצוני בהסכם ,האמור בעניינים המפורטים בפסקאות משנה )(ד ו- (ו) עד )(ח בתקנה האמורה:; – 4,000 80,000 320,000 ( 25 ) :גיבוי נתוני התיעוד בעל שליטה במאגר מידע או מחזיק במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ו שלא :עשה אחד מאלה )(א גיבה את הנתונים שנשמרו באופן שיבטיח שיהיה ניתן, בכל עת, לשחזר את הנתונים למצבם המקורי, בניגוד להוראות תקנה 17 (ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; )(ב קבע במסמך את העניינים המנויים בתקנה 18 (א() 1 )ו-(3 ) לתקנות וכן קבע נהלים להבטחת – – 20,000 80,000 - 16 - שחזור הנתונים, כאמור בתקנה 17 )(ב לתקנות את העניינים המנויים בתקנה 18 (א )לתקנות , בניגוד להוראות התקנה האמורה או להוראות אותה תקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; )(ג דאג לכך שיישמר עותק הגיבוי של הנתונים והנהלים האמורים בתקנה 18 (א )לתקנות באופן שיבטיח את שלמות המידע ואת אפשרות שחזור המידע , בניגוד להוראות תקנה 18 (ב ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; ( 26 ) :הפרת חובות תיעוד בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא תיעד באופן סביר את אופן ביצועה של פעולה שאינה יצירת מסמך ,שחלה עליו חובה או אחריות לבצעה לפי ה תקנות ,בניגוד להוראות תקנה 19 (ב )לתקנות; – 1,000 20,000 80,000 - 17 - ( 27 ) :מנגנון בקרה ותיעוד גישה בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה או מחזיק במאגר כאמור ש לא :ביצע אחד מאלה )(א לא דאג שינוהל מנגנון בקרה , בניגוד להוראות תקנה 10 (א )ו-(ב )לתקנות (להלן – מנגנון בקרה )או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; (ב) לא קבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה ו לא ערך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן ,בניגוד להוראות תקנה 10 (ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; (ג) לא דאג ש נתוני התיעוד של מנגנון הבקרה לשמירת נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 12 חודשים לפחות , בניגוד להוראות תקנה 10 (ד ) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; (ד) לא יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה ,בניגוד להוראות תקנה 10 (ה )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – – 40,000 160,000 - 18 - ( 28 ) הפרדת מערכות המאגר :)(מידור בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא הפריד בין מערכות המאגר אשר ניתן לגשת מהן למידע אישי , לבין מערכות מחשוב אחרות המשמשות אותו ,בניגוד להוראות תקנה 13 (ב )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין; 20,000 כפוף לנוהל התראה 80,000 כפוף לנוהל התראה ( 29 ) :ביקורת תקופתית בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה או מחזיק במאגר כאמור שלא דאג לכך שתיערך , אחת ל- 24 ,חודשים לפחות ביקורת פנימית או חיצונית ,בניגוד להוראות תקנה 16 (א )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות , לפי העניין ,או שלא דן בדוחות הביקורת שהועברו לו ,או שלא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם ,בניגוד להוראות תקנה 16 (ג )לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19 (א )לתקנות ,לפי העניין; – – 40,000 160,000 תוספת רביעית (סעיף 23כג(ו)) עיצום כספי על הפרת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג– 2023 - 19 - בתוספת זו – "תקנות העברת מידע מהאזור "הכלכלי האירופי– תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג– 2023 3. 'חלק א הה פרה סכום העיצום הכספי 'טור א טור ב' (1) בעל שליטה במאגר מידע ש לא הודיע בכתב לנושא המידע על החלטתו בבקשה לפי הוראות תקנה3 (א) לתקנות העברת מידע מהאזור הכלכלי האירופי, בניגוד להוראות תקנה3 (ד) לתקנות ;האמורות 15,000 שקלים חדשים (2) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן– )מידע שאינו נחוץ, בניגוד להוראות תקנה 4(א) לתקנות העבר ת מידע מהאזור הכלכלי האירופי; ב סכום של2 שקלים חדשים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם היה המידע האישי במאגר המידע מידע רגיש במיוחד– ב סכום של4 שקלים חדשים לכל אדם ;היה סכום העיצום הכספי קטן מ- 20,000 שקלים חדשים , ואם היה המידע האמור מידע רגיש במיוחד – קטן מ- 40,000 ,שקלים חדשים רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 20,000 שקלים חדשים או 40,000 .שקלים חדשים, לפי העניין העיצום הכספי יחושב לפי מספר בני האדם הש תקנות העברת מידע מהאזור הכלכלי האירופי חלות על מידע אישי בהתייחס אליהם .במאגר המידע (3) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר שמטרתו ,להבטיח כי המידע שבמאגר המידע נכון, שלם ,ברור ומעודכן בניגוד להוראות תקנה5 )(א לתקנות העברת מידע מהאזור הכלכלי האירופי; (4) בעל שליטה במאגר מידע אשר מצא כי ,במאגר המידע מוחזק מידע שאינו נכון, שלם ברור או מעודכן, ולא נקט כל אמצעי ל תיקון המידע או מחיקתו , בניגוד להוראות תקנה5 )(ב לתקנות העברת מידע מהאזור הכלכלי האירופי; חלק ב' 3 'ק"ת התשפ"ג, עמ1720 . - 20 - הה פרה סכום העיצום הכספי 'טור א טור ב' (1) בעל שליטה במאגר מידע שקיבל בקשה כתובה למחיקת מידע כאמור בתקנה3 )(א ,לתקנות הגנת הפרטיות ו לא התקיימו החריגים כאמור בתקנה3 (ב) לתקנות העברת מידע ,מהאזור הכלכלי האירופי והוא לא מחק את המידע או ביצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע, בניגוד להוראות תקנה3 (ג) לתקנות האמורות ,וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה ,ולא הפסיק את ההפרה בתקופה שהורה; ב סכום של4 שקלים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם היה המידע האישי במאגר המידע מידע רגיש במיוחד– ב סכום של8 שקלים לכל ;אדם היה סכום העיצום הכספי כאמור קטן מ- 200,000 שקלים חדשים , רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 200,000 שקלים חדשים. לעניין ( פרט1 ( ,) 3 )ו-(4 ) – העיצום הכספי יחושב לפי מספר בני האדם שבעל השליטה לא מחק את המידע המתייחס אליהם כנדרש או לא הודיע להם כנדרש בתקנה 3 ,)(ג 6 )(א או 6 (ב) לתקנות העברת מידע מהאזור ,הכלכלי האירופי לפי העניין .לעניין ( פרט2 ) – העיצ ום הכספי יחושב לפי מספר בני האדם שהתקנות האמורות חלות על מידע אישי בהתייחס אליהם במאגר המידע. (2) בעל שליטה במאגר מידע אשר מצא כי במאגר המידע מוחזק מידע שאינו נחוץ לפי תקנה 4(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי לא ו ביצע פעולות המבטיחות שלא יתאפשר לזהות את נושא המידע כאמור בתקנה 4 )(ג ו לא הת קיימו הנסיבות הקבועות בתקנה ,האמורה ו לא מחק את המידע האמור במועד ,המוקדם האפשרי בנסיבות העניין בניגוד להוראות תקנה 4 )(ג לתקנות האמורות ,וזאת לאחר שקיבל הודעה מאת ראש הרשות לפי סעיף 17ט3 )(ג שמעשיו מהווים הפרה ,ולא הפסיק את ההפרה בתקופה שהורה; (3 7) בעל שליטה במאגר מידע ש קיבל מידע על אודות אדם ולא הודיע לו ככל האפשר בסמוך לאחר קבלת המידע וכל המאוחר תוך חודש על הפרטים המנויים , כנדרש בתקנה6 (א) לתקנות ,העברת מידע מהאזור הכלכלי האירופי ו לא התקיימו אחת מהנסיבות הקבועות בתקנ ה 6( )ג לתקנות האמורות ,בניגוד לתקנה 6 )(א האמורה, וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה; - 21 - (4 8) בעל שליטה במאגר מידע שביקש להעביר את המידע שקיבל לצד שלישי ו לא הודיע על כך לנושא המידע כנדרש בתקנ ה 6 (ב) לתקנות העברת מידע מה ,אזור הכלכלי האירופי ו לא התקיימה אחת מהנסיבות הקבועות בתקנ ה 6 (ג) לתקנות האמורות ,בניגוד לתקנה 6 )(ב האמורה, וזאת לאחר שקיבל הודעה מאת ראש הרשות שמעשיו מהווים הפרה ,ולא הפסיק את ההפרה בתקופה שהורה. תוספת חמישית (סעיף 23כח) סכומים מופחתים לעניין עיצום כספי הגדרות 1. בתוספת זו– "אישור "לעניין גובה מחזור העסקאות– :כמפורט להלן, לפי העניין (1) לעניין מפר החייב לפי דין במינוי רואה חשבון מבקר ,כהגדרתו בחוק החברות התשנ "ט– 1999 4 – אישור שנתן רואה החשבון המבקר; (2) לעניין מפר שהוא אגודה שיתופית– אישור של מי שביקר את חשבונותיה של האגודה השיתופית לפי סעיף20 לפקודת האגודות השיתופיות5; (3) לעניין מפר אחר– אישור שנתן רואה חשבון או יועץ מס מייצג ,כי גובה מחזור העסקאות שהציג המפר תואם לאמור במסמך שהוגש לרשות המסים בישראל או למוסד לביטוח לאומי לפי דין; " ,לעניין זה יועץ מס מייצג " – כהגדרתו בחוק הסדרת העיסוק בייצוג על ידי יועצי מס, התשס"ה– 2005 6; 4 'ס"ח התשנ"ט, עמ189 . 5 ח וקי א"י, 'כרך א', עמ )(ע 336 360 ), (א360 . יש לבחון האם חלופה זו רלוונטית . 6 'ס"ח התשס"ה, עמ114 . - 22 - ""מחזור עסקאות– מחזור עסקאות של עוסק [טוע1 ][נמ2 ]כהגדרתו בחוק מס ערך מוסף ,התשל "ו- – 1975 7; לעניין מלכ"ר כהגדרתו בחוק האמור– ,מחזור כהגדרתו בתוספת השנייה לחוק העמותות התש"ם– 1980 8 ,ולעניין גוף ציבורי שאינו אחד האמורים – התקציב השנתי של אותו הגוף הציבורי; "עסק "זעיר– מפר שמחזו ר העסקאות שלו בשנה שקדמה למועד ההפרה לא עלה על4 מיליון שקלים חדשים ; "עסק "קטן– מפר ,למעט עסק זעיר , שמחזור העסקאות שלו בשנה שקדמה למועד ההפרה עלה על4 מיליון שקלים חדשים ולא עלה על10 מיליון שקלים חדשי ם; הפחתה בשל התנהגות המפר 2. ראש הרשות יפחית למפר את סכום העיצום הכספי בשיעורים כמפורט להלן, אם התקיימה אחת או יותר :מנסיבות אלה (1) בחמש השנים שקדמו להפרת ההוראה שבשלה מוטל על המפר עיצום כספי לא הוטל עליו עיצום כספי 'או אמצעי אכיפה מינהלית לפי פרק ד3 בשל הפרת אותה הוראה – בשיעור של % 0 2 ;ואם בשלוש השנים שקדמו להפרה לא הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלית כאמור– בשיעור של 10% ; (2) ה מפר הפסיק את ההפרה מיוזמתו ודיווח עליה ל ראש הרשות – בשיעור של 30% ; (3) המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק, להנחת דעתו של ראש הרשות – בשיעור של % 0 2 ;. (4) המפר מינה ,טרם הודעה כוונ ת חיוב ,ממונה על הגנת הפרטיות לפי סעיף17ב2 ו- 17ב3 ,בלי שהיה חייב למנות ממונה כאמור לפי סעיף17ב1 – בשיעור של % 10 . הפחתה בשל תשלום או פיצוי אחר ששולם 3. ראש הרשות רשאי להפחית למפר את סכום העיצום הכספי בשל פיצוי ששולם או שנפסק לחובת המפר בשל אותן הפרות – בשיעור שלא יעלה על30% . 7 'ס"ח התשל"ו, עמ52 . 8 'ס"ח התש"ם, עמ210 . .יש לבחון האם חלופה זו רלוונטית - 23 - הפחתה בשל נסיבות אישיות 4. ראה ראש הרשות ,לגבי מפר שהוא יחיד ,שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר ,רשאי הוא להפחית למפר את סכום העיצום הכספי המוטל על המפר בשיעור של 20% . הפחתה בשל כמה נסיבות 5. התקיימו לגבי מפר כמה נסיבות כאמור בסעיפים 2 , 3 ו-4 רשאי ראש הרשות להפחית למפר מסכום העיצום הכספי ,המוטל עליו את השיעורים המנויים לצד אותן נסיבות במצטבר, ובלבד ששיעור ההפחתה המצטבר לא יעלה על 70% .מסכום העיצום הכספי הפחתה לעסק זעיר או קטן 6. מצא ראש הרשות, לבקשת המפר, כי המפר הוא עסק זעיר או קטן, לפי העניין, יפחית את סכום סכו מי העיצום שיוטל ו עליו במהלך אותה שנה אחת , בין שהופחת ו לפי סעיף2, או 3 ו-4 ובין שלא הופחת ו כאמור , כך ש סכום העיצום בגין הפרות לפי כל אחת מהפסקאות המפורטות להלן, לא יעלה על הסכום המפורט ל צידן: - 24 - (1) הפרות לעניין המנויות בסעיף23כג)(א ו- )(ב ,ב פרטים (6 ( ) עד8 ,) ( 11 ( ) עד15 ( ,) 25 ( ) עד26 ) ו-( 28 ) לתוספת השלישית, ( ופרט1 ) ' א בחלק לתוספת ;הרביעית עבור עסק זעיר – 20,000 שקלים חדשים , ועבור עסק קטן– 40,000 שקלים חדשים; (2) הפרות לעניין המנויות בסעיף23כג(ג) )עד (ו, ( בפרטים1 ( ) עד5 ,) (9 ( ) עד10 ( ,) 16 ( ) עד24 ,) ( 27 ו )-( 29 לתוספת ) השלישית בו( פרטים2) עד (4 ) לחלק א' לתוספת הרביעית ו 'בחלק ב( עד8 ) לתוספת הרביעית האמורה; עבור עסק זעיר – 50,000 שקלים חדשים , ועבור עסק קטן– 100,000 שקלים חדשים; (3) הפרות לעניין המנויות בסעיף23כג( ;)ז עבור עסק זעיר – 70,000 שקלים חדשים , ועבור עסק קטן– 140,000 שקלים חדשים; (4) הפרות לעניין המנויות בסעיף23כג)(ח עבור עסק זעיר – ,000 50 שקלים חדשים , ועבור עסק קטן– ,000 100 שקלים ;חדשים הפר מפר שהוא עסק זעיר או עסק קטן מספר הפרות לפי ( פסקאות1 ( ) עד4 ) – לא יישא המפר בסכום העולה על .העיצום הכספי הגבוה מבין הפסקאות - 25 - הפחתה בשל התחשבות במחזור עסקאות 7. )(א מצא ראש הרשות ,לבקשת המפר , שסכום העיצום הכספי המוטל על המפר, בין שהופחת לפי סעיף 2 עד4 או6 ובין שלא הופחת כאמור, עולה על5% ממחזור העסקאות ,של המפר יפחית את סכום העיצום הכספי ל- 5% ממחזור העסקאות שלו ; ואולם לעו סק שאין לו מחזור עסקאות, רשאי ראש הרשות לא י לה פחית –לא וי פחת את סכום העיצום לפי סעיף זה אלא אלא לסכום שלא יפחת קטן מהסכום העיצום י המ רבי שהופחת שאפשר להפחית שניתן להטיל לפי סעיף 6 לעניין עסק זעיר. )(ב מפר המבקש הפחתה של סכום העיצום הכספי לפי6 או סעיף זה , יגיש לראש הרשות אישור לעניין גובה מחזור העסקאות שלו בתוך30 ימים ממועד מסירת ההודעה על .כוונת חיוב" תחילה 28 . )(א תחילתו של חוק זה שנה מיום פרסומו (להלן– )יום התחילה. )(ב על אף האמור בסעיף קטן (א), תחילתו של סעיף23 ()יח(ב2) לחוק העיקרי כנוסחו בחוק זה, ,המחיל את פיקוח הרשות להגנת הפרטיות על מאגרי משטרת ישראל שלוש שנים מיום התחילה ; שר המשפטים, בהסכמת השר לביטחון לאומי ובאישור ועדת החוקה, חוק .ומשפט של הכנסת, רשאי לדחות את המועד האמור בשלוש שנים, בכל פעם תחולה 29 . ביטול סעיף26 ,לחוק העיקרי כאמור ב חוק זה, יחול לעניין מעשה או מחדל שנעשה או אירע מ יום התחילה או לאחריו. הוראת מעבר לעניין רישום מאגר מידע 29 . (א) מאגר מידע שביום התחילה היה רשום בפנקס מאגרי מידע ,ימשיך להיות רשום במרשם אף אם לפי הוראות סעיף 8א לחוק העיקרי ,כנוסחו ב חוק זה ,לא חלה עליו חובת רישום ,והכול אלא אם כן הודיע בעל השליטה במאגר המידע לראש הרשות להגנת הפרטיות על כך שלא מתקיימת לגבי המאגר חובת רישום כאמור ;הודיע בעל השליטה במאגר מידע כאמור ,ימחק ראש הרשות את מאגר המידע מהמרשם. (ב) בסעיף זה – "בעל שליטה במאגר מידע" ,"מאגר מידע " – כהגדרתם ב חוק העיקרי ,כנוסחו ב חוק זה; ""פנקס מאגרי מידע– .כמשמעותו בחוק העיקרי כנוסחו ערב יום התחילה הוראות מעבר לעניין מפקחים וחוקרים .** (א) יראו מפקח שמונה לפי סעיף10 (ה ) לחוק העיקרי כנוסחו ערב יום התחילה כמי שהוסמך לפי הוראות סעיף23ט לחוק העיקרי כנוסחו בחוק זה , ויחולו עליו הוראות החוק העיקרי כנוסחו בחוק זה. - 26 - (ב) יראו עובד הרשות להגנת הפרטיות שהורשה בכתב לערוך חקירות על ביצוע עבירות לפי)פקודת הפרוצדורה הפלילית (עדות9, ערב יום התחילה, כמי שהוסמך לפי הוראות סעיף 23יג3 לחוק העיקרי כנוסחו בחוק זה , ויחולו עליו הוראות החוק העיקרי כנוסחו בחוק זה. *************************************************************************************** 9 ....,חוקי א"י