תיקון מס' 13 לחוק הגנת הפרטיות: סוכנויות הביטוח היכונו! / מורלי דורי
מתן סמכות לרשות להגנת הפרטיות להטלת עיצומים כספיים על הפרת רגולציה ביחד עם הגדרת "מידע רגיש במיוחד" מגדילות את החשיפה של סוכנויות ביטוח בתחום הפרת הפרטיות
בעידן של מתקפות סייבר גוברות והתפתחות טכנולוגית מהירה, הגנה על פרטיות הלקוחות הופכת לאתגר מרכזי עבור כל ארגון. עבור סוכנויות ביטוח, המחזיקות במידע רגיש במיוחד, האתגר הזה עומד להפוך למשמעותי אף יותר. תיקון מס' 13 לחוק הגנת הפרטיות, שאושר לאחרונה, מביא עמו שינויים דרמטיים שכל סוכנות ביטוח חייבת להכיר ולהיערך אליהם.
מאמר זה לא מחליף את הייעוץ המשפטי או הטכנולוגי לו תזדקקו, אלא סוקר בפניכם סקירה עסקית וניהולית של עיקרי הדברים ומדגיש את חשיבות השינוי והחשיבות הגדולה בהיערכות לשינוי זה.
רקע: למה תיקון מס' 13 חשוב כל כך?
השבוע אושר תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981. חשיבותו של התיקון ניכרת מעצם העובדה שהכנסת התכנסה לאישורו במסגרת התכנסות מיוחדת לאחר היציאה לפגרה. למרות שטרם פורסם ברשומות ומועד כניסתו לתוקף הוא שנה מהיום, התיקון כבר זוכה לתשומת לב רבה.
מדוע התיקון הזה כה משמעותי?
בשנים האחרונות, חקיקת הפרטיות בעולם התקדמה משמעותית, בעוד שבישראל חלו רק שינויים מינוריים. בנוסף, סיכוני הפרטיות הולכים ומתעצמים, תקיפות הסייבר הופכות לשגרה והיכולות הטכנולוגיות מתעדכנות בקצב מסחרר. צריך לזכור שחוק הגנת הפרטיות משפיע על כל אדם וגוף במדינת ישראל, עם דגש מיוחד על חברות טכנולוגיה גדולות ושחקנים מרכזיים במשק. בסופו של דבר נערך שינוי חוק נרחב בעל השלכות משמעותיות על האופן שבו חברות מנהלות את סיכוני הפרטיות שלהן ובעיקר, הסנקציות אשר יוטלו במקרה של הפרת חוק אשר מגיעות לעיצומים כספיים של עד מיליוני שקלים.
ההקלה המשמעותית בהוראות החוק
ביטול חובת רישום מאגרי מידע: בוטלה כמעט לחלוטין החובה החלה על גופים במגזר הפרטי לרשום את מאגרי המידע שבניהולם, למעט גופים ממשלתיים ואחרים בהתאם להגדרות. בשל הרלוונטיות לתחום הביטוח, כדאי לדעת שחברות אשר עוסקות באיסוף לידים לצורך מכירתם לסוכנויות ביטוח יצטרכו לרשום את המאגר, אך מי שרוכש מהם את הלידים, לא תחול עליו חובה. הקלה זו אינה משמעותית עבור גופים שכבר ביצעו רישום בעבר.
ההחמרות המרכזיות בהוראות החוק
- עיצומים כספיים: הרשות להגנת הפרטיות קיבלה סמכות להטיל עיצומים כספיים בגין הפרת הוראות הקשורות במאגרי מידע (עד היום ניתנו מעט מאד עיצומים מאחר והוגבלו רק במקרים של פגיעה בפרטיות). הסכומים יכולים להגיע למאות אלפי שקלים במקרים מסוימים. הרשות גם קיבלה סמכות לפנות לבית המשפט לקבלת צו להפסקת שימוש מיידית במאגר מידע מסוים, כולל מחיקתו, במקרה של הפרת חוק ("צו הפסקת עיבוד").
לצורך ההדגמה- הרשות להגנת הפרטיות תוכל לבצע ביקורת בסוכנות ביטוח ובמידה ותמצא כי לא קיים מסמך הגדרות מאגר עדכני בהתאם להוראות תקנת אבטחת מידע, הסוכנות צפויה לקבל עיצום כספי של 40-160 אלף שקל.
זה אולי השינוי הגדול ביותר כי משמעותו היא כי בעלים או מחזיק של מאגר מידע אשר לא יקיים את הפרודצדורות הקשורות בניהול מאגרי מידע בהתאם להוראות הרגולציה, חשוף לעיצומים ללא כל הליך משפטי.
- פסיקת פיצויים ללא הוכחת נזק: בתי המשפט קיבלו סמכות לפסוק פיצוי כספי ללא הוכחת נזק לאזרח התובע בגין הפרת הוראות חוק ביחס למאגרי מידע.
לצורך ההדגמה – סוכנות אשר הפרה את חובת השמירה של מידע רגיש של מי ממבוטחיה, אותו מבוטח עשוי לתבוע אותה ויהיה זכאי לפיצוי, גם אם לא נגרם לו נזק. עוד לא ברור איזו השפעה תהיה לעניין זה על תביעות ייצוגיות.
- 3. הגדרת "מידע רגיש במיוחד": הגדרה חדשה אשר כוללת, בין היתר:
* "נתוני שכר של אדם ועל פעילותו הפיננסית".
* "מידע על מצב בריאותו של אדם, ובכלל זה מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו-1996".
סכומי העיצומים הכספיים אשר נקבעו גבוהים יותר לגבי "מידע רגיש במיוחד" כך שסוכנויות ביטוח וסוכני ביטוח, המחזיקים מידע מסוג זה, נמצאים בחשיפה גבוהה. מאחר וגם גודל המאגר משפיע על גובה העיצום הצפוי, גודל הסוכנות גם הוא ישפיע על גובה הקנס.
זה המקום להזכיר שהתיקון גם כולל הרחבה של הגדרת "מידע אישי" – בסופו של דבר החוק חל על בית עסק אשר משתמש למטרות עסקיות במידע מהסוג המוגדר על פי החוק: "נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי; לעניין הגדרה זו, "אדם הניתן לזיהוי" – מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי".
- מינוי ממונה על הפרטיות: התיקון מחייב מינוי ממונה על הפרטיות בחברות מסוימות. זהו שינוי מהותי, אם כי, לפי הקריטריונים שנקבעו, רוב סוכנויות הביטוח לא יכללו תחת חובה זו.
התיקון כולל שורה ארוכה של שינויים נוספים, אך מאחר ואין להם השפעה ישירה או משמעותית על סוכנויות ביטוח, אלו לא יסקרו במאמר זה.
צעדים להתאמה
- מיפוי וסקירה:
* בצעו סקירה של רלוונטיות הוראות הרגולציה לארגון שלכם.
* מפו את כל מאגרי המידע והמערכות המכילות מידע אישי.
- עדכון נהלים:
* עדכנו את הנהלים והמדיניות בהתאם לדרישות החדשות.
* תעדו את ההחלטות הניהוליות וקבעו נוהל לריענון תקופתי.
- הכשרת עובדים:
* הדריכו את כל העובדים בנושאי הגנת פרטיות ואבטחת מידע.
- שימוש במומחים:
* שקלו להיעזר במומחי הגנת פרטיות ואבטחת מידע חיצוניים.
* בחנו פתרונות טכנולוגיים המקלים על ההיערכות לדרישות החוק.
מבט לעתיד: כיצד להיערך נכון
התיקון ייכנס לתוקפו בעוד כשנה, מה שמספק זמן היערכות סביר. עם זאת, ההנהלה צריכה להוביל כבר כעת את התוכנית האסטרטגית להתמודדות עם הסיכונים החדשים. יש להקצות משאבים, לשדרג מערכות, לשקול פתרונות טכנולוגיים ולהטמיע מתודולוגיה של ניהול רגולציה. בסוכנות ביטוח הממוקדת מכירות, מדובר ביציאה מאזור הנוחות ולכן יש גם להטמיע שינוי זה בתרבות הארגונית. מומלץ גם להמשיך ולעקוב אחר פרסומים והנחיות נוספות של הרשות להגנת הפרטיות או של רשות שוק ההון ולהתעדכן בחידושים הטכנולוגיים והרגולטוריים בתחום.
תיקון מס' 13 לחוק הגנת הפרטיות מציב אתגרים חדשים בפני סוכנויות ביטוח, אך גם מספק הזדמנות להתייעל ולשפר את ניהול הסיכון. השקעה בהגנת פרטיות היום תחסוך לכם כסף ומשאבים רבים בעתיד!
בחמש השנים האחרונות, הטענה הרווחת הייתה שיש יותר מדי רגולציה ופחות מדי אכיפה. תיקון זה מציג גישה הפוכה – הקלה בפרוצדורות הרגולציה לצד הענקת כוח רב לרגולטור לאכוף ולהטיל קנסות ועיצומים. היערכות נכונה תמנע הטלת קנסות כבדים ופגיעה מהותית במוניטין של הסוכנות. בנימה חיובית – זוהי הזדמנות עבור סוכנויות ביטוח להוביל בתחום הגנת הפרטיות ולבנות אמון משמעותי עם לקוחותיהן.
הכותבת היא מנכ"לית ומייסדת PIL – פלטפורמה לניהול רגולציה וציות