חוק הגנת הפרטיות בישראל - סקירה מעודכנת 2025

מאת: אלי דורון, עו"ד

18/8/2025

חוק הגנת הפרטיות בישראל – סקירה מעודכנת לבעלי עסקים

סקירה כללית של החוק ועקרונותיו המרכזיים

תיקון 14 – השינויים האחרונים בחוק (2023–2025)

• עדכון הגדרות וכיסוי רחב יותר למידע אישי: התיקון מרחיב את היקף ה”מידע” המוגן בחוק. המונח מוגדר מחדש כ”מידע אישי” – כל מידע המאפשר לזהות אדם, במישרין או בעקיפין, בדומה להגדרת “personal data” בתקנות GDPR. שינוי זה כולל באופן מפורש מזהים דיגיטליים, כתובות IP, קוקיז וכד’. בנוסף מוגדר בחוק לראשונה “מידע בעל רגישות מיוחדת” (בדומה לקטגוריות Sensitive Personal Data שבדין האירופי) – מידע רפואי, מידע ביומטרי, נטיות מיניות, דעות פוליטיות, מידע גנטי, וכדומה . קביעה זו משתקפת גם בתקנות אבטחת המידע, בכך שמאגר המכיל מידע רגיש במיוחד יחויב ברמת אבטחה גבוהה יותר, והפרת חובות הנוגעות למידע רגיש תיחשב חמורה יותר לעניין סנקציות. עוד עודכנו הגדרות התפקידים: “בעל שליטה במידע” ו**“מחזיק במידע”** הותאמו למושגי Controller ו-Processor (בעלים ומעבד מידע) שבדיני האיחוד האירופי, וניתנה הגדרה רחבה למונח “עיבוד מידע” – כל פעולה במידע אישי, כדי לוודא שהחוק חל על כל צורה של שימוש במידע.
• הרחבת עקרון צמידות המטרה: החוק הקיים כבר קובע כי שימוש במידע אישי למטרה שונה מזו שלשמה נמסר מהווה פגיעה בפרטיות (סעיף 2(9) לחוק). תיקון 14 מחזק עיקרון זה ומחדד שאסור “לעבד מידע שלא למטרה שנקבעה כדין במסמך המטרות של המאגר”. כלומר, על בעל מאגר להגדיר במסמך את מטרות איסוף המידע, ושימוש חורג מהמטרות הללו – יהווה הפרת החוק. עיקרון זה מחייב עסקים לתחום במפורש את השימוש שהם עושים בנתוני הלקוחות למטרות לגיטימיות ומוצהרות, ולהימנע מ”זליגת שימושים” ללא קבלת הסכמה נוספת מהנושאים המידע.
• צמצום ניכר של חובת רישום מאגרי מידע: תיקון 14 מטפל בחובה הוותיקה לרשום מאגר מידע, שנחשבה ארכאית וכמעט ייחודית לישראל. עד כה, החוק דרש מרישום כמעט כל מאגר מידע המכיל מידע אישי, בכפוף לחריגים מוגבלים. לאחר התיקון, חובת הרישום צומצמה באופן משמעותי – מעתה חובת רישום תחול רק על: (א) גופים ציבוריים (משרדי ממשלה, רשויות וכו’), ו**(ב)** מאגרים גדולים במיוחד שמטרתם העיקרית היא מסירת מידע לאחרים או דיוור ישיר, כאשר במאגר מידע על יותר מ-10,000 אנשים. למעשה, מרבית העסקים הפרטיים המחזיקים מאגרי לקוחות פנימיים לא יהיו מחויבים עוד ברישום (כשהתיקון ייכנס לתוקף), אלא אם כן הם סוחרים במידע או מפעילים שירות דיוור ישיר בקנה מידה גדול. עם זאת, החוק המתוקן מטיל חובת דיווח לרשות להגנת הפרטיות במקרה של מאגרים שאינם חייבים ברישום אך מכילים מידע רגיש במיוחד על מספר רב של אנשים: אם במאגר יש מידע רגיש על יותר מ-100,000 איש – חייב בעל המאגר להודיע לרשות על קיום המאגר. בהודעה יש לספק פרטי זיהוי של בעל המאגר, דרכי התקשרות, זהות הממונה על הגנת הפרטיות (ראו להלן) ולהעביר לרשות את “מסמך הגדרות המאגר”. חובת דיווח זו נועדה לאפשר לרשות למפות מאגרים גדולים בעלי סיכון גבוה, גם אם אין חובת רישום פורמלית, כדי למקד בהם פיקוח ואכיפה. יצוין שהתיקון קובע במפורש כי מאגרים שכבר נרשמו בעבר בפנקס רשם המאגרים לא ימחקו אוטומטית אם כעת הם פטורים מרישום – על בעלי המאגרים לפנות לרשות בבקשה לבטל את הרישום במקרה כזה. בתקופת הביניים עד כניסת התיקון לתוקף, ממשיכים לחול כללי הרישום הישנים ויש לעמוד בהם.
• חובת מינוי ממונה להגנת הפרטיות (Privacy Officer): בדומה למודל ה-DPO תחת ה-GDPR, תיקון 14 מחיל דרישה למנות ממונה על הגנת הפרטיות בארגון בתרחישים מסוימים. לפי החוק המתוקן, בעל שליטה במאגר מידע החייב ברישום, וכן מחזיק במאגר בנסיבות מסוימות, חייב למנות ממונה הגנת פרטיות . החובה תחול בעיקר על ארגונים שעיסוקם כרוך בעיבוד מידע בהיקף משמעותי או מידע רגיש במיוחד. למשל: חברות שעיסוקן מנטר אנשים באופן שוטף (Tracking) בהיקף גדול, גופים המעבדים מידע רפואי/פיננסי רגיש (כגון בנקים, ביטוח, בתי חולים), גופים ציבוריים המחזיקים מאגרים, וכן בעלי מאגר המשמש למסירת מידע (או דיוור ישיר) על יותר מ-10,000 אנשים. החוק מגדיר “עיבוד בהיקף ניכר” בהתאם למספר הקריטריונים (מספר האנשים במאגר, שיעורם באוכלוסייה, כמות וסוגי המידע, משך השמירה, טווח גיאוגרפי וכו’). הממונה להגנת הפרטיות יהיה אחראי לפיקוח פנימי על יישום החוק בארגון: עליו להיות בעל ידע מקצועי בדיני פרטיות, הבנה טכנולוגית ואבטחת מידע רלוונטית, ולהיות עצמאי במילוי תפקידו (אין להציבו בתפקיד היוצר ניגוד עניינים). הממונה כפוף ישירות למנכ”ל או להנהלה הבכירה, ותפקידיו כוללים בין היתר: הבטחת הציות להוראות החוק והתקנות, הטמעת נהלים ותוכניות הדרכה, בקרה שוטפת על עמידת הארגון בדרישות, טיפול בפניות ותלונות של אנשים לגבי פרטיותם, ופועל כנקודת קשר רשמית אל מול הרשות להגנת הפרטיות. פרטי יצירת הקשר עם הממונה חייבים בפרסום פומבי לאזרחי הציבור באופן נגיש. יצוין כי מטעמי הקלה על יישום הדרישה, נקבע הוראת שעה שהסמיכה את שר המשפטים לדחות בתחילה הטלת עיצומים על אי-מינוי ממונה בארגונים פרטיים, כדי לאפשר הסתגלות.
• מנגנון חוות דעת מקדימה מהרשות: תיקון 14 מוסיף אפשרות חדשה לפנות אל הרשות להגנת הפרטיות בבקשה לקבל חוות דעת מקדימה (Pre-Ruling) בשאלה האם פעילות מתוכננת עולה בקנה אחד עם החוק. מטרת מנגנון זה היא לסייע לארגונים לקבל ודאות רגולטורית בסוגיות פרטניות, כגון פיתוח טכנולוגיה חדשה, שימוש חדש במידע אישי, וכד’. ראש הרשות אמור לפרסם נוהל להגשת בקשות כאלה. הרשות רשאית לסרב לחוות דעת אם הבקשה תיאורטית, בחוסר תום לב, או לגבי נושא שכבר בהליכי בירור/אכיפה. חוות הדעת (אם תינתן) יכולה להתפרסם לציבור, בהסכמת הפונה או בהשמטת פרטים מזהים של הפונה. מנגנון זה חשוב לעסקים חדשניים המבקשים לפעול ב”אזור האפור” בהתאם לדין – הם יוכלו מראש לוודא שהם נוהגים כדין וכך להקטין סיכוני ציות.
• חיזוק סמכויות האכיפה של הרשות והגברת ההרתעה: אחד המרכיבים הקריטיים ברפורמה הוא הרחבה דרמטית של כלי האכיפה המנהליים, האזרחיים והפליליים בחוק. תיקון 14 העניק לרשות להגנת הפרטיות סמכויות פיקוח, חקירה וענישה מוגברות, מתוך מטרה לשפר את אכיפת החוק וההרתעה מפני הפרות . בין היתר:
• הרשות מוסמכת כעת לבצע בדיקות פיקוח מנהליות גם ללא תלונה, מקום שיש יסוד סביר להניח כי מתבצעת הפרה. מפקחי הרשות רשאים לדרוש מידע ומסמכים, להעתיק חומרים ממוחשבים, לחדור לחומר מחשב (באישור מיוחד) ועוד, בדומה לסמכויות פיקוח לפי חוק הגנת הפרטיות (תיקון זה מפרט ומרחיב את הסמכויות שהיו קיימות בסעיף 10 הישן של החוק).
• צו הפסקה מנהלי: ראש הרשות קיבל סמכות להוציא הוראה מנהלית להפסקת הפרה – למשל לצוות על עסק להפסיק לעבד מידע באופן מסוים המפר את החוק. לדוגמה, אם נמצא שחברה משתמשת במידע אישי למטרה אחרת מהמטרה שהוצהרה ללקוח (הפרת עקרון צמידות המטרה), רשאי ראש הרשות להורות על הפסקת אותו שימוש אסור לאלתר.
• עיצומים כספיים (קנסות מנהליים): התיקון מעניק לרשות לראשונה סמכות להטיל עיצומים כספיים משמעותיים בגין הפרת החוק ותקנותיו. מדובר בקנסות מנהליים שגובהם תלוי בחומרת ההפרה, במספר הנפגעים ובהיקף הפעילות של המפר. החוק קובע סכומי בסיס לעיצום כספי (באלפי שקלים לכל הפרה), אך מאפשר להכפילם לפי מספר האנשים שנפגעו או גודל המאגר שבו אירעה ההפרה . בנסיבות חמורות (למשל מאגר גדול במיוחד ברמת אבטחה גבוהה עם מעל מיליון אנשים) ניתן אף להכפיל את התקרה עד כפל 640,000 ₪ להפרה בודדת. בצירוף הפרות מצטברות, קנסות עשויים להגיע למיליוני שקלים. לדוגמה, ההפרות שעשויות לשאת קנס: הפרת חובת רישום מאגר, אי-מסירת הודעת יידוע (כנדרש בסעיף 11) בעת איסוף מידע, הפרת חובת מתן גישה או תיקון מידע לנושא מידע, או הפרת עקרון המטרה. החוק מתיר ברוב ההפרות מתן התראה ותקופת תיקון לפני השתת עיצום, אך קובע שיש עבירות שבהן ניתן לקנוס מיידית ללא הליך לריפוי ההפרה. כמו כן נקבע מנגנון להפחתת גובה העיצום בנסיבות מקלות – למשל אם המפר עצר ביוזמתו את ההפרה ודיווח עליה, תיקן ליקויים במהירות, או שהמחזור העסקי שלו נמוך. לאחר מתן הקנס, ראש הרשות רשאי לפרסם לציבור פרטים אודות הקנס וההפרה באתר הרשות (כדי להגביר את ההרתעה ושקיפות האכיפה), כולל שם החברה, מהות ההפרה וסכום העיצום. עם זאת, יש הגנה מובנית על מוניטין: אם המפר הוא תאגיד וההפרה נחשבת “קלת ערך”, הרשות לא תפרסם את שמו פומבית אלא אם הפרסום נדרש לשם אזהרת הציבור. יצוין כי כבר בתקופת החוק הקודם ננקטו פעולות אכיפה מסוימות נגד חברות – לדוגמה, הוטל קנס מינהלי על חברה גדולה בשל אי-עמידה בחובת היידוע (אי-מסירת הודעת פרטיות כנדרש בסעיף 11 לחוק) – וכעת, עם הגברת סמכויות העיצום, צפויה עלייה בכמות ובגובה העיצומים שיוטלו על עסקים מפרים.
• תרופות שיפוטיות: לצד הסמכויות המנהליות, התיקון מסמיך את ראש הרשות לעתור לבית המשפט לעניינים מנהליים לקבלת צו שיפוטי נגד ארגון שמפר את החוק באופן חמור. בית המשפט מוסמך להורות על הפסקת עיבוד מידע אישי במאגר ואף על מחיקת כל המידע האישי במאגר אם השתכנע שהפעילות במאגר מפרה את החוק באופן מהותי. סמכות דרמטית זו מדגישה עד כמה אי-ציות לחוק עלול, במקרים קיצוניים, להביא לשיתוק פעילות עסקית (למשל, אם בית עסק לא יתקן ליקויי אבטחת מידע חמורים, יוכל ביהמ”ש להורות על השבתת המאגר המפר).
• עדכון עבירות פליליות: רשימת העבירות הפליליות בחוק הורחבה והתאימה למציאות הדיגיטלית. בין היתר, הוסף כעבירה: עיבוד מידע אישי מתוך מאגר מידע ללא הרשאת בעל המאגר (למשל, עובד או ספק שירות שעושה שימוש לא מורשה בנתוני המאגר – עבירה שנועדה להרתיע “מבפנים”) וכן השגת מידע אישי במרמה – פנייה לאדם כדי לקבל ממנו מידע אישי תוך הצגת מצג שווא לגבי מטרת האיסוף (מה שמכונה לעיתים “דיג (phishing) מידע” בהקשרים מסוימים). עבירות אלו מצטרפות לעבירות הקיימות, וחומרתן מוגדרת (בד”כ עונש מאסר של עד 5 שנים לעבירות חמורות).
• הרחבת האחריות האזרחית ותובענות ייצוגיות: תיקון 14 קובע במפורש כי אדם שנפגע מהפרת חוק מסוימת זכאי לתבוע פיצוי ללא הוכחת נזק עד 10,000 ₪ לכל הפרה. כך, למשל, אם חברה הפרה את חובתה לרשום מאגר שהיה חייב ברישום, או לא מסרה לאדם הודעת פרטיות בעת איסוף מידע כמחויב, או התעלמה מבקשת עיון/תיקון מידע – הנפגע רשאי לדרוש פיצוי סטטוטורי של עד 10,000 ש”ח על כל אחד מאלה, בלי להוכיח נזק בפועל. בנוסף, הוארך תקופת ההתיישנות לתביעות אזרחיות לפי החוק ל-7 שנים (לעומת 2–5 שנים בעבר, דבר שאִפשר להתחמק בעבר מתביעות בגין הפרות שהתגלו מאוחר). שינוי זה נועד לאפשר לנפגעים זמן סביר להתארגן ולתבוע גם בגין הפרות שנתגלו שנים אחרי שבוצעו (כמו דליפת מידע שנודעה בדיעבד). גם היכולת להגיש תובענה ייצוגית בשל הפרת חוק הגנת הפרטיות קיבלה חיזוק: בית המשפט העליון פסק בשנת 2020 (עניין פלונית נ’ קדימה מדע, ע”א 4110/18) שניתן לאשר תביעות ייצוגיות על פגיעות בפרטיות במסגרת מערכות יחסים צרכניות מסוימות. אמנם חוק תובענות ייצוגיות לא מונה במפורש את חוק הגנת הפרטיות כעילה, אך הפסיקה הבהירה שאם ההפרה אירעה במסגרת יחסי “עוסק-לקוח”, “מבטח-מבוטח”, “בנק-לקוח”, “מעסיק-עובד” וכיוצא באלה יחסים המנויים בתוספת השנייה לחוק תובענות ייצוגיות – ניתן לנהל ייצוגית . מנגד, במערך יחסים שאינו נופל בגדר הקטגוריות (כגון גוף שלטוני-אזרח, כפי שהיה במקרה קדימה מדע) – לא תתאפשר ייצוגית. בהמשך לכך, מקודם במקביל תיקון לחוק תובענות ייצוגיות שיתיר במפורש הגשת ייצוגיות על כל הפרה של חוק הגנת הפרטיות. משמעות הדברים היא שבעלי עסקים חשופים היום לא רק לתביעות פרטניות אלא גם לתביעות ייצוגיות רחבות היקף מצד לקוחות או עובדים בגין ליקויים בשמירת פרטיותם.

חובות בעלי עסקים בניהול רשימות לקוחות ומאגרי מידע

• חובת רישום מאגר מידע: לפי החוק כיום (נוסח 2023), כל מאגר מידע המכיל נתונים אישיים חייב ברישום בפנקס מאגרי המידע, אלא אם חל פטור ספציפי. תקנה 3 לתקנות הגנת הפרטיות (רישום מאגרי מידע) מונה פטורים מצומצמים – למשל מאגר לשימוש אישי, או מאגר שמכיל רק פרטים טכניים בסיסיים (שם, כתובת, אמצעי קשר) ושאינו למטרות דיוור ישיר. בפועל, מרבית עסקים המחזיקים רשימת לקוחות ממוחשבת מחויבים כיום ברישום המאגר אצל רשם המאגרים (שברשות להגנת הפרטיות). הרישום כולל מילוי טופס ובו פרטי המאגר: בעליו ומחזיקו, מטרותיו, סוגי המידע, האם מועבר לחו”ל, אמצעי אבטחה וכד’. ניהול מאגר ללא רישום כשהדבר נדרש – מהווה הפרת חוק ואף עבירה פלילית (סעיף 10 לחוק) שעונשה קנס. לאחר תיקון 14 (מ-2025), כפי שתואר לעיל, יידרשו ברישום רק מאגרים גדולים (מעל 10,000 איש) שמטרתם מסחר במידע או דיוור ישיר, וכן מאגרי מידע בגופים ציבוריים . אך עד שתיקון זה ייכנס לתוקף, על עסקים להמשיך ולציית לחובת הרישום הנוכחית . גם לאחר הרפורמה, עסק שיש לו מאגר קטן אך עדיין מבצע עיבוד מידע אישי, אינו פטור משאר דרישות החוק – ביטול הרישום אין משמעותו ביטול האחריות להגן על הפרטיות ואבטחת המידע.
• חובת יידוע (הודעת פרטיות): סעיף 11 לחוק מטיל על כל מי שפונה לאדם ומבקש ממנו מידע אישי לצרפו למאגר מידע – חובה למסור לאותו אדם הודעה המפרטת מספר פרטים: מה מטרת איסוף המידע, מי הגוף שישמור את המידע (“בעל המאגר”), למי יימסר המידע (אם יימסר), ומהן זכויותיו של אותו אדם לגבי המידע . בנוסף, לפי סעיף 11, אם חלה חובה חוקית על הפרט למסור את המידע (למשל חובת הזדהות סטטוטורית), יש לציין זאת, ולהבהיר מה יקרה אם לא יימסר המידע. חובת יידוע זו – המכונה גם הודעת פרטיות או “מסירת גילוי” – היא אבן יסוד בשקיפות כלפי אנשים. בעידן הנוכחי נהוג לממש חובה זו באמצעות מדיניות פרטיות כתובה (Privacy Policy) הנמסרת ללקוח בעת איסוף מידע באתר אינטרנט או טופס הצטרפות, או באמצעות נוסח קצר בטופס עצמו. אי-מסירת הודעה לפי סעיף 11 מהווה לא רק עוולה אזרחית אלא גם חשיפה לסנקציה מנהלית: הרשות להגנת הפרטיות כבר הטילה קנסות על חברות גדולות שהתרשלו בכך . למשל, אם עסק אוסף מלקוח כתובת אימייל ומספר זהות לצורך רישום למועדון לקוחות, עליו להבהיר בטופס את כל המידע הנדרש: שהנתונים נשמרים במאגר של העסק, המטרה (שיווק, ניהול קשרי לקוחות וכו’), כי אין חובה חוקית למסור (אם אכן וולונטרי), למי יימסרו הנתונים (נניח לחברות משלוח דיוור) וכו’. כמו כן מומלץ לכלול פרטי יצירת קשר למימוש זכויות (פניה לעיון/תיקון). הנחיות הרשות מחדדות כי על נוסח ההודעה להיות ברור ותמציתי. שימו לב: קיום דרישת סעיף 11 הוא “רף מינימום” של שקיפות; במקרים רבים על עסק לקבל גם הסכמה מפורשת מהאדם לשימושים מסוימים במידע (למשל למשלוח דברי פרסומת, ראה חוק הספאם בהמשך), אך גם כאשר אין חובה להשיג הסכמה – חובת היידוע בעינה עומדת.
• אבטחת מידע והגנת מאגרי מידע: בעלי עסקים מחויבים להגן על המידע האישי שברשותם באמצעים מנהליים, פיזיים וטכנולוגיים נאותים. סעיף 17 לחוק מטיל חובה כללית על בעל מאגר מידע לנקוט צעדי אבטחת מידע סבירים לשם מניעת דליפה, גישה ושימוש לא מורשים במידע. חובה כללית זו פורטה באופן מקיף בתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, שנכנסו לתוקף במאי 2018. תקנות אלו יוצרות משטר מדורג של רמות אבטחה – בסיסית, בינונית וגבוהה – לכל מאגר מידע, בהתאם לרגישות המידע ולמספר האנשים עליו הוא כולל מידע. מרבית העסקים בינוניים יימצאו בקטגוריית האבטחה ה”בינונית”, ואילו ארגונים עם מידע רגיש מאוד או מעל 100,000 נושאי מידע – בקטגוריה “גבוהה”. בין דרישות התקנות: מינוי מנהל אבטחת מידע (למאגר ברמת בינונית ומעלה), ביצוע סקרי סיכונים והערכת איומים תקופתיים, כתיבת מסמך הגדרות מאגר ונהלי אבטחה, נהלים לניהול הרשאות גישה למידע (גישה מוגבלת לתפקיד על בסיס Need-to-know), זיהוי משתמשים והרשאות, מערכות להגנה מפני חדירות, הצפנת מידע רגיש ושליחת מידע אישי באמצעים מאובטחים, שמירת לוגים ותיעוד אירועי אבטחה, חובת דיווח על אירועי אבטחת מידע חמורים לרשות ולנושאי מידע, הדרכת עובדים בנושא פרטיות ואבטחה, ועוד. התקנות הן מפורטות ומטילות מעל 50 דרישות שונות, ולכן על כל עסק המחזיק מאגר מידע להכיר את הדרישות המתאימות לו. אי-עמידה בהוראות התקנות מהווה הפרה מנהלית שעשויה כעת לגרור עיצומים כספיים כבדים . למשל, אם חברה לא מינתה מנהל אבטחת מידע כנדרש, לא הגדירה נהלי החלפת סיסמאות, או לא ביצעה הצפנה נדרשת – היא מסתכנת בקנס משמעותי. חשוב לציין שתיקון 14 הסיר פרצה שהייתה קיימת – בעבר הרשות התקשתה לאכוף את התקנות כיוון שלא הייתה מוסמכת לקנוס בגין הפרתן , וכעת הוספה סמכות מפורשת לכך.
• זכויות נושאי מידע – עיון, תיקון ומחיקה: החוק מקנה לפרט שפרטיו מצויים במאגר זכויות מסוימות, ובעסקים מוטלת החובה לאפשר מימוש זכויות אלו. זכות עיון (סעיף 13) – כל אדם רשאי לפנות לבעל מאגר ולדרוש לדעת אם קיים עליו מידע במאגר ואם כן לעיין בו. העסק חייב לספק לנושא המידע את המידע שעליו (בעותק קריא) או לאפשר לו לעיין פיזית, תוך 30 יום. זכות תיקון (סעיף 14) – נושא מידע שמגלה שהמידע בעניינו אינו נכון, מלא, ברור או מעודכן, רשאי לבקש את תיקונו או מחיקתו. בעל המאגר חייב לתקן כנדרש או, אם החליט שלא לתקן, להודיע על כך לפונה ולאפשר לו לצרף הצהרה שלו למידע. זכות למחיקה מדיוור ישיר (סעיף 17ג–17ה) – החוק מתייחס במיוחד למאגרי דיוור ישיר (מאגרי שיווק המבוססים על סיווג אנשים לקבוצות אוכלוסייה לפי מאפיינים). אדם רשאי לדרוש בכתב מבעל מאגר מידע המשמש לדיוור ישיר להסיר או לא להשתמש עוד במידע לגביו למטרה זו . בעל המאגר חייב לבצע זאת ולהודיע לפונה שבוצע. כמו כן, חובה על מי שמשתמש בדיוור ישיר לציין בפניה הראשונה לנמען את מקור המידע שעל בסיסו פנו אליו (מאיפה השיגו את פרטיו) וליידע אותו בזכותו להימחק. אם אדם ביקש הסרה ודיוור פנה אליו שוב – זו עילה לתביעה. בנפרד מהחוק, חוק הספאם (ראה בהמשך) מחייב גם הוא לאפשר הסרה מהירה מכל רשימת תפוצה שיווקית.
• ציות להנחיות ולבקורות הרשות: הרשות להגנת הפרטיות מפרסמת הנחיות מקצועיות המבהירות כיצד יש לפרש את החוק במצבים מסוימים. אמנם להנחיות אלה אין כוח חוקי מחייב כשל normaativa, אך הן נחשבות לפרשנות מוסמכת וסטייה מהן עלולה להיחשב הפרת חובת תום הלב והזהירות. למשל, הרשות פרסמה הנחיה בנושא דיוור ישיר (הנחיית רשם מאגרי מידע 2/2017) המפרטת את חובות העוסקים בתחום השיווק הישיר, כדי להבטיח הגנה על פרטיות מקבלי המסרים . דוגמה אחרת: הנחיות בנושא התקנת מצלמות אבטחה במקומות עבודה – הרשות הבהירה שיש לאזן בין צורכי המעסיק לבין פרטיות העובדים, להציב שילוט ברור, לקבל הסכמות במקרים הדרושים, לא למקם מצלמות באזורים רגישים (כגון חדרי מנוחה/שרותים) וכו’. קיימות גם הנחיות לגבי שמירה ותיעוד של צילומי תעודות זהות בבנייני משרדים, שבהן הרשות ציינה שסריקת תעודת זהות של מבקר בכניסה עלולה להיות בלתי מידתית ויש לוודא עמידה בתנאי החוק (חובת יידוע, שמירת אבטחה, ומחיקה כשהמידע לא נחוץ) . לאחרונה פורסמו טיוטות הנחיה לגבי קבלת “הסכמה מדעת” מעSubjects (גילוי דעת בנושא עקרון ההסכמה) ולגבי שילוב חוק הגנת הפרטיות בפיתוח מערכות בינה מלאכותית – דבר המעיד שהרשות מעדכנת הנחיות בהתאם לטכנולוגיות חדשות . מעבר להנחיות פומביות, הרשות גם מבצעת ביקורות יזומות בעסקים. בביקורת כזו, המפקחים יבדקו למשל האם המאגר רשום, האם קיימת מדיניות אבטחת מידע, האם נמסרת הודעת פרטיות ללקוחות, האם יש נהלים ומנגנונים לטיפול בבקשות עיון/תיקון, וכדומה. העסק חייב לשתף פעולה עם המפקחים, לספק מידע ולהתיר גישה, בכפוף לחוק. תיקון 14 מטיל אפילו חובת הזדהות בפני מפקח המגיע לביקורת – כלומר נציג החברה חייב להזדהות ולמסור פרטים נכונים; סירוב או מסירת מידע כוזב מהווים עבירה. כמו כן, אם הרשות נותנת הוראות לתיקון ליקויים בעקבות ביקורת – יש חובה לציית להן במסגרת לוחות הזמנים שנקבעו. אי-ציות יכול לגרור הטלת קנס או צעדי אכיפה נוספים.
• שמירה על עקרונות שימוש הוגן וData Minimization**: על בעלי עסקים להקפיד על עקרון צמצום איסוף המידע למינימום הדרוש. איסוף מידע עודף שאינו נחוץ למטרה העסקית, או שמירת מידע לזמן ארוך מהנחוץ, עלולים להיחשב הפרת חובת האבטחה והסבירות. דוגמה: אם בית עסק מבקש צילום תעודת זהות של לקוח לצורך רישום למועדון, עליו לשאול עצמו האם באמת דרוש עותק מלא של התעודה, או שמספיק רק רישום הפרטים הרלוונטיים (שם, תוקף וכו’). הרשות קבעה בהנחיות כי איסוף מידע עודף מנוגד לחובת החוק לפעול באופן מידתי . עסקים נדרשים גם לקבוע תקופות שמירה ותהליכי מחיקה: אין לשמור מידע אישי לנצח ללא צורך. אם לקוח חדל להיות פעיל או אם תמה תקופת ההתחייבות, יש למחוק או לאנונימיזציה את הנתונים לאחר זמן סביר, כל עוד אין חובה חוקית אחרת לשמרם.
• העברת מידע לחו”ל: סעיף 19 לחוק (ותקנות הגנת הפרטיות (העברת מידע מעבר לים), תשס”א–2001) מסדיר את התנאים להעברת מידע אישי מישראל אל מחוץ לישראל. באופן כללי, העברה מותרת רק אל מדינה או גורם שמקיים רמת הגנה על מידע שאינה פחותה מההגנה בישראל. הרשימה כוללת מדינות שישראל הכירה בהן כבעלות הגנה מספקת (למשל מדינות האיחוד האירופי), וכן העברות בכפוף להסכמים חוזיים (דוגמת סעיפי מודל), העברת מידע לאדם שהסכים, או העברה כשהיא הכרחית לקיום חוזה עם נושא המידע וכו’. עסק ישראלי המשתמש בשירותי ענן בחו”ל או מעביר פרטי לקוחות לחברת אם/אחות בחו”ל, חייב לוודא שההעברה חוקית: למשל, אם ארה”ב אינה מוכרת כמדינה עם “הגנה נאותה” (נכון ל-2025 עדיין אין החלטת adequacy לארה”ב, אם כי יש מנגנון Privacy Shield חדש), על העסק להחתים את מקבל המידע בארה”ב על חוזה הגנה סטנדרטי או לקבל הסכמה מפורשת מהאדם. אי-עמידה בדרישות ההעברה לחו”ל עלולה לחשוף את העסק לקנסות ולפגוע במעמד ה-Privacy Shield של ישראל מול אירופה. תיקון 14 אף הזכיר “תקנות ייעודיות למידע שמקורו באיחוד האירופי” – הכוונה לכללים מיוחדים שנקבעו כדי לשמור על מעמד ה-Adequacy של ישראל מול האיחוד (מאחר שישראל מוכרת מאז 2011 כמדינה עם הגנה נאותה, מה שמאפשר זרימת מידע חופשית מאירופה לישראל).

רגולציה משלימה: הנחיות הרשות ותקנות אבטחת מידע

• תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017: אלו התקנות המרכזיות בתחום אבטחת הסייבר למידע אישי. הן הוזכרו לעיל במסגרת חובות האבטחה, אך נדגיש שוב: התקנות, שקובצו מחוק הגנת הפרטיות אך פורשות אותו, נכנסו לתוקף במאי 2018 והחילו לראשונה בישראל דרישות טכניות ומנהליות מפורטות בתחום הגנת המידע. התקנות מבחינות בין מאגר מידע ברמת אבטחה בסיסית (לדוגמה, עסק קטן עם עד 10 עובדים וללא מידע רגיש מיוחד), רמת אבטחה בינונית (לדוגמה, מאגר של חברה פרטית בעלת יותר מ-10 עובדים, המכיל מידע אישי “רגיל” כגון פרטי לקוחות ועובדים; וכן מאגר ציבורי שאינו כולל מידע רגיש במיוחד), ורמת אבטחה גבוהה (מאגרים גדולים עם מידע רגיש במיוחד, או גופים פיננסיים/בריאותיים ועוד). לכל רמה מוקצים סט דרישות: בבסיסית – דרישות מצומצמות (ניהול סיסמאות, מינוי אחראי על ענייני אבטחה אם כי לא בהכרח מומחה ייעודי, ותיעוד בסיסי של נהלים); בבינונית – דרישות רחבות יותר (מינוי מנהל אבטחת מידע רשמי, כתיבת נהלי אבטחה מלאים, אימות דו-שלבי מרחוק, בדיקות תקופתיות, החתמת עובדים על סודיות, עריכת אישור אבטחה מול גורמי צד ג’ שמעבדים מידע עבור הארגון וכו’); ובגבוהה – בנוסף לכל אלו, גם סקר סיכונים שנתי ע”י גורם מקצועי, בדיקות חוסן (Penetration tests) שנתיות, הנהגת בקרות מחמירות של הפרדת רשתות או הצפנה חזקה, תכנון תכנית התאוששות מאסון, ועוד. התקנות קובעות גם חובת דיווח לרשות להגנת הפרטיות על אירוע אבטחת מידע חמור ללא דיחוי (אירוע חמור מוגדר כזה שבו ייתכן שנפגעת שלמות או סודיות מידע אישי רגיש). הרשות מפרסמת טפסים ודגשים לגבי דיווחי אירועים, ומנהלת חקירות בעקבות דיווחים. תקנות אבטחת המידע יצרו “שפה משותפת” עם תקני אבטחה בינלאומיים (כגון ISO27001) והעלו משמעותית את רמת המודעות והציות בתחום. כאמור, תיקון 14 העניק “שיניים” לאכיפת התקנות – כעת אי-קיום דרישותיהן עלול לגרור קנס מנהלי כבד.
• הנחיות הרשות להגנת הפרטיות: הרשות מפרסמת מעת לעת הנחיות (Guidelines) וגילויי דעת בנושאים ספציפיים. חלק מהנחיות אלו מהוות עיגון מדיניות שפיתחה הרשות על יסוד החוק, וחלקן נועדו לסייע בהבנת פרקטיקות מומלצות. בין ההנחיות הבולטות לעסקים:
  • הנחיה בנושא דיוור ישיר (מס’ 2/2017): מבהירה את חובות הסימון, ההסרה והגילוי למי שמשתמש במידע למטרות שיווקיות . ההנחיה מסבירה כי מטרת החוק אינה למנוע שיווק ישיר, אלא להבטיח שהשימוש ברשימות דיוור יהיה בהסכמה מדעת של האנשים ושהם יוכלו לשלוט בנתוניהם. מוסבר למשל שעל כל מכתב שיווקי לציין “נשלח אליך כי הנך כלול במאגר X” ואת אופן ההסרה. ההנחיה גם מזהירה מפני שימוש במידע רגיש כדי לסווג אנשים (נושא העשוי להוות הפליה או פגיעה נוספת בפרטיות).
  • הנחיה על מיקור חוץ (Outsourcing) ועיבוד מידע ע”י צדדים שלישיים: עוסקים רבים מפקידים מידע אישי של לקוחותיהם בידי ספקים – למשל שירותי ענן, מערכת CRM חיצונית, חברת דיוור, מעבדת סקרים וכו’. הרשות פרסמה גילוי דעת שקובע כי גם בהעברת מידע לעיבוד אצל צד ג’, האחריות על שמירת הפרטיות נשארת בידי בעל המאגר. מומלץ לחתום על הסכם עיבוד מידע (DPA) עם הספק, לוודא שהספק נוקט באמצעי אבטחה נאותים, להגביל חוזית את שימושיו במידע למטרה שהוגדרה בלבד, ועוד. זה מקביל לדרישות ה-GDPR לגבי העברת מידע למעבדים (Processors).
  • הנחיות הגנה על פרטיות עובדים ומעקב במקום העבודה: לאור ריבוי אמצעי הניטור (מצלמות, תוכנות מעקב מחשב, GPS ברכבי חברה), הרשות הוציאה כבר לפני עשור מסמך עקרונות שקיבל ביטוי גם בפסיקה. העיקרון: יחסי עבודה יוצרים ציפייה לפרטיות מסוימת לעובד, ולכן מעסיק חייב לפעול בשקיפות ובמידתיות. יש להודיע לעובדים מראש על שימוש במצלמות או ניטור תכתובות, לקבל הסכמה מדעת כשאפשר (למשל להסכמת עובד לשימוש באמצעים במחשב שלו), ולהימנע מפגיעה שלא לצורך (למשל, למחוק מידע אישי של עובד ממכשיר נייד במסגרת BYOD במקום לעיין בתכניו).
  • גילוי דעת על איסוף מספרי זהות ותעודות: בשל התפשטות הנוהג לדרוש ת”ז בכל אינטראקציה, הרשות פרסמה אזהרה שמספר תעודת זהות הוא פריט מידע ייחודי ורגיש (מאפשר גניבת זהות) ולכן אין לדרוש ולאסוף ת”ז ללא צורך אמיתי. למשל, בכניסה לבניין משרדים, די לרשום שם מבקר – אין הצדקה לסרוק את תעודת הזהות שלו ולשמור עותק, אלא אם מדובר במתקן ביטחוני או צורך הכרחי אחר . המלצה זו אומצה גם בפסקי דין, וכיום מקומות רבים חדלו מהפרקטיקה הזאת.
  • הנחיות בנוגע להודעות הסכמה (Consent) והרשמה לאתרים: בשנת 2023 פרסמה הרשות טיוטת גילוי דעת מפורט בנושא הדרישות להסכמה מדעת לפי חוק הגנת הפרטיות. המסר: הסכמה צריכה להיות אקטיבית, ברורה ונפרדת (לא כחלק מתנאי שימוש ארוכים), במיוחד כשמדובר בשימושים החורגים מציפייה סבירה. הודעה סתמית בסגנון “בלחיצתך הנך מאשר קבלת דיוור” אינה מספיקה אם לא פורט איזה מידע ואיזה שימוש יעשה. טיוטה זו בהתייעצות ציבורית ותשמש בסיס להנחיה רשמית מחייבת יותר.
• הנחיות נוספות של הרשות נוגעות, בין היתר, לנושאים: מאגרי מידע ביומטריים (טביעות אצבע, זיהוי פנים), פרטיות ילדים ובני נוער ברשת, שימוש ברשתות חברתיות לצרכי שיווק, שמירה על נתוני אשראי ותרומה ל-PCI DSS, ועוד. אמנם ההנחיות אינן “חקיקה”, אך בעלי עסקים נבונים יתייחסו אליהן ברצינות. הן מייצגות את עמדת הרגולטור, ואי-ציות עלול להיחשב הפרת חובת הזהירות שעלולה לשמש בסיס לאחריות אזרחית. בנוסף, בעקיפין, תיקון 14 אף מסמיך את הרשות לפרסם הנחיות וחוות דעת לציבור כפעולה רשמית – מה שמעניק משנה תוקף מעשי לפרסומי הרשות.

פסיקה עדכנית ביישום החוק על עסקים

• תובענות ייצוגיות בגין הפרות פרטיות: כאמור, בשנת 2020 ניתן פסק דין משמעותי בבית המשפט העליון (ע”א 4110/18 פלונית נ’ קדימה מדע) שעסק בבקשה לאישור תביעה ייצוגית בעקבות דליפת מידע על תלמידים משירות למידה מרחוק שסיפקה חברה עבור משרד החינוך. ביהמ”ש העליון (השופט עופר גרוסקופף) קבע שבאופן עקרוני ניתן להגיש תביעה ייצוגית על הפרת חוק הגנת הפרטיות, אך רק כאשר ההפרה התרחשה במסגרת יחסים הנופלים תחת אחת הקטגוריות המנויות בחוק תובענות ייצוגיות. דהיינו, אם חברה עסקית פגעה בפרטיות לקוחותיה – זו עילה ללכת במסלול ייצוגי (כי זה “עניין שבין עוסק ללקוח”); אם מעסיק פגע בפרטיות עובדיו – גם זו יכולה להיות ייצוגית (יחסי עבודה). לעומת זאת, במקרה בעניין קדימה מדע, ההתקשרות הייתה בין משרד ממשלתי לבין חברה לתועלת הציבור, ופרטי התלמידים דלפו – מצב שלא נכנס להגדרת “עוסק-לקוח” ולכן לא איפשר ייצוגית . פסק דין זה סלל את הדרך לגל של תביעות ייצוגיות נגד חברות פרטיות בתחומי הפרטיות: למשל, הוגשו תובענות נגד חברות אשראי בטענה לשימוש לא ראוי במידע פיננסי על לקוחות, נגד חברות תקשורת בגין מעקב אחר מיקום מנויים, ונגד רשתות שיווק בשל איסוף טביעות אצבע של עובדים ללא הסכמה. חלקן אושרו לניהול ייצוגי והסתיימו בהסדרים עם פיצוי לקבוצה.
• פגיעה בפרטיות ככלי לתביעות נזיקין פרטיות: בתי משפט השלום והמחוזי דנו בעשרות תביעות של אנשים שטענו שעסקים או גורמים פרטיים פגעו בפרטיותם. לדוגמה, במקרה אחד נפסק פיצוי של 35,000 ₪ לאדם שגילה כי ידידה הפיצה מידע אישי רגיש עליו בניגוד להסכמתו . במקרים אחרים נפסקו פיצויים בגלל התקנת מצלמות במקומות ציבוריים בלי שילוט, פרסום שמו ותמונתו של אדם בפרסום שיווקי ללא רשותו, ודליפת פרטי לקוחות עקב אבטחת מידע רשלנית. חוק הגנת הפרטיות מאפשר לבית המשפט לפסוק פיצויים ללא הוכחת נזק עד תקרה מסוימת (כיום 50,000 ₪ – סכום שעודכן בעבר צמוד למדד, ובתיקון 14 הוסדר מחדש כ-10,000 ₪ לעילה ספציפית). לעיתים, אם הוכח נזק לא ממוני ממשי (פגיעה נפשית, בושה, חרדה), נפסקים סכומים גבוהים יותר. המסר לבעלי עסקים: כל לקוח או אדם יכול לתבוע באופן אישי אם פרטיותו הופרה על ידי העסק, והתביעה לא דורשת להראות שנגרם נזק כספי – עצם ההפרה מקימה עילת פיצויים . לכן, גם ללא רגולטור, כל אדם הוא “אוכף פוטנציאלי” של פרטיותו.
• פרטיות עובדים ומצלמות אבטחה: תחום נוסף שנדון בפסיקה הוא האיזון בין צורכי פיקוח של מעבידים לבין פרטיות העובדים. בשנת 2017 הכיר בית הדין הארצי לעבודה בהלכת האגודה לזכויות האזרח נ’ חברת פלאפון כי לעובד יש “מרחב פרטיות” במקום העבודה, גם כשהציוד שייך למעסיק. נפסק שמעסיק יכול לעקוב אחר שימושי מחשב או דוא”ל של עובד רק אם התקיימו הסכמה מדעת של העובד למדיניות, מידתיות בפעולות המעקב, ושקיפות (הודעה מראש על מה מנוטר). ב-2022 נדון נושא מצלמות המעקב: בית הדין הארצי קבע כי הצבת מצלמות באזורי עבודה אינה בהכרח “הרעת תנאים מוחשית” המאפשרת לעובד להתפטר בדין מפוטר , ובכך איזן בין זכות המעסיק להגן על רכושו לבין פרטיות העובד. עם זאת, נפסק שעל מצלמות להיות גלויות (לא נסתרות), שיש להימנע ככל האפשר ממעקב מתמיד בצילום (Continuous surveillance) ולבחון חלופות פחות פוגעניות. מקרה אחר עסק במעסיק שדרש מעובדים להשתמש בטביעת אצבע לנוכחות – חלק מהעובדים טענו שזה פוגע בפרטיותם ובשליטתם על מידע ביומטרי. בתי הדין נטו לקבל שטביעת אצבע היא מידע רגיש, אך קבעו שאם אין חלופה יעילה אחרת, ניתן לדרוש זאת בתנאי שהמידע נשמר בצורה מאובטחת, לא נעשה בו שימוש נוסף, והעובדים נתנו הסכמה מודעת. מקרים אלו מדגימים שבית המשפט בוחן כלים טכנולוגיים בגישת איזון – לא לאסור באופן גורף, אך להציב תנאים למזעור הפגיעה בפרטיות.
• תחולת החוק על תאגידים ו”פרטיות עסקית”: סוגיה מעניינת עלתה בפס”ד אויגן פיהוף נ’ עיריית ת”א (ת”א 19187-03-12, 2019) שבו בעל עסק טען שפרטיותו העסקית נפגעה כשעירייה פרסמה פרטים עסקיים רגישים שלו. בית המשפט המחוזי קבע בהחלטה תקדימית כי גם לתאגיד יכולות להיות אינטרסים של “פרטיות עסקית” – למשל, רשימת הלקוחות, מחזורי מכירות, תמחורים, אלה יכולים להיחשב “ענייניו הפרטיים” של התאגיד. למרות שחוק הגנת הפרטיות נוקט לשון “אדם” (מה שעשוי להתפרש כפרט פיזי), בית המשפט היה נכון להרחיב פרשנות במקרים המתאימים. אולם חשוב לסייג: החלטה זו אינה הלכה מחייבת באופן גורף, ובהמשך פסק דין אמיליו קיו נ’ בנק הפועלים (ת”א 33533-12-18, 2021) נפסק הפוך – שתאגיד אינו “אדם” לצורך החוק ולכן אינו יכול לתבוע בגין פגיעה בפרטיות (למעט ייתכן שבמקרה של האזנת סתר לא חוקית לפי סעיף 2(2), שם ההגנה יכולה לחול גם על שיחות תאגידיות). ככלל, ניתן לומר שפרטיות לפי החוק מגנה על יחידים, בעוד שתאגידים ימצאו הגנה על סודות מסחריים או מידע קונפידנציאלי במסגרת דיני חוזים, עשיית עושר, חוק עוולות מסחריות וכו’, אך לאו דווקא תחת עוולת חוק הגנת הפרטיות.
• אכיפה מנהלית – מקרים לדוגמה: הרשות להגנת הפרטיות, עוד בטרם תיקון 14, הפעילה כלי אכיפה מוגבלים, כגון הטלת קנסות מנהליים קצובים לפי חוק הכשרות המשפטית (מנגנון שאִפשר קנס בסכום קבוע על הפרה מסוימת). דוגמה ציבורית: הוטל קנס של 25,000 ₪ על פירמת רואי חשבון גדולה (Ernst & Young ישראל) בגין הפרת חובת היידוע (סעיף 11) כלפי מועמדים לגיוס, לאחר שנמצא שטפסי איסוף מידע לא כללו את ההודעות הנדרשות . במקרה אחר, בעקבות דליפת מידע מאתר היכרויות, הרשות הוציאה התראה מנהלית לחברה המנהלת האתר עקב ליקויי אבטחה (שרתי הנתונים לא הוצפנו, לא הותקן FW). החברה נדרשה לתקן מיידית, ובמקביל נפתחה גם חקירה פלילית כנגד ההאקרים. מקרה נוסף: חברה שסיפקה מערכת דיוור אלקטרוני נענשה על כך שלא ביצעה וידוא הרשאה ראוי – מישהו הצליח למשוך רשימת דיוור של לקוחות מתוכה. ככל שסמכויות הרשות עתה גדלו, אנו צפויים לראות יותר פרסומים פומביים של תוצאות פיקוחים. באתר הרשות קיים כיום מדור “אכיפה מנהלית” שבו מפורסמים סיכומי פעולות אכיפה שבוצעו.

השלכות ואכיפה בגין אי-עמידה בהוראות החוק

• סנקציות מנהליות מטעם הרשות להגנת הפרטיות: כפי שתואר לעיל, לאחר תיקון 14 הרשות יכולה להטיל עיצומים כספיים גבוהים על חברות מפירות. גובה הקנס ייקבע לפי סוג ההפרה והיקפה, אך עשוי להגיע למאות אלפי שקלים לכל הפרה, ובמצטבר למיליוני ₪ במקרים חמורים. למשל, חברה גדולה שהפרה כמה חובות (לא רשמה מאגר, לא מינתה ממונה כנדרש, ולא סיפקה הודעת פרטיות) – עלולה לספוג קנס מצטבר גדל. אין חובת אזהרה מוקדמת בכל מקרה – יש מקרים בהם יינתן צו התראה והתראה לתיקון, אך יש גם עבירות (דוגמת הפרת חובת רישום מאגר) שהחוק מתיר לקנוס גם בלי תקופת תיקון. בנוסף לקנס הכספי עצמו, יש לזכור שהרשות מוסמכת לפרסם את דבר ההפרה והקנס לציבור . פרסום שכזה – שחברה פלונית הפרה פרטיות ונקנסה – עלול להסב פגיעה במוניטין ולכרסם באמון הלקוחות. בתחום זה, הסנקציה המנהלית הפכה ממשית ביותר: קנסות עד 3.2 מיליון ₪ אושרו (אמדן לא רשמי לפי דברי ההסבר לתיקון, התקרה המדויקת תלויה בסיווג ההפרה ובהרשאות הכפלה). גם בתקופת הביניים, הרשות משתמשת במה שבכליה: היא רשאית להוציא התראות מנהליות לפני קנס, או לדרוש התחייבות לעתיד מצד המפר. הפרה חוזרת של אותה חברה יכולה להיחשב חמורה יותר ולהביא לקנס מוגדל.
• אכיפה פלילית: חלק מהפרות חוק הגנת הפרטיות מהוות עבירות פליליות שבחקירתן ואכיפתן מעורבת משטרת ישראל או יחידת הסייבר בפרקליטות. למשל, האזנת סתר, חדירה לחומר מחשב פרטי, פרסום תצלום אינטימי של אדם ללא רשותו (יתכן חפיפה עם חוק סרטונים פוגעניים), שימוש בידיעה אסורה מאגר מידע ללא היתר – כל אלה עבירות שעונשן יכול להגיע למאסר של מספר שנים. בעסקים, מנהלים עלולים להימצא אחראים בפלילים אם נתנו הוראה או ידעו על עבירה ולא מנעו אותה (ישנו סעיף לאחריות קצינים). בפועל, מקרים פליליים מטופלים בעיקר כשמדובר בהפרות חמורות ובזדון: למשל, חקירה מתוקשרת ב-2017 העלתה שעובדי בנק הוציאו מידע על אלפי לקוחות ומכרו אותו לחברות שיווק – הוגשו כתבי אישום; או מקרה של חברת חקירות פרטיות שהתקינה תוכנות ריגול בניגוד לחוק – בכירים בה הורשעו. כמו כן, חוק הגנת הפרטיות מקשר לחוק העונשין בעבירות מסוימות: סעיף 5 לחוק קובע שעבירה של פגיעה בפרטיות שלא דרך מאגר מידע (כמו צילום או פרסום) דינה עד 5 שנות מאסר אם נעשתה בכוונה לפגוע. אכיפה פלילית פחות שכיחה במקרים “אפורים” או מנהלתיים, אך האפשרות קיימת ומהווה הרתעה. בנוסף, חוק הספאם (ראו להלן) כולל סנקציה פלילית של קנס עד 226,000 ₪ לעסק ששולח דואר זבל בכמויות משמעותיות.
• תביעות אזרחיות ונזק כספי: כאמור, כל אדם הנפגע מהפרת פרטיות יכול לתבוע פיצויים בעוולה אזרחית. הדבר נכון הן לגבי הפרת פרטיות “מסורתית” (כגון פרסום תמונה אישית ללא רשות) והן לגבי פגמים בניהול מידע במאגר (לדוגמה, אי-אבטחת מאגר וגרימת דליפת נתונים אישיים). בתי המשפט הוסמכו לפסוק פיצוי ללא הוכחת נזק עד 50,000 ₪ (סכום שמעודכן מעת לעת; כיום סביב 75,000 ₪ בשל הצמדה למדד) לכל אירוע. לאחר תיקון 14, לחלק מההפרות יש מנגנון חדש של פיצוי סטטוטורי עד 10,000 ₪ לאדם, אך אין בכך לגרוע מזכות הנפגע לטעון לנזק גבוה יותר אם יוכיח. כך, למשל, אם דלפו נתוני 5,000 לקוחות עקב רשלנות אבטחה, קיים פוטנציאל תאורטי שכל לקוח יתבע עד 10,000 ₪ – סיכון מצרפי של 50 מיליון ₪ (!) לחברה, מלבד אפשרות של ייצוגית. אמנם בישראל לא נהוג לפסוק סכומי עתק כאלה בפועל (בית המשפט בוחן סבירות ומרתיע מתביעות “עשיית עושר”), אך די באיום בתביעה ייצוגית כדי להביא חברות להסדרי פשרה של מיליוני שקלים לטובת ציבור הנפגעים. פגיעה שיטתית בפרטיות (למשל שימוש ללא היתר במידע רפואי של לקוחות למטרות שיווקיות) עלולה להביא את החברה לבית המשפט מול קבוצת נפגעים גדולה. יתרה מזו, תביעות ייצוגיות בתחום הפרטיות הפכו נפוצות מאוד לאחר כניסת חוק הספאם לתוקף, ובעקבות פסיקת העליון בענין קדימה מדע, מצופה גידול גם בתביעות ייצוגיות מכוח חוק הגנת הפרטיות. אפילו אם התביעה מתפשרת בסכום נמוך יחסית, עלויות ההתדיינות, שכר טרחה וגמול לתובע יכולים להגיע לכמה מאות אלפי שקלים, נוסף על הצורך לבצע פעולות תיקון (למשל, לא מזמן במסגרת פשרה ייצוגית, חברת אשראי התחייבה להודיע לכל לקוחותיה אודות מדיניות הפרטיות המעודכנת ולהציע להם Opt-Out משימושים מסוימים – צעד הכרוך בעלויות תפעוליות).
• השעיית הליכי רשיון או פעילות רגולטורית: עבור עסקים בענפים מפוקחים (כגון בנקאות, ביטוח, בריאות), הפרות פרטיות עלולות לגרור תגובות מצד רגולטורים מגזריים. לדוגמה, רשות שוק ההון מחייבת חברות ביטוח בדיווח מיידי על אירועי סייבר ויכולה לדרוש שיפור נהלים תחת איום סנקציה לפי חוק הפיקוח. משרד הבריאות עשוי להשעות הרשאה של בית חולים פרטי או קופת חולים אם התרחש מחדל פרטיות חמור במידע רפואי. כלומר, הפרת חוק הגנת הפרטיות יכולה לזלוג לענישה גם דרך ערוצים אחרים שמסדירים את פעילות העסק.
• פגיעה תדמיתית ואובדן אמון: אמנם זו אינה “סנקציה” משפטית פורמלית, אך לא ניתן להפריז בערכה. דליפת מידע עלולה לגרום לפגיעה במוניטין קשה. לקוחות חרדים שהמידע האישי שלהם (למשל פרטי כרטיסי אשראי, מספרי זהות, פרטים רפואיים) דלף לרשת האפלה; או עובד שגילה שמעסיקו עוקב אחריו ללא רשות – מקרים כאלו מתפרסמים ברשתות החברתיות ובתקשורת ויכולים להבריח לקוחות. בעולם של היום, בו צרכנים ערים לנושא הפרטיות, אירוע דליפה או עבירה על חוק הפרטיות עלול לגרום לא רק לתביעות אלא גם לנטישת לקוחות ולפגיעה עסקית ישירה. כמו כן, שותפים עסקיים (למשל חברות בינלאומיות) עלולים לבטל חוזים עם חברה שהפרטיות אצלה לא מנוהלת היטב, מחשש לאחריות שילוחית או פגיעה בשמם.

חקיקה ורגולציה רלוונטית נוספת (לדוגמה: חוק הספאם)

• חוק התקשורת (בזק ושידורים), תשמ”ב–1982, סעיף 30א – “חוק הספאם”: בשנת 2008 תוקן חוק התקשורת והוסף סעיף 30א האוסר על שיגור דברי פרסומת ללא הסכמה מראש של הנמען. החוק חל על הודעות הנשלחות באמצעות אימייל, מסרון (SMS), פקס, או מערכת חיוג אוטומטי מוקלטת – כל אמצעי תקשורת אלקטרוני. הוא קובע ששליחת “דבר פרסומת” (הגדרה רחבה הכוללת מסר שמטרתו לעודד רכישת מוצר/שירות או תרומה, או חיוג ניתוק-אוטומטי – “צִינְתוּק”) ללא קבלת הסכמה מפורשת מראש מהנמען – אסורה. ישנם חריגים מצומצמים, כגון אפשרות לפנות פעם אחת ללקוח שפנה מיוזמתו לעסק ולהציע לו להצטרף לרשימת תפוצה, או המשך משלוח פרסומות ללקוח קיים לגבי מוצרים דומים, בתנאי שהלקוח לא ביקש להפסיקם. החוק מעניק כלי אכיפה אזרחי יעיל ביותר: נמען שקיבל דואר זבל רשאי לתבוע את המפרסם בפיצוי של עד 1,000 ₪ לכל הודעה שקיבל בניגוד לחוק, ללא צורך להוכיח נזק. הפיצוי הוא לכל הודעה, כך שאם עסק שלח 50 הודעות ספאם – החשיפה היא עד 50,000 ₪ לאותו אדם . בתי המשפט לתביעות קטנות עדים למבול תביעות ספאם, ובדרך כלל פוסקים כמה מאות ₪ להודעה כמקובל (תלוי בחומרת ההפרה ובשאלה אם הייתה אפשרות הסרה בהודעה). כמו כן, החוק מתיר לתבוע זאת גם במסגרת תובענה ייצוגית – מה שהביא למספר פסקי דין מתוקשרים, למשל תביעה ייצוגית נגד חברת סלולר על משלוח הודעות פרסומת – שהסתיימה בפיצוי מצרפי של מאות אלפי ₪ למנויים. מעבר לסיכון הכספי, חוק הספאם גם מטיל חובת זיהוי והסרה: כל דבר פרסומת חוקי חייב לכלול כותרת “פרסומת” בתחילתו, ציון ברור של זהות המפרסם ודרכי יצירת קשר עמו, וכן דרך פשוטה ומהירה להודיע בחינם על סירוב לקבל עוד הודעות (לרוב בצורת לינק “להסרה” או מספר SMS להסרה). במקרה שהתנאים הללו לא מולאו – הדבר לכשעצמו מהווה הפרה. חשוב: חוק הספאם הוא נפרד מחוק הגנת הפרטיות, והאכיפה שלו נעשית ישירות ע”י הנמענים בבתי המשפט (או ע”י הרשות להגנת הצרכן שמוסמכת גם היא להטיל עיצומים לפי חוק זה). עסק יכול אפוא למצוא עצמו נתבע גם לפי חוק הגנת הפרטיות וגם לפי חוק הספאם, בגין אותו מהלך – למשל, אם העסק אסף כתובות אימייל ללא הודעת פרטיות (הפרת חוק הגנת הפרטיות) ואז שלח מיילים פרסומיים בלי הסכמה (הפרת חוק הספאם). בפן הפלילי, כמצוין, משלוח ספאם בהיקף גדול ביודעין הוא עבירה שדינה קנס מנהלי כבד עד 226,000 ₪ על תאגיד. חוק הספאם הישראלי נחשב לאחד המחמירים בעולם מבחינת מתן זכות תביעה פרטית רחבה, ויש להקפיד עליו בכל קמפיין שיווקי.
• דינים נוספים: קיימים חיקוקים נוספים הנוגעים להגנת פרטיות ומידע בתחומים ספציפיים. לדוגמה: חוק זכויות החולה מטיל חובת סודיות רפואית על מוסדות רפואיים (ופריצת סודיות רפואית יכולה להקים גם עילת תביעה נזיקית ופלילית לפי חוק הגנת הפרטיות בנוסף להפרת חובת סודיות); חוק שירות נתוני אשראי, תשע”ו–2016 קובע משטר ספציפי למאגרי נתוני אשראי ודירוג פיננסי ומפקח על חברות מידע אשראי; חוק הגנת הצרכן אוסר על שימוש בפרטים אישיים של צרכן בניגוד למטרה שמסר אותם, וקובע חובת הצטרפות אקטיבית של צרכן למועדון לקוחות (איסור “Opt-Out” סמוי); חוק חתימה אלקטרונית ותקנות הגנת הפרטיות (מידע ביומטרי) מסדירים עניינים נקודתיים של אבטחת חתימות דיגיטליות ושימוש במידע ביומטרי. גם חקיקה בינלאומית יכולה להיות רלוונטית: חברות ישראליות רבות כפופות במישרין או בעקיפין לתקנות ה-GDPR האירופיות, אם הן אוספות מידע על תושבי האיחוד האירופי. למעשה, ישראל הוכרה כאמור כמדינה המספקת הגנה נאותה, אך חברה ישראלית שפועלת באירופה או משרתת אירופאים עלולה להידרש לעמוד בתנאי ה-GDPR (כולל מינוי נציג באיחוד, מתן זכויות מחיקה, דיווח על דליפות תוך 72 שעות וכו’). גם בארה”ב נחקקו חוקים מדינתיים (כמו CCPA/CPRA בקליפורניה) שיכולים לחול על עסקים ישראליים המוכרים שם שירותים. לבסוף, קיים חוק יסוד: כבוד האדם שהוזכר – במקרים נדירים נעשתה פנייה ישירה לבג”ץ בטענה שפעולת רשות שלטונית הפרה באופן לא חוקתי את פרטיות האזרחים (למשל בג”ץ נגד המאגר הביומטרי, או נגד איכוני שב”כ בתקופת הקורונה). אבל עבור בעלי עסקים פרטיים, עיקר המיקוד הוא בחוקים הייעודיים שהוזכרו.