לא יפגע אדם בפרטיות של זולתו ללא הסכמתו.

פגיעה בפרטיות היא אחת מאלה:

בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת;

האזנה האסורה על פי חוק;

צילום אדם כשהוא ברשות היחיד;

פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו;

פרסום תצלומו של נפגע ברבים שצולם בזמן הפגיעה או סמוך לאחריה באופן שניתן לזהותו ובנסיבות שבהן עלול הפרסום להביאו במבוכה, למעט פרסום תצלום בלא השהיות בין רגע הצילום לרגע השידור בפועל שאינו חורג מהסביר באותן נסיבות; לעניין זה, ”נפגע“ – מי שסבל מפגיעה גופנית או נפשית עקב אירוע פתאומי ושפגיעתו ניכרת לעין;

העתקת תוכן של מכתב או כתב אחר שלא נועד לפרסום, או שימוש בתכנו, בלי רשות מאת הנמען או הכותב, והכל אם אין הכתב בעל ערך היסטורי ולא עברו חמש עשרה שנים ממועד כתיבתו; לענין זה, ”כתב“ – לרבות מסר אלקטרוני כהגדרתו בחוק חתימה אלקטרונית, התשס״א–2001;

שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח;

הפרה של חובת סודיות שנקבעה בדין לגבי עניניו הפרטיים של אדם;

הפרה של חובת סודיות לגבי עניניו הפרטיים של אדם, שנקבעה בהסכם מפורש או משתמע;

שימוש בידיעה על עניניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה;

פרסומו או מסירתו של דבר שהושג בדרך פגיעה בפרטיות לפי פסקאות (1) עד (7) או (9);

פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.

לעניין חוק זה רואים כפגיעה בפרטיות גם פרסום ברבים של תצלום גופת אדם גלויה באופן שניתן לזהותה, אלא אם כן התקיים אחד מאלה:

אותו אדם הסכים בחייו לפגיעה כאמור;

חלפו 15 שנים ממועד פטירתו של אותו אדם;

התקבלה הסכמה לפגיעה כאמור מאת הראשון מבין המפורטים בפסקאות משנה (א) עד (ד), שעודו בחיים, ובלבד שהנפטר לא התנגד בחייו לפגיעה כאמור וילדו או הורהו לא הודיע למפרסם או לאחר מטעמו כי הוא מתנגד לפרסום:

בן זוגו;

כל ילדיו;

הוריו;

כל אחיו;

לא היו לנפטר קרובי משפחה המנויים בפסקה (3) ובית המשפט אישר את הפרסום.

בן זוגו של נפטר, ילדו, הורהו או אחיו רשאים להגיש תובענה אזרחית בשל פרסום לפי סעיף זה.

לענין חוק זה –

אוסף לשימוש אישי שאינו למטרות עסק;

אוסף הכולל רק שם, מען ודרכי התקשרות, לגבי 100,000 בני אדם או פחות, שאינו מלמד כשלעצמו על מידע אישי נוסף לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף אחר הכולל פרטי מידע אחרים לגבי אותם בני אדם;

מידע אישי על צנעת חיי המשפחה של אדם, על צנעת אישותו ועל נטייתו המינית;

מידע אישי המתייחס למצב בריאותו של אדם, ובכלל זה מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ״ו–1996;

מידע אישי שהוא מידע גנטי כהגדרתו בחוק מידע גנטי, התשס״א–2000;

מידע אישי שהוא מזהה ביומטרי המשמש או המיועד לשמש לזיהוי אדם או לאימות זהותו באופן ממוחשב;

מידע אישי על מוצאו של אדם;

מידע אישי על אודות עברו הפלילי של אדם;

מידע אישי על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם או השקפת עולמו;

מידע אישי שהוא הערכת אישיות שנערכה מטעם גורם מקצועי שכדרך עיסוק מחווה דעתו על אישיותו של אדם, או שנערכה באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, ובכלל זה קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה או בלימודים;

מידע אישי שהוא נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס״ח–2007, שנוצרו על ידי ספק מורשה כהגדרתו בחוק האמור, לגבי אדם, ונתונים על אודות מיקומו של אדם שיש בהם כדי ללמד על מידע לפי פסקאות (1) עד (7) ו־(11);

מידע אישי על נתוני שכר של אדם ועל פעילותו הפיננסית;

מידע אישי שחלה עליו חובת סודיות שנקבעה בדין;

מידע אישי אחר שקבע שר המשפטים, באישור ועדת החוקה, בתוספת השנייה, ובלבד שהוא מידע אישי במאגר מידע הנמצא בישראל שהועבר אליו מחוץ לגבולות המדינה, ושבמקום שממנו הועבר חלות על מידע אישי מסוגו הוראות דין מיוחדות ביחס לדין החל על מידע אישי אחר;

פגיעה בפרטיות היא עוולה אזרחית, והוראות פקודת הנזיקין [נוסח חדש] יחולו עליה בכפוף להוראות חוק זה.

הפוגע במזיד בפרטיות זולתו, באחת הדרכים האמורות בסעיף 2(1), 2(3) עד (7) ו־(9) עד (11), דינו – מאסר חמש שנים.

לא תהיה זכות לתביעה אזרחית או פלילית לפי חוק זה בשל פגיעה שאין בה ממש.

(בוטל).

בסעיף זה, ”עיבוד“ – למעט אחסון באקראי ובתום לב.

לא יעבד אדם מידע אישי במאגר מידע אלא למטרת המאגר שנקבעה לו כדין.

לא יעבד אדם מידע אישי ממאגר מידע ללא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור.

בעל שליטה במאגר מידע לא יעבד מידע אישי במאגר מידע ולא ירשה לאחר לעבד בעבורו מידע כאמור, אם המידע האישי הכלול במאגר המידע נוצר, התקבל, נצבר או נאסף בניגוד להוראות חוק זה או להוראות כל דין אחר המסדיר עיבוד מידע.

נמסר מידע אישי לבעל שליטה במאגר מידע מגורם אחר, ובעל השליטה לא ידע ולא היה עליו לדעת כי אותו גורם פעל שלא כדין, לא יישא בעל השליטה במאגר המידע באחריות לפי סעיף קטן זה לעיבוד מידע אישי שבוצע לפני שידע או שהיה עליו לדעת כאמור.

הוראות פסקה (1) לא יחולו על הפרת דין קלת ערך בנסיבות העניין, ולעניין מידע אישי שנמסר כאמור בפסקה (2), אף אם בעל השליטה ידע או היה עליו לדעת.

מאגר מידע חייב ברישום בהתקיים אחד מאלה:

מטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ־10,000 בני אדם;

בעל השליטה במאגר המידע הוא גוף ציבורי כהגדרתו בפסקה (1) להגדרה ”גוף ציבורי“ שבסעיף 23, אלא אם כן מאגר המידע כולל מידע אישי על עובדי הגוף הציבורי בלבד.

בעל שליטה במאגר מידע לא יעבד מידע אישי במאגר מידע חייב ברישום ולא ירשה לאחר לעבד בעבורו מידע כאמור, אלא אם כן מאגר המידע נרשם במרשם; לעניין זה, יראו מאגר מידע כאילו נרשם אם בעל השליטה במאגר המידע הגיש בקשה לרישום המאגר לפי הוראות סעיף 9 וחלפה התקופה המנויה בסעיף 10(א)(1), בלי שראש הרשות הודיע למבקש על סירובו לרשום את המאגר או על השהיית הרישום של המאגר.

ראש הרשות רשאי לפטור מאגר חייב ברישום מחובת הרישום לפי פסקה (1), אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע; הודעה כאמור תומצא לבעל השליטה במאגר ותפורסם באתר האינטרנט של הרשות.

עלה מספר בני האדם שיש על אודותיהם מידע בעל רגישות מיוחדת במאגר מידע שאינו מאגר חייב ברישום לפי סעיף קטן (א)(1), על 100,000, יודיע בעל השליטה במאגר המידע לרשות, בתוך 30 ימים מהתקיימות האמור, על זהות בעל השליטה, מענו ודרכי ההתקשרות עימו, על זהות הממונה על הגנת הפרטיות – אם נדרש מינויו לפי סעיף 17ב1, ועל דרכי ההתקשרות עימו, וימסור לרשות העתק ממסמך הגדרות המאגר שעריכתו נדרשת בהתאם לתקנות לפי סעיפים 17(ב) ו־36.

בעל השליטה כאמור בפסקה (1) יודיע לרשות, בתוך 30 ימים מיום השינוי או הפסקת הפעילות, לפי העניין, על כל שינוי בזהות בעל השליטה או בזהות הממונה על הגנת הפרטיות ודרכי ההתקשרות עימם, על שינוי המחייב עדכון של מסמך הגדרות המאגר בהתאם לתקנות לפי סעיפים 17(ב) ו־36, ועל הפסקת פעילות המאגר.

שר המשפטים רשאי לקבוע הוראות לעניין דרכי ההודעה לפי סעיף קטן זה, וכן רשאי הוא, באישור ועדת החוקה, לפטור מחובת ההודעה סוגים של מאגרי מידע או סוגים של בעלי שליטה.

הוראות סעיף זה לא יחולו על מאגר שאין בו אלא מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות כדין.

בקשה לרישום מאגר מידע תוגש לראש הרשות.

בקשה לרישום מאגר מידע תפרט את –

זהות בעל השליטה במאגר המידע, מענו בישראל ודרכי ההתקשרות עימו וזהות הממונה על הגנת הפרטיות ודרכי ההתקשרות עימו;

סוג השירות שנותן המחזיק במאגר המידע לבעל השליטה בו;

מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע;

סוגי המידע שייכללו במאגר;

פרטים בדבר העברת מידע מחוץ לגבולות המדינה;

פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף 23, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו.

שר המשפטים, באישור ועדת החוקה, רשאי לקבוע בתקנות פרטים נוספים שיפורטו בבקשה לרישום.

בעל השליטה במאגר מידע יודיע לראש הרשות על כל שינוי בפרט מהפרטים המפורטים בסעיף קטן (ב) או לפי סעיף קטן (ג) ועל הפסקת פעולתו של מאגר המידע.

הוגשה בקשה לרישום מאגר מידע –

ירשום אותו ראש הרשות במרשם, תוך 60 ימים מיום שהוגשה לו הבקשה, זולת אם היה לו יסוד סביר להניח כי המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע האישי הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין, ואולם אם דרש ראש הרשות ממגיש הבקשה מידע ופרטים נוספים, לא יבוא במניין התקופה כאמור פרק הזמן שעד להגשת מידע ופרטים כאמור;

ראש הרשות רשאי לרשום מטרה שונה מזו שפורטה בבקשה, לרשום מספר מטרות למאגר, או להורות על רישום המאגר ככמה מאגרים נפרדים, והכל אם נוכח לדעת כי הדבר הולם את פעילות המאגר הלכה למעשה;

ראש הרשות לא יסרב לרשום את מאגר המידע לפי פסקה (1) ולא יפעיל סמכויותיו לפי פסקה (2), אלא לאחר שנתן למבקש הזדמנות לטעון את טענותיו.

(בוטל).

(בוטל).

הודיע ראש הרשות למבקש על סירובו לרשום את מאגר המידע או על השהיית הרישום לא יהיה המבקש רשאי לעבד מידע אישי במאגר ולא ירשה לאחר לעבד בעבורו מידע אישי, זולת אם בית המשפט קבע אחרת.

ראש הרשות ימחק רישומו של מאגר מידע מהמרשם, אם הודיע לו בעל השליטה במאגר שהמידע שבאותו מאגר בוער או שהועבר למאגר רשום אחר ואינו קיים עוד, או שהמאגר אינו מחויב עוד ברישום, ואימת הודעה זו בתצהיר.

(בוטל).

(בוטל).

(בוטל).

(בוטל).

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראות של חוק זה או התקנות לפיו, או לא מילא אחר דרישה שהפנה אליו ראש הרשות, רשאי ראש הרשות להתלות את תוקפו של הרישום לתקופה שיקבע או לבטל את רישומו של מאגר המידע במרשם, אם שוכנע כי הדבר נדרש בנסיבות העניין, ובלבד שקודם להתליה או לביטול ניתנה לבעל השליטה במאגר או למחזיק במאגר הזדמנות להשמיע את טענותיו.

(בוטל).

(בוטל).

פניה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע תלווה בהודעה שיצויינו בה –

אם חלה על אותו אדם חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו ומהי תוצאת אי־ההסכמה;

המטרה אשר לשמה מבוקש המידע;

שמו של בעל השליטה במאגר המידע, ודרכי ההתקשרות עימו;

למי יימסר המידע ומטרות המסירה;

קיומן של זכות עיון במידע האישי לפי סעיף 13 ושל זכות לבקש תיקון של המידע האישי לפי סעיף 14.

ראש הרשות ינהל מרשם מאגרי מידע אשר יהיה פתוח לעיונו של הציבור ויאפשר חיפוש בפרטיו.

המרשם יכיל את הפרטים לרישום מאגר המידע כאמור בסעיף 9, למעט שמו של הממונה על הגנת הפרטיות.

על אף הוראות סעיפים קטנים (א) ו־(ב), במאגר של רשות בטחון, הפרטים המפורטים בסעיף 9(ב)(1א) ו־(3), (4) ו־(5) לא יהיו פתוחים לעיונו של הציבור.

כל אדם זכאי לעיין בעצמו, או על ידי בא־כוחו שהרשהו בכתב או על ידי אפוטרופוסו, במידע האישי שעליו המוחזק במאגר מידע.

בעל השליטה במאגר מידע יאפשר עיון במידע האישי, לפי בקשת אדם כאמור בסעיף קטן (א) (להלן – המבקש), בשפה העברית, הערבית או האנגלית.

בעל השליטה במאגר רשאי שלא למסור למבקש מידע אישי המתייחס למצבו הרפואי או הנפשי אם לדעתו עלול המידע לגרום נזק חמור לבריאותו הגופנית או הנפשית של המבקש או לסכן את חייו; במקרה זה ימסור בעל השליטה במאגר את המידע לרופא או לפסיכולוג מטעמו של המבקש.

אין בהוראות סעיף זה כדי לחייב למסור מידע אישי בניגוד לחסיון שנקבע לפי כל דין, אלא אם כן המבקש הוא מי שהחסיון נועד לטובתו.

בסעיף קטן זה, ”דין“ – לרבות הלכה פסוקה.

האופן, התנאים והתשלום למימושה של זכות העיון במידע אישי ייקבעו בתקנות.

פורסמו תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון), התשמ״א–1981.

הוראות סעיף זה וסעיף 13א לא יחולו –

על מאגר מידע של רשות בטחון כמשמעותה בסעיף 19(ג);

על מאגר מידע של שירות בתי הסוהר;

על מאגר מידע של רשות מס כמשמעותה בחוק לתיקון דיני מסים (חילופי ידיעות בין רשויות מס), התשכ״ז–1967;

כשבטחון המדינה, יחסי חוץ שלה או הוראות חיקוק מחייבים שלא לגלות לאדם מידע שעליו;

על מאגר מידע של גופים אשר שר המשפטים בהתייעצות עם שר הבטחון או עם שר החוץ, לפי הענין, ובאישור ועדת החוץ והבטחון של הכנסת, קבע כי הוא כולל מידע שבטחון המדינה או יחסי החוץ שלה מחייבים שלא לגלותו (להלן – מידע סודי), ובלבד שאדם המבקש לעיין במידע האישי שעליו המוחזק באותו מאגר יהיה זכאי לעיין במידע שאינו מידע סודי;

פורסמו תקנות הגנת הפרטיות (קביעת מאגרי מידע הכוללים מידע שלא לגילוי), התשמ״ז–1987.

על מאגר מידע אודות חקירות ואכיפת החוק של רשות המוסמכת לחקור על פי דין בעבירה, אשר שר המשפטים קבע אותה בצו, באישור ועדת החוקה;

פורסם צו הגנת הפרטיות (קביעת רשות חקירה), התשנ״ח–1998.

על מאגר מידע שהוקם לפי סעיף 28 לחוק איסור הלבנת הון, התש״ס–2000.

בלי לגרוע מהוראות סעיף 13 –

בעל השליטה במאגר מידע, המחזיק אותו אצל אחר (בסעיף זה – המחזיק), יפנה את המבקש אל המחזיק, תוך ציון מענו, ויורה למחזיק, בכתב, לאפשר למבקש את העיון;

פנה המבקש תחילה למחזיק, יודיע לו המחזיק אם הוא מחזיק מידע אישי עליו, וכן את שם בעל השליטה במאגר המידע ואת מענו.

אדם שעיין במידע האישי שעליו ומצא כי אינו נכון, שלם, ברור או מעודכן, רשאי לפנות לבעל השליטה במאגר המידע, ואם הוא תושב חוץ – למחזיק מאגר המידע, בבקשה לתקן את המידע האישי או למחוקו.

הסכים בעל השליטה במאגר המידע לבקשה כאמור בסעיף קטן (א), יבצע את השינויים הנדרשים במידע האישי שברשותו ויודיע עליהם לכל מי שקיבל ממנו את המידע האישי בתקופה שנקבעה בתקנות.

סירב בעל השליטה במאגר המידע למלא בקשה כאמור בסעיף קטן (א), יודיע על כך למבקש, באופן ובדרך שנקבעו בתקנות.

מחזיק חייב לתקן מידע אישי, אם בעל השליטה במאגר המידע הסכים לתיקון המבוקש או שבית משפט ציווה על התיקון.

על סירובו של בעל השליטה במאגר מידע לאפשר עיון כאמור בסעיף 13 או בסעיף 13א ועל הודעת סירוב כאמור בסעיף 14(ג), רשאי מבקש המידע להגיש תובענה לבית המשפט באופן ובדרך שנקבעו בתקנות.

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות המפורטות להלן, רשאי בית המשפט לפסוק, בשל אותה הפרה, פיצויים שאינם תלויים בנזק (בסעיף זה – פיצויים לדוגמה), בסכום שלא יעלה על 10,000 שקלים חדשים:

לעניין בעל שליטה במאגר מידע – אם המאגר חייב ברישום לפי הוראות סעיף 8א – עיבד מידע אישי במאגר מידע בלי שנרשם, בניגוד להוראות אותו סעיף, ובלבד שאדם שהמידע האישי מתייחס אליו פנה לבעל השליטה בדרישה לרשום את המאגר, וחלפו 90 ימים מיום פנייתו;

פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע לפי סעיף 11 או 23ד(א) בלי שמסר הודעה כדרישת אותו סעיף, ובלבד שאדם כאמור פנה לבעל השליטה בדרישה להודיע לו כאמור, וחלפו 30 ימים מיום פנייתו;

לעניין בעל שליטה במאגר מידע – לא אפשר לאדם שביקש לעיין במידע אישי שעליו המוחזק במאגר המידע, לעיין במידע, בניגוד להוראות סעיפים 13 או 13א, במועד ובדרך שנקבעו בתקנות לפי סעיף 13;

הסכים לבקשה לתיקון או למחיקת מידע אישי שאינו נכון, שלם, ברור או מעודכן, אך לא ביצע את השינויים הנדרשים במידע האישי שברשותו, או לא הודיע עליהם לכל מי שקיבל ממנו את המידע האישי בתקופה הקבועה בתקנות לפי סעיף 14(ב), בניגוד להוראות אותו סעיף;

לא הודיע לאדם שביקש לתקן או למחוק מידע אישי שעליו, שאינו נכון, שלם, ברור או מעודכן, על סירובו, באופן ובדרך שנקבעו בתקנות לפי סעיף 14(ג), בניגוד להוראת אותו סעיף;

לעניין בעל שליטה במאגר מידע – לא הודיע לראש הרשות על קבלה דרך קבע של מידע אישי, שנאגר במאגר מידע לפי סעיף 23ד(ג), ובלבד שאדם שהמידע האישי מתייחס אליו פנה לבעל השליטה בדרישה להודיע כאמור, וחלפו 30 ימים מיום פנייתו.

בבואו לקבוע את גובה הפיצויים לדוגמה, יתחשב בית המשפט, בין השאר, בשיקולים המפורטים להלן, ולא יתחשב בגובה הנזק שנגרם לנפגע כתוצאה מביצוע ההפרה:

עידוד התובע למימוש זכויותיו;

היקף ההפרה וחומרתה;

התנהגות המפר, נסיבותיו האישיות ויכולתו הכלכלית, וכן אמצעי אכיפה נוספים או תשלום נוסף שהוחלו על המפר לגבי אותן הפרות.

אין בהוראות סעיף זה כדי לגרוע מהאפשרות לנהל הליך פלילי, אם ההפרה מהווה גם עבירה פלילית, לגרוע מהאפשרות להשתמש בסמכות לפי פרק ד׳3 או לגרוע מזכותו של התובע לתבוע כל סעד אחר לפי פקודת הנזיקין [נוסח חדש], בשל אותה הפרה; ואולם לא יקבל אדם פיצוי לדוגמה לפי סעיף זה, בשל אותו מעשה או מחדל, יותר מפעם אחת.

לא יגלה אדם מידע אישי שהגיע אליו בתוקף תפקידו כעובד, כמנהל או כמחזיק של מאגר מידע, אלא לצורך ביצוע עבודתו או לביצוע חוק זה או על פי צו בית משפט בקשר להליך משפטי; אם הוגשה הבקשה לפני תחילת ההליך תידון הבקשה בבית משפט השלום; המפר הוראות סעיף זה, דינו – מאסר 5 שנים.

בעל שליטה במאגר מידע ומחזיק במאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

שר המשפטים, בהסכמת ראש הממשלה ובאישור ועדת החוקה, רשאי לקבוע תקנות לעניין האחריות לאבטחת המידע הקבועה בסעיף קטן (א) ובסעיף 17ב(ב), ובכלל זה היקפה והחובות הכלולות בה, וכן לעניין דרכי אבטחת המידע כאמור, בין השאר בעניינים אלה:

הגנה פיזית ולוגית על המאגר;

סדרי הניהול וכללי העבודה במאגר המידע ובקשר אליו, לרבות לעניין קביעה של הגבלות על גישה של מועסקים למידע.

בתקנות לפי פסקה (1), יכול שייקבעו הוראות שונות לגבי מאגרי מידע בעלי מאפיינים שונים.

תקנות לפי פסקה (1) שיחולו על גופים המנויים בפרטים 2 ו־3 בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים – יותקנו גם בהתייעצות עם שר הביטחון.

(בוטל).

הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע:

בעל שליטה בחמישה מאגרי מידע החייבים ברישום או בהודעה לפי סעיף 8א או מחזיק בחמישה מאגרי מידע כאמור;

גוף ציבורי כהגדרתו בסעיף 23;

בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי.

בלי לגרוע מהוראות סעיף 17, הממונה על אבטחת המידע יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות הגופים כאמור בסעיף קטן (א).

לא ימונה כממונה על אבטחת המידע מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק זה.

הגופים המפורטים להלן חייבים במינוי ממונה על הגנת הפרטיות:

בעל שליטה במאגר מידע שהוא גוף ציבורי כהגדרתו בסעיף 23 או מחזיק במאגר מידע כאמור, למעט גוף ביטחוני כהגדרתו בסעיף 23כ;

בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ־10,000 בני אדם;

בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר, ובין היתר ספק מורשה המספק שירות רדיו טלפון נייד לפי חוק התקשורת (בזק ושידורים), התשמ״ב–1982, וספק שירות חיפוש מקוון או מי שעיסוקו העיקרי כרוך בפעולות אלה;

בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר תאגיד בנקאי כהגדרתו בחוק הבנקאות (שירות ללקוח), התשמ״א–1981, מבטח כהגדרתו בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ״א–1981, בית חולים כללי כמשמעותו בפקודת בריאות העם, 1940, וקופת חולים כהגדרתה בחוק ביטוח בריאות ממלכתי, התשנ״ד–1994.

לעניין פסקאות (3) ו־(4) שבסעיף קטן (א) – עיבוד מידע בהיקף ניכר יהיה בין השאר בשים לב למספר בני האדם שמידע מעובד לגביהם, לשיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו ולטווח של סוגי המידע המעובד, למשך ולתדירות של פעולות העיבוד, למשך שמירת המידע ולתחום הגאוגרפי של פעולות העיבוד.

הממונה על הגנת הפרטיות יפעל להבטחת קיום ההוראות לפי חוק זה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע, ובכלל זה –

ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, יכין תוכנית הדרכה ויפקח על ביצועה;

יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ידווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים;

יוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שעריכתם נדרשת בהתאם לתקנות לפי סעיפים 17(ב) ו־36, שיובאו לאישור הנהלת הגוף שבו הוא ממלא את תפקידו;

יוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע, לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה, ובכלל זה בקשות לעיון במידע אישי או לתיקונו; דרכי ההתקשרות עם הממונה על הגנת הפרטיות יפורסמו לציבור באופן נגיש ופשוט;

ישמש איש קשר של הגוף שבו הוא ממלא את תפקידו עם הרשות.

בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו ויוודאו שהוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות.

הממונה על הגנת הפרטיות ידווח ישירות למנהל הכללי של בעל השליטה במאגר המידע או של המחזיק במאגר המידע, לפי העניין, או לעובד שכפוף ישירות למנהל הכללי של בעל השליטה או המחזיק, לפי העניין.

הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה הולמת בטכנולוגיה ואבטחת מידע והיכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו, והכול בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו.

הממונה על הגנת הפרטיות יכול שיהיה מי שאינו עובד הגוף שבו ימלא את תפקידו.

הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה.

(בוטל).

לא יעבד בעל שליטה במאגר מידע או מחזיק במאגר מידע, מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן הוא רשום במרשם ואחת ממטרותיו הרשומות היא שירותי דיוור.

לא יעבד בעל שליטה במאגר מידע או מחזיק במאגר מידע, מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, אלא אם כן יש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו, וכן למי מסר כל אוסף נתונים כאמור.

כל פניה בדיוור ישיר תכיל באופן ברור ובולט –

ציון כי הפניה היא בדיוור ישיר, בצירוף ציון מספר הרישום של המאגר המשמש לשירותי דיוור ישיר במרשם מאגרי מידע;

הודעה על זכותו של מקבל הפניה להימחק מן המאגר כאמור בסעיף קטן (ב); בצירוף המען שאליו יש לפנות לצורך כך;

זהותו ומענו של בעל השליטה במאגר המידע שבו מצוי המידע האישי שעל פיו בוצעה הפניה, והמקורות שמהם קיבל בעל השליטה במאגר מידעזה.

כל אדם זכאי לדרוש, בכתב, מבעל השליטה במאגר מידע המשמש לדיוור ישיר, שמידע אישי המתייחס אליו יימחק ממאגר המידע.

כל אדם זכאי לדרוש, בכתב, מבעל השליטה במאגר המידע המשמש לשירותי דיוור ישיר או מבעל השליטה במאגר המידע שבו מצוי המידע שעל־פיו בוצעה הפניה, כי מידע אישי המתייחס אליו לא יימסר לאדם, לסוג בני אדם או לאנשים מסויימים, והכל לפרק זמן מוגבל או קבוע.

הודיע אדם לבעל השליטה במאגר המידע על דרישתו כאמור בסעיפים קטנים (ב) או (ג), יפעל בעל השליטה במאגר בהתאם לדרישה ויודיע לאדם, בכתב, כי פעל על פיה.

לא הודיע בעל השליטה במאגר המידע כאמור בסעיף קטן (ד) תוך 30 ימים מיום קבלת הדרישה, רשאי האדם שהמידע מתייחס אליו לפנות לבית משפט השלום בדרך שנקבעה בתקנות, כדי שיורה לבעל השליטה במאגר המידע לפעול כאמור.

הזכויות לפי סעיף זה של נפטר שרשום במאגר מידע נתונות גם לבן זוגו, לילדו, להורהו או לאחיו.

(בוטל).

סימן זה לא יחול על גוף ציבורי כמשמעותו בסעיף 23(1) במילוי תפקידיו על פי דין.

הוראות סימן זה באות להוסיף על הוראות כל דין.

ראש הרשות יפקח על מילוי הוראות חוק זה והתקנות לפיו לגבי מאגרי מידע.

דין מי שפועל מטעם ראש הרשות כדין עובד המדינה, אלא אם כן נקבע אחרת בחוק זה.

הרשות תפרסם את נהליה לעניין הפעלת סמכויותיה באתר האינטרנט שלה; ואולם, לא יפורסמו פרטים שהם בגדר מידע שרשות ציבורית מנועה מלמסור לפי סעיף 9(א) לחוק חופש המידע, והרשות רשאית שלא לפרסם פרטים שהם בגדר מידע שרשות ציבורית אינה חייבת למסור לפי סעיף 9(ב) לחוק האמור.

הודעה על מינוי ראש הרשות תפורסם ברשומות.

לבקשת בעל שליטה במאגר מידע או מחזיק במאגר מידע, או מי שעומד להיות אחד מאלה, תיתן הרשות חוות דעת מקדמית בעניין עמידת מאגר המידע בדרישות חוק זה או ההוראות לפיו לעניין עיבוד המידע במאגר המידע (בחוק זה – חוות דעת מקדמית).

בקשה לקבלת חוות דעת מקדמית תכלול את מטרת הבקשה ואת כל העובדות הנדרשות למתן חוות הדעת, בצירוף המסמכים הנוגעים בדבר.

חוות דעת מקדמית תינתן בתוך 60 ימים ממועד קבלת הבקשה כאמור בסעיף קטן (ב) או ממועד המצאת המסמכים הנוגעים בדבר, לפי המאוחר; ראש הרשות רשאי להאריך את המועד, בנסיבות מיוחדות; החליטה הרשות שלא לתת חוות דעת מקדמית, תודיע על כך למבקש בתוך 45 ימים מהמועד האמור.

הרשות רשאית לפרסם חוות דעת מקדמית בהסכמת המבקש; לא הסכים המבקש לפרסום חוות הדעת המקדמית, רשאית הרשות לפרסמה ללא פרטים שיש בהם כדי לזהותו.

ראש הרשות יקבע נוהל, אשר יפורסם באתר האינטרנט של הרשות, לעניין דרכי הגשת בקשה לחוות דעת מקדמית ונסיבות שבהן לא תינתן חוות דעת לגבי בקשות מהסוגים האלה:

בקשה שהתפרסמה לגביה בעבר עמדת הרשות או שיש בעניינה הלכה ברורה;

בקשה שתחולתה והשלכותיה מצומצמות לעניינו של המבקש ביחס להקצאת משאבים רבה שהטיפול בה ידרוש;

בקשה שעניינה תאורטי או אקדמי;

בקשה הנגועה בחוסר ניקיון כפיים;

בקשה הנוגעת להליכים תלויים ועומדים, לרבות הליכי פיקוח, בירור או אכיפה פלילית, לפי חוק זה;

בקשה שהטיפול בה ידרוש הקצאת משאבים בלתי סבירה.

ראש הרשות יכין עד 1 ביוני בכל שנה דוח על פעולות שנקטה הרשות ליישום הוראות חוק זה בשנה שקדמה להכנת הדוח, ובכלל זה פעולות האכיפה והפיקוח (בסעיף זה – דוח על פעילות הרשות להגנת הפרטיות); המועצה להגנת הפרטיות תגיש את הדוח, בצירוף הערותיה, לא יאוחר מ־1 ביולי בכל שנה, לוועדת החוקה.

דוח על פעילות הרשות להגנת הפרטיות יכלול בין השאר מידע כמפורט להלן, בפילוח לפי משרדי הממשלה, גופים ציבוריים אחרים וגורמים פרטיים:

מספר הבקשות לחוות דעת מקדמית שהוגשו לרשות ומספר חוות הדעת שנתנה;

מספר הבקשות לרישום מאגרי מידע שהוגשו לפי סעיף 8א(א) ומספר הבקשות שסורבו או מאגרי המידע שרישומם הושהה לפי סעיף 10(א), והסיבות לסירוב או להשהיה;

מספר מאגרי המידע החייבים ברישום לפי סעיף 8א(א), שניתן להם פטור מחובת רישום;

מספר מאגרי המידע שרישומם הותלה או בוטל לפי סעיף 10(ו);

מספר ההודעות על מאגרי מידע שנמסרו לרשות להגנת הפרטיות לפי סעיף 8א(ב) ומספר בעלי השליטה או המחזיקים של המאגרים כאמור שבוצע כלפיהם פיקוח או בירור מינהלי בשנה שלאחר הגשת ההודעה;

מספר התלונות שהוגשו לרשות כלפי בעלי שליטה במאגרי מידע או מחזיקים, לגבי הפרות לפי חוק זה;

מספר פיקוחי הרוחב שהתקיימו לפי סעיף 23יז;

מספר הליכי הבירור המינהלי שנפתחו לפי סעיף 23יב(א), ולגבי כמה מהם הוחלט על קיום חקירה במקום הליך הבירור, לפי סעיף 23טז(ב);

מספר צווי החיפוש והתפיסה או חדירה לחומר מחשב שהתבקשו מבית המשפט לפי סעיף 23יד(א) ומספר המקרים שבהם ניתן הצו;

מספר התלונות שהוגשו לראש הרשות על מומחה חיצוני לפי סעיף 23יח(ח), וכמה מהן נמצאו מוצדקות;

מספר ההוראות להפסקת הפרה שניתנו לפי סעיף 23כה, בחלוקה לפי סוגי ההפרות, לגבי כמה מהן הוגש ערעור וכמה ערעורים התקבלו באופן מלא או חלקי;

מספר ההתראות המינהליות שניתנו לפי סעיף 23לו, ולגבי כמה מהן הוגשה בקשה לביטול לפי סעיף 23לז, ומה היו תוצאות הבקשה;

מספר המקרים שבהם נמסרה למפר הודעה על אפשרות להגיש לו כתב התחייבות ולהפקיד עירבון במקום להטיל עיצום כספי לפי סעיף 23לט, ובכמה מקרים הגיש המפר כתב התחייבות והפקיד עירבון לפי סעיף 23מ(ג);

סך העיצומים הכספיים שהוטלו לפי סעיף 23כו, סכום העיצום הכספי הממוצע שהוטל, סכום העיצום הגבוה ביותר שהוטל וסכום העיצום הנמוך ביותר שהוטל;

מספר המקרים שבהם ביקש מפר לממש את זכות הטיעון לפי סעיף 23כח, ופרק הזמן הממוצע למימוש זכות טיעון;

מספר המקרים שבהם הוגשה הודעת חיוב ולא הוטל עיצום כספי ומה היו הטעמים לאי־הטלתו;

מספר המקרים שבהם הופחת העיצום הכספי לפי סעיף 23לא והתוספת החמישית, בכמה מהם הופחת סכום העיצום בשל כך שעלה על השיעור המרבי המותר ממחזור העסקאות של הגוף, בכמה מהם – בשל כך שעלה על תקרת העיצום של עסק זעיר או קטן לפי אותה תוספת ובכמה מהם – בשל כך שמונה ממונה על הגנת הפרטיות בגופים המנויים בסעיף 17ב1(א)(3) ו־(4);

מספר ההפרות החוזרות שאירעו, כמה מהן אירעו לאחר מסירת התראה מינהלית למפר לפי סעיף 23לו, וכמה מהן אירעו לאחר הגשת כתב התחייבות והפקדת עירבון לפי סעיף 23מ;

מספר ההפרות הנמשכות שאירעו;

מספר הערעורים שהוגשו על החלטות ראש הרשות להטיל עיצום כספי, התראה מינהלית או כתב התחייבות ועירבון לפי פרק ד׳3, בכמה מהן עוכב ביצוע ההחלטה ובכמה מהן התקבל הערעור;

מספר המקרים שבהם לא פורסם עיצום כספי שהוטל על תאגיד ומספר המקרים שבהם פורסם עיצום כספי שניתן ליחיד או לתאגיד כאמור בסעיף 23מו;

מספר הבקשות שהוגשו לצו הפסקה לפי סעיף 23מט ובכמה מהן ניתן צו כאמור;

נתונים על האכיפה הפלילית שביצעה הרשות, ובין השאר מספר החקירות שנפתחו על ידי חוקר, מספר כתבי האישום שהוגשו בעקבות החקירות האמורות, בפילוח לפי סעיפי העבירות, ובכמה מהם הסתיים ההליך בהרשעה, ומה היה העונש בכל אחד מהמקרים;

מספר הבקשות לאישור הפעלת סמכות ראש הרשות, מפקח או חוקר שהוגשו ליושב ראש ועדת הבחירות המרכזית או ליושב ראש ועדת הבחירות האזורית, לפי העניין, בהתאם לסעיף 23נט; כמה מהן התקבלו ובכמה מהן נקבעו תנאים.

לדוח על פעולות הרשות להגנת הפרטיות לפי סעיף קטן (א) יצרף ראש הרשות דיווח על מספר התביעות שהוגשו לבית משפט בתביעה לפיצוי ללא הוכחת נזק לפי סעיף 15א ואת מספרי ההליכים של התביעות האמורות, בהתאם למידע שתמסור לו הנהלת בתי המשפט.

במשפט פלילי, אזרחי או מינהלי בשל פגיעה בפרטיות תהא זו הגנה טובה אם נתקיימה אחת מאלה:

הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי סעיף 13 לחוק איסור לשון הרע, התשכ״ה–1965;

הנתבע או הנאשם עשה את הפגיעה בתום לב באחת הנסיבות האלה:

הוא לא ידע ולא היה עליו לדעת על אפשרות הפגיעה בפרטיות;

הפגיעה נעשתה בנסיבות שבהן היתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה;

הפגיעה נעשתה לשם הגנה על ענין אישי כשר של הפוגע;

הפגיעה נעשתה תוך ביצוע עיסוקו של הפוגע כדין ובמהלך עבודתו הרגיל, ובלבד שלא נעשתה דרך פרסום ברבים;

הפגיעה היתה בדרך של צילום, או בדרך של פרסום תצלום, שנעשה ברשות הרבים ודמות הנפגע מופיעה בו באקראי;

הפגיעה נעשתה בדרך של פרסום שהוא מוגן לפי פסקאות (4) עד (11) לסעיף 15 לחוק איסור לשון הרע, התשכ״ה–1965;

בפגיעה היה ענין ציבורי המצדיק אותה בנסיבות הענין, ובלבד שאם היתה הפגיעה בדרך של פרסום – הפרסום לא היה כוזב.

לא ישא אדם באחריות לפי חוק זה על מעשה שהוסמך לעשותו על פי דין.

רשות בטחון, או מי שנמנה עם עובדיה או פועל מטעמה, לא ישאו באחריות לפי חוק זה על פגיעה שנעשתה באופן סביר במסגרת תפקידם ולשם מילויו.

”רשות בטחון“, לענין סעיף זה – כל אחד מאלה:

משטרת ישראל;

אגף המודיעין במטה הכללי והמשטרה הצבאית של צבא־הגנה לישראל;

שירות בטחון כללי;

המוסד למודיעין ולתפקידים מיוחדים;

הרשות להגנה על עדים.

הוכיח הנאשם או הנתבע שעשה את הפגיעה בפרטיות באחת הנסיבות האמורות בסעיף 18(2) ושהפגיעה לא חרגה מתחום הסביר באותן נסיבות, חזקה עליו שעשה את הפגיעה בתום לב.

חזקה על הנאשם או הנתבע שעשה את הפגיעה בפרטיות שלא בתום לב אם הוא פגע ביודעין במידה גדולה משהיתה נחוצה באופן סביר לצורך הענינים שניתנה להם הגנה בסעיף 18(2).

חזקה על נאשם או נתבע הטוען להגנה על פי סעיף 18(2)(ב) או (ד) שעשה את הפגיעה בפרטיות שלא בתום לב, אם ביצע את הפגיעה תוך כדי הפרת הכללים או העקרונות של אתיקה מקצועית החלים עליו מכוח דין או המקובלים על אנשי המקצוע שהוא נמנה עמהם; ואולם חזקה כאמור לא תחול אם הפגיעה נעשתה בנסיבות שבהן הנאשם או הנתבע פעל בהתאם לחובה חוקית המוטלת עליו.

הביא הנאשם או הנתבע ראיה או העיד בעצמו כדי להוכיח אחת ההגנות הניתנות בחוק זה, רשאי התובע להביא ראיות סותרות; אין בהוראה זו כדי לגרוע מסמכות בית המשפט לפני כל דין להתיר הבאת ראיות בידי בעלי הדין.

בבואו לגזור את הדין או לפסוק פיצויים רשאי בית המשפט להתחשב, לטובת הנאשם או הנתבע, גם באלה:

הפגיעה בפרטיות לא היתה אלא חזרה על מה שכבר נאמר, והוא נקב את המקור שעליו הסתמך;

הוא לא התכוון לפגוע;

אם היתה הפגיעה בדרך של פרסום – הוא התנצל על הפרסום ונקט צעדים להפסקת מכירתו או הפצתו של עותק הפרסום המכיל את הפגיעה, ובלבד שההתנצלות פורסמה במקום, במידה ובדרך שבהם פורסמה הפגיעה ולא היתה מסוייגת.

(בוטל).

(בוטל).

מסירת מידע אישי מאת גוף ציבורי אסורה, זולת אם המידע פורסם לרבים על פי סמכות כדין, או הועמד לעיון הרבים על פי סמכות כדין, או שהאדם אשר המידע האישי מתייחס אליו נתן הסכמתו למסירה.

אין בהוראות סעיף זה כדי למנוע מרשות בטחון כמשמעותה בסעיף 19 לקבל או למסור מידע אישי לשם מילוי תפקידה, ובלבד שהמסירה או הקבלה לא נאסרה בחיקוק.

מסירת המידע האישי מותרת, על אף האמור בסעיף 23ב, אם לא נאסרה בחיקוק או בעקרונות של אתיקה מקצועית –

בין גופים ציבוריים, אם נתקיים אחד מאלה:

מסירת המידע האישי היא במסגרת הסמכויות או התפקידים של מוסר המידע והיא דרושה למטרת ביצוע חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;

מסירת המידע האישי היא לגוף ציבורי הרשאי לדרוש אותו מידע על פי דין מכל מקור אחר;

מגוף ציבורי למשרד ממשלתי או למוסד מדינה אחר, או בין משרדים או מוסדות כאמור, אם מסירת המידע האישי דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו; אולם לא יימסר מידע אישי כאמור שניתן בתנאי שלא יימסר לאחר.

גוף ציבורי המוסר דרך קבע מידע אישי בהתאם לסעיף 23ג יפרט עובדה זו על כל דרישת מידע בהתאם לחוק.

גוף ציבורי המוסר מידע אישי בהתאם לסעיף 23ג יקיים רישום של המידע האישי שנמסר.

גוף ציבורי המקבל דרך קבע מידע אישי בהתאם לסעיף 23ג, והמידע האישי נאגר במאגר מידע, יודיע על כך לראש הרשות ועובדה זו תיכלל בפרטי רשימת מאגרי המידע לפי סעיף 12.

גוף ציבורי שקיבל מידע אישי בהתאם לסעיף 23ג לא יעשה בו שימוש אלא במסגרת הסמכויות או התפקידים שלו.

לענין חובת השמירה על סודיות לפי כל דין, מידע אישי שנמסר לגוף ציבורי מכוח חוק זה, כמוהו כמידע אישי שאותו גוף השיג מכל מקור אחר, ובנוסף יחולו על הגוף המקבל גם כל ההוראות החלות על הגוף המוסר.

מקום שמידע אישי שמותר למסור לפי סעיפים 23ב או 23ג מצוי על גבי אותו קובץ עם מידע אישי אחר (להלן – מידע עודף), רשאי הגוף המוסר את המידע האישי למסור לגוף המקבל את המידע האישי המבוקש עם המידע האישי העודף.

מסירת מידע אישי עודף לפי סעיף קטן (א) מותנית בקביעת נוהלים שיבטיחו מניעת שימוש כלשהו במידע האישי עודף שנתקבל; נוהלים כאמור ייקבעו בתקנות וכל עוד לא נקבעו בתקנות, יקבע הגוף המבקש נוהלים כאמור בכתב, וימציא לגוף המוסר עותק מהם, לפי דרישתו.

מסירת מידע אישי המותרת לפי חוק זה לא תהווה פגיעה בפרטיות ולא יחולו עליה הוראות סעיפים 2 ו־8.

שר המשפטים, באישור ועדת החוקה, רשאי להתקין תקנות בדבר סדרי מסירת מידע אישי מאת גופים ציבוריים.

פורסמו תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ״ו–1986.

(בוטל).

ראש הרשות רשאי להסמיך מפקח מקרב עובדי המדינה, שיהיו נתונות לו הסמכויות לפי חוק זה, כולן או חלקן, אם התקיימו בו כל אלה:

משטרת ישראל הודיעה, בתוך שלושה חודשים מפנייתו של ראש הרשות אליה, כי היא אינה מתנגדת להסמכתו מטעמים של ביטחון הציבור, לרבות בשל עברו הפלילי;

הוא קיבל הכשרה מתאימה בתחום הסמכויות שיהיו נתונות לו לפי חוק זה, ועמד בתנאי כשירות נוספים, ככל שנקבעו, כפי שהורה שר המשפטים, בהסכמת השר לביטחון לאומי, ולעניין הפעלת סמכויות של חדירה לחומר מחשב או העתקתו כאמור בסעיף 23יד – הוא בעל תפקיד המיומן לביצוע פעולות כאמור;

הוא קיבל הכשרה מתאימה בתחום הגנת הפרטיות, כפי שהורה שר המשפטים.

הסמכתו של מפקח לפי סעיף זה תהיה בתעודה החתומה בידי ראש הרשות, שמעידה על תפקידו כמפקח ועל סמכויותיו לפי חוק זה (להלן – תעודת מפקח).

הודעה על הסמכה לפי סעיף קטן (ב) תפורסם ברשומות ובאתר האינטרנט של הרשות להגנת הפרטיות.

לשם פיקוח על ביצוע ההוראות לפי פרקים ב׳, ד׳ ו־ה׳, ולשם פיקוח על ביצוע ההוראות שראש הרשות מוסמך להורות על הפסקת הפרתן לפי סעיף 23כה, רשאי מפקח שהוסמך לפי הוראות סימן א׳ (להלן – מפקח) –

לדרוש מכל אדם שהוא סבור שהוא נוגע בדבר למסור לו את שמו ומענו ולהציג לפניו תעודת זהות או תעודה רשמית אחרת המזהה אותו;

לדרוש מכל אדם הנוגע בדבר למסור לו כל ידיעה או מסמך;

לדרוש מכל אדם הנוגע בדבר להציג לפניו או למסור לו עותק מחומר מחשב הכולל נתוני מערכת או מידע מדגמי; מידע מדגמי לפי סעיף זה לא ייאסף בהיקף העולה על הנדרש למימוש תכליות הפיקוח;

להיכנס למקום שיש לו יסוד סביר להניח שקיים בו מאגר מידע או שנעשה בו שימוש במאגר מידע, ובלבד שלא ייכנס למקום המשמש למגורים אלא על פי צו של בית משפט.

טרם הפעלת סמכויותיו לפי סעיף זה יודיע המפקח לאדם כי הוא נמצא בהליך פיקוח; הודע לאדם כאמור, עליו להשיב לשאלות שנשאל, אולם תשובות שהשיב לא ישמשו ראיה בהליך פלילי נגדו, אם לא היה חייב להשיב עליהן לו היה נשאל לפי סעיף 2(2) לפקודת הפרוצדורה הפלילית (עדות).

ראש הרשות ימחק נתוני מערכת או מידע מדגמי שנמסרו או שנאספו לפי סעיף קטן (א)(3), כאשר אינם נדרשים עוד באופן סביר להמשך הליכי הפיקוח, ולכל המאוחר בתוך שלוש שנים ממועד מסירת המידע או איסופו, ולעניין נתוני מערכת – בתוך שבע שנים, אלא אם כן המידע נדרש להליכים לפי סימן ב׳ או ג׳ לפרק זה, לפי פרק ד׳3 או לפי פרק ד׳4.

מפקח לא יעשה שימוש בסמכויות הנתונות לו לפי פרק זה, אלא בעת מילוי תפקידו ובהתקיים שניים אלה:

הוא עונד באופן גלוי תג המזהה אותו ואת תפקידו;

יש בידו תעודת מפקח, שאותה יציג על פי דרישה.

היה למפקח יסוד סביר להניח כי בוצעה הפרה של הוראה מההוראות שראש הרשות מוסמך להורות על הפסקת הפרתן לפי סעיף 23כה או הוראה לפי חוק זה כאמור בסעיף 23כו, רשאי הוא לפתוח בהליך בירור מינהלי של ההפרה ולהפעיל לשם כך את הסמכויות בסעיף 23י.

בהליך בירור מינהלי לפי סעיף קטן (א), לא תחול חובת הזדהות לפי סעיף 23יא אם קיומה עלול לגרום לאחד מאלה:

סיכול ביצוע הסמכות בידי המפקח;

פגיעה בביטחון המפקח או בביטחון אדם אחר.

חלפה הנסיבה שבשלה לא קיים מפקח את חובת ההזדהות כאמור בסעיף קטן (ב), יקיים המפקח את חובתו כאמור מוקדם ככל האפשר.

טרם הפעלת סמכויותיו לפי סימן זה יודיע המפקח לאדם כי מתקיים הליך בירור מינהלי לגבי מאגר המידע ואת מהות ההליך; הודע לאדם כאמור, עליו להשיב לשאלות שנשאל, אולם תשובות שהשיב לא ישמשו ראיה בהליך פלילי נגדו, אם לא היה חייב להשיב עליהן לו היה נשאל לפי סעיף 2(2) לפקודת הפרוצדורה הפלילית (עדות).

היה למפקח שראש הרשות הסמיך לכך, יסוד סביר להניח כי בוצעה הפרה של הוראה מההוראות לפי חוק זה, כאמור בסעיף 23יב(א), רשאי הוא לבקש מבית המשפט צו חיפוש ותפיסה או צו חדירה לחומר מחשב לפי סעיפים 23(1), 23א ו־24 לפקודת מעצר וחיפוש, ולבצעם בעצמו או באמצעות מפקח אחר; הודעה על הסמכה לפי סעיף קטן זה תפורסם ברשומות.

מידע שנאסף באמצעות חדירה לחומר מחשב במסגרת בירור מינהלי ישמש לתכלית שלשמה נאסף בלבד, ולא ישמש ראיה בהליך פלילי.

על ביצוע חיפוש, תפיסת חפץ וחדירה לחומר מחשב או העתקתו לפי סימן זה, יחולו הוראות סעיפים 23א, 24(א)(1) ו־(ב), 26 עד 28, 31, 32א עד 42 ו־45 לפקודת מעצר וחיפוש, בשינויים המחויבים, ובשינויים אלה: הסמכויות הנתונות לשוטר יהיו נתונות למפקח והסמכויות הנתונות לקצין יהיו נתונות לראש הרשות או למפקח שהוא הסמיך לכך.

היה לראש הרשות יסוד סביר לחשד כי בוצע מעשה או מחדל (בפרק זה – מעשה) שבשלהם ניתן לקיים חקירה פלילית לפי סימן א׳ לפרק ד׳4 או בירור מינהלי לפי סימן זה, יחליט ראש הרשות על קיום חקירה או בירור מינהלי; החלטת ראש הרשות כאמור תהיה בהתאם לשיקולים אלה בלבד, ועל פי נוהל אכיפה שקבע ראש הרשות:

חומרת המעשה ונסיבותיו;

הערכת טיבן ועוצמתן של הראיות הקשורות באותו מעשה;

מדיניות האכיפה של הרשות.

החליט ראש הרשות לקיים הליך בירור מינהלי כאמור בסעיף קטן (א), ונתגלו עובדות חדשות שלא היו ידועות לרשות קודם לכן ושאילו היו ידועות לרשות היו משפיעות על ההחלטה, רשאי ראש הרשות להורות על קיום חקירה, במקום הליך הבירור.

ראש הרשות רשאי לאצול את סמכותו לפי סעיף קטן (א), להחליט לקיים חקירה פלילית או בירור מינהלי לעובד בכיר הכפוף אליו ישירות; הודעה על אצילה כאמור תפורסם ברשומות.

ראש הרשות יקבע תוכנית לפיקוח רוחב על יישום הוראות לפי חוק זה ואת רשימת הגורמים המפוקחים שעליהם תחול התוכנית לפיקוח הרוחב; לשם ביצוע התוכנית, רשאי ראש הרשות להסתייע במי שאינו עובד המדינה בביצוע פעולות אלה (בסעיף זה – גורם מסייע):

הפצת שאלוני פיקוח רוחב לגורמים המפוקחים, ובלבד שיובהר כי הפנייה למפוקח היא מטעם הרשות אך המענה והשיח יתבצעו מול אדם שאינו עובד המדינה וכי המפוקח יהיה רשאי לפנות לעובד המדינה ששמו ודרכי ההתקשרות עימו יצוינו בפנייה;

קבלת המענה לשאלון מהמפוקח, בצירוף המסמכים הנלווים שהתבקשו ומסמכים נוספים שצירף המפוקח;

בדיקת המענה לשאלון והמסמכים שהתקבלו לפי פסקה (2), לפי אמות מידה שיקבע ראש הרשות בנוהל;

פנייה למפוקח לשם קבלת השלמות או כדי לעדכנו בצורך בהבהרת התשובות מול הרשות;

הכנת דוח לרשות בדבר התייחסות המפוקח לשאלון לגבי מפוקח מסוים או סוג מפוקחים;

מתן אורכה לבקשת מפוקח למענה לשאלון או למסירת מסמכים על פי הנחיות הרשות;

מענה למפוקח בשאלות טכניות.

בביצוע הפעולות יפעל גורם מסייע בהתאם להנחייתו ולהוראותיו של ראש הרשות ותחת פיקוחו; ואולם –

כל פעולה המחייבת הפעלת שיקול דעת שניתן לרשות או לעובדיה על פי דין, לא תבוצע אלא בידי מי שהוא עובד המדינה;

גורם מסייע לא יבצע פעולה שנדרשת לגביה כניסה למקום בהתאם להוראת סעיף 23י(א)(4).

על גורם מסייע יחולו הוראות סעיף 23יח(ג)(2) עד (ה), (ז), (י) ו־(יא), בשינויים המחויבים.

לשם פיקוח על מילוי ההוראות לפי פרקים ב׳, ד׳ ו־ה׳ ולשם הפעלת סמכויותיו לפי סימנים ב׳ ו־ג׳ ופרק ד׳3, רשאי ראש הרשות להסתייע באדם שאינו עובד המדינה, ושבידו אישור שניתן לו לפי הוראות סעיף קטן (ג) (בחוק זה – מומחה חיצוני), בעניינים שנדרשים לגביהם ניסיון, ידע או אמצעים ייחודיים.

מומחה חיצוני יפעל מטעמו של ראש הרשות, בהתאם להנחייתו ולהוראותיו ובפיקוחו; מומחה חיצוני לא יפעיל סמכות הכרוכה בהפעלה של שיקול הדעת שניתן לראש הרשות או לעובדי הרשות לפי דין.

ראש הרשות רשאי לתת למי שמתקיימים בו כל אלה אישור לשמש מומחה חיצוני:

הוא בעל ניסיון, ידע ומומחיות המתאימים לתפקידו;

הוא לא הורשע בעבירה שמפאת מהותה, חומרתה או נסיבותיה הוא אינו ראוי לשמש מומחה חיצוני.

ראש הרשות רשאי שלא לתת אישור לשמש מומחה חיצוני למי שתלויים ועומדים נגדו הליכים פליליים בעבירה שמפאת מהותה, חומרתה או נסיבותיה הוא אינו ראוי לשמש מומחה חיצוני.

לא ימונה למומחה חיצוני ולא יכהן כמומחה חיצוני כאמור מי שבשל כהונתו יימצא באופן תדיר, במצב של ניגוד עניינים.

מומחה חיצוני לא יטפל במסגרת תפקידו בנושא שהטיפול בו יגרום לו להימצא במצב של ניגוד עניינים.

נודע למומחה חיצוני כי הוא עלול להימצא במצב של ניגוד עניינים כאמור בפסקאות (1) או (2), יודיע על כך בהקדם האפשרי לראש הרשות.

מומחה חיצוני רשאי לדרוש מכל אדם הנוגע בדבר למסור לו כל ידיעה או מסמך, ובלבד שכל דרישה תאושר מראש על ידי מפקח, וכן רשאי הוא ללוות מפקח הנכנס למקום לפי הוראות סעיף 23י(א)(4).

מומחה חיצוני שהגיע אליו מידע לפי הוראות סעיף זה תוך כדי מילוי תפקידו או במהלך עבודתו, ישמרנו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לפי הוראות חוק זה או חיקוק אחר או לפי צו של בית משפט.

הרואה את עצמו נפגע מפעולה של מומחה חיצוני, רשאי לפנות בתלונה מנומקת, בכתב, לראש הרשות; ראש הרשות יבחן את התלונה ויענה לפונה בתוך 45 ימים; מצא ראש הרשות שהתלונה הייתה מוצדקת – יודיע על כך למתלונן ולמומחה החיצוני, בצירוף החלטתו; מצא ראש הרשות שהתלונה לא הייתה מוצדקת, יודיע על כך בכתב למתלונן ולמומחה החיצוני.

דינו של מומחה חיצוני כדין עובדי המדינה לעניין ההוראות הנוגעות לעובדי הציבור בחוק העונשין, התשל״ז–1977, וההוראות בחוק שירות הציבור (מתנות), התש״ם–1979.

מגבלות על עיסוקיו של המומחה החיצוני לאחר סיום ההתקשרות עימו ייקבעו בתנאי חוזה ההתקשרות עימו, ובכלל זה הוראות לעניין פרק הזמן שבו לא יעבוד המומחה החיצוני אצל גוף שמתחרה בגוף שטיפל בעניינו כמומחה חיצוני ולא ייתן שירות לגוף כאמור או יקבל זכות או טובת הנאה ממנו.

הודעה על אישור לשמש מומחה חיצוני ורשימת המומחים החיצוניים המעודכנת יפורסמו באתר האינטרנט של הרשות.

בסעיף זה –

בן משפחה של מומחה חיצוני;

אדם שלמומחה החיצוני יש עניין במצבו הכלכלי;

תאגיד שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2), הם בעלי עניין בו;

גוף שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה (2) הם מנהלים או עובדים אחראים בו.

אופן הפעלת הסמכויות לפי סימנים ב׳ ו־ג׳ לעניין הגופים המנויים בתוספת החמישית לחוק להסדרת הביטחון בגופים ציבוריים, ייקבע בנוהל שיגובש בהסכמה בין מערך הסייבר הלאומי כהגדרתו בחוק האמור (בחוק זה – מערך הסייבר הלאומי) ובין הרשות, בהתחשב ברגישות המידע והמערכות הממוחשבות המשמשות גופים אלה.

בפרק זה –

משטרת ישראל;

צבא הגנה לישראל;

שירות הביטחון הכללי;

המוסד למודיעין ולתפקידים מיוחדים;

מערך הסייבר הלאומי;

הרשות להגנה על עדים;

שירות בתי הסוהר;

משרד הביטחון ויחידות הסמך שלו והממונה על הביטחון במערכת הביטחון;

יחידות ויחידות סמך של משרד ראש הממשלה, שעיקר פעילותן בתחום ביטחון המדינה;

מפעלים הנכללים בצו שהוציא שר הביטחון לפי פרט (3) בתוספת הראשונה לחוק להסדרת הביטחון בגופים ציבוריים, ואשר שר הביטחון הודיע עליהם לשר המשפטים;

גוף אחר שקבע שר הביטחון, בצו, בהסכמת שר המשפטים ובאישור ועדה משותפת לוועדת החוקה ולוועדת החוץ והביטחון של הכנסת;

הוראות סימנים ב׳ ו־ג׳ בפרק ד׳1 לא יחולו על גופים ביטחוניים, אולם הפיקוח והבירור המינהלי בגופים ביטחוניים יבוצעו לפי הוראות פרק זה.

(החל מיום 14.8.2028): על אף האמור בפסקה (1), על משטרת ישראל יחולו הוראות סימנים ב׳ ו־ג׳ לפרק ד׳1, ובלבד שלא יחולו על מאגרים בדרגת סיווג ”סודי“ ומעלה.

שר הביטחון, בהסכמת שר המשפטים, רשאי שלא לכלול בפרסום ברשומות של צו כאמור בפסקה (11) להגדרה ”גוף ביטחוני“ שבסעיף קטן (א), את שמו של גוף שלגביו הוצא הצו האמור, מטעמים של שמירה על ביטחון המדינה; ואולם הנוסח המלא של הצו, הכולל את שמו של הגוף האמור, יופקד אצל שר המשפטים.

ראש גוף ביטחוני, בהתייעצות עם ראש הרשות, ימנה אדם לתפקיד מפקח פרטיות בגוף הביטחוני (בפרק זה – המפקח הפנימי), בהתאם לתנאי כשירות והכשרה שיורה עליהם ראש הרשות, בהתייעצות עם ראש הגוף הביטחוני.

המפקח הפנימי ימונה לתקופת כהונה אחת, ורשאי ראש הגוף הביטחוני למנותו לתקופות כהונה נוספות, בהתייעצות עם ראש הרשות; תקופת כהונה של המפקח הפנימי לא תפחת משלוש שנים.

לא תופסק כהונתו של המפקח הפנימי והוא לא יועבר מתפקידו אלא בהתייעצות עם ראש הרשות.

המפקח הפנימי יהיה עובד הגוף הביטחוני הכפוף ישירות לראש הגוף הביטחוני, או לעובד בכיר בגוף הביטחוני הכפוף ישירות לראש הגוף הביטחוני, והוא יונחה מקצועית בידי ראש הרשות.

המפקח הפנימי לא ימלא תפקיד נוסף ולא יעסוק בעיסוק נוסף, העלולים להעמידו בחשש לניגוד עניינים במילוי תפקידו לפי פרק זה.

הגוף הביטחוני יעמיד לרשות המפקח הפנימי אמצעים נאותים הדרושים למילוי תפקידו לפי פרק זה.

המפקח הפנימי יפקח על יישום הוראות חוק זה בגוף הביטחוני ויקיים בקרה על ביצוען, ובין השאר –

יכין תוכנית עבודה שנתית שתובא לאישור ראש הגוף הביטחוני וראש הרשות, לפיקוח על קיום הוראות חוק זה ולבדיקת הפרות של הוראות שראש הרשות מוסמך להורות על הפסקת הפרתן לפי סעיף 23כה והפרה של הוראה מההוראות לפי חוק זה המנויות בסעיף 23כו (בסעיף זה – תוכנית עבודה);

יבדוק את נוהלי הגוף הביטחוני ומדיניותו בתחום הגנת הפרטיות ועמידתם בהוראות הדין ואת מדיניות הגוף הביטחוני בתחום הגנת הפרטיות ועמידתה בהוראות לפי חוק זה;

יבדוק קיום הפרות של הוראות שראש הרשות מוסמך להורות על הפסקת הפרתן לפי סעיף 23כה והפרה של הוראות לפי חוק זה המנויות בסעיף 23כו, בהתאם להנחיות ראש הרשות;

ידווח לראש הרשות בלא דיחוי, בכפוף להוראות ההתאמה הביטחונית, כמשמעותה בסעיף 15 לחוק שירות הביטחון הכללי, התשס״ב–2002, והמידור החלות על הגוף הביטחוני, על ממצאים של פעולות הפיקוח והבדיקה שביצע;

יקיים בקרה על אופן תיקון ליקויים שהתגלו בממצאי הפיקוח והבדיקה;

יקיים הכשרה והדרכה של עובדי הגוף הביטחוני בנושאי פרטיות;

יגיש לראש הגוף הביטחוני ולראש הרשות דין וחשבון שנתי על אופן הביצוע של תוכנית העבודה ועל קיום הוראות הדין בתחום הפרטיות בגוף הביטחוני.

לשם מילוי תפקידו יהיו למפקח הפנימי הסמכויות הנתונות למפקח לפי סימן ב׳ בפרק ד׳1, וכן תחול עליו החובה למחוק מידע מדגמי כאמור בסעיף 23י(ג), בשינויים המחויבים.

ראש הרשות רשאי להורות למפקח הפנימי לקיים פעולות, ובכלל זה פעולות משלימות או פעולות נוספות על הפעולות שביצע המפקח הפנימי, או לפעול לתיקון ליקויים.

ראש הרשות רשאי להשתמש בסמכויות המסורות לו לפי פרק ד׳3 אם מצא כי הופרה הוראה מן ההוראות שראש הרשות מוסמך להורות על הפסקת הפרתן לפי סעיף 23כה או הוראה המנויה בסעיף 23כו, על סמך דיווח של המפקח הפנימי, או אם מצא כי יש חשש כי הופרה הוראה מן ההוראות המנויות כאמור והורה למפקח הפנימי לברר אם בוצעה הפרה, והמפקח הפנימי לא בירר את ההפרה בתוך זמן סביר שיקבע ראש הרשות לאחר שנועץ במפקח הפנימי, והתקיימו הוראות סעיף 23כז.

סבר ראש הרשות כי הממצאים כאמור בסעיף קטן (א) או (ב) מעלים חשד לביצוע עבירה לפי חוק זה או שנודע לו בדרך אחרת על ביצוע עבירה כאמור, יהיו נתונות לחוקר סמכויות האכיפה לפי סעיף 23נא, אלא אם כן הייתה רשות חקירה אחרת המוסמכת על פי דין לחקור עבירות באותו גוף ביטחוני; לעניין סעיף זה, ”רשות חקירה אחרת“ – למעט משטרת ישראל.

לא יעשה חוקר או ראש הרשות שימוש בסמכויותיו לפי פרק זה כלפי גוף ביטחוני, אלא לאחר שעבר התאמה ביטחונית כמשמעותה בסעיף 15 לחוק שירות הביטחון הכללי, התשס״ב–2002.

מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק במאגר מידע השתמש בידיעה על ענייניו הפרטיים של אדם במאגר מידע שלא למטרה שלשמה נמסרה, בניגוד להוראות סעיף 2(9), או עיבד מידע אישי במאגר מידע למטרה שמהווה פגיעה בפרטיות לפי סעיף 2, רשאי הוא, לאחר שנתן לו הזדמנות להשמיע את טענותיו, להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק אותה באופן ובתוך תקופה שיורה.

מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק במאגר מידע עיבד מידע אישי במאגר מידע שנוצר, התקבל, נצבר או נאסף, בניגוד להוראות חוק זה או בניגוד להוראות כל דין אחר המסדיר עיבוד מידע, או הרשה לאחר לעבד בעבורו מידע אישי כאמור, בניגוד לסעיף 8(ד), רשאי הוא, לאחר שנתן לו הזדמנות לטעון את טענותיו, להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק אותה באופן ובתוך תקופה שיורה.

מצא ראש הרשות כי בעל שליטה במאגר מידע או מחזיק במאגר מידע, עיבד מידע בניגוד להוראות התקנות המנויות בחלק ב׳ לתוספת הרביעית, רשאי הוא, לאחר שנתן לו הזדמנות לטעון את טענותיו, להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק אותה באופן ובתוך תקופה שיורה.

מצא ראש הרשות כי התקיים האמור בפסקאות (1) עד (4) שלהלן, רשאי הוא, לאחר שנתן לבעל שליטה במאגר מידע או למחזיק במאגר המידע שחייב במינוי ממונה על הגנת פרטיות לפי סעיף 17ב1(א), הזדמנות לטעון את טענותיו, להודיע לו שמעשיו מהווים הפרה, ולהורות לו על הפסקת ההפרה ועל הדרך שבה עליו לתקנה; קבע שר המשפטים, באישור ועדת החוקה, צו לפי סעיף 23כו(ד)(1)(ז), רשאי ראש הרשות להורות כאמור גם לעניין פסקה (5) שלהלן:

לא סופקו לממונה על הגנת הפרטיות התנאים והמשאבים הדרושים למילוי נאות של תפקידו או שהוא לא היה מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות, בניגוד לסעיף 17ב2(ב);

הממונה על הגנת הפרטיות אינו מדווח ישירות לבעלי התפקידים המנויים בסעיף 17ב2(ג);

הממונה על הגנת הפרטיות אינו בעל הידע והכישורים הנדרשים לפי סעיף 17ב3(א);

הממונה על הגנת הפרטיות ממלא תפקיד נוסף או כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר באופן שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה בניגוד לסעיף 17ב3(ג);

בעל השליטה במאגר מידע או מחזיק במאגר מידע לא מינה ממונה על הגנת הפרטיות, בניגוד לסעיף 17ב1(א)(3) או (4).

בהוראה להפסקת הפרה לפי סעיפים קטנים (א) עד (ד) יציין ראש הרשות את אלה:

פירוט המעשה או המחדל (בפרק זה – המעשה), המהווה את ההפרה, נסיבות ביצועו ומועד ביצועו, הדרישה לתיקון ההפרה והמועד לתיקונה;

האפשרות שיוטל על המפר עיצום כספי אם לא יפסיק את ההפרה;

זכותו של המפר להגיש ערעור בתוך 45 ימים לפי סעיף קטן (ו).

על הוראה של ראש הרשות להפסקת הפרה ניתן לערער לבית משפט השלום שבו יושב נשיא בית משפט השלום, בתוך 45 ימים מיום שנמסרה ההודעה על הפסקת הפרה כאמור.

בית המשפט הדן בערעור רשאי לאשר את החלטת ראש הרשות, לשנותה, לבטלה או לקבל החלטה אחרת במקומה, ורשאי הוא להחזיר את העניין עם הוראות לראש הרשות.

הוגש ערעור כאמור, לא יראו בהפרת הוראת ראש הרשות לפי סעיף זה כהפרה עד שייתן בית המשפט הוראה אחרת.

ראש הרשות רשאי לאצול את סמכויותיו לפי סעיפים קטנים (א) עד (ג) לעובד בכיר הכפוף אליו ישירות; הודעה על אצילה כאמור תפורסם ברשומות.

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי בסכום של 150,000 שקלים חדשים, ואם במאגר המידע היה מידע אישי על אודות 1,000,000 בני אדם ומעלה, רשאי ראש הרשות להטיל עליו את כפל הסכום:

עשה אחד מאלה:

עיבד מידע אישי במאגר מידע חייב ברישום בלי שנרשם, בניגוד להוראות סעיף 8א(א);

כלל פרטים שאינם נכונים בבקשה לרישום מאגר מידע שהוגשה לפי סעיף 9, בניגוד להוראות אותו סעיף;

לא הודיע לראש הרשות על שינוי בפרטים המנויים בסעיף 9(ב) או בפרטים שנקבעו לפי סעיף 9(ג), בניגוד להוראות סעיף 9(ד), למעט שינוי במענו של בעל השליטה במאגר המידע;

לא מסר לראש הרשות הודעה על מאגר מידע החייב בהודעה לפי סעיף 8א(ב) או שלא הודיע לראש הרשות על שינוי בפרט מהפרטים המפורטים באותו סעיף, בניגוד להוראות אותו סעיף;

עיבד מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, בלי שהמאגר היה רשום במרשם או בלי שאחת ממטרותיו הרשומות של המאגר היא שירותי דיוור ישיר, בניגוד להוראות סעיף 17ד;

לא הודיע לראש הרשות כי הוא מקבל דרך קבע מידע אישי בהתאם להוראות סעיף 23ג והמידע נאגר במאגר מידע, בניגוד להוראות סעיף 23ד(ג).

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום של 15,000 שקלים חדשים:

סירב לאפשר לאדם שמידע אישי עליו מוחזק במאגר המידע לעיין במידע האישי שעליו, בניגוד להוראות לפי סעיף 13;

ביצע שינוי במידע האישי שברשותו בלי שהודיע עליו לכל מי שקיבל את המידע, בניגוד להוראות לפי סעיף 14(ב);

לא הודיע למבקש על סירוב לתקן מידע אישי הנמצא במאגר מידע שבבעלותו או למוחקו, בניגוד להוראות לפי סעיף 14(ג);

לא תיקן מידע אישי הנמצא במאגר מידע שבהחזקתו, בניגוד להוראות סעיף 14(ד);

לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ב), שמידע אישי המתייחס אליו יימחק ממאגר מידע המשמש לדיוור ישיר, בניגוד להוראות סעיף 17ו(ד);

לא נענה לדרישתו של אדם בהתאם לסעיף 17ו(ג), כי מידע אישי המתייחס אליו, לא יימסר לאדם, לסוג בני אדם או לאנשים מסוימים, בניגוד להוראות סעיף 17ו(ד).

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום השווה למכפלה של 50 שקלים חדשים במספר בני האדם שאליהם נעשתה הפנייה או הדרישה, כמפורט להלן, ואם הייתה הפנייה או הדרישה לגבי מידע בעל רגישות מיוחדת – בסכום השווה למכפלה של 100 שקלים חדשים במספר בני האדם כאמור:

פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע, בלי שמסר לו הודעה כנדרש בסעיף 11;

פנה לאדם בדיוור ישיר, בניגוד להוראות סעיף 17ו(א);

בעל שליטה במאגר מידע שלא פירט על דרישת מידע אישי, כי הוא מוסר דרך קבע מידע בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(א).

היה סכום העיצום הכספי לפי פסקה (1) קטן מ־30,000 שקלים חדשים, רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 30,000 שקלים חדשים.

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של 2 שקלים חדשים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – בסכום של 4 שקלים חדשים לכל אדם:

פנה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע, והפנייה נעשתה לקבוצה בלתי מסוימת של בני אדם, בלי שמסר לו הודעה כנדרש בסעיף 11, בניגוד להוראות הסעיף האמור;

לא מינה ממונה על אבטחת מידע, בניגוד להוראות סעיף 17ב(א);

לא מינה ממונה על הגנת הפרטיות, בניגוד להוראות סעיף 17ב1(א)(1) או (2);

עיבד מידע אישי במאגר מידע המשמש לשירותי דיוור ישיר, בלי שיש בידו רישום המציין את המקור שממנו קיבל כל אוסף נתונים המשמש לצורך מאגר המידע ומועד קבלתו וכן רישום המציין למי מסר כל אוסף נתונים כאמור, בניגוד להוראות סעיף 17ה;

בעל שליטה במאגר מידע שלא קִיים רישום של המידע האישי שמסר בהתאם לסעיף 23ג, בניגוד להוראות סעיף 23ד(ב);

לעניין בעל שליטה במאגר מידע המנוי בסעיף 17ב1(א)(1) או (2) – לא מילא אחר הוראות ראש הרשות להפסקת הפרה או לתיקונה, בניגוד להוראות סעיף 23כה(ד);

שר המשפטים, באישור ועדת החוקה, רשאי לקבוע, בצו, שהוראות פסקת משנה (ו) יחולו גם לעניין בעל שליטה במאגר מידע או מחזיק המנוי בסעיף 17ב1(א)(3) ו־(4).

בעיצום כספי לפי פסקאות משנה (ד) ו־(ה) יחושב סכום העיצום הכספי לפי מספר בני האדם שאין לגביהם רישום כאמור באותן פסקאות משנה.

היה סכום העיצום הכספי לפי פסקה (1) קטן מ־20,000 שקלים חדשים, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – קטן מ־40,000 שקלים חדשים, רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 20,000 שקלים חדשים או 40,000 שקלים חדשים, לפי העניין.

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום של 4 שקלים חדשים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – בסכום של 8 שקלים חדשים לכל אדם:

לא מילא אחר הוראות ראש הרשות לפי סעיף 23כה(א) להפסיק שימוש בידיעה על ענייניו הפרטיים של אדם במאגר מידע שלא למטרה שלשמה נמסרה, בניגוד להוראות סעיף 2(9), או להפסיק לעבד מידע אישי במאגר מידע למטרה שמהווה פגיעה בפרטיות לפי סעיף 2;

עיבד מידע אישי במאגר מידע למטרה שאינה כדין, בניגוד להוראות סעיף 8(ב), אלא אם כן העיבוד נעשה רק בניגוד להוראות סעיף 2;

לא מילא אחר הוראות ראש הרשות לפי סעיף 23כה(ב) להפסיק לעבד מידע אישי במאגר מידע שנוצר, התקבל, נצבר או נאסף, בניגוד להוראות חוק זה או בניגוד להוראות כל דין אחר המסדיר עיבוד מידע, או להפסיק להרשות לאחר לעבד בעבורו מידע אישי כאמור;

עיבד מידע אישי בלא הרשאה של בעל השליטה במאגר המידע, או בחריגה מהרשאה כאמור, בניגוד להוראות סעיף 8(ג);

בעל שליטה במאגר מידע שמסר מידע מאת גוף ציבורי, בניגוד להוראות סעיף 23ב, בלי שהתקיימו הוראות סעיף 23ג.

היה סכום העיצום הכספי כאמור בפסקה (1) קטן מ־200,000 שקלים חדשים, רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 200,000 שקלים חדשים.

עיבד בעל שליטה במאגר מידע או מחזיק במאגר מידע מידע אישי במאגר שלא בהתאם למטרה שנקבעה לו, בניגוד להוראות סעיף 8(ב), בנסיבות שבהן היה ניתן לקבוע כדין מטרה כאמור, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע בפרט (1) לתוספת השלישית.

לא מסר בעל שליטה במאגר מידע או מחזיק במאגר מידע מסמך או עותק מחומר מחשב למפקח, בניגוד להוראות סעיף 23י(א)(2) או (3), רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בשיעור של 300,000 שקלים חדשים.

הפר בעל שליטה במאגר מידע או מחזיק במאגר הוראה מהוראות התקנות שנקבעו לפי סעיף 36, כמפורט בטור א׳ לתוספת השלישית, החלה עליו, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע לגביו בטור ב׳, בטור ג׳, בטור ד׳ או בטור ה׳ לצד אותה הוראה, לפי העניין, ואם מאגר המידע הוא מאגר שחלה עליו רמת האבטחה הגבוהה בתוספת האמורה ויש בו מידע על אודות 1,000,000 בני אדם ומעלה, רשאי ראש הרשות להטיל עליו כפל הסכום הקבוע בטור ה׳ לצד אותה הוראה.

הפר בעל שליטה במאגר מידע או מחזיק במאגר מידע הוראה מהוראות התקנות שנקבעו לפי סעיף 36, בתוספת הרביעית, כמפורט בטור א׳ בחלק א׳ לאותה תוספת, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה בסכום הקבוע בטור ב׳ לצד אותה הוראה.

לא מילא בעל שליטה במאגר מידע או מחזיק במאגר מידע אחר הוראות ראש הרשות לפי סעיף 23כה(ג) להפסיק הפרה של הוראות התקנות כאמור בחלק ב׳ לתוספת הרביעית, רשאי ראש הרשות להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום הקבוע בטור ב׳ לצד אותה הוראה באותה תוספת.

נמסרה למחזיק במאגר מידע דרישת תשלום בשל הפרת הוראה כאמור בסעיף קטן (ח), יודיע על כך ראש הרשות לבעל השליטה במאגר המידע בצירוף העתק מדרישת התשלום שנמסרה למחזיק, ויורה לבעל השליטה במאגר לפעול להפסקת ההפרה בידי המחזיק, והכול בתוך תקופה, כפי שיורה ראש הרשות.

לא הופסקה ההפרה כאמור בפסקה (1) ולא ביצע בעל השליטה במאגר מידע את שדרש ממנו ראש הרשות לשם הפסקת ההפרה, רשאי ראש הרשות למסור לו הודעה על כוונת חיוב כאמור בסעיף 23כז בשל אותה הפרה, ויחולו לגבי בעל השליטה במאגר המידע לעניין אותה הפרה, בשינויים המחויבים, ההוראות לפי סימן זה, כאילו הוא היה המפר; סכום העיצום הכספי שיוטל על בעל השליטה במאגר המידע בשל הפרה כאמור יהיה הסכום שניתן להטיל על המחזיק בשל אותה הפרה.

היה לראש הרשות יסוד סביר להניח כי אדם הפר הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כו (בפרק זה – המפר), ובכוונתו להטיל עליו עיצום כספי לפי אותו סעיף, ימסור למפר הודעה בכתב על הכוונה להטיל עליו עיצום כספי (בחוק זה – הודעה על כוונת חיוב).

בהודעה על כוונת חיוב יציין ראש הרשות, בין השאר, את אלה:

פירוט המעשה המהווה את ההפרה, נסיבות ביצועו ומועד ביצועו;

סכום העיצום הכספי והתקופה לתשלומו;

זכותו של המפר לטעון את טענותיו לפני ראש הרשות לפי הוראות סעיף 23כח, וכי יראו את ההודעה על כוונת חיוב כדרישת תשלום אם המפר לא יממש את הזכות האמורה, כאמור בסעיף 23כט(ד);

הסמכות להוסיף על סכום העיצום הכספי בשל הפרה נמשכת או הפרה חוזרת לפי הוראות סעיף 23ל, ושיעור התוספת.

מפר שנמסרה לו הודעה על כוונת חיוב לפי הוראות סעיף 23כז רשאי לטעון את טענותיו, לפני ראש הרשות, בכתב או בעל פה, לפי החלטת ראש הרשות, לעניין הכוונה להטיל עליו עיצום כספי ולעניין סכומו, בתוך 45 ימים ממועד מסירת ההודעה; ראש הרשות רשאי להאריך את התקופה האמורה, מטעמים מיוחדים שיירשמו.

ראש הרשות יחליט, לאחר ששקל את הטענות שנטענו לפי סעיף 23כח, אם להטיל על המפר עיצום כספי, ורשאי הוא להפחית את סכום העיצום הכספי לפי הוראות סעיף 23לא.

החליט ראש הרשות לפי סעיף קטן (א) –

להטיל על המפר עיצום כספי – ימסור לו דרישה, בכתב, לשלם את העיצום הכספי (בפרק זה – דרישת תשלום), שבה יציין, בין השאר, את סכום העיצום הכספי המעודכן ואת התקופה לתשלומו וכן את זכותו של המפר להגיש ערעור בתוך 45 ימים לפי סעיף 23מה;

שלא להטיל על המפר עיצום כספי – ימסור לו הודעה על כך, בכתב.

בדרישת התשלום או בהודעה, לפי סעיף קטן (ב), יפרט ראש הרשות את נימוקי החלטתו.

לא טען המפר את טענותיו לפי הוראות סעיף 23כח בתוך התקופה האמורה באותו סעיף, יראו את ההודעה על כוונת חיוב, בתום אותה תקופה, כדרישת תשלום שנמסרה למפר במועד האמור.

בהפרה נמשכת ייווסף על העיצום הכספי הקבוע לאותה הפרה, החלק המאה שלו לכל יום שבו נמשכת ההפרה; לעניין זה, ”הפרה נמשכת“ – הפרת הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כו, לאחר שנמסרה למפר דרישת תשלום בשל הפרת אותה הוראה.

הוגש ערעור על החלטת דרישת התשלום, לא תבוא במניין הימים לעניין פסקה (1) התקופה שעד להכרעת בית המשפט בעניין, אלא אם כן קבע בית המשפט אחרת.

בהפרה חוזרת ייווסף על העיצום הכספי הקבוע לאותה הפרה סכום השווה לעיצום הכספי כאמור; לעניין זה, ”הפרה חוזרת“ – הפרת הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כו, שבוצעה לאחר המועד לתשלום העיצום הכספי, בתוך שנתיים מהפרה קודמת של אותה הוראה שבשלה הוטל על המפר עיצום כספי או שבשלה הורשע.

ראש הרשות אינו רשאי להטיל עיצום כספי בסכום הנמוך מהסכומים הקבועים לפי סימן זה, אלא במקרים, בנסיבות ובהתאם לשיקולים המפורטים בתוספת החמישית ובשיעורים הקבועים בה.

העיצום הכספי יהיה לפי סכומו המעודכן ביום מסירת דרישת התשלום, ולגבי מפר שלא טען את טענותיו לפני ראש הרשות כאמור בסעיף 23כט(ד) – ביום מסירת ההודעה על כוונת חיוב; הוגש ערעור לבית משפט ועוכב תשלומו של העיצום הכספי בידי ראש הרשות או בידי בית המשפט – יהיה העיצום הכספי לפי סכומו המעודכן ביום ההחלטה בערעור, לפי העניין.

הסכומים הקבועים בסעיף 23כו והסכומים הקבועים בתוספת השלישית, בתוספת הרביעית ובתוספת החמישית יתעדכנו ב־1 בינואר בכל שנה (בסעיף קטן זה – יום העדכון), בהתאם לשיעור שינוי המדד הידוע ביום העדכון לעומת המדד שהיה ידוע ב־1 בינואר של השנה הקודמת; הסכום האמור יעוגל לסכום הקרוב שהוא מכפלה של 10 שקלים חדשים; עדכון ראשון לפי סעיף קטן זה יהיה בשנת 2026; לעניין זה, ”מדד“ – מדד המחירים לצרכן שמפרסמת הלשכה המרכזית לסטטיסטיקה.

ראש הרשות יפרסם ברשומות ובאתר האינטרנט של הרשות הודעה על סכומי העיצום הכספי המעודכנים לפי סעיף קטן (ב).

על המפר לשלם את העיצום הכספי בתוך 45 ימים מיום מסירת דרישת התשלום כאמור בסעיף 23כט.

לא שולם העיצום הכספי במועד, ייתוספו עליו, לתקופת הפיגור, ריבית שקלית ודמי פיגורים, עד לתשלומו, ויחולו הוראות חוק פסיקת ריבית והצמדה, התשכ״א–1961, בשינויים המחויבים.

עיצום כספי ייגבה לאוצר המדינה, ועל גבייתו יחול חוק המרכז לגביית קנסות, אגרות והוצאות, התשנ״ה–1995.

היה לראש הרשות יסוד סביר להניח כי אדם הפר הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כו, והתקיימו נסיבות שקבע שר המשפטים, רשאי ראש הרשות, במקום להטיל עליו עיצום כספי לפי הוראות סימן ב׳, למסור לו התראה מינהלית לפי הוראות סימן זה.

בהתראה מינהלית יציין ראש הרשות מהו המעשה המהווה את ההפרה, נסיבות ביצועו ומועד ביצועו, יודיע למפר כי עליו להפסיק את ההפרה וכי אם ימשיך בהפרה או יחזור עליה יהיה צפוי לעיצום כספי בשל הפרה נמשכת או הפרה חוזרת, לפי העניין, ואת אופן החישוב של סכום העיצום, כאמור בסעיף 23לח, וכן יציין את זכותו של המפר לבקש את ביטול ההתראה לפי הוראות סעיף 23לז.

נמסרה למפר התראה מינהלית כאמור בסעיף 23לו, רשאי הוא לפנות לראש הרשות, בכתב, בתוך 45 ימים, בבקשה לבטל את ההתראה בשל כל אחד מטעמים אלה:

המפר לא ביצע את ההפרה;

המעשה שביצע המפר, המפורט בהתראה, אינו מהווה הפרה.

ראש הרשות רשאי להאריך את התקופה האמורה בסעיף קטן (א), מטעמים מיוחדים שיירשמו.

קיבל ראש הרשות בקשה לביטול התראה מינהלית, לפי הוראות סעיף קטן (א), רשאי הוא לבטל את ההתראה או לדחות את הבקשה ולהותיר את ההתראה על כנה; החלטת ראש הרשות תינתן בכתב ותימסר למפר בצירוף נימוקים.

נמסרה למפר התראה מינהלית לפי הוראות סימן זה והמפר המשיך להפר את ההוראה שבשלה נמסרה לו ההתראה, יראו את ההפרה כאמור כהפרה נמשכת, ויחולו הוראות סעיף 23ל(א), וראש הרשות ימסור למפר הודעה על כוונת חיוב בשל ההפרה הנמשכת בהתאם להוראות סעיף 23כז, בשינויים המחויבים.

נמסרה למפר התראה מינהלית לפי הוראות סימן זה והמפר חזר והפר את ההוראה שבשלה נמסרה לו ההתראה, בתוך שנתיים מיום מסירת ההתראה, יראו את ההפרה הנוספת כאמור כהפרה חוזרת לעניין סעיף 23ל(ב), וראש הרשות ימסור למפר הודעה על כוונת חיוב בשל ההפרה החוזרת, בהתאם להוראות סעיף 23כז, בשינויים המחויבים.

היה לראש הרשות יסוד סביר להניח כי אדם הפר הוראה מההוראות לפי חוק זה, כאמור בסעיף 23כו, והתקיימו נסיבות שקבע שר המשפטים, רשאי ראש הרשות למסור למפר הודעה בכתב על אפשרותו להגיש לראש הרשות כתב התחייבות ולהפקיד עירבון לפי הוראות סימן זה, במקום העיצום הכספי שניתן להטיל עליו לפי הוראות סימן ב׳.

בכתב ההתחייבות יתחייב המפר להפסיק את הפרת ההוראה כאמור בסעיף 23לט ולהימנע מהפרה נוספת של אותה הוראה, בתוך תקופה שיקבע ראש הרשות ושתחילתה ביום הגשת כתב ההתחייבות, ובלבד שהתקופה האמורה לא תעלה על שנתיים (בסימן זה – תקופת ההתחייבות).

ראש הרשות רשאי לקבוע בכתב ההתחייבות תנאים נוספים שעל המפר להתחייב ולעמוד בהם במהלך תקופת ההתחייבות, לשם הקטנת הנזק שנגרם מההפרה או מניעת הישנותה.

נוסף על כתב ההתחייבות יפקיד המפר בידי הרשות עירבון בסכום העיצום הכספי שראש הרשות היה רשאי להטיל על המפר בשל אותה הפרה, בהתחשב בקיומם של נסיבות ושיקולים המנויים בתוספת החמישית.

ראש הרשות רשאי, לבקשת המפר ומטעמים שיירשמו, לפטור את המפר מהפקדת העירבון לפי סעיף קטן (ג) או להפחית את סכום העירבון שיפקיד המפר לפי אותו סעיף קטן.

הגיש המפר לראש הרשות כתב התחייבות והפקיד עירבון לפי סימן זה, בתוך 45 ימים מיום מסירת ההודעה כאמור בסעיף 23לט, לא יוטל עליו עיצום כספי בשל אותה הפרה; לא הגיש המפר לראש הרשות כתב התחייבות או לא הפקיד עירבון בתוך התקופה האמורה, ימציא לו ראש הרשות הודעה על כוונת חיוב בשל אותה הפרה, לפי סעיף 23כז.

ראש הרשות רשאי להאריך את התקופה האמורה בסעיף קטן (א), מטעמים מיוחדים שיירשמו.

הגיש המפר כתב התחייבות והפקיד עירבון לפי סימן זה והפר תנאי מתנאי ההתחייבות, כמפורט בפסקאות שלהלן, יחולו ההוראות המפורטות באותן פסקאות, לפי העניין:

המשיך המפר, במהלך תקופת ההתחייבות, להפר את ההוראה שבשל הפרתה נתן את כתב ההתחייבות, או חזר והפר את ההוראה האמורה במהלך אותה תקופה, יראו את ההפרה כאמור כהפרה נמשכת לעניין סעיף 23ל(א) או כהפרה חוזרת לעניין סעיף 23ל(ב), לפי העניין, ויחולו הוראות אלה:

ראש הרשות ימסור למפר הודעה על כוונת חיוב בשל ההפרה הנמשכת או ההפרה החוזרת, לפי העניין, בהתאם להוראות סעיף 23כז, בשינויים המחויבים;

מסר ראש הרשות למפר דרישת תשלום בשל ההפרה הנמשכת או ההפרה החוזרת, לפי העניין, בהתאם להוראות סעיף 23כט(ב)(1) או שהמפר לא טען את טענותיו לפני ראש הרשות לעניין אותה הפרה כאמור בסעיף 23כט(ד), יחלט ראש הרשות את העירבון נוסף על הטלת העיצום הכספי בשל ההפרה הנמשכת או ההפרה החוזרת; החליט ראש הרשות, לפי סעיף 23מ(ד), לפטור את המפר מהפקדת העירבון או להפחית את סכום העירבון, ימסור למפר דרישת תשלום לפי סעיף 23כט הכוללת גם את סכום העירבון שלגביו ניתן הפטור או את החלק שהופחת מסכום העירבון, לפי העניין, בתוספת ריבית שקלית, מיום החלטת ראש הרשות על הפטור או ההפחתה כאמור עד יום המסירה של דרישת התשלום;

הפר המפר תנאי מהתנאים הנוספים שנקבעו בכתב ההתחייבות כאמור בסעיף 23מ(ב) – יחלט ראש הרשות את העירבון, ואם החליט, לפי סעיף 23מ(ד), לפטור את המפר מהפקדת העירבון או להפחית את סכום העירבון, ימסור למפר דרישת תשלום לפי סעיף 23כט לגבי סכום העירבון שלגביו ניתן הפטור או לגבי החלק שהופחת מסכום העירבון, לפי העניין, בתוספת ריבית שקלית מיום החלטת ראש הרשות על הפטור או ההפחתה כאמור עד יום המסירה של דרישת התשלום; ראש הרשות לא יחלט את העירבון או ישלח דרישת תשלום לפי פסקה זו אלא לאחר שנתן למפר הזדמנות לטעון את טענותיו, בכתב, לעניין הפרת התנאים כאמור.

לעניין פרק זה, יראו בחילוט העירבון לפי הוראות סעיף זה כהטלת עיצום כספי על המפר בשל ההפרה שלגביה ניתן העירבון.

הופר תנאי מתנאי ההתחייבות כאמור בסעיף זה, והפר המפר פעם נוספת את ההוראה שבשל הפרתה נתן את כתב ההתחייבות, לא יאפשר לו ראש הרשות להגיש כתב התחייבות נוסף לפי הוראות סימן זה, בשל אותה הפרה.

עמד המפר בתנאי כתב ההתחייבות שהגיש לפי סימן זה, יוחזר לו, בתום תקופת ההתחייבות, העירבון שהפקיד בתוספת ריבית שקלית מיום הפקדתו עד יום החזרתו.

על מעשה אחד המהווה הפרה של כמה הוראות לפי חוק זה וכן על מעשה המהווה הפרה של הוראה מההוראות המנויות בסעיף 23כו ושל הפרה לפי חוק אחר, לא יוטל יותר מעיצום כספי אחד.

על הפעלת אמצעי אכיפה מינהלי לפי סימנים ב׳ עד ה׳ ניתן לערער לבית משפט השלום שבו יושב נשיא בית משפט השלום, בתוך 45 ימים מיום שנמסרה ההודעה על ביצוע הפעולה.

אין בהגשת ערעור על החלטת ראש הרשות לפי סימנים ב׳ עד ה׳, כדי לעכב את ביצוע ההחלטה, אלא אם כן הסכים לכך ראש הרשות או שבית המשפט הורה על כך.

בית המשפט הדן בערעור רשאי לאשר את החלטת ראש הרשות, לשנותה, לבטלה או לקבל החלטה אחרת במקומה, ורשאי הוא להחזיר את העניין עם הוראות לראש הרשות.

החליט בית המשפט, לאחר ששולם העיצום הכספי או הופקד העירבון, לקבל ערעור כאמור בסעיף קטן (א), והורה על החזרת סכום העיצום הכספי ששולם או על הפחתת העיצום הכספי או החזרת העירבון, יוחזר הסכום ששולם או כל חלק ממנו שהופחת או יוחזר העירבון, לפי העניין, בתוספת ריבית שקלית מיום תשלומו או הפקדתו עד יום החזרתו.

הטיל ראש הרשות עיצום כספי לפי פרק זה, יפרסם באתר האינטרנט של הרשות להגנת הפרטיות את הפרטים שלהלן, בדרך שתבטיח שקיפות לגבי הפעלת שיקול דעתו בקבלת ההחלטה להטיל עיצום כספי:

דבר הטלת העיצום הכספי;

מהות ההפרה שבשלה הוטל העיצום הכספי, מועד ביצוע ההפרה ונסיבות ההפרה;

סכום העיצום הכספי שהוטל;

אם הופחת העיצום הכספי – הנסיבות שבשלהן הופחת סכום העיצום הכספי ושיעורי ההפחתה;

פרטים על אודות המפר, הנוגעים לעניין;

שמו של המפר – אם הוא תאגיד, אלא אם כן הוא תאגיד המנוהל על ידי יחיד ושמו של התאגיד כשם הבעלים היחיד שלו.

פרסום לפי סעיף זה לא יתבצע אלא לאחר שניתנה למפר הזדמנות לטעון את טענותיו; ההזדמנות לטעון טענות לפי סעיף קטן זה יכול שתינתן למפר במסגרת זכות הטיעון לפי סעיף 23כח, ובלבד שראש הרשות הודיע למפר על כוונתו לפרסם את שמו, בהודעה על כוונת חיוב לפי סעיף 23כז.

הוגש ערעור על החלטת ראש הרשות להטיל עיצום כספי, יפרסם ראש הרשות, באותה הדרך שפרסם לפי סעיף קטן (א), את דבר הגשת הערעור ואת תוצאותיו.

על אף הוראות סעיף קטן (א)(6), ראש הרשות –

לא יפרסם את שמו של מפר שהוא תאגיד, אם שוכנע כי ההפרה היא קלת ערך בנסיבות העניין, אלא אם כן הפרסום נחוץ לאזהרת ציבור בני האדם שפרטיהם נמצאים במאגר;

יפרסם את שמו של מפר שהוא יחיד או של תאגיד ששמו כשם הבעלים היחיד שלו, אם סבר שהדבר נחוץ לאזהרת הציבור.

על אף האמור בסעיף זה, לא יפרסם ראש הרשות פרטים שהם בגדר מידע שרשות ציבורית מנועה מלמסור לפי סעיף 9(א) לחוק חופש המידע, וכן רשאי הוא שלא לפרסם פרטים לפי סעיף זה, שהם בגדר מידע שרשות ציבורית אינה חייבת למסור לפי סעיף 9(ב) לחוק האמור.

פרסום לפי סעיף זה בעניין עיצום כספי שהוטל על תאגיד יהיה לתקופה של ארבע שנים, ובעניין עיצום כספי שהוטל על יחיד – לתקופה של שנתיים.

שר המשפטים, באישור ועדת החוקה, רשאי לקבוע דרכים נוספות לפרסום הפרטים האמורים בסעיף זה.

תשלום עיצום כספי, מסירת התראה מינהלית או הגשת כתב התחייבות והפקדת עירבון, לפי פרק זה, לא יגרעו מאחריותו הפלילית של אדם בשל הפרת הוראה מההוראות לפי חוק זה המהווה עבירה.

על אף האמור בסעיף קטן (א), נמסרה למפר הודעה על כוונת חיוב, התראה מינהלית או הודעה על האפשרות להגיש כתב התחייבות ולהפקיד עירבון, בשל הפרה המהווה גם עבירה, לא יוגש נגדו כתב אישום בשל אותה הפרה, אלא אם כן התגלו עובדות חדשות, המצדיקות זאת, כאמור בסעיף 23טז; התגלו עובדות חדשות כאמור והוגש נגד המפר כתב אישום לאחר שהמפר שילם עיצום כספי או הפקיד עירבון, יוחזר לו הסכום ששולם או העירבון שהופקד, לפי העניין, בתוספת ריבית שקלית ודמי פיגורים מיום תשלום הסכום או מיום הפקדת העירבון, עד יום החזרתו.

הוגש נגד אדם כתב אישום בשל עבירה המהווה הפרה, לא ינקוט נגדו ראש הרשות הליכים לפי סימנים ב׳ עד ה׳ בשל ההפרה.

ראש הרשות רשאי לאצול את סמכויותיו לפי סימנים ב׳ עד ה׳ לעובד בכיר הכפוף אליו ישירות ואחראי על תחום העיצומים הכספיים; הודעה על אצילה כאמור תפורסם ברשומות.

היה לראש הרשות יסוד סביר להניח כי מתבצעת או עומדת להתבצע במאגר מידע הפרה של הוראות לפי סעיף 2(9), 8(ב), (ג) או (ד), 17 או 23ב, רשאי הוא לבקש מבית משפט לעניינים מינהליים (בסעיף זה – בית המשפט) לתת צו לבעל השליטה במאגר המידע או למחזיק במאגר המידע, להפסקת פעולות עיבוד מידע הגורמות להפרה או שיש חשש שיגרמו להפרה (בסעיף זה – צו הפסקה), וכן רשאי בית המשפט להורות לשם כך על מחיקת המידע האישי שבמאגר המידע במלואו (בסעיף זה – צו מחיקה).

בית המשפט רשאי לתת צו לפי סעיף קטן (א), כפי שהתבקש או בשינויים, אם שוכנע כי התקיימו כל אלו:

יש יסוד סביר להניח כי מתבצעת או עומדת להתבצע במאגר מידע הפרה כאמור באותו סעיף קטן;

אין אמצעי אחר שפגיעתו פחותה למניעת ביצוע ההפרה;

הנזק שעלול להיגרם כתוצאה מההפרה עולה על הנזק שעלול להיגרם ממתן הצו הנוגע אליה, ובכלל זה הפגיעה בחופש הביטוי שעלולה להיגרם ממתן הצו;

חומרת ההפרה מצדיקה את מתן הצו.

צו לפי סעיף זה יינתן לאחר שניתנה לבעל השליטה במאגר המידע הזדמנות להשמיע את טענותיו לפני בית המשפט, ואם הצו מופנה כלפי מחזיק – גם למחזיק, ככל שהדבר ניתן, ובדרך המתאימה בנסיבות העניין.

צו הפסקה שלא במעמד צד כאמור בפסקה (1) יינתן לתקופה שלא תעלה על 48 שעות; בתקופה כאמור לא יינתן צו מחיקה.

בית המשפט רשאי להאריך את תוקפו של הצו לאחר שניתנה לבעל השליטה במאגר המידע או למחזיק במאגר המידע, לפי העניין, הזדמנות להשמיע את טענותיו.

בית המשפט רשאי לדון מחדש בצו לפי סעיף זה אם ראה שהדבר מוצדק בשל נסיבות שהשתנו או עובדות חדשות שהתגלו לאחר מתן הצו.

על הליך לפי סעיף זה יחולו הוראות חוק בתי משפט לעניינים מינהליים, התש״ס–2000, בשינויים המחויבים; שר המשפטים, באישור ועדת החוקה, רשאי לקבוע הוראות לעניין סדרי דין בהליך לפי סעיף זה; עד לקביעת הוראות כאמור, יחולו הוראות תקנות האזרחות (סדרי הדין בבקשה לביטול אזרחות), התשע״ז–2017, בשינויים המחויבים.

ראש הרשות רשאי להסמיך חוקר מקרב עובדי המדינה, שיהיו נתונות לו הסמכויות לפי חוק זה, כולן או חלקן (להלן – חוקר), אם התקיימו בו כל אלה:

משטרת ישראל הודיעה, בתוך שלושה חודשים מפנייתו של ראש הרשות אליה, כי היא אינה מתנגדת להסמכתו מטעמים של ביטחון הציבור, לרבות בשל עברו הפלילי;

הוא קיבל הכשרה מתאימה בתחום הסמכויות שיהיו נתונות לו לפי חוק זה, ועמד בתנאי כשירות נוספים, ככל שנקבעו, כפי שהורה שר המשפטים בהסכמת השר לביטחון לאומי, ולעניין הפעלת סמכויות חדירה לחומר מחשב או העתקתו כאמור בסעיף 23נא(א)(3) – הוא בעל תפקיד המיומן לביצוע פעולות כאמור;

הוא קיבל הכשרה מתאימה בתחום הגנת הפרטיות, כפי שהורה שר המשפטים.

הסמכתו של חוקר לפי סעיף זה, תהיה בתעודה החתומה בידי ראש הרשות, שמעידה על תפקידו כחוקר ועל סמכויותיו לפי חוק זה (להלן – תעודת חוקר).

הודעה על הסמכה לפי סעיף קטן (ב) תפורסם ברשומות ובאתר האינטרנט של הרשות להגנת הפרטיות.

היה לחוקר יסוד סביר לחשד שנעברה עבירה לפי סעיף 5, בנסיבות המנויות בסעיף 2(9), והחשד הוא שהעבירה נעברה לגבי ידיעה על ענייניו הפרטיים של אדם במאגר מידע, או היה לחוקר יסוד סביר לחשד שנעברה עבירה לפי פרק ב׳ או לפי פרק זה, רשאי הוא –

לחקור כל אדם הקשור לעבירה כאמור או שעשויות להיות לו ידיעות הנוגעות לעבירה כאמור; על חקירה לפי פסקה זו יחולו הוראות סעיפים 2 ו־3 לפקודת הפרוצדורה הפלילית (עדות) והוראות חוק סדר הדין הפלילי (חקירת חשודים), התשס״ב–2002, בשינויים המחויבים;

לתפוס כל חפץ שיש לו יסוד סביר להניח שהוא חפץ הקשור לעבירה כאמור;

לבקש מבית המשפט צו חיפוש ותפיסה או צו חדירה לחומר מחשב לפי סעיפים 23 עד 24 לפקודת מעצר וחיפוש, ולבצעו.

על ביצוע חיפוש, תפיסת חפץ וחדירה לחומר מחשב או העתקתו לפי סעיף זה, יחולו הוראות סעיפים 23א, 24(א)(1) ו־(ב), 26 עד 28, 31 עד 42 ו־45, לפקודת מעצר וחיפוש, בשינויים המחויבים, ובשינויים אלה: הסמכויות הנתונות לשוטר יהיו נתונות לחוקר והסמכויות הנתונות לקצין יהיו נתונות לראש הרשות או לחוקר שהוא הסמיך לכך; הודעה על הסמכה לפי סעיף קטן זה תפורסם ברשומות ובאתר האינטרנט של הרשות.

היה לחוקר יסוד סביר לחשד שאדם עבר עבירה כאמור בסעיף קטן (א), רשאי הוא לעכבו כדי לברר את זהותו ומענו או כדי לחוקרו במקום הימצאו; היה הזיהוי בלתי מספיק או שלא ניתן לחקור את אותו אדם במקום הימצאו, רשאי החוקר לדרוש מאותו אדם להתלוות אליו למשרדי הרשות או לזמנו למשרדי הרשות למועד אחר שיקבע; מי שזומן למשרדי הרשות, יתייצב במועד שזומן אליו.

על עיכוב לפי פסקה (1) יחולו הוראות סעיפים 66, 67, ו־72 עד 74 לחוק המעצרים, בשינויים המחויבים, ובשינויים אלה: הסמכויות הנתונות לשוטר יהיו נתונות לחוקר והסמכויות הנתונות לקצין הממונה יהיו נתונות לראש הרשות או לחוקר שהוא הסמיך לכך, ויראו את משרדי הרשות שראש הרשות הכריז עליהם בהודעה ברשומות כתחנת משטרה לעניין הוראות חוק המעצרים.

חוקר לא יעשה שימוש בסמכויות הנתונות לו לפי סימן זה אלא בעת מילוי תפקידו ובהתקיים שניים אלה:

מתקיימות לגביו הוראות לעניין זיהוי מפקח לפי סעיף 23יא, בשינויים המחויבים;

הוא לובש מדי חוקר, בצבע ובצורה שהורה ראש הרשות לעניין זה, ובלבד שהמדים כאמור אינם נחזים להיות מדי משטרה.

הוראות סעיף 23יב(ב) ו־(ג) יחולו, בשינויים המחויבים, לעניין החובות כאמור בסעיף קטן (א).

המפריע לראש הרשות, לחוקר או למפקח במילוי תפקידו לפי חוק זה, דינו – מאסר שישה חודשים.

העושה אחד מאלה בכוונה להטעות את ראש הרשות, מפקח או מומחה חיצוני, דינו – מאסר שנתיים:

כולל פרטים שאינם נכונים בבקשה לרישום מאגר מידע שהוגשה לפי סעיף 9 או בהודעה על שינוי בפרטים המנויים בסעיף 9(ב) או בהודעה לפי סעיף 8א(ב);

מוסר פרטים שאינם נכונים במענה לדרישה של מפקח לפי סעיף 23י(א)(1) עד (3) או של מומחה חיצוני לפי סעיף 23יח(ו).

המעבד מידע אישי ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר המידע, בניגוד להוראות סעיף 8(ג), דינו – מאסר שלוש שנים.

הפונה לאדם לקבלת מידע אישי לשם עיבוד המידע במאגר מידע ומוסר לו פרטים לא נכונים, בניגוד להוראות סעיף 11, בכוונה להטעותו באשר למסירת המידע האישי, דינו – מאסר שלוש שנים.

גוף ציבורי כהגדרתו בסעיף 23 שהוא תאגיד, עובד של גוף ציבורי כאמור או מי שפועל מטעם גוף ציבורי כאמור, המוסר מידע אישי שעל העברתו חל איסור לפי הוראות סעיף 23ב, במטרה שגורם שאינו מוסמך לקבל את המידע יעבד אותו, דינו – מאסר שלוש שנים.

בפרק זה –

מתחילת תקופת הבחירות הכלליות לרשויות ועד יום הגשת הרשימות –

מפלגה כהגדרתה בחוק הרשויות המקומיות (בחירות) וסיעה של הכנסת;

סיעה של מועצה יוצאת, כמשמעותה בסעיף 25 לחוק הרשויות המקומיות (בחירות);

מי שזכאי, לפי סעיף 16(ב)(1) לחוק הרשויות המקומיות (בחירות), לקבל מידע פנקס, והמידע נמסר לו לפי סעיף 16(ג) לחוק האמור;

מי שזכאי, לפי סעיף 5ב(א)(1) לחוק המועצות האזוריות, לקבל מידע פנקס, והמידע נמסר לו לפי הסעיף האמור;

החל מיום הגשת רשימות מועמדים – רשימת מועמדים בבחירות למועצה של רשות מקומית ומועמד לראש רשות מקומית וכן מי שהגיש את רשימת המועמדים או הצעת המועמד, למעט קבוצה של בוחרים;

ראש הרשות, מפקח או חוקר לא יפעיל, בתקופות בחירות, סמכות הנתונה לו לפי סעיפים המנויים להלן בשל הפרת הוראה מההוראות לפי חוק זה, הנוגעת למאגר מידע אשר מפלגה או מועמד בבחירות לרשות מקומית הם בעלי השליטה בו, שהם או מי שמחזיק במאגר מידע כאמור מטעמם ביצעו, אלא אם כן קיבל אישור לפי סעיף קטן (ב):

כניסה למקום, לפי סעיף 23י(א)(4);

הגשת בקשה לצו חיפוש ותפיסה או צו חדירה לחומר מחשב במסגרת בירור מינהלי, לפי סעיף 23יד;

הגשת בקשה לצו הפסקה, לפי סעיף 23מט;

סמכות לתפוס כל חפץ, לפי סעיף 23נא(א)(2);

הגשת בקשה לצו חיפוש ותפיסה או צו חדירה לחומר מחשב, לפי סעיף 23נא(א)(3);

הודעה על כוונת חיוב לפי סעיף 23כז;

מסירת התראה מינהלית, לפי סעיף 23לו;

מסירת הודעה על האפשרות להגיש כתב התחייבות ולהפקיד עירבון, לפי סעיף 23לט.

סמכות כאמור בסעיף קטן (א) יכול שתופעל –

בתקופת בחירות לכנסת, לעניין מאגר מידע אשר מפלגה היא בעלת השליטה בו – באישור יושב ראש ועדת הבחירות המרכזית;

בתקופת בחירות כלליות לרשויות, לעניין מאגר מידע שמפלגה כהגדרתה בחוק הרשויות המקומיות (בחירות) או סיעה של הכנסת היא בעלת שליטה בו – באישור יושב ראש ועדת הבחירות המרכזית, ולעניין מאגר מידע אשר מועמד אחר בבחירות לרשויות מקומיות הוא בעל השליטה בו – באישור יושב ראש ועדת בחירות אזורית.

לפני מתן אישור לפי סעיף זה ייתן יושב ראש ועדת הבחירות המרכזית או יושב ראש ועדת הבחירות האזורית, לפי העניין, הזדמנות למפלגה או למועמד בבחירות ברשות המקומית הנוגעים בדבר להשמיע את טענותיהם; ואולם לגבי סמכות לפי סעיף קטן (א)(1) עד (5) רשאי יושב ראש ועדת בחירות כאמור לתת אישור להפעלת הסמכות בלי לבקש את עמדת המפלגה או המועמד בבחירות ברשות המקומית, מטעמי דחיפות או אם יהיה בכך כדי לסכל את מטרת הפעלת הסמכות המבוקשת; נסיבות העניין וטעמי הדחיפות יפורטו בהחלטת יושב הראש.

יושב ראש ועדת הבחירות המרכזית או יושב ראש ועדת בחירות אזורית לא ייתן אישור להפעלת סמכות לפי סעיף זה, אם מצא כי הדבר יפגע באופן מהותי ביכולתם של המפלגה או של המועמד בבחירות ברשות המקומית, לפי העניין, להתמודד בבחירות או לנהל את הקשר עם ציבור הבוחרים, וכי עוצמת הפגיעה הצפויה כאמור עולה על הסיכון לפגיעה בפרטיות ועל הסיכון לפגיעה באינטרס הציבורי העומד בבסיס הפעלת הסמכות; אישור כאמור יכול שיהיה בתנאים.

יושב ראש ועדת הבחירות המרכזית ויושב ראש ועדת בחירות אזורית הדן בבקשה פלונית, רשאים, ביוזמתם, או על פי בקשה של בעל דין שהוגשה לפני תחילת הדיון או במהלכו, להורות שהדיון יתקיים בפני יושב ראש ועדת הבחירות המרכזית, אם ראו כי הדבר מוצדק בנסיבות העניין.

החליט ראש הרשות, מפקח או חוקר להפעיל סמכות לפי סעיף זה בתקופת בחירות לרשות מקומית שמתקיימות ביום שאינו יום הבחירות הכלליות לרשויות, בנוגע למאגר מידע שהמועמד בבחירות לרשות מקומית הוא בעל השליטה בו, רשאי המועמד בבחירות לרשות מקומית לבקש מיושב ראש ועדת בחירות אזורית, ואם הוא מפלגה כהגדרתה בחוק הרשויות המקומיות (בחירות) או סיעה של הכנסת – מיושב ראש ועדת הבחירות המרכזית, לקבוע כי הסמכות האמורה לא תופעל בתקופת הבחירות לאותה רשות מקומית, אם ימצא כי התקיים האמור בסעיף קטן (ד), או להתנות את הפעלת הסמכות בתנאים; על בקשה והחלטה כאמור יחולו הוראות סעיפים קטנים (ג) ו־(ה), בשינויים המחויבים.

על הליכים לפי סעיף זה יחולו הוראות סעיפים 17ד ו־17ה לחוק הבחירות (דרכי תעמולה), בשינויים המחויבים.

הוראות סעיף זה יחולו, בשינויים המחויבים, גם לעניין בחירות לרשות מקומית אחרת או למועצה אזורית אחרת המתוקצבת מתקציב המדינה, למעט ועד מקומי.

חוק זה חל על המדינה.

אדם שנפגע בפרטיותו ותוך ששה חדשים לאחר הפגיעה מת בלי שהגיש תובענה או קובלנה בשל אותה פגיעה, רשאים בן־זוגו, ילדו או הורהו, ואם לא השאיר בן־זוג, ילדים או הורים – אחיו או אחותו, להגיש תוך ששה חדשים לאחר מותו, תובענה או קובלנה בשל אותה פגיעה.

אדם שהגיש תובענה או קובלנה בשל פגיעה בפרטיות ומת לפני סיום ההליך, רשאים בן־זוגו, ילדו או הורהו, ואם לא השאיר בן־זוג, ילדים או הורים – אחיו או אחותו, להודיע לבית המשפט, תוך ששה חדשים לאחר מותו, על רצונם להמשיך בתובענה או בקובלנה, ומשהודיעו כאמור יבואו הם במקום התובע או הקובל.

(בוטל).

על הליכים משפטיים בשל פגיעה בפרטיות יחולו הוראות סעיפים 21, 23 ו־24 לחוק איסור לשון הרע, התשכ״ה–1965, בשינויים המחוייבים לפי הענין.

במשפט פלילי או אזרחי בשל פגיעה בפרטיות אין להביא ראיה או לחקור עד בדבר שמו הרע של הנפגע או בדבר אפיו, עברו, מעשיו או דעותיו.

בנוסף לכל עונש וסעד אחר רשאי בית המשפט, במשפט פלילי או אזרחי בשל הפרה של הוראה מהוראות חוק זה, לצוות כמפורט להלן, לפי הענין:

על איסור הפצה של עתקי החומר הפוגע או על החרמתו; צו החרמה לפי פסקה זו כוחו יפה כלפי כל אדם שברשותו נמצא חומר כזה לשם מכירה, הפצה או החסנה, גם אם אותו אדם לא היה צד למשפט; ציווה בית המשפט על החרמה, יורה מה ייעשה בעתקים שהוחרמו;

על פרסום פסק הדין, כולו או מקצתו; הפרסום ייעשה על חשבון הנאשם או הנתבע, במקום, במידה ובדרך שקבע בית המשפט;

על מסירת החומר הפוגע לנפגע;

על השמדת מידע שנתקבל שלא כדין, או לאסור על שימוש במידע כאמור או במידע עודף כהגדרתו בסעיף 23ה, או להורות לגבי המידע כל הוראה אחרת.

אין בהוראות סעיף זה כדי למנוע החזקת עותק של פרסום בספריות ציבוריות, בארכיונים וכיוצא באלה, זולת אם הטיל בית המשפט, בצו החרמה על פי סעיף קטן (א)(1), הגבלה גם על החזקה כזאת, ואין בהן כדי למנוע החזקת עותק של פרסום בידי הפרט.

הורשע אדם בעבירה לפי סעיף 5, רשאי בית המשפט לחייבו לשלם לנפגע פיצוי שלא יעלה על 50,000 שקלים חדשים, בלא הוכחת נזק; חיוב בפיצוי לפי סעיף קטן זה הוא כפסק דין של אותו בית משפט שניתן בתובענה אזרחית של הזכאי נגד החייב בו.

במשפט בשל עוולה אזרחית לפי סעיף 4, רשאי בית המשפט לחייב את הנתבע לשלם לנפגע פיצוי שלא יעלה על 50,000 שקלים חדשים, בלא הוכחת נזק.

במשפט כאמור בפסקה (1) שבו הוכח כי הפגיעה בפרטיות נעשתה בכוונה לפגוע, רשאי בית המשפט לחייב את הנתבע לשלם לנפגע פיצוי שלא יעלה על כפל הסכום כאמור באותה פסקה, בלא הוכחת נזק.

לא יקבל אדם פיצוי בלא הוכחת נזק לפי סעיף זה, בשל אותה פגיעה בפרטיות, יותר מפעם אחת.

הסכומים האמורים בסעיף זה יעודכנו ב־16 בכל חודש, בהתאם לשיעור השינוי במדד החדש לעומת המדד הבסיסי; לענין זה –

פורסמה פגיעה בפרטיות בעתון, ישאו באחריות פלילית ואזרחית בשל הפגיעה האדם שהביא את הדבר לעתון וגרם בכך לפרסומו, עורך העתון ומי שהחליט בפועל על פרסום אותה פגיעה בעתון, ובאחריות אזרחית ישא גם המוציא של העתון.

באישום פלילי לפי סעיף זה תהא זאת הגנה טובה לעורך העתון שנקט אמצעים סבירים כדי למנוע פרסום אותה פגיעה ושלא ידע על פרסומה.

בסעיף זה, ”עורך עתון“ – לרבות עורך בפועל.

פורסמה פגיעה בפרטיות בדפוס, למעט בעתון בעל תדירות הופעה של ארבעים ימים או פחות, ישאו באחריות פלילית ואזרחית בשל הפגיעה גם מחזיק בית הדפוס שבו הודפס הפרסום, ומי שמוכר את הפרסום או מפיץ אותו בדרך אחרת, ובלבד שלא ישאו באחריות אלא אם ידעו או חייבים היו לדעת שהפרסום מכיל פגיעה בפרטיות.

(בוטל).

מעשה או מחדל בניגוד להוראות פרקים ב׳ או ד׳ או בניגוד לתקנות שהותקנו לפי חוק זה יהווה עוולה לפי פקודת הנזיקין [נוסח חדש].

חומר שהושג תוך פגיעה בפרטיות יהיה פסול לשמש ראיה בבית משפט, ללא הסכמת הנפגע, זולת אם בית המשפט התיר מטעמים שיירשמו להשתמש בחומר, או אם היו לפוגע, שהיה צד להליך, הגנה או פטור לפי חוק זה.

הנוסח שולב בפקודת הנזיקין [נוסח חדש].

הנוסח שולב בחוק סדר הדין הפלילי, התשכ״ה–1965.

הוראות חוק זה לא יגרעו מהוראות כל דין אחר.

שר המשפטים ממונה על ביצוע חוק זה והוא רשאי להתקין תקנות, באישור ועדת החוקה, בכל ענין הנוגע לביצועו, ובין השאר:

תנאי החזקת מידע ושמירתו במאגרי מידע;

פורסמו תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017.

תנאים להעברה של מידע אל מאגרי מידע שמחוץ לגבולות המדינה או מהם;

פורסמו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס״א–2001.

פורסמו תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ״ג–2023.

כללי התנהגות ואתיקה לבעלי שליטה או למחזיקים של מאגרי מידע ולעובדיהם;

הוראות לענין ביעור מידע עם הפסקת פעולתו של מאגר מידע.

שר המשפטים, באישור ועדת החוקה, רשאי לקבוע אגרות בעבור עיון במאגרי מידע לפי חוק זה.

(בוטל).

(בוטל).

שר המשפטים רשאי, בצו, באישור ועדת החוקה, לתקן את התוספת השלישית, התוספת הרביעית והתוספת החמישית.

תחילתו של פרק ב׳ ששה חדשים מיום פרסומו של חוק זה.

נושא ההחלטה:

עצמאות הרשות להגנת הפרטיות ותיקון החלטת ממשלה

מחליטים:

בהמשך להחלטות הממשלה מס׳ 4660 מיום 19 בינואר 2006, מס׳ 4820 מיום 28 ביוני 2012 ומס׳ 3019 מיום 7 בספטמבר 2017:

הרשות להגנת הפרטיות (להלן: הרשות) היא יחידה במשרד המשפטים שבראשה עומד ראש הרשות.

הרשות תהיה עצמאית בהפעלת הסמכויות המוקנות לראש הרשות לשם מילוי תפקידיה באמצעות עובדי הרשות ובהתאם להוראות כל דין, ותקציב הפעילות של הרשות ינוהל בנפרד בתוך תקציב משרד המשפטים. מתוך כיבוד עצמאותה של הרשות, תפעל הרשות באופן בלתי תלוי בעת הפעלת הסמכויות המוקנות לראש הרשות.

תפקידי הרשות הם בין היתר אלו:

לפקח על מילוי הוראות חוק הגנת הפרטיות, התשמ״א–1981 והתקנות שלפיו ביחס למאגרי מידע.

לחקור חשדות לביצוע עבירות לפי חוק הגנת הפרטיות, התשמ״א–1981 ביחס למאגרי מידע בהתאם לסמכויותיה על פי דין.

להעלות את המודעות בציבור לזכות לפרטיות במאגרי מידע, לערך ההגנה על הפרטיות ולחשיבותו בעידן המידע, באמצעות חינוך, הדרכה והסברה.

לטפל בפניות ציבור שיש בהן ממש בעניין פגיעה בנושאי מידע לפי חוק הגנת הפרטיות, התשמ״א–1981.

לפתח וליישם תוכניות מקצועיות והכשרות בתחומי פעילותה.

לקדם ולקיים קשרים עם גופים מקבילים בעולם ובמסגרת פורומים בין־לאומיים שבהם משתתפים גופים מקבילים.

לבצע את סמכויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס״א–2001.

בהמשך להחלטות הממשלה מס׳ 4660 מיום 19.1.2006 ומס׳ 3543 מיום 11.2.2018, לקבוע כי תנאי הכשירות למינוי כראש הרשות יהיו כדלקמן:

מי שמתקיימים בו תנאי הכשירות להתמנות כשופט של בית המשפט המחוזי;

לא ימונה לראש הרשות מי שהורשע בעבירה פלילית או בעבירת משמעת שמפאת מהותה, חומרתה או נסיבותיה אין הוא ראוי לכהן כראש הרשות, או שהוגש נגדו כתב אישום או קובלנה בעבירה כאמור וטרם ניתן פסק דין סופי בעניינו.

יובהר, כי בהתאם להחלטת ממשלה מס׳ 4470 מיום 8.2.2009, ראש הרשות ימונה לתקופת כהונה אחת בת שש שנים.

לתקן את החלטת הממשלה מס׳ 4660 מיום 19.1.2006 ולקבוע כי:

הממשלה תמנה את ראש הרשות בהודעה ברשומות כרשם לעניין סעיף 7 לחוק הגנת הפרטיות, התשמ״א–1981.

שר המשפטים ימנה את ראש הרשות כרשם לעניין סעיף 9 לחוק חתימה אלקטרונית, התשס״א–2001.

מידע על חברות בארגון עובדים כאמור בתקנה 7 לתקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ״ג–2023.

בתוספת זו –

מאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר;

מאגר מידע שיש בו מידע אישי על אודות 10,000 בני אדם ומעלה;

מאגר מידע הכולל מידע אישי שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית;

מטרתו העיקרית אינה איסוף מידע אישי לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר;

בעל השליטה במאגר המידע אינו גוף ציבורי כהגדרתו בסעיף 23;

אם יש במאגר מידע בעל רגישות מיוחדת מתקיים בו גם אחד מאלה:

מספר בעלי ההרשאה למאגר אצל בעל השליטה אינו עולה על עשרה;

המאגר כולל מידע בעל רגישות מיוחדת רק על אודות המועסקים אצל בעל השליטה או הספקים שלו, הוא משמש למטרות ניהול העסק של בעל השליטה במאגר המידע בלבד והוא מהסוגים שלהלן בלבד:

מידע לפי פסקאות (2), (6) ו־(8) עד (10) להגדרה ”מידע בעל רגישות מיוחדת“;

מידע אישי על נטייתו המינית של המועסק או של בן זוגו, הנובע ממידע שמסר המועסק;

מידע אישי על אודות אמונותיו הדתיות;

מידע אישי שהוא מזהה ביומטרי כאמור בפסקה (4) להגדרה ”מידע בעל רגישות מיוחדת“ שהוא תמונת פנים בלבד;

מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר;

בעל השליטה בו הוא גוף ציבורי כהגדרתו בסעיף 23 לחוק;

המאגר כולל מידע בעל רגישות מיוחדת, למעט מידע בעל רגישות מיוחדת המוחרג בפסקה (3)(ב) להגדרה ”מאגר שחלה עליו רמת האבטחה הבסיסית“;

מאגר מידע כאמור בפרט (1) להגדרה ”מאגר שחלה עליו רמת האבטחה הבינונית“ או מאגר מידע שיש בו מידע בעל רגישות מיוחדת שמספר בעלי ההרשאה אצל בעל השליטה בו עולה על 100 או שיש בו מידע אישי על אודות 100,000 בני אדם ומעלה;

מאגר מידע שיש בו מזהים ביומטריים של 100,000 בני אדם ומעלה;

ההפרה	סכום העיצום הכספי (בשקלים חדשים)
טור א׳	טור ב׳ מאגר המנוהל בידי יחיד	טור ג׳ מאגר שחלה עליו רמת האבטחה הבסיסית	טור ד׳ מאגר שחלה עליו רמת האבטחה הבינונית	טור ה׳ מאגר שחלה עליו רמת האבטחה הגבוהה
(1) הכנת מסמך הגדרות המאגר: בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א) לתקנות אבטחת מידע, בניגוד להוראות אותה תקנה, לרבות סוגי המידע השונים הכלולים במאגר המידע לפי תקנת משנה (3), בשים לב לרשימת סוגי המידע המהווים מידע בעל רגישות מיוחדת לפי סעיף 3 לחוק	2,000	2,000	40,000	160,000
(2) עדכון מסמך הגדרות מאגר: בעל שליטה במאגר מידע שלא עדכן את מסמך הגדרות המאגר, בניגוד להוראות תקנה 2(ב) לתקנות אבטחת מידע	2,000	2,000	40,000	160,000
(3) בדיקת מידע עודף: בעל שליטה במאגר מידע שלא בחן או תיעד את הבחינה אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר, בניגוד להוראות תקנה 2(ג) או 19(ב) לתקנות אבטחת מידע	2,000	2,000	40,000	160,000
(4) הכנת נוהל אבטחת מידע: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר ותקנות אבטחת מידע (להלן – נוהל אבטחה), בניגוד להוראות תקנה 4(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	2,000	40,000	160,000
(5) נוהל אבטחה – הכנה, שמירה וקביעת הוראות: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא עשה אחד מאלה: (א) שמר את נוהל האבטחה כך שפרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם, בניגוד להוראות תקנה 4(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ב) כלל בנוהל האבטחה את הפרטים המנויים בתקנה 4(ג) לתקנות אבטחת מידע; ולעניין מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה – כלל בו התייחסות לפרטים המנויים בתקנה 4(ד) לתקנות אבטחת מידע או להוראות כאמור בתקנה 9(ב)(2) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ג) קבע בנוהל האבטחה הוראות לעניין התמודדות עם אירועי אבטחת מידע או לעניין דיווח לבעל השליטה במאגר, בניגוד להוראות תקנה 11(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ד) פירט בנוהל האבטחה את העניינים המנויים בתקנה 15(א)(2)(א) עד (ה) לתקנות אבטחת מידע, בניגוד להוראות תקנה 15(א)(3) לתקנות האמורות	–	2,000	40,000	160,000
(6) מבנה המאגר ומערכותיו: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא החזיק מסמך מעודכן של מבנה מאגר המידע או רשימת מצאי מעודכנת של מערכות המאגר, בהתאם להוראות תקנה 5(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	1,000	20,000	80,000
(7) מסירת פרטי מבנה המאגר ורשימת מצאי: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי לפי הרשאות הגישה שנקבעו בהתאם להוראות תקנה 5(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	1,000	20,000	80,000
(8) הגנת מערכות: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא הבטיח כי המערכות המפורטות בתקנה 5(א)(1) לתקנות אבטחת מידע יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, באופן התואם את אופי פעילות המאגר ורגישות המידע בו, בהתאם להוראות תקנה 6(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	1,000	1,000	20,000	80,000
(9) סקר סיכונים: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא דאג לכך שייערך סקר לאיתור סיכוני אבטחת מידע אחת ל־18 חודשים לפחות (להלן – סקר סיכונים), או שלא דן בתוצאות סקר הסיכונים שהועברו לו ולא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן, או שלא פעל לתיקון הליקויים שהתגלו במסגרת סקר הסיכונים, בניגוד להוראות תקנה 5(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	–	320,000
(10) מבדקי חדירות: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לכך שייערכו מבדקי חדירות למערכות המאגר, אחת ל־18 חודשים לפחות, או שלא דן בתוצאות מבדקי החדירות או שלא פעל לתיקון הליקויים שהתגלו, בניגוד להוראות תקנה 5(ד) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	–	320,000
(11) בקרה ותיעוד כניסה לאתרים: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא נקט אמצעים לבקרה ולתיעוד בהתאם להוראות תקנה 6(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	20,000	80,000
(12) ניהול כוח אדם: בעל שליטה במאגר מידע או מחזיק במאגר מידע שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה, בלי שנקט אף אמצעי סביר כאמור בתקנה 7(א) לתקנות אבטחת מידע, בניגוד להוראות אותה תקנה או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות אבטחת מידע, לפי העניין	–	1,000	20,000	80,000
(13) הדרכת כוח אדם: בעל שליטה במאגר מידע או מחזיק במאגר מידע שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה, בלא שקיים לפני כן הדרכות או בלא שמסר לבעלי ההרשאות מידע כנדרש, בניגוד להוראות תקנה 7(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	1,000	20,000	80,000
(14) הדרכה תקופתית: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קיים פעילות הדרכה תקופתית לבעלי ההרשאות שלו, בניגוד להוראות תקנה 7(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	20,000	80,000
(15) קביעה וניהול של הרשאות גישה: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר, בניגוד להוראות תקנה 8(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות אבטחת מידע, לפי העניין, או שלא ניהל רישום מעודכן של ההרשאות התקפות, בניגוד להוראות תקנה 8(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין (להלן – רשימת הרשאות תקפות)	–	2,000	40,000	160,000
(16) יישום נוהל הרשאות גישה: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא נקט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר המידע ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות, בניגוד להוראות תקנה 9(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	2,000	2,000	40,000	160,000
(17) יישום נוהל הרשאות הגישה לגבי בעל הרשאה שסיים את תפקידו: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו, בניגוד להוראות תקנה 9(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	2,000	40,000	160,000
(18) מנגנון בקרה ותיעוד גישה: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא ביצע אחד מאלה: (א) דאג שינוהל מנגנון בקרה, בניגוד להוראות תקנה 10(א) ו־(ב) לתקנות אבטחת מידע (להלן – מנגנון בקרה) או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ב) קבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה וערך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן, בניגוד להוראות תקנה 10(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ג) דאג שנתוני התיעוד של מנגנון הבקרה יישמרו למשך 12 חודשים לפחות, בניגוד להוראות תקנה 10(ד) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ד) יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה, בניגוד להוראות תקנה 10(ה) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	40,000	160,000
(19) תיעוד אירוע אבטחת מידע: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירועי אבטחת מידע), בניגוד להוראות תקנה 11(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	2,000	2,000	40,000	160,000
(20) דיון תקופתי באירועי אבטחת מידע: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קיים דיון באירועי אבטחת המידע או שלא בחן את הצורך בעדכון נוהל האבטחה ותיעד דיון ובחינה כאמור, בניגוד להוראות תקנה 11(ג) ותקנה 19(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	40,000	160,000
(21) דיווח לרשות אודות אירוע אבטחה חמור: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא הודיע לראש הרשות באופן מיידי על אירוע אבטחה חמור, או שלא דיווח לראש הרשות על הצעדים שנקט בעקבות האירוע, בניגוד להוראות תקנה 11(ד)(1) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	80,000	320,000
(22) עדכון מערכות המאגר: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן, או לכך שלא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן בלא שניתן כל מענה אבטחתי, בניגוד להוראות תקנה 13(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	2,000	2,000	40,000	160,000
(23) אבטחת חיבור ברשת: בעל שליטה במאגר מידע או מחזיק במאגר מידע שחיבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת כל אמצעי הגנה, בניגוד להוראות תקנה 14(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	2,000	2,000	40,000	160,000
(24) בקרה ופיקוח על גורם חיצוני (מיקור חוץ): בעל שליטה במאגר מידע שהתקשר עם גורם חיצוני לצורך קבלת שירות, שלא קבע במפורש בהסכם עם הגורם החיצוני את העניינים המנויים בתקנה 15(א)(2) לתקנות אבטחת מידע או שלא נקט כל אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות שנקבעו בהסכם האמור בעניינים המפורטים בפסקאות משנה (ד) ו־(ו) עד (ח) בתקנה האמורה, בניגוד לתקנה 15(א)(4) לתקנות אבטחת מידע	–	4,000	80,000	320,000
(25) תיעוד: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא שמר באופן מאובטח, במשך שנה לפחות, את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו־16 לתקנות אבטחת מידע, החלות עליו, בניגוד להוראות תקנה 17(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות אבטחת מידע, לפי העניין	–	1,000	20,000	80,000
(26) גיבוי נתוני התיעוד: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא עשה אחד מאלה: (א) גיבה את הנתונים שנשמרו באופן שיבטיח שיהיה ניתן, בכל עת, לשחזר את הנתונים למצבם המקורי, בניגוד להוראות תקנה 17(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין; (ב) קבע במסמך את העניינים המנויים בתקנה 18(א)(1) ו־(3) לתקנות אבטחת מידע וכן קבע נהלים להבטחת שחזור הנתונים, כאמור בתקנה 17(ב) לתקנות האמורות; (ג) דאג לכך שיישמר עותק הגיבוי של הנתונים והנהלים האמורים בתקנה 18(א) לתקנות אבטחת מידע באופן שיבטיח את שלמות המידע ואת אפשרות שחזור המידע, בניגוד להוראות תקנה 18(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	20,000	80,000
(27) הפרת חובות תיעוד: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא תיעד את אופן ביצועה של פעולה שאינה יצירת מסמך, שחלה עליו חובה או אחריות לבצעה לפי התקנות, בניגוד להוראות תקנה 19(ב) לתקנות האמורות	–	1,000	20,000	80,000
(28) הפרדת מערכות המאגר (מידור): בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא הפריד בין מערכות המאגר אשר ניתן לגשת מהן למידע אישי, לבין מערכות מחשוב אחרות המשמשות אותו, בניגוד להוראות תקנה 13(ב) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין	–	–	20,000	80,000
(29) ביקורת תקופתית: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא דאג לכך שתיערך, אחת ל־24 חודשים לפחות, ביקורת פנימית או חיצונית, בניגוד להוראות תקנה 16(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין, או שלא דן בדוחות הביקורת שהועברו לו, או שלא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם, בניגוד להוראות תקנה 16(ג) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין		–	40,000	160,000

בתוספת זו, ”תקנות העברת מידע מהאזור הכלכלי האירופי“ – תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ״ג–2023.

טור א׳ ההפרה	טור ב׳ סכום העיצום הכספי
(1) בעל שליטה במאגר מידע שלא הודיע בכתב לנושא המידע על החלטתו בבקשה לפי הוראות תקנה 3(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, בניגוד להוראות תקנה 3(ד) לתקנות האמורות	15,000 שקלים חדשים
(2) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר, שמטרתו להבטיח כי במאגר המידע לא מוחזק מידע שאינו נחוץ עוד למטרה שלשמה נאסף או הוחזק או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין (להלן – מידע שאינו נחוץ), בניגוד להוראות תקנה 4(א) לתקנות העברת מידע מהאזור הכלכלי האירופי	סכום של 2 שקלים חדשים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – סכום של 4 שקלים חדשים לכל אדם; היה סכום העיצום הכספי קטן מ־20,000 שקלים חדשים, ואם היה המידע האמור מידע בעל רגישות מיוחדת – קטן מ־40,000 שקלים חדשים, רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 20,000 שקלים חדשים או 40,000 שקלים חדשים, לפי העניין.
(3) בעל שליטה במאגר מידע אשר לא הפעיל כל מנגנון ארגוני, טכנולוגי או אחר שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן, בניגוד להוראות תקנה 5(א) לתקנות העברת מידע מהאזור הכלכלי האירופי
(4) בעל שליטה במאגר מידע אשר מצא כי במאגר המידע מוחזק מידע שאינו נכון, שלם, ברור או מעודכן, ולא נקט כל אמצעי לתיקון המידע או מחיקתו, בניגוד להוראות תקנה 5(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי

טור א׳ ההפרה	טור ב׳ סכום העיצום הכספי
(1) בעל שליטה במאגר מידע שקיבל בקשה כתובה למחיקת מידע אישי כאמור בתקנה 3(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, ולא התקיימו החריגים כאמור בתקנה 3(ב) לתקנות האמורות, והוא לא מחק את המידע או ביצע פעולות המבטיחות שלא יתאפשר, באמצעים סבירים, לזהות את נושא המידע, בניגוד להוראות תקנה 3(ג) לתקנות האמורות, וזאת לאחר שקיבל הודעה מאת ראש הרשות לפי סעיף 23כה(ג), שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה עליה ראש הרשות;	סכום של 4 שקלים חדשים לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – סכום של 8 שקלים חדשים לכל אדם; היה סכום העיצום הכספי כאמור קטן מ־200,000 שקלים חדשים, רשאי ראש הרשות להטיל על בעל שליטה במאגר מידע או על מחזיק במאגר מידע עיצום כספי בסכום של 200,000 שקלים חדשים; לעניין פרט (1), (3) ו־(4) – העיצום הכספי יחושב לפי מספר בני האדם שבעל השליטה לא מחק את המידע האישי על אודותיהם כנדרש או לא הודיע להם כנדרש בתקנה 3(ג) או 6(א) או 6(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי, לפי העניין.
(2) בעל שליטה במאגר מידע אשר מצא כי במאגר המידע מוחזק מידע אישי שאינו נחוץ לפי תקנה 4(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי ולא ביצע פעולות המבטיחות שלא יתאפשר לזהות את נושא המידע כאמור בתקנה 4(ג) ולא התקיימו הנסיבות הקבועות בתקנה האמורה, ולא מחק את המידע האמור במועד המוקדם האפשרי בנסיבות העניין, בניגוד להוראות תקנה 4(ב) לתקנות האמורות, וזאת לאחר שקיבל הודעה מאת ראש הרשות לפי סעיף 23כה(ג) שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה עליה ראש הרשות;
(3) בעל שליטה במאגר מידע שקיבל מידע אישי על אודות אדם ולא הודיע לו כנדרש בתקנה 6(א) לתקנות העברת מידע מהאזור הכלכלי האירופי, ולא התקיימו אחת מהנסיבות הקבועות בתקנה 6(ג) לתקנות האמורות, בניגוד לתקנה 6(א) האמורה, וזאת לאחר שקיבל הודעה מאת ראש הרשות לפי סעיף 23כה(ג) שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה עליה ראש הרשות;
(4) בעל שליטה במאגר מידע שביקש להעביר את המידע האישי שקיבל לצד שלישי ולא הודיע על כך לנושא המידע כנדרש בתקנה 6(ב) לתקנות העברת מידע מהאזור הכלכלי האירופי, ולא התקיימה אחת מהנסיבות הקבועות בתקנה 6(ג) לתקנות האמורות, בניגוד לתקנה 6(ב) האמורה, וזאת לאחר שקיבל הודעה מאת ראש הרשות לפי סעיף 23כה(ג) שמעשיו מהווים הפרה, ולא הפסיק את ההפרה בתקופה שהורה עליה ראש הרשות.

בתוספת זו –

לעניין מפר החייב לפי דין במינוי רואה חשבון מבקר כהגדרתו בחוק החברות, התשנ״ט–1999 – אישור שנתן רואה החשבון המבקר;

לעניין מפר שהוא אגודה שיתופית – אישור של מי שביקר את חשבונותיה של האגודה השיתופית לפי סעיף 20 לפקודת האגודות השיתופיות;

לעניין מפר אחר – אישור שנתן רואה חשבון או יועץ מס מייצג, כי גובה מחזור העסקאות שהציג המפר תואם לאמור במסמך שהוגש לרשות המסים בישראל או למוסד לביטוח לאומי לפי דין; לעניין זה, ”יועץ מס מייצג“ – כהגדרתו בחוק הסדרת העיסוק בייצוג על ידי יועצי מס, התשס״ה–2005;

ראש הרשות יפחית למפר את סכום העיצום הכספי בשיעורים כמפורט להלן, אם התקיימה אחת או יותר מנסיבות אלה:

בחמש השנים שקדמו להפרת ההוראה שבשלה מוטל על המפר עיצום כספי לא הוטל עליו עיצום כספי או אמצעי אכיפה מינהלית לפי סימנים ב׳ עד ה׳ בפרק ד׳3 בשל הפרת אותה הוראה – בשיעור של 20%; ואם בשלוש השנים שקדמו להפרה לא הוטל על המפר עיצום כספי או אמצעי אכיפה מינהלית כאמור – בשיעור של 10%;

המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לראש הרשות – בשיעור של 30%;

המפר נקט פעולות למניעת הישנות ההפרה ולהקטנת הנזק, להנחת דעתו של ראש הרשות – בשיעור של 20%;

המפר חב במינוי ממונה על הגנת הפרטיות לפי סעיף 17ב1(א)(3) ו־(4) בלבד, ומינה ממונה כאמור, טרם מסירת ההודעה על כוונת חיוב – בשיעור של 10%; הפחתה כאמור תחול כל עוד לא קבע שר המשפטים, באישור ועדת החוקה, צו לפי סעיף 23כו(ד)(1)(ז).

ראש הרשות רשאי להפחית למפר את סכום העיצום הכספי בשל פיצוי ששולם או שנפסק לחובת המפר בשל אותן הפרות – בשיעור שלא יעלה על 30%.

ראה ראש הרשות, לגבי מפר שהוא יחיד, שההפרה נגרמה בשל נסיבות אישיות המצדיקות הפחתה של העיצום הכספי או שהתקיימו נסיבות אישיות קשות המצדיקות שלא למצות את הדין עם המפר, רשאי הוא להפחית למפר את סכום העיצום הכספי המוטל על המפר בשיעור של 20%.

התקיימו לגבי מפר כמה נסיבות כאמור בסעיפים 2, 3 ו־4, רשאי ראש הרשות להפחית למפר מסכום העיצום הכספי המוטל עליו את השיעורים המנויים לצד אותן נסיבות, במצטבר, ובלבד ששיעור ההפחתה המצטבר לא יעלה על 70% מסכום העיצום הכספי.

מצא ראש הרשות, לבקשת המפר, כי המפר הוא עסק זעיר או קטן, לפי העניין, יפחית את סכומי העיצום שיוטלו עליו, בין שהופחתו לפי סעיף 2, 3 או 4 ובין שלא הופחתו כאמור, כך שסכום העיצום בשל הפרות לפי כל אחת מהפסקאות המפורטות להלן, לא יעלה על הסכום המפורט לצידן:

הפר מפר שהוא עסק זעיר או עסק קטן מספר הפרות לפי פסקאות (1) עד (3) – לא יישא המפר בסכום העולה על העיצום הכספי הגבוה מבין הפסקאות.

מצא ראש הרשות, לבקשת המפר, שסכום העיצום הכספי המוטל על המפר, בין שהופחת לפי סעיף 2, 3, 4 או 6 ובין שלא הופחת כאמור, עולה על 5% ממחזור העסקאות של המפר, יפחית את סכום העיצום הכספי ל־5% ממחזור העסקאות שלו; ואולם לעוסק שאין לו מחזור עסקאות, ראש הרשות לא יפחית את סכום העיצום לפי סעיף זה לסכום קטן מהסכום המרבי שניתן להטיל לפי סעיף 6 לעניין עסק זעיר.

מפר המבקש הפחתה של סכום העיצום הכספי לפי סעיף 6 או סעיף זה, יגיש לראש הרשות אישור לעניין גובה מחזור העסקאות שלו בתוך 30 ימים ממועד מסירת ההודעה על כוונת חיוב.