הרשות להגנת הפרטיות

הרשות להגנת הפרטיות (לשעבר הרשות למשפט, טכנולוגיה ומידע) היא הרגולטור המסדיר, מפקח את תחום הגנת הפרטיות והמידע האישי לפי חוק להגנת הפרטיות ותקנותיו בישראל. במסגרת תפקידה כרגולטור של זכות החוקתית לפרטיות, המעוגנת בחוק-יסוד: כבוד האדם וחירותו, מופקדת הרשות להגנת הפרטיות על הגנת המידע האישי במאגרי מידע דיגיטליים מכוח חוק הגנת הפרטיות ועל ביצורה של הזכות לפרטיות. לתכלית זו מפעילה הרשות רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל - פרטיים, עסקיים וציבוריים, המחזיקים או המעבדים מידע אישי דיגיטלי.

הרשות להגנת הפרטיות

מידע כללי
תחום שיפוט	ישראל ישראל
משרד אחראי	משרד המשפטים
תאריך הקמה	8 בינואר 2006
ראש	עו"ד גלעד סממה
אתר רשמי

הרשות מתמודדת עם התפתחויות טכנולוגיות בכלל ועם תחום המידע הדיגיטלי בפרט, ובעיקר עם איסוף, עיבוד והעברת מידע בהיקפי ענק, ובאופן גלובלי כחלק מהכלכלה הדיגיטלית. בנוסף לדיני הגנת המידע האישי, הרשות מיישמת היבטים בינלאומיים משמעותיים ומבצעת פעילות גם בזירה הבין-מדינתית, לרבות במישור התאימות לסטנדרטים הבינלאומיים המובילים בתחום.

כיום, ראש הרשות להגנת הפרטיות הוא עו"ד גלעד סממה, שנכנס לתפקיד בנובמבר 2021.^[1] באוגוסט 2024 עבר בקריאה שנייה ושלישית תיקון מס' 13 לחוק הגנת הפרטיות, שעיגן את עצמאותה, תפקידיה וסמכויותיה של הרשות שנכנס לתוקף באוגוסט 2025 ומהווה רפורמה משמעותית בדיני הגנת הפרטיות בישראל.^[2]

מטרת הרשות

ההחלטה על הקמת הרשות התקבלה בממשלה בהחלטה 4660 בתחילת 2006^[3] ובהקמתה הוחל בספטמבר 2006, עם בחירתו של עו"ד יורם הכהן להקים אותה ולעמוד בראשה. שמה של הרשות להגנת הפרטיות היה בתחילה "הרשות למשפט, טכנולוגיה ומידע" (ובראשי תיבות, רמו"ט). בספטמבר 2017 אישרה הממשלה את שינוי שמה של במטרה לשקף את ליבת תחומי פעילותה.

ייעודה של הרשות להגנת הפרטיות הוא התוויה של מדיניות ההגנה על המידע האישי בישראל. משימותיה המרכזיות הן קידום שליטת הפרט במידע אישי אודותיו, השפעה על תהליכי עיצוב לפרטיות בארגונים ובמערכות מידע בכל מגזרי המשק וחיזוק תחושת המוגנות של הציבור.

הרשות מחולקת לארבע מחלקות: מחלקת אכיפה, מחלקת ייעוץ משפטי ואסדרה, מחלקת מחלקת קשרי ציבור וממשל, ומחלקת חדשנות ופיתוח מדיניות הפועלות להגנת הפרטיות במגוון כלים.

הראשי שבהם הוא אכיפה, פלילית ומנהלית, שנועדה לחייב ארגונים ועסקים לציית להוראות חוק הגנת הפרטיות, להפסיק פעילות שפוגעת בפרטיות, ולתקן את הלקוי כך שהוראות החוק יקוימו.

הרשות מפעילה סמכויות בשלוש פונקציות רגולטוריות:

• רשם מאגרי מידע אשר אחראי לפי חוק הגנת הפרטיות, התשמ"א-1981 על הפיקוח ועל אכיפת הגנת מידע אישי;
• רשם גורמים מאשרים אשר אחראי לפי חוק חתימה אלקטרונית, התשס"א-2001 על הרישום והפיקוח על גורמים מאשרים;
• רשם שירותי נתוני אשראי ושירותי מידע על עוסקים אשר אחראי לפי חוק שירות נתוני אשראי, התשס"ב-2002 על מתן רישיונות ופיקוח על בעלי רישיונות מכוח החוק. חוק זה התבטל ביום 12.4.2019, ורשם שירות נתוני אשראי ברשות להגנת הפרטיות מסיים את תפקידו, פעילות נתוני אשראי עוברת לניהולו ופיקוחו של בנק ישראל, בהתאם לחוק נתוני אשראי, התשע"ו-2016;

הרשות מתפקדת גם כמוקד הידע של משרד המשפטים בסוגיות של משפט וטכנולוגיה, ומשמשת נציגת ישראל בוועדות ICCP ו-WPISP שבארגון לשיתוף פעולה ולפיתוח כלכלי. הרשות מגישה מדי שנה דו"ח לכנסת בו הצעות והמלצות בנושאים שתחת אחריותה.^[4] באוקטובר 2010 קיימה הרשות בירושלים שבוע בינלאומי שעסק בפרטיות במידע, ובמסגרתו התקיים הכנס הראשון של ארגון ה-OECD בישראל, והכנס הבינלאומי ה-32 של נציבי הגנת מידע אישי ופרטיות.^[5] בשנת 2017 הוחלט קיבלה ממשלת ישראל ה-34, את החלטה מספר 3019, לפיה הרשות למשפט וטכנולוגיה תהא מעתה "הרשות להגנת הפרטיות".^[6] ב-2 באוקטובר 2022 אישרה ממשלת ישראל החלטה המעניקה לרשות להגנת הפרטיות מעמד עצמאי בהפעלת סמכויותיה, וקובעת כי הרשות תפעל באופן בלתי תלוי במסגרת משרד המשפטים. ההחלטה הובאה לאישור הממשלה ביוזמת סגן ראש הממשלה ושר המשפטים, גדעון סער.^[7] בהחלטה זו נקבע כך:

בהמשך להחלטות הממשלה מס' 4660 מיום 19 בינואר 2006, מס' 4820 מיום 28 ביוני 2012 ומס' 3019 מיום 7 בספטמבר 2017:

(א) הרשות להגנת הפרטיות (להלן: הרשות) היא יחידה במשרד המשפטים שבראשה עומד ראש הרשות.

(ב) הרשות תהיה עצמאית בהפעלת הסמכויות המוקנות לראש הרשות לשם מילוי תפקידיה באמצעות עובדי הרשות ובהתאם להוראות כל דין, ותקציב הפעילות של הרשות ינוהל בנפרד בתוך תקציב משרד המשפטים. מתוך כיבוד עצמאותה של הרשות, תפעל הרשות באופן בלתי תלוי בעת הפעלת הסמכויות המוקנות לראש הרשות.

בהתאם להחלטה זו, עוגנו סמכויותיה ותפקידיה המרכזיים של הרשות להגנת הפרטיות באופן פורמלי, תוך חיזוק מעמדה כגוף מקצועי עצמאי. בין סמכויותיה העיקריות של הרשות:

• פיקוח על יישום חוק הגנת הפרטיות, התשמ"א-1981, והתקנות שהותקנו מכוחו, לרבות בנושא מאגרי מידע;
• חקירת חשדות לעבירות על פי חוק הגנת הפרטיות ביחס למאגרי מידע, בהתאם לסמכויותיה לפי דין;
• העלאת המודעות הציבורית לזכות לפרטיות ולהגנה על מידע אישי, באמצעות פעילות חינוכית, הדרכתית והסברתית;
• טיפול בפניות ציבור בעניין פגיעה בפרטיות לפי החוק;
• פיתוח והטמעה של תוכניות הכשרה מקצועיות בתחומי פעילותה;
• קידום שיתופי פעולה עם גופים מקבילים במדינות אחרות וייצוג ישראל בפורומים בינלאומיים;
• מימוש סמכויות רשם הגורמים המאשרים לפי חוק חתימה אלקטרונית, התשס"א-2001.

ב-5 בינואר 2024 פרסמה נציבות האיחוד האירופי את החלטתה להמשיך ולהכיר במדינת ישראל כמדינה בעלת מעמד תאימות (Adequacy) בתחום הגנת הפרטיות.^[8] החלטה זו התקבלה לאחר הליך בחינה מקצועי ממושך שבוצע בעקבות כניסת תקנות ה-GDPR (General Data Protection Regulation) לתוקפן בשנת 2018. למעמד התאימות השלכות משמעותיות עבור המשק הישראלי, ובפרט בתחום יחסי הסחר והמחקר עם מדינות האיחוד האירופי. ההכרה מאפשרת זרימה חופשית של מידע אישי לישראל, מפחיתה את הצורך במנגנונים משפטיים מורכבים (כגון חוזים סטנדרטיים להעברת מידע), ומקלה על פעילותם של עסקים, מוסדות מחקר, גופים ציבוריים ובתי חולים המקבלים מידע אישי מגורמים באירופה. ההכרה אף תורמת להפחתת עלויות משפטיות ורגולטוריות, ומחזקת את התחרותיות של החברות הישראליות בזירה הבינלאומית.

מבנה הרשות

• מחלקת ייעוץ משפטי ואסדרה: האחראית לקידום הליכי חקיקה ותקנות, לקביעת הנחיות שוק, מתן ייעוץ משפטי ופרה רולינג.
• מחלקת חדשנות ופיתוח מדיניות: האחראית לזיהוי מגמות ופעילות בזירה הבינלאומית, מגמות טכנולוגיות חברתיות ועסקיות ופיתוח מדיניות רגולציה חדשנית.
• מחלקת קשרי ציבור וממשל: האחראית לקידום חינוך הכשרה והדרכה ברשות, להנגשת מדיניותה, תקשורת והסברה, פניות ציבור וקשרי ממשל, וניהול פנקס מאגרי המידע.
• מחלקת אכיפה: האחראית לביצוע חקירות פליליות, חקירות מנהליות, פיקוחי רוחב ("אודיט"), איסוף והערכה וניהול המעבדה הפורנזית של הרשות.

סמכויות הרשות

בדומה לרשויות ממשלתיות אחרות, מוסמכת הרשות לנהל חקירות מינהליות ופליליות, לצורך הגשת כתבי אישום כשהיא מעבירה את המלצותיה בחקירה לפרקליטות המדינה. דוגמאות לחקירה פלילית מרכזית שניהלה הרשות היא פרשיית אגרון במסגרתה נגנב מרשם האוכלוסין של מדינת ישראל ונסחר באופן בלתי חוקי למטרות רווח.

הרשות להגנת הפרטיות פועלת לקידום תיקוני חקיקה בתחום הפרטיות. ב-21 בפברואר 2017 אישרה ועדת החוקה, חוק ומשפט של הכנסת את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, שקבעה שרת המשפטים, המפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות פורסמו ברשומות ב-8 במאי 2017, וייכנסו לתוקף שנה מיום פרסומן, ביום ב-8 במאי 2018.

התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם לאנשים עליהם המידע שנחשף.

התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג, כאשר יש הבחנה בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם: מאגר מידע המנוהל על ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה.

כלי נוסף בו משתמשת הרשות להגנת הפרטיות הוא פרסום הנחיות שוק לבעלים ומחזיקים של מאגרים כיצד יש לנהוג על מנת לעמוד בדרישות חוק הגנת הפרטיות בעת עיבוד מידע אישי. כך למשל: הנחיות מיקור חוץ, הנחיות מצלמות מעקב, הנחיות זכות העיון.

דוגמאות לאכיפה

במרץ 2025 הודיעה הרשות להגנת הפרטיות על הטלת קנס מינהלי על משרדי רואי החשבון PwC ישראל ו-Ernst & Young ישראל, בגין הפרות של חוק הגנת הפרטיות, התשמ"א-1981.^[9] ההפרות כללו סריקת תעודות זהות של מבקרים בכניסה למשרדיהם שבמגדלי עזריאלי בתל אביב, מבלי ליידע את המבקרים על מטרת הסריקה, השימוש במידע, או האפשרות לסירוב, כנדרש לפי סעיף 11 לחוק.^[10] במסגרת הליך הפיקוח, שבוצע בעקבות פנייה שהתקבלה ברשות, קבעה הרשות כי החברות לא עמדו בחובת היידוע, לא הציעו חלופות פחות פוגעניות, ולא הבטיחו שמירה נאותה של הנתונים שנאספו. בשל כך, הוטל על כל אחת מהחברות קנס מינהלי בסך של 15,000 ש"ח.

ביולי 2025 הודיעה הרשות להגנת הפרטיות על הטלת קנס מינהלי על חברת האופנה Itay Brands, הנמצאת בשליטת קבוצת פוקס, בגין הפרות של חוק הגנת הפרטיות, התשמ"א-1981. ההפרות כללו הצבת מצלמות אבטחה בסניפים שבקניון רמת אביב ובקניון שבעת הכוכבים, לרבות בסמוך לתאי הלבשה, מבלי ליידע את הלקוחות או להציב שילוט המבהיר את מטרת הצילום, כנדרש על פי החוק. במסגרת הליך הפיקוח, שקודם בעקבות תלונות ציבוריות, קבעה הרשות כי החברה לא עמדה בחובת היידוע לציבור ולא רשמה את מאגרי המידע שברשותה, הכוללים את תיעוד הווידאו מהחנויות. בשל כך, הוטל על החברה קנס מינהלי בסך של 35,000 ש"ח.^[11]

פעילות אכיפה בינלאומית

הרשות להגנת הפרטיות חברה פעילה במספר פורומים בינלאומיים ולוקחת חלק בפעולות אכיפה בינלאומיות בתחום הגנת המידע. פורומים מרכזיים בהם חברה:

• The International Conference of Data Protection and Privacy Commissioners
• (Global Privacy Enforcement Network (GPEN
• OECD's Working Party on Security and Privacy in the Digital Economy
• כנס הנציבים קבוצת ברלין ICDPPC

מדינת ישראל מוכרת על ידי האיחוד האירופי החל משנת 2011 כאזור העומד בסטנדרט האירופי לשמירה על הפרטיות.^[12][13] הכרה זו נמצאת בתהליך של בחינה מחדש, ויש הסוברים שהיא עשויה להשלל נוכח הפערים בין דיני הגנת הפרטיות הישראליים ל-GDPR,^[14] או בשל החשיפה על אמצעי המעקב המקוונים של השב"כ, ובתוכם מאגר הנתונים שמנהל שירות הביטחון הכללי, "הכלי".^[15]

פרסומים

איסוף מספרי תעודות זהות וצילום תעודות זהות:-17 במרץ 2024 פרסמה הרשות להגנת הפרטיות גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות. גילוי דעת זה, מתייחס למגמה גוברת של דרישת מספרי תעודות זהות ואף צילומי תעודות זהות על ידי בתי עסק לצורך מתן שירות' לרבות מקרים שבהם נדרש צילום תעודת זהות על ידי שליחים כתנאי לקבלת מוצר, סריקת תעודות זהות לכניסה למקומות, או דרישת מספר תעודת זהות עבור קבלת מידע כללי שאינו מצריך זיהוי. בין היתר נכתב כי מספר תעודת זהות וצילום תעודת זהות נחשבים למידע מוגן לפי חוק הגנת הפרטיות; יש להימנע מדרישת צילום תעודה מלאה למעט במקרים חריגים שבהם כלל המידע נחוץ לשירות; במקרים חריגים אלה, יש להסתפק בצילום החלק הקדמי בלבד, ללא הספח, ולאפשר הסתרת פרטים לא נחוצים; במקרה של שמירת הצילום במאגרי בית העסק, יש להשחיר פרטים לא רלוונטיים; במקרים המתאימים, יש להעדיף אמצעי אימות חלופיים הפוגעים פחות בפרטיות, כמו אימות באמצעות קוד; על בית העסק לציין מראש בפני הלקוח את דרישת צילום התעודה, בין אם על ידו ובין אם על ידי חברת שליחויות מטעמו, ולפרט את חובת מסירת המידע, מטרתו, למי יימסר ומטרות המסירה; ולבסוף, אין לעשות שימוש במספר תעודת זהות שנמסר לצורך עסקה ספציפית למטרות אחרות.^[16]

הסכמה: ב-24 בפברואר 2025, פרסמה הרשות להגנת הפרטיות את טיוטת גילוי דעת בנושא יישום עיקרון ההסכמה בדיני הגנת הפרטיות. טיוטה זו, מבהירה את עמדת הרשות ביחס ליישום עיקרון ההסכמה - עקרון יסוד בדיני הגנת הפרטיות בישראל. על פי עיקרון זה, עיבוד מידע אישי מותנה ביכולתו של אדם לשלוט במידע הנוגע אליו – למי הוא ייחשף, ולאילו מטרות.^[17] בטיוטת גילוי הדעת נכתב בין היתר כי:

• הסכמה חייבת להיות מדעת, כלומר, מבקש ההסכמה חייב להבטיח שהאדם מודע לתוכן הבקשה, למטרותיה ולהשלכות הסכמתו או סירובו.
• במצבים שבהם קיים חשש שההסכמה ניתנה במצב של פערי כוח ("הסכמה חשודה"), הנטל להוכיח שההסכמה ניתנה מרצון חופשי עשוי ליפול על מבקש ההסכמה.מבקש ההסכמה יכול לנקוט באמצעים כמו העמדת חלופה סבירה או אי-התניית שירות במתן הסכמה למידע שאינו נחוץ, כדי להוכיח רצון חופשי.
• אופן קבלת ההסכמה משפיע על תוקפה. גם כאשר הסתמכות על הסכמה מכללא אפשרית, מומלץ לקבל הסכמה מפורשת, במיוחד כשמדובר במידע רגיש או בפעולות בעלות פוטנציאל לפגיעה קשה בפרטיות.

בינה מלאכותית: באפריל 2025 פרסמה הרשות להגנת הפרטיות טיוטה להנחיה רגולטורית מקיפה, העוסקת ביישום הוראות חוק הגנת הפרטיות, התשמ"א-1981, על מערכות בינה מלאכותית. מדובר בצעד תקדימי שמטרתו להסדיר את מכלול היבטי הפרטיות לאורך מחזור החיים של מערכות בינה מלאכותית – משלב האימון והפיתוח, דרך עיבוד הנתונים ועד שלב השימוש בפועל.^[18] ההנחיה קובעת כי חוק הגנת הפרטיות חל לא רק על מידע אישי שהוזן למערכת, אלא גם על מידע שמוסק על ידי המערכת, לרבות הסקת פרופילים או נתונים רגישים. היא מחייבת קיומו של בסיס חוקי לעיבוד מידע אישי, ומדגישה את הצורך בהשגת הסכמה מדעת, הכוללת יידוע המשתמש על עצם קיומה של אינטראקציה עם מערכת אוטומטית. אחד הדגשים המרכזיים במסמך נוגע לאיסור על כריית מידע אישי (scraping) מהאינטרנט ללא הסכמת נושא המידע, גם כאשר מדובר במידע שפורסם בפרופילים אישיים ברשתות חברתיות. פעולה זו נחשבת ל"אירוע אבטחת מידע חמור", אשר מחייב דיווח מיידי לרשות לפי תקנות הגנת הפרטיות (אבטחת מידע). בנוסף, ההנחיה מחדדת את הזכות לתיקון או מחיקה של מידע אישי שגוי, לרבות במקרים בהם מדובר במידע שנוצר על ידי מערכת בינה מלאכותית. היא מדגישה את הצורך באחריותיות (accountability) ובאימוץ תסקירי השפעה על פרטיות – בעיקר בשל הקושי לחזות את ההשלכות העתידיות של טכנולוגיות אלו על הזכות לפרטיות. לצד ההנחיה, ובהתאם לתיקון לחוק הצפוי להיכנס לתוקף באוגוסט 2025, הוסמכה הרשות להטיל קנסות משמעותיים על הפרות החוק, ונקבעה חובה למנות ממונה על הגנת פרטיות בארגונים המעבדים מידע אישי רגיש בהיקף נרחב או העוסקים בניטור שיטתי של אנשים.^[19]

ראו גם

• חוק הגנת הפרטיות
• דיני פניות ציבור בנושאי הגנת הפרטיות במשרדי מדינת ישראל

קישורים חיצוניים

• אתר הרשות להגנת הפרטיות. מערכת טלקום ניוז, הרשות להגנת הפרטיות חשפה פרשה של ריגול עסקי בעולם הביטוח, באתר טלקום ניוז
• אתר האינטרנט הרשמי של הרשות להגנת הפרטיות
• רפאלה גויכמן, רמו"ט משנה את שמה: הכירו את הרשות להגנת הפרטיות, באתר TheMarker‏, 19 בספטמבר 2017
• יוסי הטוני, ‏אמרו מעתה: הרשות להגנת הפרטיות – במקום רמו"ט, באתר "אנשים ומחשבים", 19 בספטמבר 2017
• רפאלה גויכמן, בזבוז של 50 עובדים ו–18 מיליון שקל: פרשת אלקטור מגחיכה את הרשות להגנת הפרטיות, באתר TheMarker‏, 23 בפברואר 2020