תיקון 13 לחוק הגנת הפרטיות (התשפ"ד–2024), שנכנס לתוקפו באוגוסט 2025), לא מזכיר את המילים "בינה מלאכותית" אפילו פעם אחת. אבל כל מי שמטמיע, מפתח ובעל שליטה בהגדרות מערכות AI בישראל, לא יכול להרשות לעצמו לדלג עליו. כי למרות ה"שתיקה" ביחס לבינה מלאכותית, ברור כי החוק מחיל את הגדרות הפרטיות 
על עולמות ה- AI. ניסינו להצביע על העיקר.
עיבוד מידע? גם בינה מלאכותית בפנים
החוק מגדיר "עיבוד מידע אישי" בצורה רחבה מאוד: כל פעולה על מידע אישי, קבלה, איסוף, אחסון, ניתוח, העברה, חשיפה, מחיקה ועוד.
מערכת בינה מלאכותית שמסווגת אנשים, מנתחת נתונים, מציעה המלצות או חוזה התנהגות, אם היא עושה זאת על בסיס מידע אישי, היא כפופה לכל הדרישות והחובות של החוק.
מי נחשב "בעל שליטה" כשמדובר ב-AI?
החוק מחליף את המונח "בעל מאגר מידע" ב־"בעל שליטה במאגר מידע", מי שקובע את מטרות ואמצעי העיבוד.
כשמדובר בבינה מלאכותית, זו לרוב החברה שמפתחת, מפעילה או שולטת בהגדרות המודל, גם אם הוא מבוסס על טכנולוגיה חיצונית. גם מי שמחבר את המערכת למאגרי לקוחות או משתמשים, נחשב אחראי.
מידע רגיש? רגישות משפטית גבוהה
החוק קובע רשימה של "מידע בעל רגישות מיוחדת", מידע רפואי, ביומטרי, פוליטי, גנטי, נתוני מיקום, ועוד.
מערכת AI שמנתחת או משתמשת במידע כזה, חייבת באבטחת מידע מוגברת ובמקרים רבים, גם במינוי ממונה על פרטיות -DPO.
החובה לשקיפות ולא רק למצגות
החוק מחייב למסור לכל אדם שהמידע האישי שלו נאסף:
-
מהי מטרת העיבוד
-
מי הוא בעל השליטה
-
מהן זכויותיו (עיון במידע ותיקון המידע).
-
וכיצד ניתן לפנות לממונה
מערכת AI שפועלת "מאחורי הקלעים" בלי שהמשתמש יודע שהיא מנתחת מידע עליו, עלולה להפר את החוק.
פיצויים, גם בלי הוכחת נזק
אדם שהמידע שלו עובר עיבוד לא חוקי, בלי הסכמה או שקיפות, יכול לתבוע עד 10,000 ש"ח פיצויים לדוגמה שאינם תלויים בנזק.
בשורה התחתונה AI לא מצויינת מפורשות בתיקון 13, אבל התיקון מתייחס גם אליה.
כל מערכת בינה מלאכותית שמעבדת מידע אישי, בישראל או כלפי תושבי ישראל, כפופה לחוק הגנת הפרטיות החדש.
האחריות המשפטית נופלת על מי שמפעיל, מפתח, משלב או עושה שימוש במערכת, גם אם היא אוטונומית, גם אם היא "לומדת בעצמה".
תיקון 13 לא רק מיישר קו עם ה־GDPR*, הוא משמיע קול ברור לעידן של עיבוד אלגוריתמי: פרטיות היא זכות בסיסית, גם מול מכונות.
לינק לתיקון 13 לחוק הגנת הפרטיות.
—————————————–
*ה־GDPR (General Data Protection Regulation) הוא תקן פרטיות מחמיר של האיחוד האירופי שנכנס לתוקף ב־25 במאי 2018. מדובר באחד מחוקי הגנת המידע המחמירים והמשפיעים ביותר בעולם כיום.
—————————————-
המאמר נכתב למטרות מידע בלבד ואין לראות בו ייעוץ מקצועי, ו/או המלצה ו/או ייעוץ משפטי מכל סוג שהוא. למרות המאמצים לספק מידע מדויק ועדכני, ייתכן וחלק מהפרטים ישתנו עם הזמן או יתעדכנו לאור תיקוני חקיקה ופסיקה ופיתוחים טכנולוגיים חדשים. הקוראים מוזמנים לבצע מחקר נוסף או לפנות לאנשי מקצוע בתחום לצורך קבלת ייעוץ מותאם אישית. הכותב ו/או האתר אינם אחראים לשום נזק שייגרם כתוצאה מהסתמכות על התכנים במאמר זה.
ט.ל.ח
