השוואה בין חוק הגנת הפרטיות להצעה לתיקון מספר 14

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022

הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 (להלן: "תיקון מס' 14") אשר פורסמה ברשומות בחודש ינואר 2022 נועדה להתאים את חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק" או "חוק הגנת הפרטיות") למציאות הנוכחית ולאתגרים הקיימים היום בהגנה על מידע אישי ומאגרי מידע, ומתמקדת בשלושה נושאים עיקריים:

פיקוח ואכיפה - שיפור יכולות הפיקוח והאכיפה להבטחת קיום הוראות חוק הגנת הפרטיות הנוגעות לפרטיות במאגרי מידע ולהקנות ליחידת רשם מאגרי המידע ברשות להגנת הפרטיות, המופקדת על השמירה על הפרטיות במאגרי מידע ועל קיום הוראות החוק הנוגעות למאגרי מידע, כלי פיקוח וסמכויות אכיפה שיאפשרו התמודדות עם הסיכונים המאיימים על הפרטיות כיום.
צמצום היקף חובת רישום מאגרי מידע – חובת הרישום תתמקד במאגרים המציבים איומים משמעותיים לפרטיות. בהקשר זה יודגש כי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת המידע") חלות על כלל מאגרי המידע שמנהלים ארגונים, גם אם הם לא רשומים או אינם מחויבים ברישום. כלומר, התיקון המוצע נועד לצמצם את חובת רישום המאגרים בלבד אך לא את החובה להגן על מאגרי המידע שאינם רשומים או שאינם מחויבים רישום לפי דין בהתאם לתקנות אבטחת מידע. בשלב זה לא ברור מה יעלה בגורלם של מאגרי המידע הרשומים כיום ואשר אינם עומדים בחובת הרישום שמוצעת בתיקון מס' 14 והרשות להגנת הפרטיות תידרש למענה בסוגיה זו.
הגדרות – התאמת המונחים שבחוק להתפתחויות הטכנולוגיות ולהסדרי הגנת מידע עדכניים במדינות מובילות בעולם ובמישור הבינלאומי ובראשם תקנות הגנת המידע של האיחוד האירופי – GDPR.

מסמך זה מטרתו לערוך השוואה בין חוק הגנת הפרטיות, לבין תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף – 2020(להלן: "תזכיר החוק") שפורסם להערות הציבור בחודש יולי 2020, לבין הצעת חוק הגנת הפרטיות (תיקון מס' 14). כפי שיפורט בהמשך ניתן יהיה לראות כי תיקון מס' 14 שונה באופן ברובו מתזכיר החוק שפורסם לציבור. נושא סמכויות האכיפה שמוצע בתיקון מס' 14 נכלל בעבר במספר הצעות חוק, כאשר האחרונה ביניהן היא הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח -2018 (להלן: "תיקון מס' 13"), שעיקריה היו שיפור יכולות הפיקוח והאכיפה להבטחת קיום הוראות חוק הגנת הפרטיות. בתיקון מס' 13 זו הוצע לקבוע מנגנון אכיפה מנהלי, שיהווה מנגנון חלופי לאכיפה במסגרת ההליך הפלילי ביחס להפרה של הוראות החוק, וכן לערוך שינויים בחלק העונשין של החוק. ההצעות שהועלו במסגרת תיקון מס' 13 נכללו בתיקון מס' 14, כאשר בתיקון מס' 14 אף נקבעו עיצומים כספיים להפרה של הוראות תקנות אבטחת המידע.

נושא	חוק הגנת הפרטיות, התשמ"א - 1981	תזכיר חוק הגנת הפרטיות (תיקון מס' ) (הגדרות וצמצום חובת הרישום), התש"ף - 2020	הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022
מטרה		עדכון הגדרות וצמצום חובת הרישום	עדכון הגדרות, צמצום חובת הרישום, סמכויות אכיפה ועיצומים כספיים לחוק ולתקנות
מחזיק – לעניין מאגר מידע	מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש	מי שבמסגרת התקשרות עם בעל המאגר למתן שירות לבעל המאגר או בשמו, קיבל ממנו הרשאה לעשות שימוש במידע במאגר המידע לשם כך.	מי שהתקשר עם בעל שליטה במאגר מידע למתן שירות לבעל השליטה או למתן שירות מטעם בעל השליטה, וקיבל מבעל השליטה במאגר המידע, במסגרת ההתקשרות, הרשאה לעשות שימוש במידע שבמאגר לצורך מתן השירות. * הגדרה זו אף מבהירה כי אין צורך בהכרח בהחזקה פיזית של עותק מן המאגר, כדי להיחשב למחזיק. ** עוד יובהר, כי מי שהתקשר עם בעל השליטה במאגר לצורך איסוף מידע מטעמו, יהיה בגדר מחזיק משעה שהמידע הגיע לידיו והוא עושה בו שימוש כהגדרתו בחוק. *** יש לשים לב שהגדרת המונח "שימוש" הורחבה בתיקון זה גם לאחסון
שימוש	לרבות גילוי, העברה ומסירה	לרבות אחסון, עיון, ארגון, תיקון, השלמה, אחזור, מחיקה	לרבות אחסון, גילוי, העברה ומסירה
אבטחת מידע	הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין
בעל שליטה במידע (יחליף את המונח בעל מאגר מידע)	לא קיים	בעל מאגר מידע - מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע במאגר המידע, או גוף שהוסמך בחיקוק לנהל מאגר מידע	מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע או גוף שהוסמך בחיקוק לנהל מאגר מידע או שבעל תפקיד בו הוסמך לכך כאמור
מאגר מידע	אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט – (1) אוסף לשימוש אישי שאינו למטרות עסק; או (2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;	אוסף פרטי מידע המוחזק באמצעי דיגיטלי למעט: אוסף לשימוש אישי שאינו למטרות עסק אוסף הכולל רק שם, מען ודרכי התקשרות, ובלבד שאין בפרטים אלה כדי ללמד על מידע נוסף, ושלבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף	אוסף פרטי מידע המוחזק באמצעי דיגיטלי, למעט אוסף לשימוש אישי שאינו למטרות עסק
מזהה ביומטרי	לא קיים	מידע ביומטרי - נתון המשמש לזיהוי אדם, שהוא מאפיין אנושי פיזיולוגי או התנהגותי ייחודי, הניתן למדידה ממוחשבת ** הכוונה לנתון שיש יכולת טכנולוגית בעת הנתונה לעשות בו שימוש לזיהוי אדם, ולא נדרש שימוש בפועל כאמור על ידי המעבד הפרטני	נתון ביומטרי המשמש לזיהוי אדם או לאימות זהותו, או אמצעי ביומטרי שניתן להפיק ממנו נתון כאמור; לעניין זה, "ביומטרי" -מאפיין אנושי, פיזיולוגי או התנהגותי, ייחודי, הניתן למדידה ממוחשבת
מידע	מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;	נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר	נתון הנוגע לאדם מזוהה, או לאדם הניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מזהה ביומטרי, מספר זהות או כל נתון מזהה ייחודי אחר. ** על אף פסיקת בימ"ש – ת.ז תוגדר כמידע אישי ולא כמידע רגיש / בעל רגישות מיוחדת.
מידע רגיש (יוחלף במונח מידע בעל רגישות מיוחדת)	(1) נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו; (2) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש;	מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד; מידע רפואי או מידע על מצבו הנפשי של אדם; מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א- 2000 ; מידע אודות דעותיו הפוליטיות או אמונותיו של אדם; מידע על אודות עברו הפלילי של אדם; נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי )סמכויות אכיפה – נתוני תקשורת(, התשס"ח – 2007 מידע ביומטרי; מידע על גזע או מוצא של אדם; מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהן; הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים 1-8 מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוקה חוק ומשפט של הכנסת	ההגדרה שונתה למידע בעל רגישות מיוחדת. כל אחד מאלה: מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד; מידע רפואי כהגדרתו בחוק זכויות החולה, התשנ"ו- 1996 מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-200 מידע על אודות דעותיו הפוליטיות או אמונותיו של אדם; מידע על אודות עברו הפלילי של אדם; נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק סדר הדין הפלילי )סמכויות אכיפה - נתוני תקשורת(, התשס"ח-2007, לגבי אדם. מזהה ביומטרי; מידע על מוצאו של אדם מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהן; הרגלי צריכה של אדם, שיש בהם כדי ללמד על מידע לפי פרטים 1-8. מידע שחלה עליו חובת סודיות שנקבעה בדין; מידע נוסף שקבע שר המשפטים, בצו, באישור ועדת החוקה חוק ומשפט של הכנסת;
רשם (יוחלף במונח הממונה על הגנת המידע)	מי שמתקיימים בו תנאי הכשירות למינוי שופט של בית משפט השלום, והממשלה מינתה אותו, בהודעה ברשומות, לנהל את פנקס מאגרי מידע (להלן - הפנקס) כאמור בסעיף 12		הוצע עוד בתיקון מס' 13 - ההגדרה שונתה לממונה על הגנת המידע. מי שמתקיימים בו תנאי הכשירות להתמנות לשופט של בית משפט מחוזי והממשלה מינתה אותו, בהודעה ברשומות, לפקח על הגנת המידע במאגרי מידע לפי הוראות חוק זה.
מפלגה	לא קיים		מפלגה כהגדרתה בחוק המפלגות, התשנ"ב-1992 ולעניין החלק מתקופת בחירות המתחיל ביום שלאחר המועד האחרון להגשת רשימת מועמדים לכנסת לוועדה המרכזית כהגדרתה בחוק האמור (להלן - ועדת הבחירות המרכזית) - מפלגה כאמור שהגישה רשימת מועמדים המשתתפת בבחירות;
מרשם (במקום המונח פנקס)	הוגדר כפנקס		הוצע עוד בתיקון מס' 13 - מרשם מאגרי המידע המנוהל על ידי הממונה על הגנת מידע לפי סעיף 12
עיבוד	לא קיים	איסוף או שימוש	איסוף או שימוש
תקופת בחירות	לא קיים		תקופה שתחילתה ביום ה־ 90 שלפני יום הבחירות לכנסת, וסיומה ביום פרסום תוצאות הבחירות לפי סעיף 11 לחוק יסוד: הכנסת
סעיף 8 - חובת רישום	(1) מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000; (2) יש במאגר מידע רגיש; (3) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה; (4) המאגר הוא של גוף ציבורי כהגדרתו בסעיף 23; (5) המאגר משמש לשירותי דיוור ישיר כאמור בסעיף 17ג.	חובת הרישום תחול לעניין מאגרי מידע גדולים, אשר יש בהם מעל 100,000 נושאי מידע, ובנוסף לכך יש בהם רגישות מיוחדת בשל סוג המידע הכלול בהם (מידע בעל רגישות מיוחדת), או בשל סוג בעל המאגר (גוף ציבורי), או בשל מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר כדרך עיסוק), או בשל אופן איסוף המידע למאגר (המידע לא נאסף מנושאי המידע או בהסכמתם(.	צמצום חובת הרישום באופן הבא: המאגר כולל מידע על אודות 100,000 אנשים או יותר ומתקיים לגביו אחד מאלה: המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה. המאגר הוא של גוף ציבורי כאמור בפסקה (1) להגדרה "גוף ציבורי" שבסעיף 23. מטרתו העיקרית של המאגר היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר כהגדרתם בסעיף 17ג. המאגר כולל מידע בעל רגישות מיוחדת על אודות 500,000 אנשים או יותר. (ג1) בעל שליטה במאגר מידע הכולל מידע בעל רגישות מיוחדת על אודות 100,000 עד 500,000 אנשים, ושלא חלה עליו חובת רישום לפי סעיף קטן (ג), חייב למסור לממונה את הפרטים המנויים בסעיף )ב(1); השר רשאי לקבוע הוראות לעניין אופן הדיווח לפי סעיף קטן זה"; . * המשמעות היא שחובת הרישום תחול על מאגרי מידע גדולים, אשר יש בהם מידע על אודות יותר מ־ 100,000 נושאי מידע, ונוסף על כך טבועה בהם רגישות מיוחדת בשל סוג בעל השליטה במאגר (גוף ציבורי), מטרת עיבוד המידע (איסוף מידע לצורך מסירתו לאחר כדרך עיסוק) או אופן איסוף המידע למאגר (המידע לא נאסף מנושאי המידע או בהסכמתם( . ** מאגרי מידע הכוללים "מידע בעל רגישות מיוחדת" מוצע כי חובת הרישום תחול על מאגרי מידע שבהם מידע כאמור הנוגע ליותר מ־ 500,000 נושאי מידע; ואילו על מאגרי מידע הכוללים מידע כאמור הנוגע ליותר מ־ 100,000 אך פחות מ־ 500,000 נושאי מידע, תחול על פי המוצע חובה לדווח לרשם על פרטי היסוד של המאגר בלבד
סעיף 8(ה)	הרשם רשאי, מטעמים מיוחדים שיירשמו, להורות על קיום חובת רישום לגבי מאגר הפטור מחובת רישום לפי סעיפים קטנים (ג) ו-(ד); הוראה כאמור תומצא לבעל המאגר ובה יפרט הרשם הוראות לעניין ניהול ואחזקת המאגר עד לרישומו.	הרשם רשאי, מטעמים מיוחדים שיירשמו, להורות על קיום חובת רישום לגבי מאגר שלא חלה עליו חובת רישום לפי סעיפים קטנים )ג( ו-)ד(, אם השתכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע, או להורות על פטור מחובת רישום לגבי מאגר מידע החייב ברישום לפי סעיפים קטנים )ג( ו-(ד(, אם השתכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע; הוראה כאמור תומצא לבעל המאגר ותפורסם באתר האינטרנט של הרשם."	הממונה רשאי, מטעמים מיוחדים שיירשמו, להורות כי מאגר מידע מסוים שלא חלה עליו חובת רישום לפי סעיפים קטנים (ג) או (ד) יהיה חייב ברישום, אם שוכנע כי הדבר דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע, או להורות כי מאגר מידע מסוים החייב ברישום לפי סעיף קטן (ג) יהיה פטור מרישום כאמור, אם שוכנע כי הרישום אינו דרוש לשם הבטחת קיום הוראות חוק זה לגבי מאגר המידע; הוראה כאמור תומצא לבעל השליטה במאגר ותפורסם באתר האינטרנט של הממונה.
סעיף 8א"איסור ניהול אוהחזקת מאגרמידע הכולל מידעשנוצר או נאסףשלא כדין"	8 (ב) - לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמה הוקם המאגר.	עקרון זה אינו תלוי בהיותו של מאגר כפוף לחובת הרישום, אלא הוא חל על כלל מאגרי המידע. על כן, מוצע לעגן במפורש את האיסור להשתמש במידע ממאגר מידע בניגוד למטרה שלשמה המידע נמסר, וכן את האיסור להשתמש במידע או להחזיקו ללא הרשאה של בעל המאגר או תוך חריגה מהרשאה כאמור. הפרה של איסורים אלו תהא עבירה פלילית, שדינה, בהתאמה, 5 שנות מאסר ושלוש שנות מאסר	לא ינהל אדם ולא יחזיק מאגר מידע אם המידע הכלול בו נוצר, התקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין המסדיר עיבוד מידע, אלא אם כן המידע נמסר לו בהתאם לדין, לא היה עליו לדעת על אי החוקיות כאמור ובנסיבות העניין הפגיעה בפרטיות היא קלת ערך . ** המושג "קלת ערך" נתון לפרשנות מצא הממונה כי אדם ניהל או החזיק מאגר מידע בניגוד להוראות סעיף קטן (א) (בסעיף קטן זה – הפרה), רשאי הוא להודיע לו שמעשיו מהווים הפרה ולהורות לו להפסיק את ההפרה בתוך תקופה שיורה.
סעיף 9	בקשה לרישום מאגר מידע תפרט את – (1) זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל; (2) מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע; (3) סוגי המידע שייכללו במאגר; (4) פרטים בדבר העברת מידע מחוץ לגבולות המדינה; (5) פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי כהגדרתו בסעיף 23, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו.		בתיקון התווסף שנדרש לדווח גם על - סוג השירות שנותן המחזיק במאגר המידע לבעל השליטה בו.
סעיף 10 סמכויות הרשם	(ה) הרשם יעמוד בראש יחידת הפיקוח, והוא ימנה את המפקחים לצורך ביצוע הפיקוח לפי חוק זה...		הוצע גם בתיקון מס' 13 - בתיקון לחוק הממונה רשאי להסמיך חוקר או מפקח, מקרב עובדי המדינה אם התקיימו בהם הקריטריונים המפורטים בסעיף.
10(ב) "איסור שימושבמידע ממאגרמידע בניגודלמטרה שלשמהנמסר	לא קיים		לא ישתמש בעל שליטה במאגר מידע או מחזיק במאגר, במידע, לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, שלא למטרה שלשמה נמסרו, ולא ירשה לאחר מטעמו לעשות שימוש במידע או בידיעה כאמור
10 (ג) "איסור שימוש אוהחזקה במידעממאגר מידע בלאהרשאה"	לא קיים		לא ישתמש אדם במידע, לרבות ידיעה על ענייניו הפרטיים של אדם אף שאינה בגדר מידע, ממאגר מידע, בלא הרשאה מאת בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור. לא יחזיק אדם במידע או בידיעה על ענייניו הפרטיים של אדם, ממאגר מידע, בלא הרשאה של בעל השליטה במאגר המידע או בחריגה מהרשאה כאמור; לעניין זה, "החזקה" - למעט החזקה באקראי ובתום לב.
סעיף 17	לא קיים		הוצע גם בתיקון מס' 13 - סעיף הסמכה ספציפי להתקנת תקנות בעניין האחריות לאבטחת מידע . עוד מוצע לקבוע כי התקנות לעניין אבטחת מידע ייקבעו בהסכמת ראש הממשלה, שהוא השר הממונה על תחום הגנת הסייבר ועל מערך הסייבר הלאומי ועל שירות הביטחון הכללי
הוספת פרקים ד'1 – ד'2			הסדרת סמכויות פיקוח, בירור מנהלי ואכיפה באופן הבא: הסמכויות המפורטות בסימן ב' המוצע, נועדו לאפשר פיקוח שוטף על קיוםהוראות החוק . בסמכויות הבירור המנהלי המפורטות בסימן ג' המוצע ייעשה שימוש במקרה שקיים יסוד סביר להניח כי בוצעה הפרה של הוראות החוק הנאכפותבמישור המנהלי . בסמכויות האכיפה הפליליות המפורטות בסימן ד' המוצע, ייעשה שימוש במקרה שהתעורר חשד לביצוע עבירה על הוראות החוק סימן ה' קובע את סמכות הממונה להסתייע בעובד חיצוני, גם אם אינו עובד מדינה, כדי לאפשר לממונה לבצע את תפקידו ולהפעיל את סמכויותיו משום שלעיתים נדרש ריכוז כוח אדם בעל מומחיות מקצועית בתחומים טכנולוגיים שונים, בדגש על תחום אבטחת המידע, אשר יסייע למפקחי הרשות בביצוע עבודתם השוטפת, במסגרת הליך של פיקוח מנהלי או בירור מנהלי.
פרק ד'3 - אמצעי אכיפה מנהליםסימן א - עיצום כספי			זהה לתיקון מספר 13
פרק ד'3 - אמצעי אכיפה מנהליםסימן ב – התראה מינהלית			זהו כלי אכיפה המקל עם המפר, ומחליף במקרים מסוימים הטלה של עיצום כספי . כלי אכיפה מיועד לעודד ציות של המפוקחים ולאפשר התמודדות עם הפרות עתידיות, על ידי מתן תמריץ שלילי לביצוען ותמריץ חיובי לציות. ההתראה המנהלית מאפשרת למפר הזדמנות לתקן את ההפרה, בלא תשלום העיצום הכספי . זאת, למרות שהתשתית העובדתית שלפני הממונה מעידה כי הייתה הפרה של הוראות החוק. יובהר כי השימוש בכלי זה מתאים רק להפרות שאין בהן חומרה יתרה
פרק ד'3 - אמצעי אכיפה מנהליםסימן ג – התחייבות להימנע מהפרה			התחייבות להימנע מהפרה היא אמצעי אכיפה נוסף המקל עם המפר ומאפשר לממונה גמישות ומידתיות בהפעלת סמכויותיו .ההתחייבות מחייבת את הסכמת הממונה והמפר, ומאפשרת למפר לחזור לציות בלי שיוטל עליו עיצום כספי .חלף התשלום המפר יפקיד כעירבון את סכום העיצום הכספי בלבד, והוא יושב לו בחלוף התקופה שבעדה ניתנה ההתחייבות. הפעלת מנגנון ההתחייבות מותנה בנסיבות שבהן קיימת תשתית ראייתית לביצועה של הפרה שניתן להטיל בשלה עיצום כספי, אך לנוכח מאפייני ההפרה והמפר, ניתן להסתפק באמצעי אכיפה זה
פרק ד'4 - עבירות			פרק זה נועד להתאים את חלק העונשין בחוק בנוגע למאגרי מידע, להסדרה המפורטת שבהצעת חוק זו .חלק זה יחליף את ההסדר הקבוע היום בסעיף 31 א לחוק שעניינו עונשין בעבירות של אחריות קפידה שמוצע בהתאם לבטלו, בסעיף 13 להצעת החוק. על חלק מהפרות החוק מוצע לקבוע סנקציה מינהלית, ועל אלה שיש בהן מידה של חומרה יתרה, הנלמדת, בין השאר, מהיסוד הנפשי המלווה אותן או מפוטנציאל הנזק לציבור הגלום בהן - מוצע כי יוגדרו כעבירות פליליות בחלק העונשין של החוק וייאכפו במישור הפלילי
עיצום כספי על הפרת תקנות לפי החוק	לא קיים		פרק חדש שלא נכלל גם בתיקון מס' 13 - קובע עיצומים כספיים על הפרת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עבור כל תקנה מצוין סכום העיצום הכספי לפי סיווג המאגר (מאגר שמנוהל בידי יחיד / רמת אבטחה בסיסית, רמת אבטחה בינונית, רמת אבטחה גבוהה). מאגר שמנוהל בידי יחיד / רמת אבטחה בסיסית - העיצומים הכספיים נעים החל מ-1,000 ₪ ועד 4,000 ₪ לתקנה. מאגר ברמת אבטחה בינונית -העיצומים הכספיים נעים החל מ-20,000 ₪ ועד 80,000 ₪ לתקנה. מאגר ברמת אבטחה גבוהה - העיצומים הכספיים נעים החל מ-80,000 ₪ ועד 320,000 ₪ לתקנה.