אם עד היום ניהול מאגרי מידע והגנת הפרטיות נדחקו לשוליים בארגונים רבים, המציאות עומדת להשתנות באופן דרמטי. אישורו של תיקון 13 לחוק הגנת הפרטיות בכנסת (נכנס לתוקף באמצע אוגוסט 2025) הוא העדכון המקיף ביותר לחוק מזה למעלה מ-40 שנה.
התיקון משנה את כללי המשחק באופן יסודי ומהווה קפיצת מדרגה רגולטורית שמיישרת קו עם תקנים בינלאומיים מחמירים כדוגמת ה-GDPR (הרגולציה הכללית להגנת מידע של האיחוד האירופי). התיקון מעביר את הדגש מ"חובת רישום פורמלית" ל"אחריותיות (Accountability) ניהולית", ומטיל על עסקים, חברות וגופים ציבוריים:
- אחריות ניהולית כבדה יותר על נושאי משרה בכירים (כולל דירקטוריון).
- אכיפה מוגברת וסנקציות כלכליות משמעותיות שעלולות למוטט עסקים קטנים ובינוניים.
- הטלת חובה למנות גורם מקצועי שיהיה אמון על הגנת הפרטיות בארגון (DPO).
התעלמות מהוראות החוק אינה עוד 'סיכון זניח' – היא סיכון עסקי, תדמיתי וכלכלי ממשי ומידי.
המדריך המלא הזה יפרט את השינויים ואת הצעדים המעשיים שכל עסק בישראל חייב לנקוט כדי להיות ערוך.
השינויים המרכזיים בתיקון 13 וניתוח משמעותם העסקית
1. עיצומים כספיים דרסטיים ואכיפה מחוזקת: הרשות מקבלת "שיניים"
השינוי המשמעותי ביותר ברמה האסטרטגית הוא העברת כוח אכיפה משמעותי לידי הרשות להגנת הפרטיות. תיקון 13 מעניק לרשות סמכות להטיל עיצומים כספיים (קנסות) בסכומים משמעותיים, שיכולים להגיע עד מאות אלפי שקלים לכל הפרה. הסכומים נגזרים מסיווג ההפרה (קלה, בינונית, חמורה), גודל הארגון ומחזור הפעילות שלו.
ניתוח משפטי ומשמעות:
עד היום, הסנקציות על הפרות חוק הגנת הפרטיות היו בעיקרן פליליות או מנהליות חלשות. כניסת מנגנון העיצומים הכספיים הופכת את הציות לחוק לחובה כלכלית מובהקת. סכומי העיצומים הגבוהים, והיכולת להטיל אותם על מספר הפרות מצטברות, מהווים איום ממשי על יציבותם הפיננסית של ארגונים שלא יתאימו את עצמם.
סמכויות אכיפה נוספות:
הרשות מקבלת סמכויות מנהליות נוספות, כגון הסמכות להורות על הפסקת הפרה מידית, להטיל תנאים מגבילים על השימוש במאגרי מידע, ואף להורות על מחיקה או תיקון של מידע. סמכויות אלו מעניקות לרשות יכולת להשבית או לשתק פעילות עסקית במהירות, מה שמדגיש את הצורך בציות מלא.
2. צמצום חובת רישום מאגרים לצד אחריות מוגברת (Accountability)
תיקון 13 לחוק הגנת הפרטיות מבטל את החובה המסורבלת לרשום מאגרי מידע דיגיטליים במגזר הפרטי (למעט גופים העוסקים בסחר במידע).
ניתוח ומשמעות:
בעבר, נדרשו ארגונים לבצע רישום פורמלי של המאגרים שלהם, תהליך שנתפס כבירוקרטי וכמעט חסר שיניים בפועל. ביטול החובה הוא הקלה בירוקרטית לכאורה, אך טומן בחובו סיכון גבוה יותר. במקום פיקוח על רישום, המעבר הוא לפיקוח על המהות. הארגון נדרש כעת להוכיח כי הוא מנהל את המידע האישי כחוק, באמצעות נהלים כתובים, תיעוד של החלטות ההנהלה, ביצוע סקרי סיכונים והטמעת עקרונות 'פרטיות מובנית' (Privacy by Design) ופרטיות כברירת מחדל' (Privacy by Default).
3. מודרניזציה של החוק, הגדרות עדכניות והתאמה לרגולציה גלובלית
החוק עובר עדכון לשוני, טכנולוגי ומשפטי, ומעדכן את הגדרות היסוד. לדוגמה, הגדרת "מידע רגיש" מתרחבת וכוללת כעת מידע רב יותר המתייחס למצב בריאותי, דעות פוליטיות, נתונים ביומטריים, נתוני שכר ופעילות פיננסית, ועוד.
ניתוח ומשמעות:
העדכון מבטיח שהחוק הישראלי "מדבר" בשפה אחידה עם הרגולציות המובילות בעולם. עבור חברות טכנולוגיות, סטרטאפים וארגונים גלובליים, זהו צעד קריטי: עמידה בתקן הישראלי החדש היא צעד הכרחי לקראת התאמה לדין הבינלאומי, ומפחיתה חסמי כניסה לשווקים כמו אירופה או מדינות המחייבות רמת הגנה מקבילה.
4. תביעות אזרחיות ללא הוכחת נזק: הגברת החשיפה המשפטית
התיקון מאפשר לאנשים שזכותם הופרה לתבוע את המפרים, אף ללא הוכחת נזק, בסכום שיכול להגיע עד 10,000 ₪ לתביעה.
ניתוח ומשמעות:
סעיף זה פותח פתח רחב יותר לתביעות ייצוגיות ול"תביעות קטנות" מצד לקוחות ועובדים. דוגמאות להפרות כאלו הן:
- אי-מתן מענה לבקשת אדם לעיין במידע האישי שלו.
- שימוש במידע למטרה שלא הוגדרה במדיניות הפרטיות.
- הפרת חובת היידוע (אי-פרסום מדיניות פרטיות מעודכנת).
מאחר וניתן לתבוע ללא הוכחת נזק, גדל הסיכון לתביעות טורדניות ולחשיפה כלכלית משמעותית הנובעת מהיקף התביעות ולאו דווקא מסכום הפיצוי בכל אחת מהן.
ממונה הגנת פרטיות (DPO): חובה, תפקיד ואחריות הדירקטוריון
אחד ממרכיבי ה-Accountability המרכזיים הוא הטלת חובה חוקית למנות ממונה על הגנת הפרטיות (DPO – Data Protection Officer) בארגונים מסוימים.
קריטריונים מחייבים למינוי DPO
החובה חלה על ארגונים העונים על אחד מהקריטריונים המרכזיים שבחוק ובטיוטות ההנחיה של הרשות, תוך התייחסות רחבה למונח "היקף ניכר" (שאינו רק כמותי):
- גופים ציבוריים (משרדי ממשלה, קופות חולים, רשויות מקומיות).
- ארגונים המעבדים מידע רגיש בהיקף ניכר: גופים שפעילותם כוללת עיבוד נרחב של "מידע בעל רגישות מיוחדת" (כגון בנקים, חברות ביטוח, בתי חולים).
- ארגונים המבצעים ניטור שיטתי בהיקף ניכר: אלו ארגונים שעיסוקם העיקרי כולל פעולות עיבוד מידע המחייבות מעקב שוטף ושיטתי של אנשים. דוגמאות: חברות אד-טק (AdTech), חברות ניהול סיכונים פיננסיים, מערכות מעקב ואנליטיקה התנהגותית בפלטפורמות דיגיטליות, וספקי אינטרנט.
- ארגונים העוסקים בסחר במידע: בעלי שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים, כאשר המאגר מונה מעל 10,000 איש.
תפקיד הממונה (DPO) – מוקד ידע וממשק רגולטורי
תפקיד ה-DPO הוא להבטיח את השמירה על המידע האישי בארגון בהתאם להוראות החוק. הוא דורש ידע מעמיק בדיני פרטיות, לצד הבנה טכנולוגית מספקת באבטחת מידע ובטכנולוגיות מידע.
תחומי אחריות עיקריים:
- ייעוץ והכוונה: לשמש כמוקד ידע להנהלת הארגון ולעובדיו בנוגע להוראות המחייבות וקידום עקרונות עיצוב לפרטיות'(Privacy by Design) בכל פרויקט חדש.
- מעקב ובקרה: הכנת תוכניות בקרה שוטפת, ביצוע הערכות סיכונים (PIA – Privacy Impact Assessment) ודיווח על ממצאים לדרג הניהולי.
- אחריות על זכויות נושאי מידע: לוודא טיפול הולם ומקצועי בבקשות למימוש זכויות (עיון, תיקון, מחיקה, הסרה מדיוור).
- ממשק מול הרשות: לשמש איש הקשר הרשמי של הארגון מול הרשות להגנת הפרטיות, כולל דיווח על אירועי אבטחת מידע.
DPO מול CISO: הפרדה למניעת ניגוד עניינים
על אף ששני התפקידים עוסקים בנתונים ובאבטחתם, עמדת הרשות, שאינה אוסרת זאת במפורש אך ממליצה בחום להינע, היא כי מינוי זהה עלול ליצור ניגוד עניינים מובנה.
הסיבה לקונפליקט:
ממונה אבטחת המידע (CISO) שם דגש על הגנה טכנית של המידע (סודיות, שלמות, זמינות), בעוד שה-DPO שם דגש על הגנה על זכות הפרטיות של נושא המידע. לעיתים, אמצעי אבטחה (כגון ניטור מקיף של עובדים) יכולים לעמוד בסתירה לעקרונות הגנת הפרטיות. בארגונים גדולים, יש צורך בהקצאת משאבים ייעודיים לכל תפקיד.
אחריות הדירקטוריון והאצלת סמכויות
בארגונים שבהם עיבוד מידע אישי מהווה חלק מרכזי מהפעילות או קיים סיכון משמעותי, הדירקטוריון מחויב בחובת פיקוח מוגברת.
תפקיד הדירקטוריון כולל:
- קביעת מדיניות והקצאת משאבים נדרשים להגנת הפרטיות.
- קבלת עדכונים שוטפים (לפחות אחת לשנה) אודות סקרי סיכונים, אירועי אבטחת מידע מהותיים, ותוצאות ביקורות תקופתיות.
- אישור ופיקוח על יישום נוהלי אבטחת מידע.
האצלת סמכויות:
הדירקטוריון יכול להאציל את משימות הפיקוח והבקרה לגורם אחר (כגון מנהל בכיר או ועדה ייעודית), אך האחריות הסופית אינה ניתנת להאצלה. יש לתעד את החלטת ההאצלה ואת הנימוקים לה. מינוי DPO מסייע לדירקטוריון ליישם את חובותיו, אך אינו מבטל אותן.
צעדים מעשיים: צ'קליסט להתאמה מלאה לתיקון 13
המועד האחרון לעמידה בכלל דרישות תיקון 13, כולל מינוי DPO, הוא 14 באוגוסט 2025. לאור היקף השינויים, מומלץ להתחיל בתהליך ההיערכות בהקדם האפשרי.
שלב 1: מיפוי וניתוח הסיכונים (The Discovery Phase)
- בדיקת חובת DPO: בחינה קפדנית האם הארגון עומד באחד הקריטריונים המחייבים מינוי DPO.
- מיפוי נכסים ומאגרים: יצירת מפת זרימת מידע (Data Flow Map) המפרטת: איזה מידע אישי נאסף, היכן הוא מאוחסן, מה מטרת האיסוף, עם מי הוא משותף (ספקים חיצוניים/צדדים שלישיים), ומהו משך שמירת המידע.
- סקר סיכונים (PIA): ביצוע הערכת סיכוני פרטיות לגבי תהליכי עיבוד המידע הקיימים והפרויקטים החדשים.
שלב 2: גיבוש תוכנית ומינוי (The Governance Phase)
- מינוי DPO: במידה ונדרשת חובה – בחירת מועמד פנימי או יועץ חיצוני בעל הכישורים הנדרשים (ידע משפטי וטכנולוגי).
- הסדרת אחריות דירקטוריון: הצגת ממצאי הבדיקה והמלצות לדירקטוריון, ואימוץ מדיניות הגנה רשמית.
- עדכון חוזים והסכמים: עדכון חוזים מול ספקים חיצוניים (מעבדי מידע) כדי שיעמדו בדרישות החוק החדש (GDPR-Like DPAs).
שלב 3: הטמעה ותיעוד (The Implementation Phase)
- מדיניות פרטיות מעודכנת: עדכון מדיניות הפרטיות כך שתהיה מפורטת, שקופה ותכלול את כל האלמנטים הנדרשים (מטרת האיסוף, חובת מסירה, זכויות נושא המידע).
- הטמעת נהלים תפעוליים: כתיבת נהלים פנימיים לטיפול בבקשות של נושאי מידע (Right to Access, Right to Rectification), ונוהל לטיפול באירועי אבטחת מידע (Incident Response Plan).
- הדרכה והעלאת מודעות: הכשרת עובדים – ובמיוחד עובדי המכירות, השירות וה-IT – לחשיבות הפרטיות ולחובותיהם.
- תיעוד ובקרה: תיעוד מלא של כל שלבי ההיערכות (החלטות, נהלים, דו"חות בקרה) – זהו הנדבך המרכזי של עקרון ה-Accountability.
ייעוץ משפטי אסטרטגי: ליווי ממוקד להטמעת תיקון 13 לחוק הגנת הפרטיות
המעבר לציות מלא לתיקון 13 אינו תהליך טכני, אלא מהלך אסטרטגי-משפטי הדורש הבנה עמוקה של הסיכונים והתאמה לצרכים העסקיים.
משרד עורכי דין מוטי כהן מתמחה בליווי ארגונים ליישום הוראות חוק הגנת הפרטיות ואבטחת מידע ומעניק שירותי DPO חיצוניים (DPO as a Service) לחברות וארגונים, תוך הבטחת מקצועיות, עצמאות והיעדר ניגוד עניינים.
אל תחכו שהסיכון יתממש. פנו אלינו לבחינת חובת המינוי שלכם ולגיבוש תוכנית היערכות מותאמת אישית לתיקון 13.
