אם ניהול מאגרי מידע והגנת הפרטיות היו עד היום נושאים שנדחקו לשוליים בארגונים רבים, המציאות עומדת להשתנות, ובאופן דרמטי. אישורו של תיקון 13 לחוק הגנת הפרטיות בכנסת בקיץ 2024, העדכון המקיף ביותר לחוק מאז שנחקק לפני למעלה מ-40 שנה, מסמן את תחילתו של עידן חדש. עידן של אכיפה מוגברת, אחריות ניהולית כבדה יותר, וסנקציות כלכליות משמעותיות.
זה לא עוד תיקון טכני קטן. עבור מנהלים, חברות, גופים ציבוריים ובעלי עסקים, המשמעות היא אחת: התעלמות מהוראות החוק אינה עוד 'סיכון זניח' – היא סיכון עסקי ממשי. המאמר הבא יפרט את השינויים העיקריים שכל חברה או ארגון חייבים להכיר ולהיערך אליהם.
תיקון 13 לחוק הגנת הפרטיות – השינויים המרכזיים ומשמעותם המעשית:
1. עיצומים כספיים משמעותיים ואכיפה: זה הזמן להתיישר
עד היום, כוח האכיפה של הרשות להגנת הפרטיות היה מוגבל. תיקון 13 לחוק הגנת הפרטיות משנה את התמונה מהקצה אל הקצה ומעניק לרשות, סמכות להטיל עיצומים כספיים (קנסות) בסכומים משמעותיים על ארגונים שיפרו את הוראות החוק ותקנות אבטחת המידע. סכומי העיצומים יכולים להגיע עד למאות אלפי שקלים, בעבור כל הפרה!
המשמעות: "להיות בסדר" בתחום הגנת הפרטיות הוא כבר לא המלצה, אלא חובה כלכלית. הטעות עלולה לעלות לכם ביוקר, והרבה. הרשות קיבלה "שיניים", והיא צפויה להשתמש בהן.
מלבד העיצומים, חוק הגנת הפרטיות אבטחת מידע מקנה לרשות הגנת הפרטיות סמכויות אכיפה נוספות – למשל סמכות להורות על הפסקת הפרה
2. חובת מינוי ממונה הגנת פרטיות (DPO): מי האחראי אצלכם?
התיקון קובע חובה חוקית למנות "ממונה על הגנת הפרטיות" (DPO) בגופים ציבוריים ובארגונים פרטיים רבים, בעיקר אלו שעיבוד מידע אישי רגיש הוא חלק מרכזי בפעילותם, או כאלה העוסקים במעקב שיטתי אחר אנשים.
המשמעות עבורך: אם העסק שלך עוסק בתחום הרפואי, הפיננסי, או אוסף מידע רב על הרגלי הגלישה של המשתמשים שלך – סביר להניח שאתה חייב למנות בעל תפקיד ייעודי שיהיה אחראי על עמידת הארגון בדרישות החוק. זהו תפקיד מקצועי הדורש הבנה והתמחות.
3. צמצום חובת רישום מאגרים: הקלה בצד אחריות גדולה יותר
התיקון מבטל כמעט לחלוטין את החובה המסורבלת לרשום מאגרי מידע דיגיטליים במגזר הפרטי (למעט גופים הסוחרים במידע).
המשמעות עבורך: זו אכן הקלה בירוקרטית, אבל אל תתנו לה להטעות אתכם. ביטול חובת הרישום לא מבטל את חובתכם לנהל את המידע כחוק, לאבטח אותו כראוי ולעמוד בכל שאר דרישות החוק. למעשה, האחריות המוטלת על כתפי הארגון רק גדלה, שכן הפיקוח יעבור מרישום פורמלי לבחינת העמידה המהותית שלכם בדרישות.
4. מודרניזציה של החוק: התאמה ל-GDPR ולעולם החדש
התיקון מעדכן את הגדרות היסוד בחוק, כמו "מידע רגיש", ומתאים אותן לסטנדרטים הבינלאומיים המקובלים, ובראשם רגולציית הגנת המידע האירופית (GDPR).
המשמעות עבורך: החוק הישראלי "מדבר" כעת בשפה של רגולציית הפרטיות המובילה בעולם. אם אתם עובדים עם לקוחות או שותפים באירופה, או שואפים לכך, העמידה בתקן הישראלי החדש היא צעד קריטי וחיוני לקראת התאמה לדין הבינלאומי.
5. עריכת מדיניות פרטיות – התיקון לחוק מדייק ומעדכן את חובת עריכת מדיניות הפרטיות.
כיום נדרש שמדיניות הפרטיות תהיה מפורטת דיו, כך שתעמוד בדרישות ההסכמה מדעת.
בין היתר צריך לכלול במדיניות הפרטיות:
- האם חלה חובה חוקית למסור מידע, ומהי תוצאת אי ההסכמה?
- המטרות שלשמן מבוקש המידע
- שם בעל השליטה ודרכי יצירת קשר
- למי יימסר המידע
- הודעה על קיומן של זכות העיון במידע אישי והזכות לתיקון לפי סעיפים 13 ו-14
6. תביעות אזרחיות בגין הפרת החוק – ללא הוכחת נזק
תיקון החוק מאפשר לאנשים שזכותם הופרה, לתבוע את המפרים, אף ללא הוכחת נזק. סכום התביעה יכול להגיע לעד 10,000 ₪!
דוגמאות להפרות שבגינן אפשר לתבוע ללא הוכחת נזק:
- עיבוד מידע במאגר שחייב רישום, ולא נרשם בפועל
- הפרה של סעיף 11 (יידוע – מדיניות פרטיות)
- אי-מתן אפשרות לעיין במידע
- אי-ביצוע תיקון מידע כפי שנדרש
לסיכום: מה נדרש מכם לעשות עכשיו?
אני רואה את תיקון 13 לחוק הגנת הפרטיות כנקודת מפנה. ההתייחסות להגנת הפרטיות כאל "בעיה של מחלקת ה-IT" או "כאב ראש של עורכי הדין" נגמרה. התיקון דורש שינוי תפיסתי ברמת ההנהלה והטמעת תרבות ארגונית של כבוד לפרטיות.
זה הזמן לבחון את תהליכי איסוף מידע ועיבוד המידע בארגון שלכם, לעדכן נהלים, למפות את מאגרי המידע ולוודא שאתם עומדים בדרישות החדשות. התעלמות היא כבר לא אסטרטגיה – היא סיכון עסקי, תדמיתי וכלכלי ממשי.
