פרסום – תקנות הגנת הפרטיות (התראה מינהלית), תשפ״ו-2026

תיקון 13 לחוק הגנת הפרטיות – אכיפה מינהלית – עדכון לקוחות

לקוחות וידידים יקרים,

במסגרת תיקון 13 לחוק הגנת הפרטיות, התשמ״א-1981, הוקנו לראש הרשות להגנת הפרטיות סמכויות אכיפה מינהליות חדשות ומשמעותיות, ובהן הסמכות להטיל עיצומים כספיים בסכומים גבוהים על מפרים. לצד סמכות זו, נקבע מסלול מקל של "התראה מינהלית" המאפשר לראש הרשות להסתפק בהתראה במקום בעיצום כספי – וזאת בהתקיים נסיבות מסוימות שנקבעו זה עתה בתקנות הגנת הפרטיות (התראה מינהלית), תשפ״ו-2026.

במסמך זה נסקור באופן מסודר ונגיש את שני אמצעי האכיפה המרכזיים – העיצום הכספי וההתראה המינהלית – ונפרט את הנסיבות שנקבעו בתקנות ככאלו שמצדיקות מתן התראה מינהלית במקום הטלת עיצום כספי.

תוכן המסמך:

• עיצום כספי – מהו?

• התראה מנהלית – מהי?

• הנסיבות שנקבעו בתקנות למתן התראה מינהלית

• סיכום והמלצות מעשיות

עיצום כספי – מהו?

עיצום כספי הוא אמצעי אכיפה מינהלי המוקנה לראש הרשות להגנת הפרטיות מכוח סימן ב' לפרק ד׳ 3 לחוק הגנת הפרטיות. הוא אינו תחליף לאחריות פלילית, ואינו מבוסס על הליך משפטי – אלא מאפשר לראש הרשות להטיל סנקציה כספית באופן ישיר, לאחר בירור מינהלי וקיום זכות טיעון, על בעל שליטה במאגר מידע או על מחזיק במאגר מידע שהפר הוראה מההוראות לפי החוק.

1.1 סכומי העיצום הכספי

סעיף 23כו לחוק קובע מדרג של סכומי עיצום, הנגזר מטיב ההפרה, מסוג המאגר ומהיקף המידע שבו. בין היתר נקבעו הסכומים הבאים:

• 150,000 ש״ח – בגין הפרות מסוימות הנוגעות לרישום מאגר מידע, להודעה על מאגר ולדיוור ישיר; אם המאגר כולל מידע אישי על מיליון בני אדם או יותר – רשאי ראש הרשות להטיל את כפל הסכום.
• 15,000 ש״ח – בגין הפרות הנוגעות לזכות העיון, לתיקון מידע ולמחיקה ממאגר המשמש לדיוור ישיר.
• מנגנון לפי מספר נושאי המידע – בהפרות מסוימות נקבע סכום עיצום הנגזר ממכפלה של סכום קבוע (50 או 100 ש״ח) במספר בני האדם שאליהם נעשתה הפנייה, ובהפרות אחרות – 2 או 4 ש״ח לכל אדם שמידע אישי על אודותיו נמצא במאגר (וכפל הסכום במידע בעל רגישות מיוחדת).
• עיצומים בגין הפרת תקנות אבטחת מידע – סכומי העיצום נקבעו בתוספת השלישית לחוק והם מדורגים לפי רמת האבטחה החלה על המאגר (בסיסית / בינונית / גבוהה), כאשר הסכומים נעים בין 1,000 ש״ח לעניין מאגר ברמה בסיסית ועד 320,000 ש״ח (ואף כפל סכום זה במאגרים גדולים) לעניין מאגרים ברמת אבטחה גבוהה.

1.2 הליך הטלת העיצום

הטלת עיצום כספי מתבצעת בשלושה שלבים עיקריים: ראשית, מסירת "הודעה על כוונת חיוב" (סעיף 23כז לחוק), שבה מפורטים נסיבות ההפרה, סכום העיצום והאפשרות לערער; שנית, מימוש זכות הטיעון של המפר תוך 45 ימים (סעיף 23כח); ושלישית, החלטת ראש הרשות אם להטיל את העיצום, להפחיתו או להימנע מהטלתו, בצירוף דרישת תשלום (סעיף 23כט).

הפרה נמשכת מובילה לתוספת של אחוז מסכום העיצום בגין כל יום של המשך ההפרה, והפרה חוזרת תוך שנתיים מההפרה הקודמת מובילה לתוספת בגובה העיצום עצמו (סעיף 23ל לחוק). על החלטת ראש הרשות ניתן לערער לבית משפט השלום בתוך 45 ימים.

התראה מינהלית – מהי?

התראה מינהלית היא אמצעי אכיפה מקל שנקבע בסימן ג' לפרק ד׳3 לחוק (סעיפים 23לו עד 23לח). היא נועדה לאפשר לראש הרשות, בנסיבות מתאימות, להסתפק במסירת התראה רשמית למפר במקום להטיל עליו עיצום כספי – ובכך לאפשר תיקון ההפרה והיערכות מבלי להגיע לסנקציה כספית מיידית.

2.1 תוכן ההתראה

בהתראה מינהלית מציין ראש הרשות את המעשה המהווה את ההפרה, את נסיבות ביצועה ואת מועד ביצועה. לצד זאת מודיע ראש הרשות למפר כי עליו להפסיק את ההפרה, וכי המשך ההפרה או חזרה עליה יחשפו אותו לעיצום כספי בגין הפרה נמשכת או הפרה חוזרת – לפי העניין. כן מצוינת בהתראה זכותו של המפר להגיש בקשה לביטול ההתראה.

2.2 בקשה לביטול ההתראה

המפר רשאי לפנות לראש הרשות, בכתב ובתוך 45 ימים, בבקשה מנומקת לביטול ההתראה, וזאת מאחד משני טעמים בלבד: שהמפר לא ביצע את ההפרה, או שהמעשה המתואר בהתראה אינו מהווה הפרה. ראש הרשות רשאי להאריך את התקופה מטעמים מיוחדים שיירשמו, ולקבל את הבקשה או לדחותה תוך מתן החלטה מנומקת בכתב.

2.3 משמעות ההמשך בהפרה לאחר התראה

אם לאחר מסירת ההתראה ממשיך המפר להפר את ההוראה, יראו את ההפרה כהפרה נמשכת ויחולו ההוראות בדבר חישוב התוספת על העיצום הכספי. אם המפר חוזר ומפר את ההוראה תוך שנתיים מיום מסירת ההתראה, יראו את ההפרה כהפרה חוזרת – באופן המגדיל את סכום העיצום הצפוי. בכל אחד מהמקרים האלה ימסור ראש הרשות למפר "הודעה על כוונת חיוב" בהתאם להוראות הרגילות.

הנסיבות שנקבעו בתקנות למתן התראה מינהלית

סעיף 23לו(א) לחוק מסמיך את שר המשפטים לקבוע בתקנות את הנסיבות שבהן יהיה ראש הרשות רשאי למסור התראה מינהלית במקום להטיל עיצום כספי. בתקנות הגנת הפרטיות (התראה מינהלית), תשפ״ו-2026, נקבעו ארבע קבוצות של נסיבות כאמור. בכל אחת מהנסיבות מדובר בסמכות שיקול דעת – כלומר ראש הרשות רשאי, אך אינו חייב, להסתפק בהתראה.

3.1 הפרה של הוראה חדשה בשלושת חודשי תחילתה

הנסיבה הראשונה (תקנה 2(1)) חלה כאשר ההפרה היא של "הוראה חדשה" – הוראה לפי החוק שתחילתה ביום תחילתן של התקנות או לאחריו – וההפרה בוצעה בשלושת החודשים הראשונים מיום תחילת ההוראה.

תנאי נוסף הוא שלמפר לא נמסרה התראה מינהלית קודמת בשל הפרה של אותה הוראה במהלך אותם שלושה חודשים. הרציונל הוא לאפשר לגופים המפוקחים תקופת היערכות מעשית להוראות חקיקה חדשות, מבלי לחשוף אותם באופן מיידי לעיצום כספי בעת השלבים הראשונים של היישום.

3.2 הפרה ראשונה של הוראות מתוך תקנות אבטחת מידע

הנסיבה השנייה (תקנה 2(2)) חלה על הפרה ראשונה של הוראה הקבועה בתקנות שהותקנו לפי סעיף 36 לחוק – ובפרט תקנות אבטחת מידע – ובלבד שמדובר באחת מההוראות המנויות מפורשות בתקנות, כמפורט להלן.

פרטים מתוך התוספת השלישית לחוק שבגינם ניתן למסור התראה מינהלית בהפרה ראשונה:

• פרט (1) – הכנת מסמך הגדרות המאגר (בידי בעל שליטה), וזאת לעניין מאגר מידע המנוהל בידי יחיד או מאגר שחלה עליו רמת האבטחה הבסיסית בלבד.
• פרט (2) – עדכון מסמך הגדרות המאגר (בידי בעל שליטה), אף הוא רק לעניין מאגר מידע המנוהל בידי יחיד או מאגר שחלה עליו רמת האבטחה הבסיסית.
• פרט (17) – יישום נוהל הרשאות גישה לגבי בעל הרשאה שסיים את תפקידו (בכל רמות האבטחה).
• פרט (22) – עדכון מערכות המאגר (בידי בעל שליטה במאגר המנוהל בידי יחיד או מחזיק של מאגר כאמור).
• פרט (23) – אבטחת חיבור ברשת (בכל רמות האבטחה).
• פרט (26)(ג) – גיבוי נתוני התיעוד (שמירת עותק הגיבוי באופן המבטיח את שלמות המידע ואת אפשרות שחזורו).
• פרט (27) – הפרת חובות תיעוד (תיעוד אופן ביצוען של פעולות שאינן יצירת מסמך).
• פרט (28) – הפרדת מערכות המאגר (מידור) – הפרדה בין מערכות המאגר שמהן ניתן לגשת למידע אישי לבין מערכות מחשוב אחרות.

חשוב להדגיש כי הוראה זו חלה אך ורק על הפרה ראשונה של אותה הוראה. הפרה חוזרת תיבחן במסלול הרגיל של עיצום כספי, ככל שלא תחול עליה נסיבה אחרת המצדיקה התראה.

3.3 שינוי מדיניות אכיפה לחומרה

הנסיבה השלישית (תקנה 2(3)) מאפשרת מסירת התראה מינהלית כאשר ראש הרשות פרסם הודעה לציבור באתר הרשות על שינוי מדיניות האכיפה לחומרה בעניינים שקודם לכן לא ננקטו בגינם פעולות אכיפה.

הנסיבה תחול במצבים הבאים:

• ההפרה בוצעה לפני פרסום ההודעה לציבור; או
• ההפרה בוצעה במהלך תקופת היערכות שנקבעה על-ידי ראש הרשות, ושאינה עולה על שלושה חודשים מיום פרסום ההודעה.

ראש הרשות רשאי להאריך את תקופת ההיערכות אם מצא כי נדרש זמן היערכות נוסף, ובלבד שסך כל התקופה לא יעלה על שישה חודשים מיום פרסום ההודעה לציבור. החלטה על משך תקופת ההיערכות וכן על הארכתה מפורסמת בהודעה לציבור באתר הרשות, כקבוע בתקנה 3 לתקנות.

3.4 חוסר בהירות בהוראה ופרשנות חדשה של הרשות

הנסיבה הרביעית (תקנה 2(4)) דומה במבנה לקודמתה, אך עוסקת בהוראות לפי החוק שראש הרשות פרסם בעניינן הודעה לציבור שלפיה קיים חוסר בהירות המצריך מסירת התראה מינהלית, תוך פירוט פרשנותה של הרשות לאותה הוראה.

גם כאן הנסיבה תחול אם ההפרה בוצעה לפני פרסום ההודעה לציבור או במהלך תקופת היערכות בת עד שלושה חודשים מיום פרסומה, וניתן להאריך את התקופה עד לשישה חודשים בסך הכול. גם הודעה זו תפורסם, וכל הארכה תעודכן בה, בהתאם לתקנה 3 לתקנות.

סיכום והמלצות מעשיות

התקנות החדשות מאפשרות לרשות להגנת הפרטיות לפעול במידתיות, ומספקות לגופים המפוקחים תקופת היערכות סבירה בעת מעבר לאסדרה חדשה או הקשחת מדיניות האכיפה. עם זאת, חשוב לזכור כי התראה מינהלית אינה תחליף לציות; היא מנגנון מקל שלאחריו עלולה לבוא הסלמה מהירה לעיצומים בשל הפרה נמשכת או חוזרת.

אנו ממליצים ללקוחותינו לפעול במספר מישורים:

• לבצע מיפוי של מאגרי המידע בארגון, לרבות סיווגם לרמות האבטחה (בסיסית / בינונית / גבוהה) הקבועות בתוספת השלישית לחוק.
• לוודא שמסמך הגדרות המאגר ונוהל אבטחת המידע מעודכנים, ולתעד תהליכי בקרה תקופתיים.
• לעקוב באופן שוטף אחר פרסומי הרשות להגנת הפרטיות, ובפרט אחר "הודעות לציבור" המתפרסמות באתר הרשות בעניין שינוי מדיניות אכיפה או חוסר בהירות בהוראה.
• לתעד את פעולות ההיערכות שננקטות בעקבות הוראות חדשות או הודעות לציבור, באופן שיוכל לשמש בהמשך כראיה לתום לב ולמאמצי ציות.
• בכל מקרה של קבלת התראה מינהלית – לבחון בתוך 45 ימים האם מתקיימת עילה לבקשת ביטולה, ובמקביל לפעול להפסקת ההפרה כדי למנוע סיווגה כהפרה נמשכת או חוזרת.

משרדנו עומד לרשותכם לכל שאלה, התייעצות או ליווי בהליכים מול הרשות להגנת הפרטיות.

בברכה,

מוטי כהן, עו"ד

הגנת הפרטיות, אבטחת מידע, רגולציית בינה מלאכותית