הפרטיות של הלקוחות שלכם – האחריות שלכם: המדריך לתיקון 13 לחוק הגנת הפרטיות

בחודש הבא (אוגוסט 2025), יחול שינוי מהותי בנוף הגנת הפרטיות בישראל עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. תיקון זה, שאושר לאחר עבודת מטה מקיפה, נועד להתאים את החקיקה הישראלית למציאות הטכנולוגית המשתנה ולסטנדרטים הבינלאומיים המחמירים יותר, בדומה לתקנת ה-GDPR האירופית. עבור ארגונים רבים, משמעותו העיקרית של התיקון היא חובות חדשות, ולעיתים מורכבות, ובראשן – חובת מינוי ממונה הגנת פרטיות (Data Protection Officer – DPO).

מדוע עכשיו? הצורך בחיזוק הגנת הפרטיות

בעידן הדיגיטלי, בו מידע אישי נאסף, נשמר ומעובד בקצב חסר תקדים, נושא הגנת הפרטיות הפך לקריטי. דליפות מידע, מתקפות סייבר ושימוש לרעה בנתונים אישיים הפכו לאיום יומיומי, הן על פרטיות הפרט והן על אמונו במערכות. תיקון 13 בא לתת מענה לאתגרים אלו, ולחזק את ההגנה על זכויות הפרטיות של אזרחי ישראל. הוא מרחיב את הגדרות המידע הרגיש, מחמיר את הענישה על הפרות, ומטיל אחריות גדולה יותר על ארגונים המנהלים מאגרי מידע.

לא רק קנסות: כך תהפכו את תיקון 13 לחוק הגנת הפרטיות ליתרון תחרותיהשינויים העיקריים בתיקון 13:

תיקון 13 מביא עמו מספר שינויים משמעותיים, ביניהם:

• הרחבת הגדרת "מידע רגיש": התיקון מרחיב את סוגי המידע הנחשבים לרגישים, כולל נתונים ביומטריים, מידע גנטי, נטייה מינית, ועוד, ומטיל דרישות אבטחה מחמירות יותר על מידע זה.
• הגברת האחריות על מנהלי מאגרים: מוטלת אחריות רבה יותר על ארגונים המנהלים מאגרי מידע בכל הנוגע לאבטחתם ולשמירה על פרטיות הנתונים.
• החמרת סנקציות: התיקון קובע סנקציות כלכליות ועונשיות מחמירות יותר במקרה של הפרות, כולל קנסות משמעותיים.
• הכרה בזכות ל"שכחה" ובזכות ל"ניידות נתונים": בדומה ל-GDPR, התיקון מעגן עקרונות המאפשרים ליחידים לשלוט טוב יותר במידע אודותיהם.

החידוש המרכזי: חובת מינוי ממונה הגנת פרטיות (DPO)

אחד החידושים הבולטים ביותר בתיקון 13, ובעל ההשפעה המיידית ביותר על ארגונים, הוא חובת מינוי ממונה הגנת פרטיות (DPO) עבור ארגונים העונים לקריטריונים מסוימים. קריטריונים אלו, שנקבעו בתקנות, מתייחסים, בין היתר, להיקף המידע המעובד, לסוג המידע (בדגש על מידע רגיש), ולפעילות העסקית של הארגון.

תפקיד ה-DPO והחשיבות האסטרטגית שלו:

ממונה הגנת הפרטיות אינו רק "פקיד" נוסף בארגון. זהו תפקיד בעל חשיבות אסטרטגית, המחייב הבנה עמוקה הן בפן המשפטי והן בפן הטכנולוגי. תפקידיו העיקריים של ה-DPO כוללים:

• פיקוח ובקרה: לוודא שהארגון פועל בהתאם להוראות חוק הגנת הפרטיות והתקנות הנלוות.
• מתן ייעוץ: לייעץ להנהלה ולעובדים בנושאי הגנת פרטיות, כולל היבטים של אבטחת מידע וניהול סיכונים.
• הדרכה והטמעה: להדריך את עובדי הארגון בנושאי פרטיות ולוודא הטמעת נהלים מתאימים.
• טיפול בפניות: לשמש כנקודת מגע מרכזית לפניות מבעלי מידע (לקוחות, עובדים וכדומה) ולרשות להגנת הפרטיות.
• ניהול סיכונים: לזהות סיכוני פרטיות בארגון ולפתח דרכים לצמצומם.
• ליווי פרויקטים: להשתלב בפרויקטים חדשים בארגון כבר משלבי התכנון (Privacy by Design), על מנת להבטיח עמידה בדרישות הפרטיות.

ההשלכות על ארגונים – ומה צריך לעשות עכשיו?

כניסתו לתוקף של תיקון 13 מהווה קריאת השכמה עבור ארגונים רבים בישראל. היערכות מאוחרת עלולה להוביל לקנסות כבדים, פגיעה במוניטין ונזקים משפטיים.

על ארגונים לבצע את הפעולות הבאות בהקדם:

1. הערכת מצב (Gap Analysis): לבצע סקירה מקיפה של פעילות עיבוד המידע בארגון, זיהוי מאגרי מידע, סוגי מידע, דרכי איסופו, שמירתו ועיבודו, ולבחון את הפערים בינם לבין דרישות החוק החדש.
2. מינוי DPO: לזהות את הצורך במינוי ממונה הגנת פרטיות בהתאם לקריטריונים שנקבעו, ולמנות גורם בעל הכישורים והסמכות המתאימים. חשוב לוודא כי ל-DPO יש את המשאבים והגישה הנדרשים לביצוע תפקידו. הארגון יכול למנות DPO חיצוני (מיקור חוץ).
3. גיבוש מדיניות ונהלים: לעדכן או לגבש מדיניות פרטיות ברורה ונהלים פנימיים שיבטיחו עמידה בדרישות החוק החדש, לרבות נהלים לטיפול באירועי אבטחת מידע, נוהל למימוש זכויות נושאי המידע ועוד.
4. הדרכת עובדים: להטמיע תרבות ארגונית של הגנת פרטיות באמצעות הדרכות שוטפות לכלל העובדים, בדגש על צוותים המטפלים במידע אישי.
5. אבטחת מידע: לוודא שהמערכות הטכנולוגיות עומדות בסטנדרטים הנדרשים לאבטחת מידע, ולבצע סקרי סיכונים באופן קבוע.
6. הסכמים עם צדדים שלישיים: לבחון מחדש הסכמים עם ספקים ושותפים המעבדים מידע מטעם הארגון, ולוודא שהם עומדים בדרישות החוק.

לסיכום:

תיקון 13 לחוק הגנת הפרטיות אינו עוד תיקון טכני. זוהי קפיצת מדרגה משמעותית בהגנה על פרטיות הפרט בישראל, והזדמנות לארגונים לחזק את האמון מול לקוחותיהם ועובדיהם. היערכות נכונה ומקיפה, ובפרט מינוי ממונה הגנת פרטיות מוסמך, אינה רק חובה חוקית אלא השקעה חכמה בעתידו של כל עסק הפועל בעידן הדיגיטלי. ההיערכות צריכה להיות יסודית ומקצועית, תוך הבנה כי נושא הגנת הפרטיות הוא תהליך מתמשך ודורש תחזוקה ובקרה שוטפת.

משרדנו מספק ייעוץ משפטי מקיף בנושאי הגנת הפרטיות, וכן שירותי ממונה הגנת פרטיות (DPO) במיקור חוץ, על מנת לסייע לארגונים לעמוד בדרישות החוק החדש.