יועץ אבטחת מידע   |   יולי 22, 2025

 ציות לחוק הגנת הפרטיות ותיקון 13

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף – רוצים להימנע מקנסות, להפחית עומס רגולטורי ולהיערך בהתאם? קראו את המאמר.

 

החל מ-14 לאוגוסט, 2025 צפוי מעבר מ"אכיפה רכה" לקנסות מנהליים ואחריות פלילית

ביום 5.8.2024 אישרה הכנסת בקריאה שנייה ושלישית את תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א–1981. תיקון 13 כולל שורה של שינויים מקיפים בחוק הגנת הפרטיות הישראלי המיושן (משנת 1981). מדובר בשינוי המקיף ביותר לחוק מאז 1996.

כל התעשייה כמרקחה, מה לא נכתב ונאמר כבר על תיקון 13 לחוק הגנת הפרטיות. האם כצעקתה?
בואו ננסה לעשות סדר! נלמד מהו חוק הגנת הפרטיות, נבחן את הדרישות המחייבות של החוק וכיצד מתארגנים לציות לדרישות השמירה על פרטיות המידע שברשותכם (איך להימנע מאי־נעימויות וקנסות מיותרים).
לבסוף, נציג הזדמנות עסקית: שנה ללא תשלום בהתקשרות לשנתיים.

מהו חוק הגנת הפרטיות

מטרתו של חוק הגנת הפרטיות היא להבטיח שכל מידע פרטי – כגון שם, תעודת זהות, דוא"ל, פרטים מזהים אחרים, פרטים ביומטריים או רפואיים ועוד – שמוחזק בידי גורם שאינו נשוא המידע (האדם עצמו), נשמר באופן מוגן ומונע חשיפה לסיכונים שיכולים לפגוע בפרטיותו.
לאורך השנים, עבר חוק הגנת הפרטיות כמה שינויים משמעותיים שהתאימו אותו להתקדמות הטכנולוגית המהירה בעשורים האחרונים. שינו דרמטי ביותר התרחש עם כניסת תקנות הגנת הפרטיות לתוקף בחודש מאי 2018.

תקנות 2018: סיווג מאגרי מידע ודרישות אבטחה

תקנות 2018 מחייבות את כל מי שמחזיק במידע, בראש ובראשונה, לסווג את מאגר המידע שלו לרמת אבטחה מתאימה. התקנות הגדירו ארבע רמות אבטחה – "מנוהל על ידי יחיד" (למאגרים פרטיים), "בסיסי", "בינוני" ו"גבוה". סיווג זה נקבע לפי כמה קריטריונים: סוג המידע, רגישותו, כמות הרשומות במאגר ומספר מורשי הגישה אליו.
בהתאם לרמת האבטחה של המאגר, נקבעו דרישות אבטחה ספציפיות שהארגון חייב לקיים באופן שוטף, לאורך כל השנה, במדרג עולה מרמת האבטחה הנמוכה ביותר ועד לרמת האבטחה הגבוהה. דרישות אלו כוללות, בין היתר, נוהלי אבטחה מסודרים, מיפוי מערכות המאגר, עריכת מבדקי חדירה וסקרי סיכונים, מסמך תיעוד הגדרות מאגר, יישום מנגנוני אבטחה, ניהול הרשאות גישה למאגר, ביקורות תקופתיות, דיווח על אירועי אבטחה ועוד.

אחריות כפולה: מי מחויב לתיקון 13?
חשוב להבין כי המחויבויות על פי החוק והתקנות חלות הן על "בעל השליטה במאגר" (במקרה שלנו, העמותה) והן על "מחזיק המאגר" (למשל חברת תוכנה חיצונית, כגון Salesforce, המספקת שירות לבעל השליטה ושומרת עבורו את המידע).

תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות ייכנס לתוקף ב־14 לאוגוסט, 2025.
עיקרי השינויים בתיקון 13:

  • הרחבת הגדרת מידע אישי והחלפת המונח "מידע רגיש" ב"מידע רגיש במיוחד".
  • צמצום חובת רישום המאגרים והחלפתה בחובת הודעה לרשות על מאגרים גדולים ורגישים.
  • חובת מינוי ממונה על הגנת הפרטיות (DPO) בחברות המחזיקות מאגרים גדולים, ארגונים וגופים ציבוריים.
  • הרחבת תמיכת החוק בזכות העיון במידע.
  • הרחבת חובת היידוע בעת איסוף מידע אישי.
  • איסורים חדשים בדבר עיבוד מידע שלא כדין.
  • הרחבת סמכויות החקירה הפלילית וסמכויות האכיפה של הרשות להגנת הפרטיות.
  • הרחבת סמכות בתי המשפט לפסוק פיצויים ללא הוכחת נזק.
  • עיצומים כספיים מורחבים (מעשרות אלפי שקלים למאות אלפי שקלים לכל הפרה).
  • אפשרות מתן צו שיפוטי להפסקת עיבוד מידע או למחיקתו.
  • הרחבת תחום העבירות הפליליות הקשורות במאגרי מידע פרטי.

מדיניות אכיפה משתנה: קנסות והפרות

ראוי לציין שמדיניות רשות הגנת הפרטיות עד כה הוגדרה כ"אכיפה רכה", אבל החל מאוגוסט הקרוב, מדיניות זו צפויה להשתנות ולהפוך למחמירה יותר.
להלן כמה דוגמאות להפרות, והקנסות הנגזרים מהן:

דוג' א'
הפרה: הכנת מסמך הגדרות המאגר
פירוט ההפרה: בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א) לתקנות אבטחת מידע, בניגוד להוראות אותה תקנה, לרבות סוגי המידע השונים הכלולים במאגר המידע לפי תקנת משנה (3), בשים לב לרשימת סוגי המידע המהווים מידע בעל רגישות מיוחדת לפי סעיף 3 לחוק.
סכום העיצום הכספי: החל מ-2,000 ש"ח למאגר המנוהל בידי יחיד ועד ל-160,000 למאגר שחלה עליו רמת האבטחה הגבוהה.

דוג' ב'
הפרה: הכנת נוהל אבטחת מידע
פירוט ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר ותקנות אבטחת מידע (להלן – נוהל אבטחה), בניגוד להוראות תקנה 4(א) לתקנות אבטחת מידע או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות האמורות, לפי העניין.
סכום העיצום הכספי: החל מ-2,000 ש"ח למאגר שחלה עליו רמת האבטחה הבסיסית ועד ל-160,000 למאגר שחלה עליו רמת האבטחה הגבוהה.

דוג' ג'
הפרה: בקרה ופיקוח על גורם חיצוני (מיקור חוץ)
פירוט ההפרה: בעל שליטה במאגר מידע שהתקשר עם גורם חיצוני צורך קבלת שירות, שלא קבע במפורש בהסכם עם הגורם החיצוני את העניינים המנויים בתקנה 15(א)(2) לתקנות אבטחת מידע או שלא נקט כל אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות שנקבעו בהסכם האמור בעניינים המפורטים בפסקאות משנה (ד) ו־(ו) עד (ח) בתקנה האמורה, בניגוד לתקנה 15(א)(4) לתקנות אבטחת מידע.
סכום העיצום הכספי: החל מ-4,000 ש"ח למאגר שחלה עליו רמת האבטחה הבסיסית ועד ל-320,000 למאגר שחלה עליו רמת האבטחה הגבוהה.

כיצד מתארגנים לציות לחוק הגנת הפרטיות

מדריך מעשי: ממיפוי ועד סגירת פערים

שלב 1: מיפוי מאגרי המידע וזיהוי רמות האבטחה

בשלב זה, יש למפות את כל המידע של הארגון הכפוף לדרישות חוק הגנת הפרטיות ותקנותיו.
במסגרת זו עליכם לזהות את מאגרי המידע הקיימים – כמו עובדים, ספקים, מצלמות, לקוחות/מטופלים וכד' – ובהתאם לקבוע את רמת האבטחה הנדרשת לכל אחד מהם.

שלב 2: מיפוי פערים מול דרישות החוק

לאחר מיפוי המאגרים וסיווגם לפי רמת אבטחה, יש לבצע ניתוח פערים מפורט. זהו תהליך שבו בוחנים סעיף אחר סעיף את ההתאמה בין המצב הקיים בארגון לבין דרישות החוק, התקנות ותיקון 13.
המטרה היא לזהות במדויק מה נדרש כדי להגיע לתאימות מלאה לדרישות החוק.

שלב 3: סגירת פערים

סגירת הפערים שזוהו מתחלקת לכמה רבדים:
• פערים טכניים – הטמעת מנגנוני הגנה על המאגרים, הגדרת תהליכי הגנה, הסדרת אופן הגישה למאגרים, יישום מתן זכות מחיקה של נשוא המידע וכד'.
• פערים בנהלים, מסמכים ותהליכים – בהתאם לדרישות החוק יש לתחזק נוהל אבטחה, מסמך מיפוי מערכות המאגר, מסמך הגדרות מאגר, תיעוד גישה ועוד.
• פערים מול גורמי מיקור חוץ – תקנה 15 ותיקון 13 מחייבים ניהול, תיעוד והתאמת ציפיות מול גורמי מיקור חוץ/מחזיקים במאגר.

שוטף – עדכונים נדרשים

לכל רמת אבטחה קיימות דרישות לעדכונים שוטפים של תהליכי ההגנה, הנהלים ואופן העבודה מול גורמי מיקור חוץ. עדכונים אלו כוללים, למשל הגדרה מחודשת של סוגי מידע (האם המידע הוא "אישי" או "אישי בעל רגישות מיוחדת"), בחינת צמצום מידע מיותר וסילוק מידע עודף שאינו נחוץ, עדכון תהליכי איסוף המידע והיידוע (כולל מדינות פרטיות), מיפוי עדכני של כל הגורמים המחזיקים במאגר, עריכת תסקיר השפעת פרטיות (DPIA) בהקשר למידע האישי השמור במאגר ועוד.
חשוב להקפיד על עמידה בפעילות השוטפת כדי למנוע מצב של הפרות.

תיעוד אירועי אבטחת מידע ודיווח

לבסוף, חשוב לציין כי חלה חובה חוקית לתעד ולדווח לרשות הגנת הפרטיות על כל אירוע אבטחת מידע הקשור למאגרי המידע שלכם.

הזדמנות חד־פעמית: הירשמו לוובינר להצגת מודול הגנת הפרטיות של פלטפורמת CISOteria וקבלו שנת שימוש חינם במודול הגנת הפרטיות בהתקשרות לשנתיים

מודול הגנת הפרטיות של סיסוטריה מאפשר לקצר זמנים ולשפר באופן משמעותי את עמידת הארגון בדרישות החוק והתקנות – והכול בלחיצת כפתור:
• בחינת הפערים הנדרשים לעמידה בחוק
• המלצת משימות לסגירת פערים, הקצאה ומעקב אחר משימות סגירת הפערים
• מעקב שוטף אחר סטטוס הציות לחוק

נוסף לכך, המודול מציע כלים מתקדמים המייעלים את תהליכי הציות והניהול השוטף:

דשבורד – משקף תמונת מצב עדכנית לגבי סטטוס העמידה בדרישות החוק והתקנות, בחתכים שונים (כל מאגרי המידע, מאגר ספציפי, מאגרים ברמת סיווג מסוימת).

סטטוס מאגרים ומסמכים נדרשים – מוצגת תמונה עדכנית של המאגרים, של המסמכים הקיימים והחסרים לכל מאגר, וכן תמונת מצב של המשימות הנדרשות לסגירת הפערים.

סטטוס עמידה בסעיפים ובתקנות – המודול החדש מציג כל סעיף בחוק או תקנה באחד משלושה מצבים – ניתוח פערים, סגירת פערים או שוטף. לכל סעיף/תקנה עבור כל מאגר, אפשר ללחוץ על כפתור "פירוט" ולקבל חלון צדדי המציג את כל דרישות הסעיף/התקנה, מידת העמידה בהן, וכן משימות מומלצות לסגירת הפערים.

מסמך הגדרות מאגר בלחיצת כפתור – במקום להשקיע שעות וימים בהכנת מסמך הגדרות מאגר, כנדרש על פי החוק, המערכת מאפשרת יצירת מסמך הגדרות מאגר (PDF) בלחיצת כפתור.

להרשמה לוובינר הצגת מודול הגנת הפרטיות של CISOteria וזכאות לשנת שימוש חינמית – יש להקיש כאן

מעוניינים בניתוח פערים אל מול דרישות חוק הגנת הפרטיות בכלל ולתיקון 13 בפרט? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה