קנסות של מיליוני שקלים, סמכויות אכיפה רחבות וחובות חדשות: תיקון 13 משנה את כללי המשחק בתחום הפרטיות. הנה הדגשים שחשוב להכיר.
הגנת הפרטיות: דגשים מעשיים לתיקון 13 לחוק
מהם הדגשים המעשיים שחשוב להקפיד עליהם?
רבות דובר בתיקון מס' 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב־14 באוגוסט 2025, בעקבותיו הרשות להגנת הפרטיות פרסמה מדריך מעשי.
המדריך מיועד לכל מי שהגנת הפרטיות חשובה לו, וכולל, דגשים ודוגמאות מעשיות ליישום דרישות החוק, בהן: עדכון הגדרות המהותיות בחוק; צמצום חובת רישום מאגרי מידע; חובת הודעה על מאגרי מידע גדולים בהם מידע בעל רגישות מיוחדת; חובת מינוי ממונה הגנה על הפרטיות, ועוד.
ריכזנו עבורכם מספר דגשים מעשיים מתוך המדריך, שהם בבחינת "20% שמכילים 80%" מהפעולות, שנדרשות לעמידה בהוראות החוק.
האם הארגון מחזיק ב"מידע אישי" או ב"מידע רגיש במיוחד"?
בדקו האם הסטטוס של המידע שמוחזק בארגון לא השתנה בעקבות התיקון לחוק, שכן ההגדרה למידע אישי הורחבה מאוד. היום, מידע אישי הוא כל מידע שמזהה אדם – ישירות או בעקיפין (שם, תעודת זהות, מיקום, מידע רפואי וכו').
בדקו האם הסטטוס של המידע נכנס לקטגוריה של "מידע רגיש במיוחד", שמכיל נתונים כגון: מידע רפואי; מידע ביומטרי; מידע פיננסי; דעות פוליטיות; נטייה מינית, ועוד.
מה לעשות: מפו את כל הנתונים שמוחזקים במאגרי המידע בארגון וסווגו אותם לאור ההגדרות בחוק.
חשוב: לזכור לעדכן בהתאם את מסמך הגדרת מאגרי מידע ואת נוהל אבטחת מידע.
האם הארגון עדיין חייב לרשום מאגרי מידע?
אם לאור המיפוי למעלה, הארגון בעל מאגרי מידע שמכילים מידע אישי או מידע רגיש במיוחד, אזי בדקו האם עליכם לרשום את מאגרי המידע או לדווח עליהם. אומנם, צומצמה החובה לרשום מאגרי מידע, אך נותרה החובה להודיע לרשות על מאגרים גדולים או רגישים.
אם הארגון הוא גוף ציבורי או גוף עסקי שסוחר במידע, קיימת חובה לרשום את מאגרי המידע.
מה לעשות: מפו את כל מאגרי המידע בארגון והחליטו האם חובה לרשום אותם או ליידע את הרשות להגנת הפרטיות.
חשוב: ניתן גם למחוק מאגר מידע מהרישום אצל רשם מאגרי מידע.
מיהם ארבעת המוסקטרים?
שלושה מהם: איסוף, הרשאה, מטרה
ודאו שהמידע במאגרי המידע בארגון, נאסף כחוק, בהרשאה, ולמטרה שלשמה נאסף המידע. לשם כך, וודאו האם המידע נאסף מכוח הסמכה בדין או מכוח הסכמה מדעת של העובדים/הלקוחות/הצרכנים/הספקים (להלן – נושאי המידע), שהמידע הוא אודותם.
וודאו שהארגון משתמש במידע אך ורק למטרה שלשמה המידע נאסף, וכפי שהוצגה לנושאי המידע.
מה לעשות: מפו את מחזורי החיים של מידע בארגון, מרגע איסופו ועד לביעורו. אחר כך, וודאו שכל מחזור חיים כזה עומד בהוראות הדין לגבי איסוף, הרשאה ומטרה.
חשוב: את ההסכמה של נושא המידע לאיסוף המידע שמרו כאסמכתא.
ועוד אחד נוסף: זכויות
הקפידו על זכויות נושאי המידע, והקפידו להתייחס ולהיענות לבקשה של נושא מידע שרוצה לדעת איזה מידע נאסף עליו, לעיין במידע הזה, או לתקן מידע שגוי אודותיו. ממונה להגנת הפרטיות יטפל בבקשות כגון אלה.
מה לעשות: מנו ממונה להגנת הפרטיות, והטילו עליו לטפל בזכויות נושאי המידע.
חשוב: ארגון שלא ישמור על זכויות נושאי המידע, עלול להידרש לפצות כספית את נושא המידע.
הממונה להגנת הפרטיות הוא יקיר הארגון (והמדינה)
ארגון שהוא גוף ציבורי, ארגון שמעבד מידע רגיש בהיקף גדול או ארגון שמבצע ניטור שיטתי של אנשים, חייב למנות ממונה להגנת הפרטיות. ממונה להגנת הפרטיות יקפיד על זכויות נושאי המידע, ויפחית את החשיפה של הארגון, בין היתר, לנזק כספי.
מה לעשות: מנו ממונה להגנת הפרטיות.
חשוב: החוק והרשות להגנת הפרטיות מייחסים חשיבות רבה למינוי ממונה להגנת הפרטיות.
לסיכום, לא "לעצום עיניים"
הרשות להגנת הפרטיות קיבלה סמכויות רחבות יותר. ארגון שלא עומד בהוראות החוק ומשתמש במידע ללא הרשאה, חושף עצמו לקנסות גבוהים (עד מיליוני ₪), לאפשרות להוצאת צווים להפסקת שימוש במידע או למחיקתו, ולצעדי חקירה ואכיפה, גם פליליים, של הרשות להגנת הפרטיות.
מה לעשות: בצעו את הפעולות שהוזכרו מעלה.
חשוב: הרשות קיבלה מעמד עצמאי וסמכויות רחבות לחקירה ואכיפה, גם פליליים.
מעוניינים בניתוח פערים אל מול דרישות חוק הגנת הפרטיות בכלל ולתיקון 13 בפרט? פנו למומחי איי פי וי סקיוריטי!
להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.
