בקצרה
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף, אינו עוד המלצה או הנחיה כללית.
מדובר בשינוי חקיקה משמעותי שמטיל אחריות כבדה וחסרת תקדים על כל ארגון בישראל שאוסף, מחזיק או מעבד מידע אישי. בקצרה,
אם הארגון שלכם עדיין לא ביצע מיפוי של מאגרי המידע שלו, לא עדכן את מדיניות אבטחת המידע, ולא הכין נוהל מסודר לדיווח על אירועי אבטחה, אתם חשופים לסנקציות כלכליות משמעותיות ולפגיעה קשה במוניטין.
החוק החדש דורש גישה פרואקטיבית והכנות מתאימות על מנת להיות ערוכים והשאלה היא לא אם תצטרכו להתמודד עם זה, אלא מתי.
אנחנו כאן ב ERG ערוכים ללוות אתכם ולספק לכם את המענה הטכני, להכין את המסמכים הנדרשים על מנת להיות ערוכים.
אז מה בעצם אומר תיקון 13? ומה צריך לעשות
צעדים להיערכות: מתיאוריה למעשה
מאוד פשוט – תיקון 13 מגדיר את סמכויות הפיקוח, האכיפה והקנסות של הרשות להגנת הפרטיות, מה שלא היה עד היום.
זה אומר שמי שלא ערוך, חשוף לקבל קנסות על הפרות ואי עמידה בהנחיות.
מה צריך לעשות ?
הבנו את הרקע והסיכונים, כעת ניגש לשאלה החשובה ביותר: מה עושים בפועל? היערכות נכונה לתיקון 13 אינה פרויקט של "זבנג וגמרנו", אלא תהליך מתמשך הדורש מחויבות ארגונית.
שלב 1: מיפוי והגדרות מאגרי המידע
אי אפשר להגן על מה שלא יודעים שקיים. הצעד הראשון וההכרחי הוא לבצע מיפוי מקיף של כל המידע בארגון ולקטלג אותו אותו דרך הגדרות החוק. הגדרת מאגרי המידע מובילה להבנה של רמת האבטחה הנדרשת – סיבית, בינונית, גבוהה כאשר לכול רמת אבטחה דרישות שונות.
שלב 2: הערכות בהתאם לרמת האבטחה הנדרשת
לאחר שהוגדרו המאגרים ורמת האבטחה הנדרשת אפשר להתחיל עם מעבר על התקנות והכנת מענה ומסמכים בהתאם לדרישות במסמך המדריך המלא ליישום תקנות הגנת הפרטיות.
שלב 3: יישום כלים ושיפור נהלים
חלק ממצאי תהליך ההערכות יכול להוביל להגדרת מדיניות ונהלים חדשים, הטמעה של כלי אבטחה שיאפשרו תמיכה והגנה משופרת.ה.
שלב 4: בקרה ומעקב שוטף
לאחר סיום התעלך והכנת המסמכים והנהלים נדרשת בקרה ומעקבים שטפים לוודא המשך העמידה בדרישות הגנת הפרטיות.
הבנו את הרקע והסיכונים, כעת ניגש לשאלה החשובה ביותר: מה עושים בפועל? היערכות נכונה לתיקון 13 אינה פרויקט של "זבנג וגמרנו", אלא תהליך מתמשך הדורש מחויבות ארגונית.
בעידן הדיגיטלי, עסקים מכל הגדלים והתחומים מבינים שמידע הוא המטבע החזק ביותר. מידע על לקוחות, ספקים ועובדים הוא הדלק שמניע צמיחה, מאפשר קבלת החלטות חכמות ומעניק יתרון תחרותי. אך ככל שהתלות במידע גוברת, כך גוברים גם הסיכונים. דלף מידע, פריצת סייבר או אפילו שימוש לא נכון בנתונים עלולים למוטט עסק בן לילה. על הרקע הזה בדיוק נכנס לתמונה תיקון 13 לחוק הגנת הפרטיות. זהו לא עוד עדכון טכני לחוק ישן, אלא מהפכה של ממש בתפיסת האחריות של ארגונים כלפי המידע שהם מחזיקים. החוק החדש מיישר קו עם הרגולציה האירופית המחמירה (GDPR) ומבהיר בצורה חד משמעית: ניהול נכון ואחראי של מידע אישי הוא לא פריבילגיה, אלא חובה בסיסית. המשך קריאה יבהיר לכם בדיוק מה השתנה, מה זה דורש מכם, וכיצד תוכלו להפוך את האתגר הרגולטורי הזה להזדמנות אסטרטגית.
העולם הטכנולוגי משתנה בקצב מסחרר, והרגולציה מנסה להדביק את הקצב. תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, הוא התיקון המקיף ביותר שבוצע בחוק זה מאז נחקק. מטרתו המרכזית היא להתאים את החקיקה הישראלית למציאות הדיגיטלית הנוכחית, שבה מידע אישי נאסף, מעובד ומועבר בכמויות אדירות ובמהירות שלא הכרנו בעבר. התיקון מרחיב באופן משמעותי את האחריות המוטלת על ארגונים ומחמיר את סמכויות האכיפה של הרשות להגנת הפרטיות.
אחד השינויים הבסיסיים והחשובים ביותר הוא עדכון ההגדרות. המונח "מידע" הוחלף ב"מידע אישי", והגדרתו הורחבה לכלול כל נתון הנוגע לאדם מזוהה או אדם הניתן לזיהוי, במישרין או בעקיפין. המשמעות היא שגם פרטי מידע שנראו בעבר שוליים, כמו כתובת IP או מזהים דיגיטליים אחרים, נחשבים כעת למידע אישי לכל דבר ועניין. בנוסף, התיקון מגדיר קטגוריה חדשה של "מידע אישי רגיש במיוחד", הכוללת נתונים ביומטריים, מידע גנטי, נתוני מיקום ועוד, שהטיפול בהם דורש רמת הגנה גבוהה אף יותר.
שינוי מהותי נוסף הוא צמצום חובת רישום מאגרי המידע. בעוד שבעבר ארגונים רבים נדרשו לרשום את מאגרי המידע שלהם אצל רשם מאגרי המידע, התיקון מצמצם חובה זו באופן דרסטי ומותיר אותה בעיקר לגופים ציבוריים ולארגונים שמטרתם העיקרית היא סחר במידע (Data Brokers). עם זאת, חשוב להדגיש שהפטור מרישום אינו פוטר בשום אופן מהחובות המהותיות של החוק, ובראשן החובה להבטיח את אבטחת המידע. כל ארגון, ללא קשר לגודלו או לתחום עיסוקו, עדיין מחויב באופן מלא להגן על המידע שברשותו.
אולי ההיבט המעשי והמטריד ביותר עבור מנהלים הוא החמרת סמכויות האכיפה. הרשות להגנת הפרטיות קיבלה כלים חדשים ומשמעותיים להטלת עיצומים כספיים על מפרי החוק, בסכומים שיכולים להגיע למאות אלפי שקלים ואף למעלה מכך, בהתאם לחומרת ההפרה. זאת, עוד לפני ההליך הפלילי או התביעות האזרחיות שניתן להגיש נגד הארגון. המשמעות היא ש"להיתפס" באי עמידה בדרישות כבר אינה תיאוריה. הסיכון הכלכלי הפך לממשי ומיידי.
איל, מנכ"ל ומייסד ERG
"במהלך יותר משני עשורים שאנחנו מספקים פתרונות מחשוב לארגונים, ראיתי איך מידע הפך מתוצר לוואי של הפעילות העסקית לנכס הליבה שלה. אבל עם העוצמה הזו באה אחריות ועכשיו גם חוק עם שיניים. החלטנו שאנחנו ב-ERG חייבים להרים את הכפפה ולשתף על תיקון 13, כי אני פוגש יותר מדי עסקים מבולבלים מהדרישות החדשות או גרוע מכך, לא מודעים להן כלל. המטרה שלנו היא לא להפחיד, אלא להנגיש ולפשט את הדברים ולתת סיוע ללקוחות שלנו. בסופו של יום, עמידה בחוק היא לא רק עניין של הימנעות מקנסות. זו הדרך לבנות אמון עם הלקוחות, לשמור על המוניטין של העסק ולהגן על הנכס הכי יקר שלו. אנחנו ב-ERG רואים את עצמנו כשותפים של לקוחותינו למסע הזה, ומלווים אותם בכל היבטי המחשוב הנדרשים כדי להבטיח שהם לא רק עומדים בחוק, אלא גם מוגנים ובטוחים".
שאלות נפוצות בנושא תיקון 13 לחוק הגנת הפרטיות
מה ההבדל בין תקנות אבטחת מידע לתיקון 13 לחוק?
תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017 קבעו את הסטנדרטים הטכניים והארגוניים הנדרשים להגנה על מאגרי מידע. הן מפרטות את "איך" לאבטח את המידע. תיקון 13 לחוק הוא רובד נוסף, רחב יותר. הוא מעדכן את הגדרות היסוד של החוק, מצמצם את חובת הרישום, אך במקביל מרחיב את האחריות, מחמיר דרמטית את סמכויות האכיפה והעיצומים הכספיים, ומוסיף חובות חדשות כמו מינוי ממונה להגנת הפרטיות במקרים מסוימים. למעשה, התיקון נותן "שיניים" חזקות יותר לאכיפת התקנות הקיימות ומעלה את הרף עבור כלל הארגונים.
האם אני חייב למנות ממונה על הגנת הפרטיות (DPO)?
התיקון לחוק קובע חובת מינוי ממונה על הגנת הפרטיות (Data Protection Officer) עבור גופים מסוימים. החובה חלה על גופים ציבוריים, על מי שמעבד מידע רגיש בהיקף נרחב או שפעילות הליבה שלו כרוכה במעקב שיטתי ורחב היקף אחר אנשים, ועל מי שמחזיק מאגרי מידע על יותר מ-500,000 איש. גם אם הארגון שלכם אינו עונה על הקריטריונים הללו, מינוי של גורם אחראי לנושא הפרטיות בארגון, גם אם לא בתפקיד רשמי של DPO, הוא פרקטיקה מומלצת בחום.
מה נחשב אירוע אבטחה "חמור" שמחייב דיווח?
החוק מחייב דיווח לרשות להגנת הפרטיות על "אירוע אבטחת מידע חמור". ההגדרה לאירוע חמור מתייחסת למצב שבו דלף מידע ממאגר המחייב רמת אבטחה גבוהה (לפי התקנות), או כאשר נעשה שימוש במידע ממאגר כזה בלא הרשאה או בחריגה מהרשאה. לדוגמה, אם נפרץ מאגר מידע המכיל מידע רפואי או נתוני אשראי של לקוחות, זהו ככל הנראה אירוע חמור המחייב דיווח מיידי לרשות. חשוב מאוד להגדיר בנוהל התגובה הפנימי שלכם קריטריונים ברורים לזיהוי אירוע כזה.
איך מתחילים תהליך של מיפוי מאגרי מידע בארגון?
התחילו ביצירת רשימה של כל המערכות והיישומים בארגון: מערכת CRM, תוכנת הנהלת חשבונות, מערכת דיוור, תיקיות משותפות ברשת, שירותי ענן ועוד. עבור כל מערכת, תעדו איזה סוג מידע אישי היא מכילה (שם, ת.ז., טלפון, מייל, מידע רגיש וכו'), מה מטרת האיסוף, היכן המידע מאוחסן פיזית, מי אחראי עליו ומי רשאי לגשת אליו. שתפו בתהליך את ראשי המחלקות השונות (שיווק, כספים, משאבי אנוש) כדי לקבל תמונה מלאה. הופתעו לגלות כמה מידע נאסף ונשמר ללא צורך אמיתי.
מהן הסנקציות על אי עמידה בהוראות התיקון לחוק?
התיקון לחוק מעניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים משמעותיים, שיכולים להגיע עד 3.2 מיליון שקלים במקרים מסוימים, וזאת ללא צורך בהליך פלילי. גובה העיצום תלוי בחומרת ההפרה, היקף הפגיעה, והאם מדובר בהפרה חוזרת. בנוסף, בתי המשפט הוסמכו לפסוק פיצויים ללא הוכחת נזק בסכומים גבוהים יותר מבעבר לאנשים שתבעו על פגיעה בפרטיותם. מעבר לסנקציות הכספיות, הנזק התדמיתי והאובדן העסקי כתוצאה מפרסום של אירוע אבטחה יכולים להיות הרסניים לא פחות.
גם אתם צריכים ליווי בהכנה לתיקון 13 ?
השאירו פרטים וניצור קשר בהקדם
סיכום: הגיע הזמן לפעול
תיקון 13 לחוק הגנת הפרטיות הוא קריאת השכמה לכל ארגון בישראל. ההתעלמות ממנו אינה אופציה, והגישה של "לי זה לא יקרה" הפכה למסוכנת ויקרה. החוק החדש מחייב שינוי תפיסתי: ניהול מידע אישי אינו עוד משימה של מחלקת המחשוב בלבד, אלא אחריות חוצת ארגון, מההנהלה הבכירה ועד אחרון העובדים.
הדרך לעמידה מלאה בדרישות מתחילה בצעדים יסודיים: מיפוי הנתונים, הבנת הסיכונים, קביעת מדיניות ברורה ויישום בקרות טכנולוגיות וארגוניות. זהו תהליך שדורש מומחיות, תשומת לב לפרטים והשקעת משאבים.
האתגר נראה גדול, אך אינכם צריכים להתמודד איתו לבד. שיתוף פעולה עם גורם מקצועי ובעל ניסיון יכול להפוך את התהליך המורכב הזה לפשוט ויעיל יותר. ב-ERG, אנו מציעים מגוון רחב של שירותי IT לעסקים המותאמים לסייע לכם בכל שלב. אנו נסייע לכם למפות את המערכות, להעריך את הסיכונים, לבחור את פתרונות האבטחה הנכונים, ולהבטיח שתשתית המחשוב שלכם לא רק תומכת ביעדים העסקיים, אלא גם עומדת בסטנדרטים הגבוהים ביותר של הגנת הפרטיות. אל תחכו לאירוע האבטחה הבא. צרו קשר עוד היום וודאו שהארגון שלכם מוגן, בטוח ומוכן לעתיד.