חוק ישן, עידן חדש: תיקון 13 משנה את חוקי המשחק

חוק הגנת הפרטיות נחקק ב-1981, בתקופה שבה מאגרי מידע היו בעיקר קלסרים בחדרים נעולים ולא פלטפורמות ענן עם מיליוני משתמשים. תיקון 13 נולד מתוך צורך דחוף לגשר על הפערים שנפערו בין המציאות הטכנולוגית של 2025 והמסגרת החוקית שקדמה לה.

החקיקה החדשה לא רק מרעננת את לשון החוק, אלא מטילה חובות קונקרטיות על בעלי מאגרי מידע ודורשת מכל ארגון לשאול את עצמו: האם אני באמת שולט במידע שאני מחזיק? והאם אני עושה זאת כחוק?

כל ארגון בישראל שמנהל מידע אישי על אזרחים, בין אם מדובר במערכת CRM, מערכת הרשאות, רשימות דיוור, או ניתוחי נתוני לקוחות, חייב לבחון מחדש את עמידתו בדרישות החוק. גם ארגונים שלא היו מחויבים בעבר יכולים להיכנס כעת תחת ההגדרה החדשה של "בעל שליטה במאגר מידע" – מונח שמחליף את ה"בעלים" בהגדרה המסורתית ומטיל אחריות רחבה יותר.

המעבר ממודל הצהרתי למודל אכיפתי דורש מאיתנו להפסיק "לקוות לטוב" ולהתחיל לנהל את המידע בצורה אחראית, מבוקרת, ומקצועית

עיקרי החוק החדש (או: "מה נדרש ממני בפועל?")

הנה רשימה ממוקדת של הדרישות המרכזיות בתיקון 13:

חובת רישום מאגר מידע – אם יש לכם מידע אישי על יותר מ-10,000 אנשים, אתם כנראה חייבים ברישום, וגם אם לא, ייתכן שחלה עליכם חובת דיווח על קיום המאגר. כעת גם קבצים "תמימים" יחסית, כמו קובץ אקסל עם פרטי עובדים, עלולים כעת להיחשב כמאגר הדורש רישום, במיוחד אם יש בו מידע מזהה או מידע רגיש.

מינוי ממונה הגנת פרטיות (DPO) – חובה על גופים ציבוריים, חברות עם עיסוק מהותי בעיבוד מידע רגיש, או ארגונים שמבצעים ניטור שיטתי בהיקף רחב.

אכיפה מנהלית ואחריות אישית – הרשות להגנת הפרטיות קיבלה סמכויות חדשות להטיל עיצומים כספיים משמעותיים, ובמקרים מסוימים אף להפעיל אחריות אישית פלילית על מנהלים.

שקיפות מול הציבור – חלה חובה ליידע את נושאי המידע באילו נתונים אתם מחזיקים, מה מטרת השימוש, מי אחראי עליהם בארגון, ואיך ניתן ליצור קשר עם ה-DPO בארגונכם.

פיצויים ללא הוכחת נזק – אדם יכול לתבוע עד 10,000 שקל גם בלי להוכיח שנגרם לו נזק בפועל, אם ארגון לא עמד בדרישות החוק.

תיקון נרחב בחוק אמור לשמור טוב יותר עליה. פרטיות האזרחים. צילום: BigStock

מה הסיכון באי-עמידה בתנאי התיקון?

ההשלכות הכלכליות והתדמיתיות של אי-עמידה בתנאי תיקון 13 עלולות להיות משמעותיות:

• קנסות לארגון של עשרות עד מאות אלפי שקלים
• אחריות אישית למנכ"לים, סמנכ"לים, ומנהלי מערכות מידע
• תביעות אזרחיות ללא הוכחת נזק
• נזק למוניטין והפסד אמון לקוחות

זו כבר לא המלצה – זו חובה רגולטורית.

כך תוודאו שהארגון שלכם ערוך לתיקון 13

המעבר ממודל הצהרתי למודל אכיפתי דורש מאיתנו להפסיק "לקוות לטוב" ולהתחיל לנהל את המידע בצורה אחראית, מבוקרת, ומקצועית.

תחילה יש לבצע Privacy Audit מקיף. מדובר בבדיקה שיטתית ויסודית של כל המערכות, המאגרים והתהליכים הקיימים בארגון. יש לבצע מיפוי של מאגרי המידע, לבדוק אילו מהם חייבים ברישום או בהודעה לפי החוק, ולנתח את אופן עיבוד המידע, האבטחה עליו, והתאמתו לדרישות המעודכנות. בסיום הבדיקה הארגון מקבל דוח מקצועי הכולל דירוג סיכונים, פערים רגולטוריים, והמלצות מפורטות ליישום. עבור ארגונים רבים, זו הפעם הראשונה שבה נחשפים למורכבות המלאה של ניהול מידע אישי וכאן מתחיל השינוי.

השלב הבא הוא שלב היישום, יש להטמיע את החוק בתהליכי העבודה: ניסוח מדיניות פרטיות פנימית וחיצונית, גיבוש נוהלי אבטחת מידע, יצירת טפסי הסכמה מותאמים, הקמת מערך לטיפול בבקשות עיון ותיקון של מידע אישי, וניהול שוטף של מסמכי הגדרות המאגר כפי שנדרש בתקנות. התהליך נעשה באופן שמותאם לתחום הפעילות, להיקף המידע בארגון, ולרמות הסיכון שלו.

כותבת הטור היא מנכ"לית חברת אשנב מערכות מידע, מקבוצת אמן (Aman)