cyberoot

תיקון 13

צרו קשר לקבלת פרטים נוספים והצעת מחיר

מה צריך לעשות כדי לעומד בתיקון 13 שנכנס לתוקף באוגוסט 2025

על מנת לעמוד בתיקון 13 לחוק הגנת הפרטיות, שייכנס לתוקף באוגוסט 2025, כל ארגון/עסק המחזיק או מעבד מידע אישי – ובפרט מידע רגיש או מידע על מספר רב של אנשים – חייב לבצע צעדים משמעותיים בניהול ושמירה על פרטיות המידע:

הצעדים המרכזיים הנדרשים:

  • מיפוי ואבטחת מאגרי מידע: יש למפות את המידע שנשמר בארגון ולנהל אותו על פי סיווגי רמת סיכון, כולל ניהול הרשאות גישה מחמירות, תיעוד גישה ושמירה מאובטחת של כל המידע.

  • ביקורות תקופתיות: נדרש לקיים בדיקות וביקורות פנימיות סדירות על נהלי המידע, לעדכן נהלים ולהכשיר עובדים בהתאם.

  • מינוי ממונה הגנת פרטיות (DPO): חובה זו חלה על גופים ציבוריים, חברות עם מאגר מידע רגיש בהיקף נרחב, ועסקים שמחזיקים מידע של מעל 10,000 אנשים או סוחרי במידע. הממונה אחראי לפיקוח על העמידה בדרישות החוק, ניהול המאגרים והדרכת הצוות.

  • עדכון הנהלים וספקים: יש לוודא שגם ספקי המשנה והשותפים העסקיים עומדים בדרישות החוק.

  • הגברת חובת שקיפות: חובה ליידע נושאי מידע (הלקוחות/העובדים וכד') מהו יעד איסוף המידע, מה השימושים, מי בעל המאגר ואיזה גורמים נוספים יקבלו את המידע.

  • דיווח על פרצות אבטחה: חובה לדווח מיידית לרשות להגנת הפרטיות ולנפגעים במקרה של דליפת מידע או פריצה.

  • הפחתת חובת רישום: חובת רישום מאגרי מידע בוטלה ברוב המגזר הפרטי, אך קיימת עדיין עבור גופים ציבוריים או מאגרי מידע עם מידע על מעל 10,000 אנשים שמיועד למסירת נתונים או מסחר בהם.

  • הגדלת הסנקציות והקנסות: העיצומים הכלכליים הועלו משמעותית – עד מאות אלפי שקלים להפרה, כשהקנס מקבל הפחתה לעסקים קטנים וזעירים בהתאם למחזור העסקאות.

מה עוד נדרש לבדוק?

  • האם נאסף מידע רגיש (בריאותי, פיננסי, ביומטרי, דעות פוליטיות או אמונה דתית וכד').

  • כמה אנשים רשומים במאגר, כמה זמן המידע נשמר ותדירות השימוש בו.

  • שימוש במידע לשיווק, מסירתו לספקים חיצוניים, העברת מידע לחו"ל – כל אלו דורשים תשומת לב ורובם חייבים בתיעוד ואישורים מתאימים.

  • כל הדרישות נוגעות הן לארגונים גדולים והן לחברות קטנות ולמפעילי אתרי אינטרנט וסחר אונליין, עם דגש חשוב על חברות בתחום הבריאות, הפיננסי, הביטוח, האשראי, הסייבר ועוד.

בעקבות תיקון 13, חלה הקלה משמעותית בחובת הרישום של מאגרי מידע לעסקים ברוב המגזר הפרטי:

  • רוב העסקים במשק כבר אינם חייבים לרשום כל מאגר מידע (למשל, מאגרי לקוחות, ספקים, עובדים או צילומי אבטחה) בפנקס מאגרי המידע של הרשות להגנת הפרטיות, כפי שהיה נדרש בעבר.

  • חובת הרישום נשארה רק עבור:

    • גופים שמטרתם העיקרית היא איסוף מידע למסירה לאחרים, בין אם כחלק מהפעילות העסקית (data brokers, שירותי דיוור ישיר) ויש במאגרים מידע אישי על יותר מ-10,000 אנשים.

    • גופים ציבוריים.

  • יחד עם זאת, נוספה חובת דיווח ("הודעה") חדשה לרשות עבור בעלי מאגרים שאינם חייבים ברישום, אבל במאגרים שלהם נמצא מידע רגיש במיוחד על יותר מ-100,000 אנשים – חייבים להודיע על זהותם, להביא את פרטיהם, ולעיתים גם את שם ממונה הגנת הפרטיות, אם כזה קיים.

  • עליך לדעת: גם אם העסק אינו חייב ברישום, כל מאגר מחויב לעמוד ביתר דרישות החוק – שמירה על אבטחת מידע, שקיפות בהודעה לנושאי המידע, עמידה בזכויות עיון, תיקון ומחיקה, וכן מילוי תקני האבטחה.

אם ברשותך מאגר מידע שאינו עומד בקריטריונים אלה – תוכל, עם כניסת התיקון לתוקף, לפעול להסרת הרישום הקיים שלו מול הרשות, אך עדיין תישאר מחויב לשאר חלקי החוק.

לסיכום:
כל עסק שמנהל מידע אישי חייב להיערך מחדש: להחמיר באבטחת המידע, לשפר את הבקרה, לבצע מיפוי, למנות ממונה פרטיות (אם נדרש), לעדכן את נהלי הדיווח והשקיפות, לוודא עמידה של ספקים – ולהכיר את מדרגות הסנקציות האפשריות לתקלה. מומלץ לערוך בדיקת פערים מקצועית בעזרת ייעוץ משפטי וטכנולוגי לקראת אוגוסט 2025.

Facebook
Twitter
LinkedIn
דילוג לתוכן