הגנת הפרטיות 2025
תיקון 13- הערכות ומשמעויות
תיקון 13 לחוק הגנת הפרטיות הוא עדכון משמעותי שנעשה לחוק הגנת הפרטיות בישראל. התיקון מתמקד בעיקר בהתאמת החוק לתקנות וסטנדרטים עולמיים, כגון ה-GDPR האירופי, וכן בהתמודדות עם אתגרי פרטיות המידע בעידן הטכנולוגי המתקדם.
עו"ד ליאור חיים, סמנכ"לית GRC, CYBEROOT
[email protected]
להלן כמה מהשינויים המרכזיים שהוכנסו בתיקון זה
- הקשחת הדרישות לעיבוד מידע אישי – דרישה לקבלת הסכמה מפורשת מעובדי מידע אישי והבהרה ברורה כיצד נעשה שימוש במידע זה.
- זכויות מורחבות לנושאי המידע – מתן זכות גישה, תיקון ומחיקה של מידע אישי בקלות ובמהירות, בהתאם לסטנדרטים בינלאומיים.
- דרישות אבטחת מידע מחמירות – יישום מנגנוני הגנה חזקים יותר על מאגרי מידע וניהול פרואקטיבי של סיכונים.
- חובה על מינוי ממונה הגנת פרטיות (DPO) – חובת מינוי קצין הגנת פרטיות לארגונים מסוימים, כולל מתן ייעוץ, פיקוח על פעולות העיבוד, והבטחת עמידה בחוקים.
- הטלת סנקציות וקנסות ללא הוכחת נזק – הרחבת סמכויות האכיפה של רשות הגנת הפרטיות, לרבות קנסות מנהליים כבדים על הפרות חוק גם ללא הוכחת נזק.
תיקון 13 שם דגש על יצירת שקיפות והגברת האמון של הציבור באשר לאופן שבו מנוהל המידע האישי שלו, תוך התמקדות בצמצום סיכונים ומתן כלים אפקטיביים לארגונים לנהל פרטיות בצורה חוקית ופרואקטיבית. תיקון מס’ 13 לחוק הגנת הפרטיות אושר במליאת הכנסת בקריאה שנייה ושלישית ב-5 באוגוסט 2024. התיקון פורסם ברשומות ב-באוגוסט 2024, ועתיד להיכנס לתוקף שנה לאחר מכן, ב-באוגוסט 2025
התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה מורחבות, כולל
- הטלת קנסות מנהליים: הגדלת סכומי הקנסות על הפרות החוק, בהתאם לחומרת ההפרה.
- סמכויות פיקוח ובקרה: יכולת לבצע ביקורות ופיקוח יזומים בארגונים כדי לוודא עמידה בדרישות החוק.
- הגברת האכיפה הפלילית: במקרים חמורים, אפשרות לנקוט בהליכים פליליים נגד מפרי החוק.
מטרת התיקון היא לחזק את ההגנה על פרטיות המידע בישראל, ולהתאים את החקיקה המקומית לסטנדרטים בינלאומיים, כמו ה-GDPR האירופי.
תיקון 13 מהווה ציון דרך חשוב בהתפתחות דיני הפרטיות בישראל, תוך הרחבת הדרישות והמחויבויות של חברות בתחומי פרטיות ואבטחת מידע. מאחר שהתיקון ייכנס לתוקף שנה ממועד פרסומו, נדרשות החברות להיערך כבר כעת ליישום השינויים הנדרשים.
רשימת תהליכים לביצוע בכדי לוודא תאימות לחוק
מיפוי ותיעוד המידע האישי בארגון
- זיהוי מאגרי המידע הקיימים בארגון.
- תיעוד סוגי המידע האישי הנאסף, משך השמירה, מטרת השימוש, והיכן הוא נשמר.
- זיהוי תהליכי עיבוד המידע, כולל צדדים שלישיים המעורבים (כמו ספקים חיצוניים).
מינוי ממונה על הגנת פרטיות (DPO)
- בחירת ממונה שילווה את הארגון בתהליך העמידה בתקנות.
- הגדרת תחומי האחריות של הממונה, כולל פיקוח על עמידה בחוק וייעוץ שוטף.
עדכון מדיניות פרטיות
- ניסוח מדיניות פרטיות ברורה ומפורטת, זמינה לעובדים וללקוחות.
- הבטחת קבלת הסכמה מפורשת לשימוש במידע אישי, בצורה פשוטה ושקופה.
- בחינה מחדש של הטפסים והחוזים הקיימים כדי לכלול סעיפים רלוונטיים להגנה על פרטיות.
יישום אמצעי אבטחת מידע מחמירים
- ביצוע סקר סיכונים למאגרי המידע והטמעת בקרות אבטחה טכנולוגיות ופרוצדורליות.
- הצפנת מידע אישי רגיש במאגרים ובמערכות.
- ניהול הרשאות גישה לפי תפקידים וצרכים בלבד (Principle of Least Privilege).
ניהול זכויות נושאי מידע
- יישום מנגנון שיאפשר ניהול זכויות כמו גישה למידע, מחיקתו או תיקונו.
- הגדרת תהליך מובנה ופרק זמן ברור למענה לבקשות אלה.
הדרכה והעלאת מודעות לעובדים
- ביצוע הדרכות בנושא הגנת פרטיות לכל עובדי הארגון.
- הבטחת הבנה של מחויבות הארגון לעמידה בתקנות ושמירה על מדיניות פרטיות ואבטחת המידע.
עמידה בדרישות דיווח ואירועים
- הכנת תהליכים לדיווח על אירועי פרטיות או פרצות מידע תוך פרק הזמן הנדרש.
- הכנת נוהל תגובה מיידי לאירועי פרטיות ואבטחת מידע.
הסדרת ניהול יחסים עם צדדים שלישיים
- חתימה על הסכמי עיבוד נתונים (Data Processing Agreements) עם ספקים.
- ווידוא שכל צד שלישי שמעבד מידע עומד בדרישות החוק.
עמידה בתקנות ספציפיות לעיבוד מידע רגיש
- הגדרה של מדיניות ייעודית למידע רגיש (לדוגמה: מידע רפואי, פיננסי וכו’).
- ווידוא שהגישה למידע רגיש מוגבלת למורשים בלבד.
ניטור ועדכונים שוטפים
- ביצוע ביקורות תקופתיות לבחינת עמידה בתקנות.
- מעקב אחר עדכונים רגולטוריים והטמעתם בתהליכי הארגון.
- קיום מבדקי חדירה (Penetration Tests) לבדיקת עמידות מערכות האבטחה.
רשימה זו מהווה נקודת פתיחה, יש להתאים אותה למאפיינים הייחודיים של הארגון שלך ואינה מהווה ייעוץ משפטי
