תיקון 13 לחוק הגנת הפרטיות

חוק הגנת הפרטיות נחקק עוד בשנת 1981 ועבר תיקונים שונים במהלך השנים. באוגוסט 2024 אישרה הכנסת את תיקון מס' 13 לחוק, שנכנס לתוקף ב‑14 באוגוסט 2025 ומיועד להתאים את הדין הישראלי למציאות הדיגיטלית ולאמות המידה הבינלאומיות כדוגמת ה‑GDPR. התיקון מרחיב ומעדכן הגדרות, מצמצם את חובת רישום מאגרי המידע ומטיל חובות של ממש על ארגונים המחזיקים במידע אישי.

מטרות התיקון

התיקון מבקש ליצור איזון בין חדשנות לבין הגנה על זכויות יסוד. החקיקה מעדכנת את מושגי הבסיס (למשל “מידע אישי” ו‑“עיבוד מידע”) ומרחיבה את ההגנה על מידע רגיש. כמו כן היא מצמצמת את החובה לרשום מאגרי מידע – כיום נדרשים לרישום רק גופים ציבוריים ומאגרי שיווק ישיר עם יותר מ‑10,000 אנשים ומשלבת אפשרות לתבוע פיצוי ללא הוכחת נזק בגין הפרת הוראות הגנת המידע. אחת החידושים המרכזיים היא חובת מינוי ממונה על הגנת הפרטיות בארגונים מסוימים, וכן הרחבת סמכויות האכיפה והענישה של הרשות להגנת הפרטיות והאפשרות להטיל עיצומים כספיים גבוהים.

מי כפוף לתיקון?

התקנות חלות על כל עסק או ארגון שמעבד או שומר מידע אישי באמצעים ממוחשבים. זאת כוללת חברות מסחריות, רשויות מקומיות, ארגונים ללא מטרת רווח וכל גוף אחר אשר מנהל נתונים של לקוחות, עובדים או ספקים. ההוראות מתייחסות לכל תחום עיסוק: החל מחברות טכנולוגיה ועד עמותות. העיקרון המנחה הוא שהיקף האבטחה ותהליכי הציות ייקבעו בהתאם לרמת הרגישות והיקף המידע שבמאגר.

הגדרות חדשות ומידע רגיש במיוחד

התיקון מאגד את ההגדרות השונות של החוק ומרכז אותן בסעיף 3 החדש. “נתונים אישיים” מוגדרים כיום ככוללים כל נתון על אדם מזוהה או שניתן לזיהוי באמצעות מאמץ סביר, ואילו “עיבוד מידע” כולל כל פעולה במידע, איסוף, שמירה, מיון, העברה או מחיקה. לצד זאת הורחבה רשימת הנתונים הרגישים במיוחד: פרטיות החיים והעדפתם המינית; מצב בריאותי; מידע גנטי; מזהה ביומטרי המשמש לזיהוי; מוצא; רישום פלילי; דעות פוליטיות או השקפות דתיות; הערכת אישיות; נתוני מיקום ותקשורת; משכורת ונתוני פעילות פיננסית; ומידע שחלה עליו חובת סודיות חוקית. עיבוד מידע מסוג זה מחייב שקיפות מוגברת, מנגנוני אבטחה חזקים ורשות למינוי ממונה על הפרטיות בארגון.

סיווג רמות אבטחה ומאפייני מאגרים

בהתאם לתקנות אבטחת המידע, מחולקים מאגרי המידע לארבע רמות:

1. מאגר המנוהל על‑ידי יחיד- אוסף אישי לשימוש פרטי.

2. מאגר ברמה בסיסית- מאגר שלא עונה על הגדרת הרמות הגבוהות יותר או שיש לו עד שלושה מורשי גישה. דוגמה לכך היא עסק קטן עם מעט עובדים. על גופים אלו חלות דרישות בסיסיות כגון הצפנת סיסמאות, כתיבת נוהל אבטחה, אבטחה פיזית של ציוד, הגבלת הרשאות גישה, הגדרת אמצעי מחיקה בטוחה ואחריות ניהולית לנושא.

3. מאגר ברמה בינונית- מאגר שמטרתו לאסוף מידע לצורך מסירתו לאחרים (כמו שירותי שיווק או תיווך), מאגרים של גופים ציבוריים או שירותי דיוור ישיר. ברמה זו יש לעמוד בכל הדרישות של הרמה הבסיסית וגם לבצע החלפת סיסמאות תקופתית, תיעוד כל הגישה למאגר, הדרכות עובדים קבועות, גיבויים ושחזור, ביקורות פנימיות וחיצוניות ופיקוח ממוחשב.

4. מאגר ברמה גבוהה- מאגר המכיל למעלה מ‑100,000 רשומות או מידע על יותר מ‑10,000 אנשים. רמה זו מחייבת אמצעי אבטחה מתקדמים במיוחד ורוב הדרישות הגבוהות יוגדרו בעתיד בתקנות.

סיווג המאגר קובע את חובות האבטחה: ככל שהמאגר גדול או מכיל מידע רגיש יותר, הדרישות המחייבות מחמירות. לדוגמה, חברות המעבדות מידע ביומטרי או הנתונות ל‑AI חייבות לערוך מיפוי סיכונים, למנות ממונה, לבצע גיבויים ותחקירי חדירות ולשלב הצפנה בעת שידור ואחסון.

הפחתת רישום מאגרים וחובת הודעה

בעבר נדרשו רוב הארגונים לרשום כל מאגר מידע אצל הרשם, מה שיצר עומס. התיקון מצמצם דרישה זו לשני מקרים בלבד: שירותי שיווק ישיר שמאגריהם כוללים יותר מ‑10,000 אנשים, וגופים ציבוריים ביחס לכל מאגר שאינו עוסק אך ורק בעובדי המוסד. למרות צמצום הרישום, חלה חובת הודעה לרשם אם מאגר רגיש במיוחד מכיל מידע על יותר מ‑100,000 אנשים. מעבר לכך, בחוק נקבעה אפשרות לפיצוי אזרחי עד 10,000 ₪ ללא הוכחת נזק בגין אי רישום, אי מתן הודעה או אי מימוש זכויות נושא המידע- דבר שמגביר את ההרתעה ומעודד שקיפות.

מינוי ממונה על הגנת הפרטיות

אחד החידושים המהותיים בתיקון הוא החובה למנות ממונה על הגנת הפרטיות בארגונים מסוימים. החובה חלה על גופים ציבוריים ועל מאגרים הפועלים כמתווכי מידע, על מערכות המבצעות מעקב שיטתי (כגון חברות סלולריות) או על מאגרים שמטפלים בנתונים רגישים במיוחד בהיקף רחב. הממונה צריך להיות גורם עצמאי המדווח ישירות להנהלה הבכירה, בעל ידע משפטי וטכנולוגי, והארגון מחויב להעניק לו משאבים ועצמאות לפעול. לפי הנחיות הרשות, בעלי תפקידים עם סמכויות החלטה בארגון אינם יכולים לשמש כממונים, ותפקיד זה צריך להיות מובחן מתפקיד מנהל מערכות המידע או אבטחת המידע.

הגברת שקיפות וזכויות נושאי המידע

האמנה מחייבת ארגונים לספק מידע בהיר ומלא לגבי סוג הנתונים שנאספים, מטרות העיבוד, משך השמירה ומי מקבל גישה אליהם. בעיבוד נתונים רגישים, ובמיוחד ביומטריה ומידע הנגזר מ‑AI, יש למסור גילוי נוסף ומפורש. מנגנוני ההסכמה חייבים להיות מפורטים, נפרדים ונגישים, אין עוד מקום להסכמה כללית או סמויה. כמו כן קיימות הוראות למי שעוסקים בתיווך נתונים או בשיווק ישיר: אלו חייבים לרשום את מאגרם, להציג מספר רישום ולכלול בכל הודעה אפשרות למחיקה.

דרישות טכנולוגיות וממשל מידע

התיקון מחזק את ההישענות על תקנות אבטחת המידע הקיימות ומוסיף דרישות תפעוליות: עמידה ב־firewall עדכני, גיבוי יומי, נעילת מחשבים וחדרי שרתים, הצפנה של נתונים במעבר ובמנוחה, עדכונים תכופים של מערכות הפעלה, סיסמאות חזקות, תוכנות אנטי‑וירוס וסינון דואר. למאגרים ברמה בינונית או גבוהה יש להטמיע בקרות מתקדמות: החלפת סיסמאות תקופתית, תיעוד גישה, ניטור אירועים, הדרכות מודעות לעובדים, בדיקות חדירות תקופתיות והכנת תוכניות התאוששות. ארגונים נדרשים לבצע הערכות סיכונים ולתעד את מבנה המאגרים, להגדיר הרשאות לפי עקרון ה“צורך לדעת”, ולתחזק נוהלי תגובה לאירועי אבטחה.

אכיפה, עיצומים והשלכות עסקיות

הרחבת הסמכויות של הרשות להגנת הפרטיות הופכת את הציות לתיקון לעניין אסטרטגי. הרשות יכולה להוציא צווי הפסקה, להטיל קנסות מנהליים ואף לפתוח בהליכים פליליים. העיצומים יכולים להגיע לסכומים של מיליוני שקלים, בעיקר במאגרים גדולים או במקרים של מידע רגיש. בנוסף, החוק מאפשר פיצוי סטטוטורי של עד 100,000 ₪ ללא צורך בהוכחת נזק. עובדות אלו מדגישות כי שמירה על פרטיות אינה רק חובה חוקית אלא גם אינטרס עסקי – משבר אמון או תביעה ייצוגית עלולים לגרום לנזק כלכלי ומוניטיני משמעותי.

סיכום והיערכות ארגונית

תיקון 13 לחוק הגנת הפרטיות מסמן פרק חדש ברגולציית פרטיות בישראל. הוא מעמיד את ההגנה על המידע האישי בליבת הפעילות העסקית, ומקרב את המשק הישראלי לסטנדרטים האירופיים. כדי להיערך נכון, ארגונים צריכים:

• למפות מאגרי מידע וסיכונים- לזהות את סוגי הנתונים ודרגת רגישותם, לתעד מערכות ואפליקציות ולהעריך סיכונים.

• לנסח נוהלי אבטחה ונהלים פנימיים- להגדיר בעלי תפקידים, מדיניות הרשאות, אמצעי אבטחה פיזיים, ותהליכי תגובה לאירועים. יש לעדכן נהלים לפחות פעם בשנה.

• להטמיע עקרונות שקיפות ושמירה על זכויות- להציג למשתמשים מידע מפורט ונגיש, לאפשר ביקורת ושינוי מידע ולהציע מנגנוני הסכמה ייעודיים.

• למנות ממונה על פרטיות במידת הצורך- במיוחד בארגונים המבצעים מעקב שיטתי או מעבדים מידע רגיש בהיקף נרחב, ולהקצות לו משאבים ותקציב נאותים.

עמידה בדרישות אינה רק עול רגולטורי אלא הזדמנות לבנות אמון עם לקוחות ולעצב תרבות ארגונית אחראית וחדשנית. מי שיפעל בהתאם כבר היום יוכל להמשיך לפתח מוצרים ושירותים בעולם הדיגיטלי תוך כיבוד הזכות לפרטיות.