תיקון מס' 13 לחוק הגנת הפרטיות עוצב להתאים את הדין הישראלי לעידן הדיגיטלי ולסטנדרטים כמו ה‑GDPR. החוק, שנחקק ב‑1981 ועבר מאז עדכונים רבים, עודכן באוגוסט 2024 ונכנס לתוקף ב‑14 באוגוסט 2025 הוא מרחיב את הגדרות נתונים אישיים ו‑עיבוד מידע, מצמצם את חובת רישום מאגרים ומחייב מינוי ממונה על הגנת פרטיות בארגונים מסוימים. תיקון זה גם מטיל חובות תיעוד, ניטור ואבטחה, ומאפשר פיצוי ללא הוכחת נזק במקרה של הפרות.
שלושת השכבות של רמות ההגנה:
1. עמידה בדרישות החוק: לוגים ושמירה
ההנחיות קובעות כי כל גוף המחזיק מאגר מידע חייב לתעד כל גישה למאגר ולשמור את התיעוד בצורה מוצפנת ושאינה ניתנת לשינוי במשך 24 חודשים לפחות. הלוגים צריכים להכיל תאריך ושעת גישה, את זהות המשתמש או היישום ומהות הפעולה (קריאה, כתיבה או שינוי). שמירה נכונה מאפשרת חקירת חריגות ומספקת ראיות במקרה של אירוע אבטחה.
במדריך המעשי של הרשות מצוין כי לצד ניהול הרשאות, גיבויים ושחזור, יש לבצע הדרכות עובדים ולבקר את ההרשאות באופן תקופתי.
2. מערכת SIEM– הפיכת נתוני הלוגים לתובנות
מערכת SIEM (Security Information and Event Management) אוספת נתוני אבטחה ממגוון מקורות: ציוד רשת, תחנות קצה, אפליקציות וסביבות ענן ומנתחת אותם בזמן אמת. היא מחפשת מדי יום אינדיקטורים להתקפות (IOC) כגון כתובות IP זדוניות או חתימות קבצים חשודים, ומבצעת הערכות מצב וזיהוי חולשות. SIEM מאפשרת תגובה מהירה באמצעות playbooks מוגדרים ומספקת דוחות מובנים התומכים בדיווח לרשות.
3. צוות SOC– עין אנושית 24/7
מערכת SIEM לבדה אינה מספקת. מעליה עומד צוות SOC (Security Operations Center) שמנטר את הלוגים סביב השעון, בודק התראות ומיישם playbooks לטיפול מהיר באירועים. אנליסטים מאוישים יודעים לזהות מגמות וחריגות, להבדיל בין התראה אמיתית לשגויה וליישם תגובה מוקדמת שמונעת הידרדרות. עבודת הצוות מסייעת לעמידה בדרישות החוק ולשמירה על אמון הלקוחות.
הגדרות חדשות ומידע רגיש במיוחד
תיקון 13 מאגד את ההגדרות השונות לחוק ומרחיב את רשימת הנתונים הרגישים במיוחד: העדפות מיניות, מצב בריאותי, מידע גנטי, מזהה ביומטרי, מוצא, רישום פלילי, דעות פוליטיות או דתיות, הערכות אישיות, נתוני מיקום ותקשורת, משכורות ונתונים פיננסיים. עיבוד מידע כזה מחייב שקיפות מוגברת ומנגנוני אבטחה חזקים. החוק מצמצם את חובת הרישום לרשם: כיום חייבים ברישום רק גופים ציבוריים ושירותי שיווק ישיר עם יותר מ‑10,000 אנשים, אך אם מאגר רגיש במיוחד מכיל מידע על יותר מ‑100,000 איש יש חובה להודיע לרשם. אי רישום או אי דיווח עשויים לגרור פיצוי של עד 10,000 ₪ ללא הוכחת נזק.
סיווג רמות האבטחה והשלכות מעשיות
| רמת מאגר | מאפיינים עיקריים | דרישות מרכזיות |
|---|---|---|
| אוסף פרטי | מאגר אישי לשימוש יחיד | ניהול בסיסי בלבד |
| בסיסית | עד 3 מורשי גישה; לדוגמה עסק קטן | הצפנת סיסמאות, נוהל אבטחה, הגבלת הרשאות, אבטחה פיזית ואמצעי מחיקה בטוחה |
| בינונית | מאגר שמוסר מידע לאחרים (כגון דיוור ישיר) או מנוהל בידי גוף ציבורי | כל דרישות הבסיס + החלפת סיסמאות תקופתית, תיעוד כל הגישה למאגר, הדרכות עובדים, גיבויים ושחזור, ביקורות ופיקוח ממוחשב |
| גבוהה | מעל 100,000 רשומות או מידע על יותר מ‑10,000 אנשים | אמצעים מתקדמים שייקבעו בתקנות; לרוב מדובר בהצפנה חזקה, ניהול סיכונים ומינוי ממונה על פרטיות |
מידת ההגנה נבחנת לפי היקף המאגר ורגישות הנתונים: ככל שהמאגר גדול או רגיש יותר, הדרישות המחייבות מחמירות
חובות לבעלי עסקים ומשרדי עורכי דין
זכויות הנושא במידע והגנה משפטית
חוק הגנת הפרטיות מגדיר כי מידע אישי הוא כל נתון מזהה, וחובה להבטיח שהוא נאסף ונשמר רק בהסכמת האדם ושלא ייחשף לצדדים שלישיים ללא הרשאה. לכל אדם יש זכות לצפות במידע הנאסף עליו, לתקן טעויות ואף לבקש מחיקה. בעלי עסקים צריכים לוודא שמדיניות הפרטיות שלהם מעודכנת ולעקוב אחר שינויים בחקיקה.
צעדים נדרשים לעסקים
הטמעת תהליכי אבטחת מידע היא תנאי הכרחי לעמידה בתיקון 13 ומגינה על המוניטין של העסק. בין האמצעים שמומלץ ליישם:
-
הצפנת נתונים- הצפנה של נתונים במעבר ובמנוחה כדי להבטיח שגם אם המידע מודלף, הוא לא יהיה קריא.
-
חומות אש ואנטי‑וירוס– שימוש בחומת אש עדכנית ובפתרונות אנטי‑וירוס וסינון דוא"ל להגנה מפני גישה לא מורשית ותוכנות זדוניות.
-
בקרת גישה- הגדרת הרשאות על פי עקרון "הצורך לדעת" כדי שמידע יהיה נגיש רק למי שזקוק לו.
-
תוכנית גיבוי ושחזור- גיבוי קבוע של נתונים ותוכנית לשחזור מהיר של המערכות במקרה של תקלה או מתקפה.
-
הדרכת עובדים- הכשרת העובדים בנושאי פרטיות ומודעות לאיומי סייבר כדי לצמצם טעויות אנוש.
דרישות ייחודיות למשרדי עורכי דין
מרבית משרדי עורכי הדין יסווגו ברמה בינונית או גבוהה, ולכן יחולו עליהם דרישות נוקשות:
-
מערכת זיהוי חזקה- שם משתמש, סיסמה ואימות דו‑שלבי לכל משתמש.
-
ניהול הרשאות מחמיר- גישה למידע רק לפי תפקיד וצורך.
-
מדיניות סיסמאות- החלפה כל 90 יום, שימוש באותיות גדולות וקטנות, ספרות ותווים מיוחדים ולנעול את המשתמש לאחר חמש ניסיונות שגויים.
-
הצפנת מידע אישי- כל נתוני זהות, כתובת ומידע רפואי חייבים להיות מוצפנים בעת שידור ואחסון.
-
טכנולוגיות הגנה- חומת אש, אנטי‑וירוס, סינון דוא"ל ומניעת כופרה.
-
שמירה וגיבוי לוגים- תיעוד פעולות רגישות לשנתיים, גיבויים שוטפים ובדיקות תקינות.
ועדת האתיקה ממליצה גם להפריד רשת Wi‑Fi לאורחים, להשתמש רק בתוכנות חוקיות ולהפעיל אימות דו‑שלבי בכל השירותים.
מינוי ממונה על פרטיות
אחד החידושים המרכזיים בתיקון 13 הוא חובת מינוי ממונה על הגנת הפרטיות בארגונים מסוימים, גופים ציבוריים, מאגרים המתפקדים כמתווכי מידע או מערכות המבצעות מעקב שיטתי. הממונה חייב להיות עצמאי, לדווח להנהלה הבכירה ולא להיות מנהל מערכות מידע או אבטחת מידע. ארגונים העוסקים בעיבוד מידע רגיש או בהיקפים גדולים צריכים למנות ממונה, להקצות לו משאבים ולבסס תהליך בקרה וניהול.
אכיפה והשלכות עסקיות
הרשות להגנת הפרטיות קיבלה סמכויות רחבות: היא רשאית להוציא צווי הפסקה, להטיל קנסות מנהליים ואף לפתוח בהליכים פליליים. העיצומים עשויים להגיע למיליוני שקלים, ומנגד החוק מאפשר פיצוי סטטוטורי של עד 100,000 ₪ ללא הוכחת נזק. לכן שמירה על פרטיות אינה רק חובה חוקית אלא אינטרס עסקי – משבר אמון או תביעה ייצוגית עלולים לגרום לנזק כלכלי ומוניטיני משמעותי.
כיצד אנחנו ב-010 יכולים לסייע לארגון שלך
אנבחנו ב-010 מציעים מעטפת טכנולוגית ומקצועית העונה על דרישות תיקון 13. השירות כולל איסוף ושמירה רגולטורית של לוגים, מערכת חומות אש ואנטי‑וירוס, אנחנו מספקים פתרונות סייבר נוספים: חומות אש, הצפנת מידע, אנטי‑וירוס, גיבוי בענן, סינון דוא"ל, אימות דו‑שלבי והדרכות עובדים, סקרי סיכונים, יצירת מדיניות ונהלים, הדרכות לעובדים ומעקב שוטף.
סיכום
תיקון 13 מסמן שלב חדש ברגולציה הישראלית להגנת פרטיות, משלב בין דרישות משפטיות מחמירות לבין פתרונות טכנולוגיים ומנהלתיים. ארגונים צריכים לפעול בשלושה רבדים: תיעוד ושמירת לוגים, שימוש במערכת SIEM ותגובת SOCֿ, יחד עם עדכון נהלים ומדיניות אבטחה. עמידה בדרישות אינה רק ציות לחוק אלא הזדמנות לבניית אמון עם לקוחות ולעיצוב תרבות ארגונית אחראית וחדשנית.
