תיקון 13 לחוק הגנת הפרטיות
תיקון מספר 13 לחוק הגנת הפרטיות שנכנס לתוקף ב-14 באוגוסט 2025 הוא רפורמה שמקדמת את ישראל בתחום הגנת הפרטיות לסטנדרטים הגלובליים החלים בתחום, כדוגמת GDPR.
התיקון בחוק מטיל על הנהלת הארגון אחריות רבה מבעבר, ועל ארגונים מסוימים את החובה למנות ממונה על הגנת הפרטיות (DPO). הוא גם מגדיר אמצעי אכיפה משמעותיים על עסקים שלא מקיימים את לשון החוק.
מחפשים ליווי משפטי ליישום תיקון 13 אצלכם בארגון?
צרו איתנו קשר:
- בטופס:
- 03-5671671
- וואטסאפ
הקטנת חשיפה משפטית לאור תיקון 13 לחוק הגנת הפרטיות
תיקון 13 לחוק הגנת הפרטיות חושף את הארגון ואת הגורמים הפועלים מטעמו לשלושה סוגי חשיפה משפטית עיקריים, המטילים אחריות מוגברת על הנהלה וספקים חיצוניים:
- עיצומים כספיים (אכיפה מנהלית):
רשות הגנת הפרטיות הוסמכה להטיל עיצומים כספיים גבוהים על הארגון ו/או על המחזיק במאגר (ספק חיצוני המעבד מידע עבור הארגון). עיצומים אלו יינתנו במקרים של אי-עמידה בחובות אבטחת מידע, אי-מינוי ממונה פרטיות (כשנדרש), אי-דיווח על אירועי אבטחה, או פגיעה בזכויות נושאי המידע. גובה העיצום יכול להגיע לכדי מיליוני שקלים.
- תביעות ייצוגיות ותביעות נזיקיות אזרחיות:
דליפת מידע והפרות פרטיות נרחבות עלולות לחשוף את הארגון לתביעות ייצוגיות כמו גם לתביעות נזיקין אזרחיות כלפי הארגון, העשויות לזכות את הנפגעים שהמידע שלהם דלף בפיצויים ללא הוכחת נזק. על כך יכולות להתווסף תביעות על רשלנות בתפעול ואחזקת מאגר הנתונים והפרת החובה הישירה כלפי המשתמשים.
- חשיפה פלילית או אישית לנושאי המשרה
שימוש זדוני במידע והטעיית הרשות יכול להוביל לחשיפה פלילית אישית לנושאי המשרה ולעובדים בארגון ולעונשי מאסר של עד 3 שנים. (בכפוף לחוק העונשין ולפסיקה).
- חשיפה חוזית
תביעות מצד הארגון (בעל השליטה) בגין הפרת הסכם עיבוד מידע (DPA) שהם מחויבים לחתום עליו.
כדאי לדעת:
יישום תוכנית עבודה יזומה ושיטתית עשויה לצמצם את החשיפה המשפטית לסיכונים שנוצרת בעקבות תיקון 13 (עיצומים כספיים, תביעות נזיקין וחשיפת נושאי משרה). לצד הפעולות הטכנולוגיות והתפעוליות ישנן מספר פעולות משפטיות שניתן לנקוט בהן לצורך כך.
הקטנת חשיפה לתביעות הפרת פרטיות
שלב 1: מעבר על הסכמים, נהלים ומדיניות
צמצום החשיפה לתביעות אזרחיות וחוזיות מחייב הקפדה על ניסוחים משפטיים מדויקים:
- יצירה ועדכון של מסמכים משפטיים כנדרש בתקנות: יצירת מסמכים נדרשים על פי התקנות כדוגמת "מסמך הגדרות מאגר" או "נוהל אבטחת מידע".
- עדכון מדיניות והסכמות: ניסוח מחדש של מדיניות הפרטיות באתר ובטפסי ההסכמה לקבלת מידע, כך שתהיה שקופה, מפורטת ותואמת את דרישות הגילוי החדשות של תיקון 13.
- ניהול ספקים :(DPA) סקירת ההסכמים עם כל המחזיקים במאגרים (ספקי שירות חיצוניים) ווידוא כי קיים הסכם עיבוד מידע (DPA) תקין העומד בדרישות החוק החדש ומטיל עליהם אחריות ברורה.
- נוהל לזכויות נושאי מידע: הקמת תהליכים פנימיים לטיפול יעיל ומהיר בבקשות של נושאי מידע ללקוחות ולעובדים, למימוש זכות העיון במידע אישי, לתיקון מידע או למחיקתו.
- בחינת חובת רישום / הודעה: בדיקה האם הארגון חייב ברישום ברשות להגנת הפרטיות או בהודעה לה וביצוע הפעולה הנדרשת.
שלב 2: תפקידים, הדרכה ואחריות ניהולית
חיזוק הליכי האכיפה הפנימיים (Compliance) בארגון:
- מינוי ממונה פרטיות: אם הארגון עונה על הקריטריונים (למשל, ארגון שעיסוקו העיקרי הוא עיבוד מידע אישי), יש למנות ממונה על הגנת הפרטיות (DPO) שיהיה כפוף ישירות להנהלה ויפקח על יישום דרישות החוק.
- הכשרות והדרכות: קיום הדרכות תקופתיות לכלל העובדים, ובעיקר לדרג הניהולי ולעובדים בעלי הרשאת גישה למידע רגיש, כדי להעלות את המודעות לחובות החוק ולנהלים הפנימיים.
- אחריות ניהולית מתועדת: הבטחת מעורבות ותיעוד של הנהלת הארגון (בעל השליטה) באישור מדיניות האבטחה וההגנה על הפרטיות, כדי לצמצם חשיפה אישית לנושאי המשרה במקרה של הפרה.
שלב 3: מינוי ממונה על הגנת פרטיות בארגון (DPO)
ממונה הגנת פרטיות בארגון (DPO) צריך להיות אדם שמבין הן בפן המשפטי, הן בפן העסקי והן בפן הטכני של הגנת הפרטיות, ועליו להיות נטול ניגודי עניינים. תפקידיו בארגון כוללים:
- פיקוח ואכיפה: אחריות כוללת על יישום הוראות חוק הגנת הפרטיות, התשמ"א-1981, ותקנותיו (כולל תקנות אבטחת מידע) בתוך הארגון. במקרה של גופים ביטחוניים, מפקח הפרטיות הפנימי בודק את נהלי הגוף ומדיניותו בתחום הפרטיות, מבצע בירור של הפרות החוק ומפקח על ביקורות פנימיות.
- גיבוש המלצות להנהלה: הגשת המלצות לבעל השליטה (ההנהלה הבכירה) בארגון לשיפור מדיניות הפרטיות ואבטחת המידע, על מנת להבטיח שהארגון עומד בחובותיו. עליו לעמוד אל מול גורמים אחרים בארגון (לדוגמא IT ויחידות עסקיות) שתפקידיהם עלולים להתנגש עם עקרונות הפרטיות ולהמליץ על דרכי פעולה שתואמותל לחוק.
- תכנון עבודה ודיווח: הכנת תכנית עבודה שנתית לפיקוח על הוראות החוק (נדרש בגופים ביטחוניים), לנהל את תוכנית ההערכות לאירועי אבטחה חמורים, את סקר סיכוני האבטחה ומבדקי החדירות ולוודא שהם נערכים לכל הפחות אחת ל-18 חודשים.
- בירור תלונות ופניות: בירור תלונות ופניות של נושאי המידע (לקוחות, עובדים) בנוגע לטיפול במידע האישי שלהם, לרבות בקשות למימוש זכות העיון (בדיקה מה המידע שמוחזק עליהם) וזכות התיקון (תיקון מידע לא מדויק).
- טיפול באירועי אבטחה: סיוע בניהול אירועי אבטחת מידע, כולל בירור האירוע ומתן ייעוץ להנהלה לגבי הצורך והאופן שבו יש לדווח על האירוע לרשות להגנת הפרטיות.
- ייעוץ והכוונה: מתן ייעוץ, מידע והכוונה לעובדי הארגון, למחזיקים במאגרים ולבעל השליטה בנוגע לכל היבטי הגנת הפרטיות ולציות לחוק הגנת הפרטיות.
- הדרכות עובדים: קיום הכשרות והדרכות תקופתיות לצוותי העבודה ולדרג הניהולי, במטרה להעלות את המודעות לנושאי פרטיות ואבטחת מידע ולחובות החוק.
- איש קשר מול הרשות: שימוש כאיש הקשר המרכזי מול הרשות להגנת הפרטיות ומול נושאי מידע המבקשים לממש את זכויותיהם.
שלב 4: שימוש במנגנון הפרה-רולינג לקבלת חוות דעת מקדמית
בעקבות התיקון יוקם מנגנון רשמי המאפשר לעסקים לפנות לרשות בבקשה לקבלת חוות דעת מקדמית (פרה-רולינג) לגבי החוקיות של פעילות עיבוד מידע מתוכננת. זהו כלי שמאפשר להגדיל ודאות משפטית ולהפחית סיכונים בפרויקטים חדשניים או מורכבים.
ליווי ארגונים לעמידה בתיקון 13 לחוק הגנת הפרטיות
משרד קטן בר-טל טלמור הוא משרד מוביל בתחומי דיני עבודה, משפט מנהלי ומשפט אזרחי-מסחרי. הידע והניסיון שלנו בתיקון 13 לחוק הגנת הפרטיות וההבנה המשפטית הרחבה שלנו בתחומים המשיקים לו, מאפשרים לנו להציע לארגונים סל שירותים נרחב, בריטיינר או לפי דרישה הכולל:
- ייעוץ וליווי משפטי לארגונים בנושא הגנת הפרטיות
- ייעוץ משפטי עבור ה-DPO של הארגון
- שימוש כ-DPO חיצוני לארגונים
- מעבר על הסכמים, תקנונים והסכמי מדיניות לבדיקת התאמה לתיקון
- ליווי משפטי ל-DPO בתהליכי בדיקה ובירור של תלונות ופניות
- ליווי משפטי לארגונים בתביעות הגנת הפרטיות לרבות בנושאי עיצומים כספיים
- ניסוח בקשות לקבלת חוות דעת מקדמיות לרשות להגנת הפרטיות
צריכים ליווי משפטי ליישום תיקון 13 לחוק הגנת הפרטיות אצלכם בארגון?
צרו איתנו קשר:
- בטופס:
- 03-5671671
- וואטסאפ