בחודשים האחרונים אנו עדים להתגברות פעילות האכיפה של רשות הגנת הפרטיות, המשקפת מגמה מדאיגה עבור ארגונים שאינם מקפידים על עמידה בדרישות החוק והתקנות. העיצומים האחרונים מהווים איתות ברור לכל ארגון בישראל: הרשות מתכוונת להפעיל את סמכויותיה באופן נחרץ, וזאת עוד בטרם כניסתו לתוקף של תיקון 13 המחמיר.
העיצומים האחרונים
רשות הגנת הפרטיות הטילה לאחרונה מספר עיצומים משמעותיים בנסיבות מגוונות:
(1) בינואר 2025, משרד עורכי דין חיות-זילברברג נמצא מפר שורה ארוכה של הוראות מתקנות אבטחת המידע (היעדר נוהל אבטחת מידע, אי-ניהול רישום הרשאות גישה, והיעדר מנגנון אימות זיהוי רב-שלבי), לאחר שנפל קורבן למתקפת כופרה שהצפינה את מרבית מערכותיו;
(2) באותו חודש, עיריית מודיעין עילית הפרה מספר הוראות מהתקנות, כולל אי-דיווח מיידי לרשות על אירוע אבטחה חמור שבו הוצפן מידע ממאגרי העירייה;
(3) בחודש מרץ 2025, שתי פירמות ראיית חשבון גדולות נקנסו ב-15,000 ₪ כל אחת בגין הפרת חובת היידוע לפי סעיף 11 לחוק הגנת הפרטיות, לאחר שהציבו עמדות דיגיטליות לרישום אורחים בכניסה למשרדיהן ואספו תעודות מזהות ומידע אישי מבלי ליידע את האורחים כנדרש בחוק. המקרים הללו מדגישים את נכונות הרשות להפעיל את סמכויות האכיפה שלה בתרחישים שונים ובמגזרים מגוונים.
תיקון 13 – החמרה צפויה בסנקציות
המקרים שצוינו לעיל התרחשו טרם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, המעניק לרשות סמכויות אכיפה נרחבות הרבה יותר, כולל אפשרות להטיל קנסות של מיליוני שקלים.
המסר לארגונים ברור: אם הרשות כבר כעת מפעילה את סמכויות האכיפה שלה באופן נחרץ, קל וחומר שתעשה זאת לאחר קבלת הסמכויות המורחבות. הרשות עצמה מצהירה בכל הזדמנות על כוונתה להשתמש בסמכויות החדשות שיוענקו לה.
חשיבות התיעוד והציות
נקודה קריטית נוספת היא סמכות הרשות להעניק הקלות בעיצומים הכספיים. ארגון שיוכל להציג תיעוד מסודר ומקיף של עבודת הציות והאכיפה שביצע, יוכל לזכות בהקלה משמעותית בגובה העיצום הכספי במקרה של הפרה. לפיכך, לא מספיק רק ליישם את דרישות הרגולציה – חיוני לתעד את כל תהליכי ההטמעה וההתאמה באופן מפורט ומסודר. תיעוד זה מהווה למעשה ‘תעודת ביטוח’ עבור הארגון ויכול לספק הגנה משמעותית במקרה של ביקורת או אירוע.
המלצות להיערכות מיידית
לאור המגמה המחמירה באכיפה, על ארגונים לנקוט בפעולות הבאות ללא דיחוי:
-
הכרת החובות הרגולטוריות – עבודה על רשימת חובות רגולטוריות מסודרת, מותאמת ומעודכנת בכל עת.
-
מעקב אחר שינויים – קבלת עדכונים על שינויים במדיניות ההסדרה והכרת מדיניות האכיפה של הרגולטור.
-
מינוי בעלי תפקידים רלוונטיים – הגדרת אחריות ברורה בארגון לנושאי הגנת הפרטיות ואבטחת מידע.
-
קביעת נהלים ויישום אמצעי אבטחה – הטמעת פתרונות טכנולוגיים ותהליכיים העונים על דרישות החוק והתקנות.
-
ביצוע ביקורות תקופתיות – מעקב שוטף אחר רמת הציות בארגון ותיקון ליקויים באופן מיידי.
-
תיעוד קפדני – תיעוד כל הפעולות, ההחלטות והאמצעים שננקטו לשם עמידה בדרישות החוק.
סיכום
ההשקעה בהיערכות ובתיעוד נאות כעת עשויה למנוע קנסות משמעותיים וסיכונים תדמיתיים בעתיד, ובמקרה של הפרה – אף להוביל להקלה משמעותית בסנקציות. מקרי האכיפה האחרונים מדגישים את החשיבות של מוכנות מיידית, עוד בטרם כניסתו לתוקף של תיקון 13. מומלץ לארגונים לשקול אימוץ של פתרונות מקצועיים לניהול הציות בתחום הגנת הפרטיות, כדוגמת פתרון הפרטיות של PIL, המסייע בניהול החובות הרגולטוריות והעדכונים השוטפים בתחום.
