תיאום פגישה
כניסה למערכת

תיקון מס’ 13 לחוק הגנת הפרטיות- היכונו!

מתן סמכות לרשות להגנת הפרטיות להטלת עיצומים כספיים על הפרת רגולציה ביחד עם הגדרת “מידע רגיש במיוחד” מגדילות את החשיפה בתחום הפרת הפרטיות.

בעידן של מתקפות סייבר גוברות והתפתחות טכנולוגית מהירה, הגנה על פרטיות הלקוחות הופכת לאתגר מרכזי עבור כל ארגון. עבור ארגונים המחזיקים במידע רגיש במיוחד, האתגר הזה עומד להפוך למשמעותי אף יותר.

תיקון מס’ 13 לחוק הגנת הפרטיות, שאושר לאחרונה, מביא עמו שינויים דרמטיים שכל ארגון חייב להכיר ולבחון!

מאמר זה לא מחליף את הייעוץ המשפטי לו הטכנולוגי לא תזדקקו, אלא סוקר בפניכם סקירה עסקית וניהולית של עיקרי הדברים ומדגיש את חשיבות השינוי והחשיבות הגדולה בהיערכות לשינוי זה.

רקע: למה תיקון מס’ 13 חשוב כל כך?

בחודש אוגוסט 2024 אושר תיקון מס’ 13 לחוק הגנת הפרטיות, התשמ”א-1981. חשיבותו של התיקון ניכרת מעצם העובדה שהכנסת התכנסה לאישורו במסגרת התכנסות מיוחדת לאחר היציאה לפגרה.

מדוע התיקון הזה כה משמעותי?

בשנים האחרונות, חקיקת הפרטיות בעולם התקדמה משמעותית, בעוד שבישראל חלו רק שינויים מינוריים. בנוסף, סיכוני הפרטיות הולכים ומתעצמים, תקיפות הסייבר הופכות לשגרה, והיכולות הטכנולוגיות מתעדכנות בקצב מסחרר. צריך לזכור שחוק הגנת הפרטיות משפיע על כל אדם וגוף במדינת ישראל, עם דגש מיוחד על חברות טכנולוגיה גדולות ושחקנים מרכזיים במשק. בסופו של דבר נערך שינוי חוק נרחב בעל השלכות משמעותיות על האופן שבו חברות מנהלות את סיכוני הפרטיות שלהן ובעיקר, הסנקציות אשר יוטלו במקרה של הפרת חוק אשר מגיעות לעיצומים כספיים של עד מליוני ש”ח.

ההקלה המשמעותית בהוראות החוק:

ביטול חובת רישום מאגרי מידע: בוטלה כמעט לחלוטין החובה החלה על גופים במגזר הפרטי לרשום את מאגרי המידע שבניהולם, למעט גופים ממשלתיים ואחרים בהתאם להגדרות. כדאי לדעת שחברות אשר עוסקות באיסוף מידע אישי לצורך מכירותו לאחרים יצטרכו לרשום את המאגר. הקלה זו אינה משמעותית עבור גופים שכבר ביצעו רישום בעבר.

ההחמרות המרכזיות בהוראות החוק:

1. עיצומים כספיים הרשות להגנת הפרטיות קיבלה סמכות להטיל עיצומים כספיים בגין הפרת הוראות הקשורות במאגרי מידע (עד היום עיצומים ניתנו מעט מאד מאחר והוגבלו רק במקרים של פגיעה בפרטיות). הסכומים יכולים להגיע למאות אלפי שקלים במקרים מסוימים. הרשות גם קיבלה סמכות לפנות לבית המשפט לקבלת צו להפסקת שימוש מיידית במאגר מידע מסוים, כולל מחיקתו, במקרה של הפרת חוק (“צו הפסקת עיבוד”).

לצורך ההדגמה- הרשות להגנת הפרטיות תוכל לבצע ביקורת בארגון ובמידה ותמצא כי לא קיים מסמך הגדרות מאגר עדכני בהתאם להוראות תקנת אבטחת מידע, הארגון צפוי לקבל עיצום כספי של 40,000-160,000 ש”ח.

זה אולי השינוי הגדול ביותר כי משמעותו היא כי בעלים או מחזיק של מאגר מידע אשר לא יקיים את הפרודצדורות הקשורות בניהול מאגרי מידע בהתאם להוראות הרגולציה, חשוף לעיצומים ללא כל הליך משפטי !!!

2.  פסיקת פיצויים ללא הוכחת נזק:  בתי המשפט קיבלו סמכות לפסוק פיצוי כספי ללא הוכחת נזק לאזרח התובע בגין הפרת הוראות חוק ביחס למאגרי מידע.

לצורך ההדגמה – ארגון אשר הפר את חובת השמירה של מידע רגיש של עובדים או לקוחות, אותו לקוח או עובד עשוי לתבוע אותה ויהיה זכאי לפיצוי, גם אם לא נגרם לו נזק. עוד לא ברור איזו השפעה תהיה לעניין זה על תביעות ייצוגיות.

3. הגדרת “מידע בעל רגישות מיוחדת”:  הגדרה חדשה אשר כוללת, בין היתר:

מידע על איש או אישה ביחס ל- צנעת חיי המשפחה, נטיות מיניות, מצב בריאות, מידע בריאותי, מידע גנטי, מידע מזהה ביומטרי, מוצא, עבר פלילי, דעות פוליטיות, אמונות דתיות, השקפת עולם, הערכת אישיות, הערכת אופי, יכולת שכלית, קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה או בלימודים נתוני מיקום, נתוני שכר ופעילות פיננסיים, וכל מידע אישי אחר לגביו חלה חובת סודיות על פי דין.

סכומי העיצומים הכספיים אשר נקבעו גבוהים יותר לגבי “מידע רגיש במיוחד” כך שארגונים המחזיקים מידע מסוג זה, נמצאים בחשיפה גבוהה. מאחר וגם גודל המאגר משפיע על גובה העיצום הצפוי, גודל הארגון גם הוא ישפיע על גובה הקנס.

זה המקום להזכיר שהתיקון גם כולל הרחבה של הגדרת “מידע אישי” – בסופו של דבר החוק חל על בית עסק אשר משתמש למטרות עסקיות במידע מהסוג המוגדר על פי החוק: “נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי; לעניין הגדרה זו, “אדם הניתן לזיהוי” – מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.”

4. מינוי ממונה על הפרטיות: התיקון מחייב מינוי ממונה על הפרטיות בחברות מסוימות. זהו שינוי מהותי, לארגונים עליהם חלה החובה.

התיקון כולל שורה ארוכה של שינויים נוספים, וזהו סיכום כללי בלבד המתרכז במספר שינויים עיקריים.

צעדים להתאמה:

1.  מיפוי וסקירה:

   – בצעו סקירה של רלוונטיות הוראות הרגולציה לארגון שלכם.

   – מפו את כל מאגרי המידע והמערכות המכילות מידע אישי.

2.  עדכון נהלים:

   – עדכנו את הנהלים והמדיניות בהתאם לדרישות החדשות.

   – תעדו את ההחלטות הניהוליות וקבעו נוהל לריענון תקופתי.

3.  הכשרת עובדים:

   – הדריכו את כל העובדים בנושאי הגנת פרטיות ואבטחת מידע.

4. שימוש במומחים:

   – שקלו להיעזר במומחי הגנת פרטיות ואבטחת מידע חיצוניים.

   – בחנו פתרונות טכנולוגיים המקלים על ההיערכות לדרישות החוק.

מבט לעתיד: כיצד להיערך נכון

התיקון ייכנס לתוקפו בעוד כשנה, מה שמספק זמן היערכות סביר. עם זאת, ההנהלה צריכה להוביל כבר כעת את התכנית האסטרטגית להתמודדות עם הסיכונים החדשים. יש להקצות משאבים, לשדרג מערכות, לשקול פתרונות טכנולוגיים ולהטמיע מתודולגיה של ניהול רגולציה. מומלץ גם להמשיך ולעקוב אחר פרסומים והנחיות נוספות של הרשות להגנת הפרטיות ולהתעדכן בחידושים הטכנולוגיים והרגולטוריים בתחום.

תיקון מס’ 13 לחוק הגנת הפרטיות מציב אתגרים חדשים בפני ארגונים, אך גם מספק הזדמנות להתייעל ולשפר את ניהול הסיכון. השקעה בהגנת פרטיות היום תחסוך לכם כסף ומשאבים רבים בעתיד!

בחמש השנים האחרונות, הטענה הרווחת הייתה שיש יותר מדי רגולציה ופחות מדי אכיפה.

תיקון זה מציג גישה הפוכה – הקלה בפרוצדורות הרגולציה, לצד הענקת כוח רב לרגולטור לאכוף ולהטיל קנסות ועיצומים. היערכות נכונה תמנע הטלת קנסות כבדים ופגיעה מהותית במוניטין של הארגון.

בנימה חיובית – זוהי הזדמנות עבור ארגונים להוביל בתחום הגנת הפרטיות ולבנות אמון משמעותי עם לקוחותיהם ועובדיהם.

Facebook
Twitter
LinkedIn
Pinterest

מאמרים אחרונים

שתפו את התוכן

Facebook Twitter Youtube Instagram Pinterest

הציות הדיגיטלי שפועל בשבילך 24/7

השאירו פרטים ונחזור אליכם עוד היום

מאמרים נוספים

גלה עוד תוכן

Nullam quis risus eget urna mollis ornare vel eu leo. Aenean lacinia bibendum nulla sed 

  • @pcelite
  • Get In Touch
  • Direction
Facebook Twitter Youtube Instagram Linkedin