שנת 2025 מביאה עמה חשיפה מוגברת לחברות וארגונים בהיבטי הגנת הפרטיות ואבטחת מידע, אשר רלוונטיים לכל חברה המחזיקה במידע אישי, גם אם מדובר רק במידע ביחס לעובדיה של החברה. חשיפה זו נובעת, בין היתר, מכניסתו לתוקף של תיקון מס' 13 לחוק הגנת הפרטיות ("תיקון 13"), השלמת הכניסה לתוקף של תקנות הנוגעות למידע אישי שמועבר לישראל מהאיחוד האירופי, והנחיית הרשות להגנת הפרטיות ("הרשות") בדבר תפקיד הדירקטוריון ביישום חובות אבטחת המידע של הארגון.
בעדכון לקוחות זה ריכזנו עבורכם 10 צעדים עיקריים שיש לנקוט כדי לעמוד בדרישות הדין ולהימנע מעיצומים כספיים:
1. עדכון מדיניות הפרטיות והודעות הפרטיות של הארגון – תיקון 13 הביא עמו דרישות שקיפות חדשות ומוגברות. לכן, חשוב לפעול לעדכון המדיניות והודעות הפרטיות על-מנת שיעמדו בדרישות השקיפות העדכניות.
2. מינוי ממונה הגנת פרטיות (DPO) – עליכם לבחון האם לאור תיקון 13 אתם מחויבים במינוי ממונה הגנת פרטיות. אף במקרים בהם המינוי אינו מחויב מכוח הדין, מוצע לשקול את המינוי, במיוחד בחברות המעבדות מידע אישי רב או רגיש, בהתחשב בכך שיש בו כדי להביא להפחתה של סיכונים הקשורים לניהול מידע אישי ולסייע בהגברת האמון בארגון.
3. מסירת דיווח/רישום מאגרי מידע – תיקון 13 כולל רפורמה בניהול ורישום מאגרי מידע. יש לבחון כיצד התיקון משפיע על חובת הרישום של מאגרי המידע של הארגון והאם הארגון חייב במסירת דיווח לרשות להגנת הפרטיות, או שיש מקום לבער רישום של מאגרים קיימים.
4. עדכון מסמכי הגדרות המאגר – כל ארגון נדרש לפרט במסמך הגדרות המאגר, ביחס לכל אחד ממאגרי המידע שברשותו, את השימוש שנעשה במידע, סוגי המידע הכלולים במאגר, פרטים על העברת מידע לחו"ל, פעולות עיבוד באמצעות אחר וכו'. יש לבחון את הצורך בעדכון מסמך הגדרות המאגר לפחות אחת לשנה או כאשר מתרחש שינוי משמעותי באחד או יותר מהנושאים המוזכרים במסמך.
5. צמצום מידע – מדי שנה עליכם לבחון האם המידע השמור במאגרי המידע של הארגון רב מן הנדרש ביחס למטרות המאגר. למשל, במקרים מסוימים אין עוד צורך במידע ביחס ללקוחות לא פעילים או ביחס לעובדים שסיימו את תפקידם בארגון. בצד חשיבות צמצום המידע העודף, יש לתת את הדעת לצורך לשמור סוגי מידע מסוימים לשם התגוננות מפני הליכים משפטיים או בהתאם לדרישות הדין.
6. תיקוף נוהל אבטחת מידע – עליכם לבחון את הצורך בעדכון נוהל אבטחת המידע של הארגון לפחות אחת לשנה או באופן תכוף יותר במקרה שנעשים שינויים מהותיים במערכות המשמשות את מאגר המידע או בתהליכי עיבוד המידע, או כאשר נודע על סיכונים טכנולוגיים חדשים למערכות אלו.
7. הדרכות לבעלי הרשאות גישה – תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 ("תקנות אבטחת מידע") מחייבות להעביר לבעלי הרשאה הדרכות בתחום הגנת הפרטיות ואבטחת מידע, בכל הענקה של הרשאת גישה חדשה או שינוי היקף הרשאה קיימת. במאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה, יש להעביר הדרכות אחת ל-24 חודשים לפחות. מומלץ לוודא שהדרכות כאמור מועברות בארגון לפחות אחת לשנה.
8. דיון באירועי אבטחה – במאגרי מידע ברמת האבטחה הבינונית או הגבוהה יש לקיים דיון באירועי האבטחה שאירעו בארגון, אחת לשנה או אחת לרבעון (בהתאמה).
9. מבדקי חדירות וסקרי סיכונים – במאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה, יש לערוך סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות אחת ל-18 חודשים לפחות.
10. בחינה מקיפה של העמידה בהוראות חוק הגנת הפרטיות והתקנות מכוחו – כאמור, תיקון 13 מגביר משמעותית את החשיפה לארגונים כתוצאה מהפרת החוק והתקנות מכוחו. מעבר להיערכות לדרישות החדשות, ארגונים נדרשים לבחון לעומק את עמידתם בדרישות הקיימות, תוך שימת דגש על תקנות אבטחת מידע שהיו במוקד צעדי האכיפה והפיקוח של הרשות בשנים האחרונות. כמו כן, יש לבחון האם תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 חלות על הארגון, וככל שכן, יש לוודא את יישומן.
לנוכח ההתפתחויות הצפויות בדיני הפרטיות בישראל בשנת 2025, בדגש על כניסתו לתוקף של תיקון 13, תורחב משמעותית החשיפה לחברות וארגונים בהיבטי פרטיות ואבטחת מידע. חשוב להיערך מראש לשינויים ולהקפיד ביתר שאת על ביצוע הבדיקות השנתיות כבר בתחילת השנה, על-מנת להבטיח התנהלות סדורה ואחראית בקשר עם יישום חובות הארגון (השנתיות והשוטפות כאחד) הנגזרות מחוק הגנת הפרטיות והתקנות מכוחו.
קבוצת הסייבר והפרטיות במשרדנו בעלת ניסיון נרחב במתן ייעוץ משפטי לחברות ישראליות ובין-לאומיות בכל הנוגע לעמידה בדרישות הגנת הפרטיות ואבטחת המידע בישראל. כמו כן, אנו מעניקים שירותי ממונה הגנת פרטיות (DPO) , ועורכים סקרי ציות בחברות כדי לזהות ולטפל בפערים בעמידה בדרישות החוק והתקנות מכוחו. להרחבה על שירותי ממונה הפרטיות שלנו ראו כאן.
אנו עומדים לרשותכם בכל שאלה.
