שנת 2025 סימנה נקודת מפנה משמעותית בדיני הגנת הפרטיות בישראל, עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("תיקון 13" ו-"החוק", בהתאמה) באוגוסט 2025. מעבר להגדרות תפקידים וחובות חדשות, הרחבת חובות קיימות ועדכון מונחי יסוד, תיקון 13 הרחיב באופן ניכר את סמכויות הרשות להגנת הפרטיות ("הרשות"), העניק לה סמכות להטיל עיצומים כספיים בגין הפרות החוק והתקנות שהותקנו מכוחו והרחיב את העילות לקבלת פיצוי ללא הוכחת נזק. על רקע זה, ולרגל יום הפרטיות הבין-לאומי, המצוין מדי שנה ב-28 בינואר, ראינו לנכון לעמוד על משמעותם המעשית של שינויים אלה ועל צעדים מרכזיים שיכולים לסייע לארגונים לצמצם חשיפה לצעדי אכיפה בתחום הפרטיות ואבטחת המידע.
הרשות הכריזה כי האכיפה שלה צפויה לחול על מגוון רחב של מגזרי פעילות עסקית ועל שורה של חובות בתחום הפרטיות. הרשות מתכוונת לנקוט אכיפה הן באופן יזום והן באופן תגובתי, לרבות פתיחה בהליכי אכיפה מטעמה, לצד טיפול בתלונות בנושאי פרטיות. בנוסף, הרשות צפויה להתמקד בתחומים המאופיינים בסיכון מוגבר לפרטיות, ובכלל זה עיבוד היקפים גדולים של מידע, עיבוד מידע בעל רגישות מיוחדת, ופרטיות ילדים. בתוך כך, הרשות הדגישה גם את סוגיית הפרטיות ביחסי עבודה כנושא מרכזי.
אחד המנועים המרכזיים להגברת האכיפה בשנים האחרונות הוא מערך פיקוח הרוחב של הרשות, הפועל מאז 2018 ומבצע פיקוחים יזומים (מגזריים או נושאיים) לבחינת עמידת גופים בדרישות החוק והתקנות מכוחו. כיום, ולאחר כניסתו לתוקף של תיקון 13, פיקוחים אלה מתקיימים בסביבה רגולטורית שונה מבעבר לנוכח סמכויות האכיפה הרחבות שהעניק התיקון לרשות, ובראשן הסמכות להטיל עיצומים כספיים. לאחרונה פרסמה הרשות כי היא יוצאת למבצע חדש של פיקוחי רוחב במגוון מגזרים. ככל שבמסגרת פיקוח רוחב מגלה הרשות כי גוף מסוים לא עמד בדרישות החלות עליו, היא עשויה לנקוט צעדי אכיפה, ובכלל זה הטלת עיצומים כספיים.
העיצומים הכספיים שתיקון 13 הביא עמו משתנים בהתאם לטיב ההוראה שהופרה, מספר נושאי המידע במאגר, גודל הארגון ורמת האבטחה החלה על המאגר בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע"). סמכותה של הרשות להטיל עיצומים כספיים עשויה להגיע לסכומים משמעותיים, ובמקרים מסוימים אף להסתכם במיליוני שקלים. לדוגמא, איסוף מידע אישי ללא מסירת הודעת יידוע כנדרש לנושא המידע, עלול להוביל להטלת עיצום כספי המחושב לפי 50 ₪ לכל אדם שממנו נאסף המידע, ובמקרה של מידע בעל רגישות מיוחדת 100 ₪ לכל אדם כאמור. אי מתן מענה לבקשות עיון או תיקון מידע עלול לגרור עיצום כספי בסך 15,000 ₪ (לכל בקשה כאמור). בנוסף, ליקויים בעמידה בדרישות תקנות אבטחת מידע עלולים להוביל להטלת עיצומים כספיים הנעים, לרוב, בין 2,000 ₪ למאגר ברמת אבטחה בסיסית, 40,000 ₪ למאגר ברמת אבטחה בינונית ועד 320,000 ₪ למאגר ברמת אבטחה גבוהה. עיצומים אלה ניתן להטיל למשל, בגין אי עדכון שנתי למסמך הגדרות מאגר, שימוש בספק שירותים חיצוני המעבד מידע אישי ללא הסכם שמטיל עליו דרישות אבטחת מידע ופרטיות, והיעדר ניהול הרשאות או היעדר תיעוד של אירועי אבטחה.
לנוכח האכיפה המוגברת שצפויה שנת 2026 להביא עמה בעקבות תיקון 13, תורחב משמעותית החשיפה של חברות וארגונים לצעדי אכיפה, עיצומים כספיים וסיכונים נלווים בהיבטי פרטיות ואבטחת מידע. בהתאם, מומלץ להיערך מראש ולבצע כבר בתחילת השנה בחינה מקיפה של מערך הציות הארגוני – הן ביחס לדרישות החדשות שנוספו במסגרת תיקון 13 והן ביחס לחובות הקיימות מכוח חוק הגנת הפרטיות והתקנות מכוחו. בתוך כך, מוצע לתעדף צעדים אופרטיביים כגון:
- אימוץ תכנית אכיפה למיפוי ויישום מתודי של החובות שחלות על הארגון בתחום הפרטיות;
- עדכון מדיניות הפרטיות והודעות הפרטיות;
- בחינת חובת מינוי ממונה הגנת פרטיות (DPO) ושקילת מינוי גם כאשר אינו מחויב בדין, במיוחד בארגונים המעבדים היקפים משמעותיים של מידע אישי או מידע בעל רגישות מיוחדת;
- עדכון מסמכי הגדרות המאגר לפחות אחת לשנה או במקרה של שינוי מהותי;
- יישום עקרון צמצום המידע ובחינה תקופתית של נחיצות שמירתו, בכפוף לשיקולי שמירת מידע לצרכי דין, רגולציה והתגוננות משפטית;
- תיקוף ועדכון נוהל אבטחת המידע לפחות אחת לשנה ובמקרה של שינויים מהותיים או סיכונים טכנולוגיים חדשים;
- קיום הדרכות לבעלי הרשאות גישה בהתאם לדרישות התקנות (ובכל מקרה מומלץ לפחות אחת לשנה);
- יצירת נוהל ליישום החובה לאפשר לאנשים לעיין במידע עליהם שמוחזקת במאגרי המידע של הארגון, ותרגול היישום שלו כדי לוודא שהארגון מסוגל להשיב לבקשות לעיון במידע בזמן הקבוע לכך;
- קיום דיוני הנהלה ודירקטוריון באירועי אבטחה, מבדקי חדירות וביקורות בתחום הגנת הפרטיות, ושמירת תיעוד שלהם;
צעדים אלה, לצד בקרה שוטפת על יישום דרישות הגנת המידע בארגון, יכולים לצמצם חשיפה רגולטורית, לשפר מוכנות לביקורת או להליכי אכיפה, ולחזק את אמון הלקוחות, העובדים והשותפים העסקיים בניהול המידע בארגון. יום הפרטיות הבין-לאומי המצוין היום מהווה הזדמנות לקידום בחינה יזומה ומסודרת של מערך הציות הארגוני ולהשלמת פערים, בדגש על דרישות תיקון 13, תקנות אבטחת מידע ותחומי המיקוד של הרשות.
קבוצת הסייבר והפרטיות במשרדנו בעלת ניסיון נרחב במתן ייעוץ משפטי לחברות ישראליות ובין-לאומיות בכל הנוגע לעמידה בדרישות הגנת הפרטיות ואבטחת המידע בישראל. כמו כן, אנו מעניקים שירותי ממונה הגנת פרטיות ,(DPO) ועורכים סקרי ציות בחברות כדי לזהות ולטפל בפערים בעמידה בדרישות החוק והתקנות מכוחו.
אנו מזמינים אתכם לפנות אלינו לכל שאלה ו/או התייעצות בנושא.
