03-6885050
    images

    תיקון 13 לחוק הגנת הפרטיות: זה מה שאתם צריכים לדעת

    Oren Tovi // Modified: 18.08.25

     

    המציאות הדיגיטלית של ימינו, הכוללת מאגרי מידע רבים, מערכות מקוונות, וסיכוני סייבר גוברים, חשפה את הפער ההולך וגדל בין החוק הישן לבין האתגרים האמיתיים בשטח.

    חוק הגנת הפרטיות, שנחקק עוד בשנות ה-80, הפך פחות רלוונטי לניהול מידע בעידן הנוכחי. על רקע זה נולד תיקון 13: מהלך חקיקתי שמטרתו לחזק את ההגנה על המידע האישי בישראל, להסדיר אחריות בתוך ארגונים, ולהעניק לרשות להגנת הפרטיות כלים ממשיים לאכיפה ולביקורת.

    מדובר לא רק בעדכון טכני, אלא בשינוי גישה מהותי כלפי פרטיות בעידן הדיגיטלי.

    מה כולל התיקון?

    סמכויות חדשות לרשות להגנת הפרטיות

    הרשות מקבלת כעת כלים ממשיים לאכיפה אפקטיבית:

    • יכולת לבצע ביקורות פתע בגופים המחזיקים מידע אישי
    • אפשרות להטיל עיצומים כספיים משמעותיים על מי שיפר את הוראות החוק
    • פיקוח הדוק גם במגזר הפרטי, לא רק בגופים ציבוריים

    חובת מינוי ממונה על פרטיות (DPO)

    גופים מסוימים, בעיקר כאלה המחזיקים מידע רגיש או מידע על ציבור רחב, יחויבו למנות ממונה על פרטיות.

    הממונה ישמש ככתובת מקצועית בארגון לנושאי פרטיות, יפקח על יישום הנהלים, יוביל תוכניות הדרכה, ויוודא שהארגון עומד בדרישות החוק.

    חשוב להדגיש: מדובר בתפקיד מייעץ ומפקח, לא מבצע.

    אחריות אישית של הנהלה בכירה

    לראשונה, החוק מטיל אחריות ישירה על נושאי משרה בכירים — מנכ”לים, סמנכ”לי טכנולוגיה, מנהלי מערכות מידע וכדומה. המשמעות: התעלמות מנושאי פרטיות עלולה לחשוף גם את ההנהלה האישית לאחריות אזרחית ומנהלית.

    חובת דיווח במקרה של אירוע אבטחת מידע

    אירוע אבטחה חמור מחייב את הגוף המדווח לעדכן את הרשות להגנת הפרטיות.

    הדיווח חייב להיות מהיר, מתועד ולכלול פירוט מלא על אופי האירוע והתגובה אליו.

    הגדרת מאגרי מידע והרחבת החובות

    תיקון 13 מחדד את ההגדרה של מהו “מאגר מידע” ומרחיב את תחולת החוק. גם אם הנתונים מפוזרים במספר מערכות, אך מתייחסים לאותם נושאים, הם עשויים להיחשב מאגר אחד. המשמעות: חובות כמו רישום, שמירת לוגים לשנתיים, וניהול הרשאות גישה יחולו על יותר גופים מבעבר.

    ההשלכות על ארגונים בישראל

    לא רק משרדי ממשלה ובנקים צריכים להיערך – גם עמותות, מוסדות חינוך, חברות שירותים, ארגונים רפואיים ולמעשה כל תאגיד שמנהל מידע אישי או רגיש.

    המשמעות בפועל היא צורך בביצוע מספר צעדים:

    • מיפוי מלא של המידע שנאסף ונשמר
    • קביעת מדיניות ברורה לשימוש, גישה ואבטחה של המידע
    • ביצוע הדרכות לעובדים והעלאת מודעות
    • בחינת הסכמים עם ספקים חיצוניים

    האם מדובר בגרסה ישראלית ל-GDPR?

    לא בדיוק, אך רוח הדברים דומה. כמו ברגולציה האירופית, גם כאן מושם דגש על:

    • שקיפות מול הציבור
    • אחריות של הארגון
    • צמצום מידע למינימום הנדרש
    • חיזוק זכויות הפרט לעניין המידע שנוגע לו

    סיכום: לא אירוע חד פעמי, אלא תהליך מתמשך

    תיקון 13 אינו דורש פעולה חד-פעמית אלא מחייב שינוי תרבותי בארגונים, באופן שבו מתייחסים למידע אישי, לניהול הרשאות, לתיעוד ולבקרה.

    הציפייה היא שכל ארגון, בין אם ציבורי ובין אם פרטי, ייקח אחריות על המידע שבידיו, יגבש מדיניות ברורה, ויפעל בשקיפות ובזהירות כלפי אנשים שהמידע שלהם מצוי ברשותו.

    היערכות מוקדמת לתיקון לא רק תסייע בהפחתת סיכונים- אלא תחזק גם את אמון הציבור ואת התדמית המקצועית של הארגון.

    חזרה לבלוג