03-9731077
ראשי » מידע מקצועי » תיקון 13 לחוק הגנת הפרטיות בישראל: מה השתנה ומה בעלי עסקים עם מאגרי מידע חייבים לדעת
תיקון 13 לחוק הגנת הפרטיות בישראל: מה השתנה ומה בעלי עסקים עם מאגרי מידע חייבים לדעת

תיקון 13 לחוק הגנת הפרטיות בישראל: מה השתנה ומה בעלי עסקים עם מאגרי מידע חייבים לדעת

מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה בתחום אבטחת המידע

מתוך ילקוט מאמרים: מאמר מספר 24

מהו תיקון 13 לחוק הגנת הפרטיות ומה המשמעות לעסקים בישראל

תיקון מספר 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, הוא הרפורמה המשמעותית ביותר בדיני הפרטיות בישראל בעשרים השנים האחרונות. במוקד השינוי מעבר ממנגנון רישום רחב של מאגרי מידע למודל ממוקד יותר של רישום רק לחלק מהמאגרים, שינוי מנגנון ההודעה לרשות להגנת הפרטיות , וכן הרחבה והבהרה של מושגי היסוד הקשורים למידע אישי ועיבוד שלו, חיזוק כלים מנהליים לאכיפה לרבות קנסות והתאמה של החקיקה לזו הנהוגה באירופה וארצות הברית.

חברת ארכיב דיגיטל סופטוור העוסקת בפיתוח מערכת Archive1cloud נוקטת בפרשנות רחבה של התיקון ודרישות מערך הסייבר והממונה על הגנת הפרטיות כדי לתת מידע ללקוחות וכן להגן בצורה המיטבית ביותר על המידע המאוחסן בשרתים.

לרוב בעלי העסקים שמחזיקים מאגר לקוחות לצורך אספקת שירות, ניהול קשרי לקוחות, חיוב ושיווק, השינוי המרכזי אינו בהכרח חובת רישום אלא חובת משילות וציות מעשי: הודעות פרטיות מדויקות בעת איסוף מידע, הגדרת מטרות עיבוד, הגבלת עיבוד להרשאה ולמטרה, תיעוד ובקרת אבטחת מידע לפי תקנות אבטחת מידע, היערכות לזכות עיון וזכות תיקון, והיערכות לדיווח על אירוע אבטחה חמור.

החוק מגדיר מחדש מהו מאגר מידע ומוציא מהכלל אוסף שמכיל רק שם, מען ודרכי התקשרות עד 100,000 אנשים, בתנאים מצטברים, אך בכל מקום שבו יש גם היסטוריית רכישות, העדפות, פניות שירות, נתוני מיקום, הערכות או כל מידע נוסף,   הרי שברוב המקרים  יהיה מדובר במאגר מידע לכל דבר ועניין.

ישנם פרטים בתיקון החוק שלא בוארו כמו גודל המאגר, לאיזה ענף מתייחסים, היקף השימוש במיקור חוץ ומהו מידע בעל רגישות מיוחדת.

מה עסק צריך לעשות כדי לעמוד בדרישות תיקון 13 לחוק הגנת הפרטיות?

  1. לבצע מיפוי מהיר של מאגרי הלקוחות, מערכות ושדות מידע, מטרות שימוש ומי מקבל גישה.
  2. להכריע האם מדובר במאגר מידע לפי ההגדרה החדשה, והאם יש חריג של אוסף להתקשרות בלבד.
  3. לקבוע מטרות עיבוד ברורות לכל מאגר ולוודא שעיבוד נעשה רק למטרת המאגר שנקבעה כדין.
  4. לעדכן טקסטים של הודעות פרטיות בטפסים, באתר, בחתימות ובמוקדים כך שיכללו גם את דרישות סעיף 11 המעודכן, לרבות זכות עיון וזכות תיקון.
  5. לבדוק אם העסק נדרש למנות ממונה על הגנת הפרטיות לפי סעיף 17 ב1, ואם לא להגדיר בעל תפקיד אחראי פנימי לציות.
  6. להכין מסמך הגדרות מאגר ונוהל אבטחת מידע בהתאם לתקנות אבטחת מידע, ולהביאם לאישור הנהלה במקום שרלוונטי.
  7. להגדיר תהליך מימוש זכות עיון וזכות תיקון, כולל טופס בקשה, אימות זהות, לוחות זמנים ותיעוד.
  8. להקים נוהל אירועי אבטחה: תיעוד, צעדים מיידיים, ויכולת לדווח באופן מיידי על אירוע אבטחה חמור.
  9. להסדיר חוזים עם ספקי מיקור חוץ המעבדים מידע, כולל דרישות אבטחה, דוחות שנתיים וחובת דיווח אירועים, בהתאם לתקנות.
  10. לקבוע לוח עבודה של תשעים יום לסגירת פערים, כולל בקרות גישה, הצפנה, גיבוי, לוגים, ובדיקות תקופתיות לפי רמת המאגר.
  11. להחתים ספקים עובדים לקוחות על הסכמי סודיות בהתאם לאופי הפעילות ולהביא לידיעתם בעת שימוש באתרים תוכנות או במידעים של החברה אודות התיקון של חוק הפרטיות.

ההבדלים בין מידע אישי למידע בעל רגישות מיוחדת:

החוק לאחר תיקון מס 13 מגדיר מידע אישי כנתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, לרבות זיהוי במאמץ סביר, ישיר או עקיף, למשל באמצעות מזהים כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום או מזהה מקוון.

מידע בעל רגישות מיוחדת כולל, בין השאר, מידע על בריאות, מידע גנטי, מזהים ביומטריים, עבר פלילי, דעות פוליטיות או אמונות דתיות, נתוני מיקום ותעבורה ממקורות תקשורת, נתוני שכר ופעילות פיננסית, ומידע שחלה עליו חובת סודיות בדין. מבחינה עסקית, המשמעות היא שמאגר לקוחות שכולל אפילו חלק מסוגי המידע הללו עשוי לייצר חובות אבטחה מחמירות יותר, ובמקרים של עיבוד בהיקף ניכר אף לחייב מינוי ממונה על הגנת הפרטיות.

מהו מאגר מידע לפי ההגדרה החדשה?

לאחר התיקון, מאגר מידע מוגדר כאוסף פרטי מידע אישי המעובד באמצעי דיגיטלי, למעט חריגים. החריג החשוב לעסקים קטנים הוא אוסף שכולל רק שם, מען ודרכי התקשרות, לגבי 100,000 בני אדם או פחות, שאינו מלמד כשלעצמו על מידע אישי נוסף, ובתנאי שלבעל האוסף או לתאגיד בשליטתו אין אוסף אחר הכולל פרטי מידע אחרים לגבי אותם בני אדם.
פרשנות מעשית מקובלת לגבי עסקים: אם העסק מחזיק גם היסטוריית רכישות, העדפות שיווק, תיעוד שירות, פרטי משלוח, תיעוד תשלומים, או כל שדה נוסף מעבר לפרטי קשר, סביר מאוד שלא מתקיים החריג, והמאגר יהיה מאגר מידע.

אילו הוראות חדשות ורלוונטיות נוספו בתיקון 13 לחוק הגנת הפרטיות?

החוק החדש קובע שמידע אישי במאגר מידע יעובד רק למטרת המאגר שנקבעה לו כדין.  "לא יעבד אדם מידע אישי במאגר מידע אלא למטרת המאגר שנקבעה לו כדין."

בנוסף נקבע איסור עיבוד ללא הרשאה או בחריגה מהרשאה. : "לא יעבד אדם מידע אישי ממאגר מידע ללא הרשאה מאת בעל השליטה"

נקבע גם עיקרון של אי עיבוד מידע אישי שנוצר או נאסף בניגוד לדין, עם חריגים מסוימים.: "לא יעבד מידע אישי… אם… נאסף בניגוד להוראות חוק זה או… דין אחר

רישום מאגר והודעה לרשות

החוק מחייב רישום רק כאשר מתקיים אחד משני תנאים מרכזיים:
האחד, מטרת המאגר היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ובמאגר יש מידע אישי על יותר מ 10,000 בני אדם
השני, בעל השליטה הוא גוף ציבורי, עם חריג למאגר שמכיל מידע אישי על עובדי הגוף הציבורי בלבד.

משמעות פרקטית לעסקים:  רוב העסקים שמחזיקים מאגר לקוחות לצורך פעילותם אינם עוסקים בסחר במידע, ולכן לרוב לא יידרשו לרישום, אך ארגונים גדולים מאוד המחזיקים מידע רגיש על מעל 100,000 אנשים עלולים להידרש למנגנון הודעה.

חובת הודעה בעת איסוף מידע

תיקון מס 13 מעדכן את חובת ההודעה בעת פנייה לאדם לקבלת מידע אישי. בין החידושים: חובת לציין את תוצאת אי ההסכמה למסירת מידע, את פרטי בעל השליטה ודרכי ההתקשרות עימו, וכן את קיומן של זכות עיון וזכות תיקון

עסקים צריכים לעדכן את נוסחי מדיניות הפרטיות וההודעות המוצגות בטפסים כך שיכללו באופן ברור גם את זכויות הלקוח ואת זהות בעל השליטה במאגר

מינוי ממונה על הגנת הפרטיות

החוק מחייב מינוי ממונה על הגנת הפרטיות במספר קטגוריות, ובהן: – בעל שליטה או מחזיק שהוא גוף ציבורי, למעט גוף ביטחוני
– בעל שליטה שמטרתו העיקרית איסוף מידע אישי לשם מסירתו לאחר, ובמאגר יש מידע על יותר מ 10,000 בני אדם
– בעל שליטה או מחזיק שעיסוקו כולל ניטור שוטף ושיטתי של בני אדם בהיקף ניכר, כולל מעקב או התחקות שיטתית אחר התנהגות, מיקום או פעולות
– בעל שליטה או מחזיק שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, עם דוגמאות כגון תאגיד בנקאי, מבטח, בית חולים וקופת חולים

החוק מבהיר שהקריטריון של בהיקף ניכר נבחן לפי שיקולים כגון מספר בני אדם, שיעורם באוכלוסייה מסוימת, היקף המידע, תדירות העיבוד, משך שמירה ותחום גאוגרפי

מסקנה מעשית: עסק קמעונאי או נותן שירות רגיל לרוב לא יגיע לקטגוריות של ניטור שוטף בהיקף ניכר או עיבוד מידע רגיש במיוחד בהיקף ניכר, אך חברות הפועלות על בסיס פרופיילינג, גאולוקיישן רציף, או מידע רפואי, נמצאות בסיכון גבוה יותר לחובת מינוי ממונה על הגנת הפרטיות.

אחריות לאבטחת מידע ומסגרת תקנות אבטחת מידע

החוק מטיל אחריות לאבטחת מידע על בעל השליטה ועל מחזיק במאגר

תקנות הגנת הפרטיות (אבטחת מידע) כוללות חובות תיעוד אירועים, קביעת נוהל אבטחה, בקרות גישה, ניהול הרשאות, גיבויים, מיקור חוץ, וביקורות תקופתיות

תקנה זו כוללת גם סמכות לרשם, לאחר התייעצות עם הרשות הלאומית להגנת הסייבר להורות לבעל מאגר מידע להודיע על האירוע

עיצומים כספיים ופיצויים לדוגמה שהתווספו בתיקון

תיקון מס 13 – נכון לאוגוסט 2025 מקים מסגרת אכיפה מנהלית רחבה, כולל טבלאות עיצומים כספיים. אחת הדוגמאות העסיסיות לעסקים היא עיצום על אי דיווח מיידי על אירוע אבטחה חמור: בטבלת העיצומים לתקנות אבטחת מידע מופיעים סכומים בסדרי גודל של 80,000 שקלים חדשים למאגר ברמת אבטחה בינונית, ו 320,000 למאגר ברמת אבטחה גבוהה

בנוסף לעיצומים מנהליים, התיקון מוסיף סעיף פיצויים לדוגמה עד 10,000 שקלים חדשים על הפרות מסוימות, לרבות אי מתן הודעה כנדרש בעת איסוף מידע, אי מתן אפשרות לעיון, ואי מימוש תיקון או מחיקה לאחר הסכמה, בתנאים פרוצדורליים שונים.

הסכמה, הודעה ושקיפות מול לקוחות

חובת ההודעה בעת איסוף מידע היא מקום שבו עסקים רבים יידרשו לעדכון מיידי. מעבר לחובות הקודמות, יש כעת רכיבים מפורשים שעסק צריך לכלול בטקסטים, לרבות קיומן של זכות עיון וזכות תיקון

תוצאת אי ההסכמה נדרשת להופיע כחלק מההודעה, ולכן בנוסחים יש להסביר ברחל בתך הקטנה מה יקרה אם לקוח יסרב למסור מידע מסוים, לדוגמה אי יכולת להשלים עסקה, או אי קבלת הטבות

זכות עיון וזכות תיקון ומחיקה

החוק מכיר בזכות עיון במידע אישי ובזכות לבקש תיקון של מידע אישי, והחובה ליידע על קיומן הוטמעה  בתיקון.

הזכות למחיקה בחוק עצמו אינה זכות מחיקה כללית, אלא קשורה למידע שאינו נכון, שלם, ברור או מעודכן

במקרים מסוימים החוק מאפשר פיצויים לדוגמה כאשר העסק לא מאפשר עיון, או לא מיישם תיקון לאחר שהסכים, או לא מסרב באופן שנקבע בתקנות

דיווח על אירועי אבטחה וחובת מוכנות

הדין מכיר במושג אירוע אבטחה חמור לפי תקנות אבטחת מידע ומגדירו, בין השאר, כאירוע שבו במאגר ברמת אבטחה גבוהה נעשה שימוש במידע ללא הרשאה או נפגעה שלמותו

החובה המעשית כוללת תיעוד שוטף של אירועי אבטחת מידע , דיווח מיידי לרשם במקרה של אירוע אבטחת מידע חמור וכן דיווח על הצעדים שננקטו וכן ישנה אפשרות לרשם להורות לחברה להודיע ללקוחות או לנושאי המידע על הפריצה / דליפה שאירעה ומה ההשלכות שלה.

מה נדרש לעשות בפועל בעת אירוע אבטחת מידע לפי דרישות תיקון 13?

במקרה שבו נמצא חריג או חשד לאירוע אבטחת מידע, יש לפעול באופן מסודר ומיידי:

  1. במידה ונמצא חריג או חשד לאירוע אבטחת מידע : עצירת הדלף והפרדת מערכות שנפגעו.
  2. יש לתעד את האירוע, מתי קרה, מה קרה בדיוק, אילו נתונים נגנבו , הושחתו? מי נחשף למידע
  3. האם זהו אירוע אבטחה חמור לפי התקנות
  4. יש לבצע דיווח מיידי לרשם , לתעד את הפנייה, ולדווח על הצעדים שננקטו על ידי החברה
  5. יש לבצע בחינה האם להודיע ללקוחות / ספקים/ עובדים שהמידע קשור בהם על הפריצה
  6. יש לבצע תיעוד פנימי של כל מה שמבוצע בתהליך.
  7. יש להפעיל גורמים חיצוניים או פנימיים לסגירת הפרצה, העלאת הנתונים הנכונים מהגיבוי האחרון ושחזור עד להפעלה מלאה ובדיקה שהלוגים נכונים ושלמים.
  8. כתיבת מסקנות , ודיון הנהלה בחברה לגבי האירוע ואיך גורמים לכך שלא יישנה .

כיצד ניתן להיערך בצורה מיטבית ליישום אבטחת מידע בעסק בהתאם לתיקון 13?

להלן ההמלצות המעשיות להיערכות טובה יותר ליישום והטמעה של אבטחת מידע מרבית בסביבת העסק:

  1. התקינו על כל המחשבים , תחנות הקצה, התוכנות ואתרי האינטרנט תוכנות אנטיווירוס רחבות היודעות לנטר לבדוק ומקושרות ברציפות ומעודכנות מידי יום. או תוכנות אחרות שיכולות לנטר להגן ולחסום איומים.
  2. שימו על התוכנות שלכם ובכניסה למחשבים במשרד כניסה ייעודית לעובד עם קוד בקרה מפצה לעובד כדי לזהות שהוא המשתמש הנכון.
  3. לא לאפשר הכנסת תקליטורים/ התקנים חיצוניים מכל סוג למחשב במשרד אם לא עברו בדיקה והלבנה על ידי גורם מורשה מטעמכם.
  4. החתימו את כל האורחים העובדים והספקים על הסכם סודיות.
  5. דאגו להחליף אחת ל 3 חודשים את כל הסיסמאות.
  6. גבו את כל הנתונים שלכם באמצעות שרות אוטומטי וקבלו דיווח במסרון או למייל אודות השלמת הגיבוי אחת ל 24 שעות.
  7. עדכנו את מדיניות הפרטיות ווודאו שכל גולש או משתמש באתר אינטרנט עמוד נחיתה או אחת מהתוכנות שלכם חותם על הנוסח האחרון , בקשו הנוסח מהיועץ המשפטי שלכם ורשמו הפרטים בהתאם לסוג העסק.
  8. הצפינו נתונים של לקוחות ושימרו במאגרים נפרדים פרטים מזהים.
  9. בצעו שחזור מידע של קובץ או תיקייה בתרגול אחת ל 3 חודשים לוודא שלא נמצא כופרה או רוגלה על המחשבים או בנתונים המגובים שלכם בענן.
  10. צמצמו את האפשרות להתחברות מרחוק למחשבים שלכם, בכך תמנעו יכולת של תוקף להתחבר למחשב מרוחק ולגנוב מידע.
  11. בצעו בדיקות חדירה לכל מערכות המידע שלכם אחת ל18 חודשים
  12. תעדו כל אירוע אבטחה המגיע.
  13. הרשמו למערכת המציפה התראות אבטחת מידע וקבלו מידע שיכול לסייע לכם להיערך מפני התקפות דומות
  14. בצעו לעובדים ריענונים בנושא אבטחת מידע אחת ל 6 חודשים
  15. המנעו מפתיחה של הודעות או מיילים ממקור לא ידוע.
  16. אל תתפתו ללחוץ על קישור עם הטבה או מכירה כלשהי גם אם המקור ידוע
  17. דאגו שהמחשב והתוכנות שלכם מוגנים בסיסמאות ועל תשמרו אותם בצמוד למחשב
  18. לא לתת לאורחים/ ספקים/ לקוחות לגשת למחשב שלכם במשרד ולהשתמש בו , דלף מידע יכול להיות גם שליחת קובץ תמים מתוך המחשב למייל אחר ושימוש מאוחר בו.
  19. המלצה: הטמיעו תקן איכות בחברה iso 27001 אבטחת מידע. ופעלו על פיו.

לסיכום

תיקון 13 לחוק הגנת הפרטיות משנה באופן משמעותי את האחריות של עסקים בישראל לניהול מידע אישי. במקום להתמקד רק ברישום מאגרי מידע, החוק מחייב ארגונים ליישם מנגנוני ניהול מידע, אבטחת מידע ושקיפות כלפי לקוחות.

עסקים המחזיקים מאגרי מידע צריכים לוודא כי הם עומדים בדרישות החוק באמצעות נהלים ברורים, תיעוד תהליכים, אבטחת מידע מתקדמת והיערכות לאירועי אבטחה.

 

חזרה לכל המאמרים

מאמרים נוספים

תעשיית הבניה מתקדמת לארכיב דיגיטלי 

תעשיית הבניה מתקדמת לארכיב דיגיטלי 

מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה לניהול ואבטחת מידע. מתוך ילקוט מאמרים: מאמר מספר 5 ברצוני להביא בפניכם…

המשך קריאה
ענף ההשכלה הגבוהה מתקדם לניהול מסמכים בענן

ענף ההשכלה הגבוהה מתקדם לניהול מסמכים בענן

מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה לניהול ואבטחת מידע. מתוך ילקוט מאמרים: מאמר מספר 4 ברצוני להביא בפניכם…

המשך קריאה