ב־14 באוגוסט 2025 יכנס לתוקפו תיקון מס' 13 לחוק הגנת הפרטיות (להלן: "החוק") – השינוי המשמעותי ביותר שנעשה בדין הישראלי בתחום עיבוד המידע האישי מאז חקיקת החוק בשנת 1981. התיקון מעגן לראשונה את עקרונות הפרטיות המרכזיים הנהוגים באירופה ובעולם, ובמקביל מעניק לרשם הגנת הפרטיות סמכויות אכיפה מקיפות ומשמעותיות, לרבות הטלת עיצומים כספיים.
החל ממועד כניסת התיקון לתוקף, כל ארגון שמנהל מידע אישי – של לקוחות, ספקים, עובדים – מחויב לעמוד בדרישות החוק החדשות. להלן מספר עיקרי התיקון:
1.הרחבת סמכויות האכיפה – וקנסות כבדים – לראשונה, הרשות להגנת הפרטיות מוסמכת להטיל עיצומים כספיים גבוהים על ארגונים שמפרים את הוראות החוק והתקנות בתחום אבטחת המידע. בנוסף, הורחבו סמכויות החקירה הפלילית, ונקבעה האפשרות לפנות לבית המשפט לקבלת צו שיפוטי שיחייב הפסקה/מחיקה של עיבוד מידע אישי. המשמעות: האחריות על אבטחת המידע בארגון הינה חובה בעלת משקל כלכלי ומשפטי כבד.
2. חובת מינוי ממונה על הגנת הפרטיות – החובה חלה על הגופים הבאים:
- ארגונים ציבוריים (למעט גופים ביטחוניים).
- חברות שעוסקות בעיבוד נרחב של מידע אישי רגיש (כגון בנקים, בתי חולים וכו').
- חברות שעוסקות בעיבוד מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ואשר מפעילות מאגר המונה מעל ל-10,000 אנשים
- חברות שמתחקות באופן שוטף ושיטתי אחר התנהגותו, מיקומו או פעילותו של אדם (כגון מעקב אחר נתוני מיקום).
תפקידו של הממונה הוא לוודא עמידה בהוראות החוק, לקדם הטמעת מדיניות ונהלים פנימיים, לספק הכוונה שוטפת להנהלה והעובדים, להוות איש הקשר של הארגון אל מול הרשות להגנת הפרטיות ועוד.
3. צמצום רישום מאגרי מידע וחובת ההודעה – החובה על רישום מאגרי מידע של גופים פרטיים בוטלה כמעט לחלוטין. מי שמחויב לבצע רישום של מאגר מידע הוא:
- גוף ציבורי
- חברות שעוסקות בעיבוד מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ואשר מפעילות מאגר המונה מעל ל-10,000 אנשים
עם זאת, התיקון כולל דרישה חדשה של דיווח לרשות להגנת הפרטיות. בעל שליטה במאגר מידע, המכיל "מידע רגיש במיוחד", כהגדרתו בחוק, ומונה יותר מ-100,000 בני אדם, מחויב להודיע לרשות על זהותו, מענו, דרכי ההתקשרות עמו, זהות הממונה על הגנת הפרטיות ועוד, על אף שאינו מחויב ברישום.
4. הגדרת עבירות פליליות חדשות בגין עיבוד מידע אישי שנאסף באופן לא חוקי – במסגרת התיקון, נוסף לחוק פרק ייעודי המגדיר עבירות פליליות בתחום מאגרי המידע. בין השאר, מדובר בעיבוד מידע אישי ללא הרשאת בעל השליטה במאגר ובהטעיית אדם לשם קבלת מידע אישי אודותיו. בנוסף, נקבע איסור גורף על כל שימוש במידע אישי שנאסף באופן לא חוקי.
5. הרחבת סמכות בתי המשפט לפסיקת פיצויים – בתי המשפט קיבלו סמכות רחבה יותר לפסוק פיצוי כספי, עד 10,000 ₪, לטובת אזרח שנפגע מהפרת החוק, גם ללא הוכחת נזק, וזאת מכוח עילות נוספות הקבועות בחוק.
סיכום:
היערכות לכניסתו של תיקון מס' 13 לחוק הינה קריטית, שכן אי עמידה בדרישות החוק עלולה להוביל לקנסות כספיים משמעותיים, פגיעה במוניטין החברה ואף לחשיפה להליכים פליליים.
מה עליכם לעשות?
- לבחון האם קיימים בארגונכם מאגרים הטעונים רישום / דיווח.
- לבחון האם ישנה חובה למנות ממונה על הגנת הפרטיות. במידה וכן, יש לדאוג למינויו בהקדם.
- יש לדאוג לעדכון כלל נהלי הפרטיות ואבטחת מידע בהתאם להוראות החוק החדשות.
- יש לעדכן את כלל המנהלים והעובדים בהנחיות החדשות.
משרדנו מלווה ומכווין חברות בתהליך ההיערכות לתיקון מס' 13, לרבות מתן ייעוץ משפטי שוטף, ניסוח נהלים ומדיניות פרטיות, עדכון הסכמים, והטמעת מנגנונים משפטיים נדרשים בהתאמה לאופי הפעילות של הארגון. אם טרם התארגנתם – זה הזמן לפעול. נשמח לעמוד לרשותכם.