תיקון 13 לחוק הגנת הפרטיות: צ’ק ליסט מעשי לארגונים

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 והביא עמו את השינוי המקיף ביותר שנעשה בחוק מאז חקיקתו. התיקון מעדכן את המונחים המרכזיים, מצמצם את חובת הרישום של מאגרי מידע, מוסיף חובת הודעה לגבי מאגרים גדולים הכוללים מידע בעל רגישות מיוחדת, מחייב גופים מסוימים למנות ממונה על הגנת הפרטיות ומרחיב באופן משמעותי את סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות.

מבחינת הנהלת הארגון, המשמעות פשוטה: כבר לא מספיק להחזיק מדיניות פרטיות כללית או להניח שספק הענן מטפל בנושא. האחריות לעיבוד המידע, לאבטחתו ולהוכחת העמידה בדרישות נמצאת אצל בעל השליטה במאגר. במקרים רבים חובות מהותיות חלות גם על מחזיקים וספקים שמעבדים את המידע עבורו.

הצ’ק ליסט שלפניכם נועד לסייע להנהלות, מנהלי מערכות מידע, מנהלי אבטחת מידע, יועצים משפטיים ואנשי פרטיות לזהות את הפערים המרכזיים ולבנות תוכנית היערכות מעשית.

מה השתנה בעקבות תיקון 13 לחוק הגנת הפרטיות?

הגדרות רחבות ועדכניות יותר

המונח “מידע אישי” כולל מידע על אדם מזוהה או על אדם שניתן לזהותו במאמץ סביר, במישרין או בעקיפין.

לצדו נקבעה קטגוריה של “מידע בעל רגישות מיוחדת”, הכוללת בין היתר מידע רפואי, גנטי וביומטרי, מידע על צנעת חייו של אדם, עבר פלילי, דעות פוליטיות, אמונות דתיות, נתוני מיקום ותעבורה, נתוני שכר ומידע נוסף שהחשיפה שלו עלולה לגרום לפגיעה משמעותית בפרטיות.

גם המונח “עיבוד מידע” רחב מאוד. הוא כולל לא רק איסוף ושמירה, אלא גם צפייה, העתקה, העברה, חשיפה, מתן גישה ופעולות נוספות המבוצעות במידע. לכן כמעט כל שימוש תפעולי במידע אישי דורש בחינה מסודרת.

האחריות הארגונית עוברת למרכז הבמה

תיקון 13 מחדד את תפקידו של בעל השליטה במאגר, כלומר הגורם שקובע את מטרות עיבוד המידע.

מחזיק הוא בדרך כלל גורם חיצוני המעבד מידע עבור בעל השליטה, כגון ספק תוכנה, חברת ענן, מוקד שירות, ספק שכר או חברת שיווק.

ארגון צריך לדעת באיזה תפקיד הוא פועל בכל תהליך, משום שהחובות והחשיפות של בעל השליטה ושל המחזיק אינן זהות.

חובת רישום מצומצמת וחובת הודעה חדשה

לא כל מאגר מידע חייב עוד ברישום. החובה נותרה בעיקר לגבי מאגרים של גופים ציבוריים, למעט מאגר הכולל מידע על עובדי הגוף בלבד, וכן לגבי מאגר שמטרתו העיקרית היא איסוף מידע לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, כאשר הוא כולל מידע על יותר מ-10,000 בני אדם.

לצד זאת נקבעה חובת הודעה חדשה. אם מאגר שאינו חייב ברישום כולל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם, על בעל השליטה להודיע לרשות להגנת הפרטיות בתוך 30 ימים מהמועד שבו התקיים התנאי ולצרף את הפרטים והמסמכים הנדרשים.

חשוב לזכור: פטור מרישום אינו פטור משאר הוראות החוק ומתקנות הגנת הפרטיות בנושא אבטחת מידע.

חובת מינוי ממונה על הגנת הפרטיות

תיקון 13 מחייב למנות DPO בגופים ציבוריים ובגופים נוספים שפעילותם כרוכה בסיכון גבוה לפרטיות.

בין היתר, החובה עשויה לחול על:

  • גופים ציבוריים.
  • גופים שעיסוקם המרכזי הוא סחר במידע.
  • גופים המבצעים ניטור שוטף ושיטתי של בני אדם בהיקף ניכר.
  • ארגונים שעיקר פעילותם כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר.
  • בנקים, חברות ביטוח, בתי חולים וקופות חולים.

ארגון המבקש לבחון את תחולת החובה ואת מודל המינוי המתאים יכול להיעזר בשירות DPO as a Service של MADSEC, המאפשר לקבל ליווי מקצועי קבוע גם ללא העסקת ממונה במשרה מלאה.

הרחבת סמכויות האכיפה

הרשות להגנת הפרטיות קיבלה סמכויות פיקוח, בירור ואכיפה רחבות יותר, לרבות אפשרות להטיל עיצומים כספיים משמעותיים בגין הפרות של החוק ושל תקנות אבטחת המידע.

במקרים מסוימים גובה העיצום מושפע ממספר האנשים שהמידע עליהם נמצא במאגר ומרגישות המידע. נוספו גם עבירות פליליות והורחבה האפשרות לקבל צווים להפסקת עיבוד מידע או למחיקתו.

נקודה חשובה: העיצום הכספי אינו הסיכון היחיד. אירוע פרטיות עלול לגרור השבתה תפעולית, תביעות, חובת דיווח, פגיעה ביחסים עם לקוחות וספקים ונזק מתמשך למוניטין.

צ’ק ליסט מעשי להיערכות לתיקון 13

1. מיפוי מאגרי המידע ותהליכי העיבוד

  • ערכו רשימה מלאה של המערכות, הקבצים, האפליקציות, סביבות הענן וכלי ה-SaaS שבהם נמצא מידע אישי.
  • תעדו מהו מקור המידע, לאיזו מטרה הוא נאסף, מי משתמש בו, היכן הוא מאוחסן, לכמה זמן הוא נשמר ולמי הוא מועבר.
  • כללו גם מאגרים לא רשמיים כמו גיליונות אלקטרוניים, תיבות דואר, תיקיות משותפות, מערכות ישנות וסביבות בדיקה.
  • זהו תהליכים שבהם אותו מידע עובר בין מספר מערכות או ספקים.

מיפוי מקצועי באמצעות סקר מאגרי מידע מאפשר לחבר בין דרישות החוק לבין בדיקות בפועל של המערכות, ההרשאות, הממשקים והספקים.

2. סיווג המידע ורמת הרגישות

  • הפרידו בין מידע אישי רגיל לבין מידע בעל רגישות מיוחדת.
  • זהו מאגרים הכוללים מידע על עובדים, לקוחות, מועמדים לעבודה, מטופלים, משתמשי אתר וספקים.
  • בדקו את מספר נושאי המידע, מספר בעלי ההרשאה והיקף המידע.
  • קבעו את רמת האבטחה החלה על כל מאגר בהתאם לתקנות אבטחת המידע.

3. קביעת בעלי תפקידים ואחריות

  • זהו מי הוא בעל השליטה במאגר ומי משמש מחזיק בכל מערכת או תהליך.
  • הגדירו גורם ארגוני שמרכז את תוכנית ההיערכות ומדווח להנהלה.
  • תעדו את חלוקת האחריות בין ההנהלה, המחלקה המשפטית, אבטחת המידע, IT, משאבי אנוש, שיווק ורכש.
  • ודאו שכל פער מקבל בעלים, מועד יעד ומנגנון מעקב.

בארגון שאין בו מנהל אבטחת מידע במשרה מלאה ניתן לבחון שירות CISO as a Service כדי לרכז את ההיבטים הטכנולוגיים ואת תוכנית הפחתת הסיכונים.

4. בדיקת חובת רישום או הודעה

  • בדקו אם הארגון הוא גוף ציבורי.
  • בדקו אם הארגון מפעיל מאגר שמטרתו העיקרית היא מסירת מידע לאחרים כדרך עיסוק או בתמורה.
  • בדקו אם המאגר הרלוונטי כולל מידע על יותר מ-10,000 בני אדם.
  • בדקו אם קיים מאגר שאינו חייב ברישום אך כולל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם.
  • עדכנו או הכינו את מסמך הגדרות המאגר.
  • ודאו שהמידע שנמסר לרשות נשאר עדכני.

5. בחינת הצורך במינוי DPO

  • בדקו אם הארגון נכלל באחת מקבוצות החובה שנקבעו בחוק.
  • בחנו את סוג המידע, היקף העיבוד, מספר נושאי המידע ומידת הניטור המבוצעת.
  • ודאו שלממונה ידע וכישורים מתאימים.
  • העניקו לממונה גישה ישירה להנהלה, משאבים ועצמאות מקצועית.
  • פרסמו לציבור את דרכי ההתקשרות עם הממונה.
  • הימנעו מניגוד עניינים בין תפקיד ה-DPO לבין תפקידים אחרים בארגון.

6. בדיקת חוקיות האיסוף והשימוש

  • עברו על טופסי האיסוף, דפי הנחיתה, הסכמי ההצטרפות, מערכות המעקב והעוגיות באתר.
  • ודאו שהאדם מקבל הודעה ברורה לגבי מטרת האיסוף.
  • ציינו האם מסירת המידע היא חובה או תלויה ברצונו ובהסכמתו של האדם.
  • הסבירו למי המידע עשוי להימסר ומהן זכויותיו של נושא המידע.
  • בדקו שאין שימוש במידע למטרה חדשה שאינה תואמת את המטרה שלשמה הוא נאסף.
  • בחנו אם כל שדה בטופס באמת נחוץ לתהליך העסקי.

7. צמצום מידע וקביעת מדיניות שמירה

  • אתרו מידע עודף שאינו נחוץ עוד למטרה העסקית או לחובה שבדין.
  • קבעו זמני שמירה ומחיקה לכל סוג מידע.
  • הגדירו מנגנון מחיקה ממערכות פעילות, ארכיונים וגיבויים.
  • הגבילו את איסוף המידע כברירת מחדל למידע הדרוש בלבד.
  • ודאו שמידע המיועד למחיקה אינו נשאר אצל ספקים חיצוניים ללא צורך.

8. בחינת ספקים והסכמים

  • מפו ספקים שמקבלים גישה למידע אישי.
  • בדקו את רמת הסיכון של כל ספק בהתאם לסוג המידע ולהיקף הגישה.
  • עדכנו חוזים כך שיכללו מטרות עיבוד, אמצעי אבטחה, הרשאות ושימוש בקבלני משנה.
  • הגדירו חובת דיווח על אירועי אבטחה.
  • קבעו כיצד יוחזר או יימחק המידע בסיום ההתקשרות.
  • בחנו העברות מידע מחוץ לישראל ואת מיקום האחסון של שירותי הענן.
  • ודאו שהספק אינו משתמש במידע למטרות עצמאיות שלא אושרו.

9. חיזוק אבטחת המידע

  • עדכנו את מסמך הגדרות המאגר ואת נוהל אבטחת המידע בהתאם לפעילות בפועל.
  • יישמו ניהול הרשאות לפי עקרון הצורך לדעת.
  • הפעילו אימות רב-שלבי במערכות הרלוונטיות.
  • תעדו גישות למידע ובדקו את הלוגים באופן תקופתי.
  • הקשיחו שרתים, תחנות קצה ושירותי ענן.
  • יישמו הצפנה בהתאם לרגישות המידע.
  • בדקו את תקינות הגיבויים ואת יכולת השחזור.
  • בצעו סקרי סיכונים ומבדקים טכנולוגיים בהתאם לרמת האבטחה ולסיכון העסקי.

לצורך קבלת תמונת מצב רחבה מומלץ לבצע סקר סיכונים מקיף המשלב בדיקה של תהליכים, תשתיות, ענן, הרשאות וספקים.

10. היערכות לבקשות של נושאי מידע

  • קבעו תהליך לזיהוי הפונה ולאימות זהותו.
  • הגדירו כיצד מאתרים את המידע בכל המערכות הרלוונטיות.
  • הכינו תהליך למענה לבקשות עיון ותיקון.
  • תעדו מי מוסמך לאשר את המענה.
  • הגדירו לוחות זמנים פנימיים לטיפול בבקשות.
  • ודאו שהמוקד, שירות הלקוחות ומשאבי האנוש יודעים להעביר בקשות לגורם המתאים.

11. הכנת תוכנית תגובה לאירועי אבטחה

  • הגדירו מי מקבל החלטות בזמן אירוע.
  • קבעו מי חוקר את האירוע ומי מתקשר עם הרשות להגנת הפרטיות.
  • הגדירו מי מנהל את המסרים לעובדים, ללקוחות ולספקים.
  • הכינו מראש פרטי קשר של צוות התגובה, יועצים משפטיים, ספקי ענן וחברת הביטוח.
  • תרגלו תרחיש של דליפת מידע, כופרה או שימוש לא מורשה במידע.
  • ודאו שהארגון מסוגל לדווח באופן מיידי כאשר מדובר באירוע אבטחה חמור המחייב דיווח.

היערכות מוקדמת עם צוות תגובה לאירועי סייבר וקיום סימולציית סייבר להנהלה בכירה מסייעות לקצר את זמן התגובה ולשפר את יכולת קבלת ההחלטות תחת לחץ.

12. תיעוד, הדרכה ובקרה שוטפת

  • שמרו ראיות לבדיקות, להחלטות, לאישורי הנהלה ולהדרכות.
  • תעדו את הטיפול בממצאים ואת עדכון הנהלים.
  • הדריכו עובדים בהתאם לתפקיד ולגישה שלהם למידע.
  • קבעו בדיקה תקופתית של העמידה בדרישות.
  • בחנו מחדש את הסיכונים בכל שינוי של מערכת, ספק, מטרה או סוג מידע.
  • הציגו להנהלה תמונת מצב תקופתית הכוללת פערים, סיכונים והתקדמות בטיפול.

בדיקת מוכנות מהירה להנהלה

  • מיפוי: האם קיימת רשימה מעודכנת של כל מאגרי המידע, המערכות והספקים?
  • סיווג: האם זוהו מאגרים הכוללים מידע בעל רגישות מיוחדת?
  • רישום והודעה: האם נבדקו חובת הרישום וחובת ההודעה לרשות?
  • DPO: האם נבדק אם הארגון חייב למנות ממונה על הגנת הפרטיות?
  • שקיפות: האם הודעות הפרטיות וטופסי האיסוף משקפים את השימוש האמיתי במידע?
  • ספקים: האם כל הספקים שמקבלים מידע נבדקו ומכוסים בהסכם מתאים?
  • אבטחה: האם מסמכי המאגר, ההרשאות, הלוגים, הגיבויים וההקשחות מעודכנים?
  • אירועים: האם קיימת תוכנית תגובה ודיווח לאירוע אבטחה חמור?
  • הדרכה: האם העובדים קיבלו הדרכה המתאימה לתפקידם ולרמת הגישה שלהם?
  • בקרה: האם נקבעו בעלי אחריות, לוחות זמנים ומנגנון מעקב אחר תיקון פערים?

טעויות נפוצות בהיערכות לתיקון 13

  • להתמקד רק בשאלה אם המאגר חייב ברישום. גם מאגר שאינו רשום כפוף לחוק ולתקנות אבטחת המידע.
  • להטיל את כל האחריות על מחלקת ה-IT. פרטיות דורשת שיתוף פעולה של ההנהלה, המחלקה המשפטית, משאבי אנוש, שיווק, רכש ואבטחת מידע.
  • להסתמך על מדיניות פרטיות שאינה תואמת את המערכות והפעילות בפועל.
  • להתעלם ממידע שנמצא אצל ספקי ענן, מערכות SaaS, סוכנויות שיווק וקבלני משנה.
  • למנות DPO באופן פורמלי בלבד, בלי עצמאות, משאבים, גישה להנהלה ותוכנית עבודה.
  • לערוך מסמכים בלי לבצע בדיקות טכנולוגיות של הרשאות, חשיפות, ממשקים, לוגים וגיבויים.
  • להתייחס להיערכות כאל פרויקט חד-פעמי במקום כתהליך מתמשך.

איך MADSEC יכולה לסייע בהיערכות?

היערכות נכונה לתיקון 13 מחברת בין משפט, פרטיות, תהליכים וטכנולוגיה. מסמך משפטי טוב אינו יכול להגן על ארגון אם בפועל קיימים חשבונות לא מנוהלים, הרשאות עודפות, שירותי ענן שאינם מוקשחים או ספקים שמחזיקים מידע ללא בקרה.

MADSEC מסייעת לארגונים למפות מאגרי מידע ותהליכי עיבוד, לבחון פערים מול דרישות החוק ותקנות אבטחת המידע, לבצע סקרי סיכונים ובדיקות טכנולוגיות, להקים תוכנית עבודה ולספק שירותי DPO ו-CISO במיקור חוץ.

המטרה היא להפוך את תיקון 13 מתרגיל מסמכים לתהליך מעשי, מדיד ומתמשך שמקטין את הסיכון לארגון וללקוחותיו.

צרו קשר עם MADSEC לבחינת מצב הארגון והיערכות לתיקון 13

המאמר מובא לצורכי מידע כללי ואינו מהווה ייעוץ משפטי. בעת קבלת החלטות יש לבחון את נוסח הדין, הנחיות הרשות ונסיבותיו הספציפיות של הארגון.

מקורות רשמיים

שאלות נפוצות על תיקון 13 לחוק הגנת הפרטיות

מתי נכנס תיקון 13 לחוק הגנת הפרטיות לתוקף?

תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025. לכן ארגונים צריכים לבחון את פעילותם לפי נוסח החוק המעודכן ולא לפי משטר הרישום שהיה קיים בעבר.

האם תיקון 13 חל גם על עסקים קטנים?

כן. היקף החובות משתנה לפי סוג הארגון, מטרת המאגר, סוג המידע, מספר האנשים והיקף הפעילות, אך עצם היותו של עסק קטן אינו מעניק פטור כללי מחוק הגנת הפרטיות או מתקנות אבטחת המידע.

האם כל מאגר מידע חייב ברישום?

לא. תיקון 13 צמצם משמעותית את חובת הרישום. עם זאת, מאגר שאינו חייב ברישום עדיין כפוף לחובות הנוגעות לחוקיות העיבוד, אבטחת המידע, סודיות, הגבלת מטרות וזכויות נושאי המידע.

מי חייב למנות DPO?

החובה חלה בין היתר על גופים ציבוריים, גופים שעיקר פעילותם הוא סחר במידע, ארגונים המבצעים ניטור שיטתי בהיקף ניכר וארגונים שעיקר פעילותם כוללת עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. יש לבחון כל ארגון לפי מאפייניו.

האם אפשר למנות DPO חיצוני?

כן. ניתן למלא את התפקיד גם באמצעות גורם חיצוני, כל עוד הוא בעל הידע והכישורים הנדרשים, מקבל משאבים מתאימים, פועל באופן מקצועי ועצמאי ואינו מצוי בניגוד עניינים.

מתי צריך להודיע לרשות על מאגר מידע?

כאשר מאגר שאינו חייב ברישום כולל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם, חלה חובת הודעה לרשות בתוך 30 ימים מהמועד שבו התקיים התנאי, בצירוף הפרטים והמסמכים הנדרשים.

האם סקר סיכונים מספיק לצורך עמידה בתיקון 13?

לא בפני עצמו. סקר סיכונים הוא רכיב חשוב, אך נדרשים גם מיפוי מידע, בדיקת חוקיות ומטרות, מסמכים ונהלים, ניהול ספקים, הרשאות, הדרכות, טיפול בזכויות נושאי מידע ותוכנית תגובה לאירועים.

[ratemypost]
רוצים לשמוע עוד?
השאירו פרטים ונחזור אליכם.

באתר זה נעשה שימוש בקבצי Cookies של צדדים שלישיים. המשך גלישה באתר מהווה הסכמה לשימוש זה. ניתן לעיין במדיניות הפרטיות שלנו.

דילוג לתוכן