עידן חדש של פרטיות בישראל. תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף לאחרונה, הוא לא עוד עדכון טכני — זו מהפכה של ממש. לראשונה מאז חקיקת החוק ב־1981, ישראל מאמצת תפיסה מודרנית של הגנת 
מידע, המבוססת על אחריותיות (Accountability), שקיפות ותיעוד פעולות עיבוד. במילים פשוטות: לא מספיק להצהיר שמתקיימת שמירה על פרטיות, צריך להוכיח את זה.
מה השתנה בעצם?
תיקון 13 מעביר את ישראל למגרש האירופי, ומיישר קו עם ה־GDPR. הוא מגדיר מחדש את המושגים, מבהיר חובות, ומעניק לרשות להגנת הפרטיות סמכויות אכיפה חדשות והטלת
עיקרי השינויים:
-
הגדרה רחבה לעיבוד מידע אישי – כל פעולה במידע, (סע' 3, 2).
-
חובת הסכמה מדעת – הסכמה מפורשת, מודעת וברורה (סעיף 11).
-
זכות למחיקה – לצד הזכות לעיון ותיקון, נוספה גם “הזכות להישכח” (סעי 13,14).
-
פרק חדש על אבטחת מידע – מינוי ממונה הגנת פרטיות, מחיקת מידע מרשימת דיוור ישיר, דיווח על אירועי אבטחה ובקרות חובה (סעיפים 17א–17ז).
-
עיצומים כספיים על הפרות הוראות החוק – הרחבה משמעותית.
מה זה אומר בפועל למי שמחזיק מידע?
תיקון 13 מחייב כל ארגון ובכלל זה ציבורי או פרטי, להקים מערך פרטיות פעיל ומדיד. להלן תמצית עיקרי החובות שעל כל בעל מאגר מידע לעמוד בהן. הסעיפים הרלוונטים מצויינים לשם הנוחות והרושם הכללי, ויתכן שחלקם יפנו לסעיפים אחרים לשם השלמת דרישת החוק. אין באמור משום ייעוץ משפטי.
מדיניות פרטיות והסכמה מדעת – סעיפים 11, 13(א).
חובה לנסח מדיניות פרטיות ברורה, להציג אותה לנושאי המידע, ולהבטיח שההסכמה ניתנת באופן מודע, ספציפי וברור.
מיפוי מידע, מטרות עיבוד ומאגר מידע– סעיפים 2, 3, 8, 9.
יש לזהות אילו סוגי מידע נאספים, מהי מטרת השימוש, מי מטפל במידע, ולכמה זמן הוא נשמר. כל עיבוד חייב להיות תואם למטרה שנקבעה מראש.
שקיפות חיצונית וערוץ פניות – סעיפים 11, 13(ב)
יש לפרסם מדיניות פרטיות נגישה באתר, לאפשר הגשת בקשות או פניות בנושא פרטיות, ולשמור תיעוד של כל פנייה ותשובה שניתנה.
מימוש זכויות נושאי מידע – סעיפים 13,14.
כל אדם זכאי לעיין במידע עליו, לדרוש תיקון או מחיקה, ולקבל תשובה תוך זמן סביר. סירוב לבקשה חייב להיות מנומק בכתב.
רישום מאגרי מידע רגישים – סעיף 15
מאגר מידע הכולל מידע רגיש, או שמועבר לצדדים שלישיים, חייב ברישום בפנקס מאגרי המידע. רישום זה מהווה תנאי להפעלת המאגר כחוק.
אחריות לאבטחת מידע: סעיף 17, על כל תת סעיפיו:
א'. מינוי ממונה פרטיות או ממונה אבטחת מידע
ארגונים בינוניים וגדולים חייבים למנות ממונה על אבטחת מידע ולוודא שהוא פועל לפי הנחיות הרשות להגנת הפרטיות.
ב'. אבטחת מידע ובקרה
חובה לקבוע מדיניות אבטחה, למנות ממונה על אבטחת מידע, ממונה הגנת פרטיות, לתעד הרשאות גישה, לשמור לוגים, ולבצע ביקורות תקופתיות. כל גישה למידע אישי מחויבת בבקרה ותיעוד.
ג'. הסכמי עיבוד מידע עם ספקים
כל גורם חיצוני שמעבד מידע בשם הארגון חייב לחתום על הסכם עיבוד מידע (Data Processing Agreement), הכולל הגדרת מטרה, הגבלות שימוש, חובת מחיקה ודיווח על אירועי אבטחה.
ד'. ניהול אירועי אבטחה
חובה לדווח לרשות להגנת הפרטיות ולנושאי המידע על כל אירוע אבטחה חמור. הדיווח צריך לכלול את מהות האירוע, היקף הנפגעים והצעדים שננקטו.
מודעות נושאי משרה ואחריות אישית – סעיפים 31–33
מנהלים ונושאי משרה נדרשים להבטיח שהארגון מקיים את הוראות החוק. אם לא ננקטו צעדים סבירים למניעת ההפרה – האחריות עשויה לחול גם עליהם אישית.
אחריותיות – מילת המפתח
עקרון האחריותיות (Accountability) הוא לב התיקון. הוא דורש מהארגון להחזיק ראיות לציות: מסמכים, נהלים, הדרכות, לוגים ודוחות ביקורת.
הרשות לא תשאל “האם אתה שומר על פרטיות?”, אלא, “תראה לי איך אתה שומר על פרטיות.” זו תפיסה חדשה של ניהול משפטי, פחות “אסור/מותר”, יותר “מוכיח/לא מוכיח”.
————————————————
המאמר נכתב למטרות מידע בלבד ואין לראות בו ייעוץ מקצועי, ו/או המלצה ו/או ייעוץ משפטי מכל סוג שהוא. למרות המאמצים לספק מידע מדויק ועדכני, ייתכן וחלק מהפרטים ישתנו עם הזמן או יתעדכנו לאור שינויי חקיקה. הקוראים מוזמנים לבצע מחקר נוסף או לפנות לאנשי מקצוע בתחום לצורך קבלת ייעוץ מותאם אישית. הכותב ו/או האתר אינם אחראים לשום נזק שייגרם כתוצאה מהסתמכות על התכנים במאמר זה.
אין האמור במאמר כדי להוות ייעוץ משפטי מכל סוג שהוא. כל העושה שימוש בתכנים המפורסמים במאמר זה בפרט ובאתר בכלל עושה זאת על דעתו ואחריותו בלבד. יש להיוועץ עם עו"ד.
ט.ל.ח
