תיקון 13 לחוק הגנת הפרטיות – התשמ"א – 1981
במאמר זה נסקור בקצרה: תיקון 13 לחוק הגנת הפרטיות.
- את החידושים העיקריים שבתיקון 13 לחוק הגנת הפרטיות – התשמ"א – 1981.
- הצעדים המעשיים שיש לנקוט לצורך עמידה בהוראות התיקון לחוק.
מועד כניסת התיקון: 14.08.2025.
מטרת התיקון– חיזוק ההגנה על פרטיות והגברת יכולת שליטה על מידע אישי באמצעות הטלת חובות נוספים על גופים המחזיקים במידע אישי, הרחבת יכולת אכיפה ופיקוח על גופים המחזיקים במידע, כולל הטלת עיצומים כספיים על גופים המפרים את החוק וזכות האזרח הבודד להגיש תביעה לפיצוי ללא הוכחת נזק נגד מי שמפר את החוק וכן סנקציות פליליות.
החידושים העיקריים בתיקון 13 לחוק הגנת הפרטיות
הרחבת הגדרת "מידע אישי"-
התיקון לחוק הרחיב את הגדרת מידע אישי, באופן בו מידע על אדם מסוים, או שניתן לזהות אותו באופן סביר מוגדר כמידע אישי, כולל שם, מספר תעודת זהות, מידע על מצב בריאותי, כלכלי של האזרח וכו'.
הרחבת הגדרת שימוש ועיבוד במידע-
לאחר התיקון לחוק, כל פעולה מכל סוג שהוא במידע אישי תיחשב לעיבוד, כולל איסוף של מידע, אחסון, עיון, העברה לצד ג'. החידוש בתיקון הוא כי גם אם עושים שימוש במידע, אבל לא שומרים אותו, פעולה זו עדיין תיחשב כעיבוד של מידע שיש להקפיד על אבטחתו.
הרחבת החובה של קבלת הסכמה מראש מאת לקוח-
התיקון לחוק הרחיב את חובות היידוע של גוף המחזיק במידע, בין היתר יש למסור מידע ללקוח האם הוא חייב למסור את המידע, או לא, למה מבוקש המידע, למי יימסר המידע ועוד. החידוש בתיקון לחוק הוא כי משמעות אי עמידה של גוף בחובת היידוע היא כי הגוף לא עמד בחובה לקבלת הסכמה מודעת של מוסר המידע, הפרה זו כרוכה סנקציה כספית ופלילית.
איסור על עיבוד מידע אישי שלא בהתאם למטרת החוק-
החידוש הוא כי מותר לעבד מידע רק לשם השירות שלשמו נמסר המידע- לדוגמא- מסירת מידע למתווך נדל"ן- המתווך יכול לעשות שימוש במידע רק לטובת עסקת מכירת דירה והוא לא יכול למכור את המידע, או להעביר אותו לנותני שירות אחרים.
- הרחבת סמכויות של הרשות להגנת הפרטיות–
התיקון לחוק הרחיב משמעותית את הסמכויות המוענקות לרשות להגנת הפרטיות, בין היתר:
- עיצומים כספיים בשיעור גבוה במקרים של הפרות חמורות, חוזרות, או בהיקפים נרחבים.
- ביצוע פעולות אכיפה וחקירה יזומות.
- אפשרת הגשת בקשה לבית משפט בבקשה למתן צו להפסקת שימוש במידע, או מחיקה של מידע.
היקיף הסעדים האזרחיים שניתן לנקוט בשל הפרת החוק הורחבו-
תיקון 13 לחוק הגנת הפרטיות מקנה לאזרח סל כלים רחב יותר למימוש זכויותיו במקרה של הפרת החוק, בין היתר:
- תקופת ההתיישנות גדלה משנתיים לשבע שנים.
- התווסף פיצוי ללא הוכחת נזק בסך של 10,000 ₪ במקרה של אי יידוע אזרחי, או אי מימוש זכויות בנושאי מידע.
-
התווספו סנקציות פליליות-
התיקון לחוק הוסיף סנקציות פליליות בשל הפרת החוק, בין היתר במקרים של עיבוד מידע אישי שלא בהתאם למטרה שנמסר, עיבוד מידע ללא קבלת הרשאה ועוד.
- חובת מינוי מומחה פרטיות-התיקון לחוק הוסיף חובת מינוי ממונה פרטיות-חובה החלה בין היתר על גופים ציבוריים, בנקים, חבורת ביטוח ועוד, חברות במגזר הפרטי ועוד, תפקידי הממונה בין היתר:
פיקוח על עמידה בהוראות החוק, הדרכה של עובדים, ביקורת על מאגרי מידע, טיפול בפניות בנושאי מידע ועוד. באופן כללי מינוי חובת ממונה על פרטיות לא חלה על עסקים קטנים, אלא אם הם עוסקים במעקב שוטף ושיטתי של לקוחות בהקיף ניכר, או שהם מעבדים מידע עם רגישות מיוחדת בהיקיף משמעותי.
- חובת רישום מאגרי מידע צומצמה, התווספה חובה לקיום תיעוד פניני של מאגרי מידע-
תיקון 13 לחוק הגנת הפרטיות מחד צמצם את החובה לרשום מאגר מידע אצל רשם מאגרי המידע, מנגד, התווספו הוראות שונות ביחס למיפוי מאגרי המידע, המיפוי צריך לכלול בין היתר פירוט של מטרת השימוש במידע, סוגי המידע שנשמרים-לדוגמא נתונים אישיים, פיננסיים, רפואיים וכו', הסיכונים לפגיעה בפרטיות, אמצעי האבטחה שננקטים לצורך שמירה על המידע. יודגש כי קיימים סוגים של מאגרי מידע שחלה לגביהם חובות אבטחה שונות (בסיסית, בינונית, גבוהה), תלוי בהיקיף המידע וברגישות שלו. קיימת חובת רישום מאגר מידע רק על מאגר מכיל 10,000 איש ומעלה שמטרתו משלוח דיוור ישיר.
-
מאגר מידע של יחיד (בכלליות- עסקים קטנים)-
התיקון לחוק והתקנות שמכוחו נותנות הקלות למי שמנהל מאגר מידע של יחיד, מי שמחזיק במאגר יחיד פטור מחובה של מינוי ממונה אבטחת מידע, פטור מביצוע סקר סיכונים ומבדקי חדירות למידע, חלות עליו דרישות מופחתות בנוגע לתיעוד אירועי אבטחה, גיבויים של מידע וכו'.
- התווספה חובה לבדוק אחת לשנה האם ניתן להפחית את השימוש במידע-
אחד החידושים בתיקון לחוק ובתקנות שהותקנה מכוחו, הינו כי על בעל מידע לבדוק לפחות אחת לשנה האם עדיין יש צורך בשמירה של מידע אישי של לקוחות, או האם אפשר למחוק חלק מהמידע שאינו נדרש, לדוגמא- מתווך נדל"ן צריך לבדוק האם המידע שברשותו על לקוחות עדיין רלוונטי, או האם הוא יכול למחוק אותו באופן מלא, או חלקי. כמו כן יש לבדוק שהמידע שנאסף על לקוחות הוא מידע שיש בו צורך לצורך מתן שירות, או שהוא לא רלוונטי, לדוגמא- חנות למוצרי חשמל לא צריכה לשמור מידע על מצבו הרפואי, או האישי של הלקוח.
-
כיצד בעל המידע מנהל סיכונים מול ספקים-
במסגרת התיקון לחוק, על בעל עסק המחזיק במידע לוודא איך הוא מאבטח את המידע שהוא חולק עם ספקים שונים, לדוגמא- בעל חנות למוצרי חשמל, צריך לוודא איך הספק שדרכו בעל העסק סולק כרטיסי אשראי, שומר את פרטי הכרטיס, מספר תעודות הזהות של הלקוח, כתובת וכו', התיקון לחוק מחייב ככלל בעל עסק שמוסר מידע לספקים שונים על לקוחותיו, לכלול בהסכם ההתקשרות עם הספקים את החובות של הספק בשמירה על פרטיות המידע של הלקוחות ואבטחת המידע.
צעדים מעשיים שיש לבצע לצורך עמידה בתיקון 13 לחוק הגנת הפרטיות
- מיפוי מאגר מידע-
צריך למפות את מאגר המידע שכל עסק אוסף- איזה סוג מידע נאסף ונשמר, היכן המידע נשמר, אילו שימושים עושים בו.
- מספר נושאי מידע-
ככל ועסק מחזיק מעל 100,000 פריטי מידע עם מידע רגיש, צריך להגיש הודעה לרשות להגנת הפרטיות.
- הכנת מסמך המגדיר את מאגר המידע-
המסמך צריך לכלול פירוט של מאגר המידע, איזה מידע נאסף, מה המטרה של המידע ואיזה שימוש נעשה בו, היכן נשמר מאגר המידע (במחשב, בענן וכו').
- תיעוד קבלת הסכמה אקטיבית מלקוחות-
יש לפעול לקבלת הסכמה אקטיבית של הלקוחות לאיסוף ועיבוד המידע האישי שלהם על ידי העסק, נדרש להוסיף סעיף ספציפי בהסכמי העסק וכן לצרף דיסקליימר בו הלקוח יידרש לאשר באופן אקטיבי איסוף מידע עליו.
- חובת יידוע של לקוחות חדשים וקיימים-
יש למסור ללקוח טרם ביצוע התקשרות ואיסוף מידע עליו מסמך קצר, ו/או לעדכן את תקנון הפרטיות, המסמך, ו/או התקנון צריכים לכלול את הנושאים הבאים:
- האם יש חובה על הלקוח למסור את המידע, או האם מסירת המידע תלויה בהסכמתו.
- מהי מטרת קבלת המידע מהלקוח.
- לאיזה גורמים יועבר המידע ככל ויועבר.
- מה תוצאות סירוב הלקוח למסור לעסק מידע.
- חובה על העסק לעשות שימוש במידע המתקבל מלקוח אך ורק למטרה שהעסק הציג בפני הלקוח, לדוגמא אם הוצג ללקוח הרוכש מוצר כי פרטיו האישיים לא יימסרו לצדדי ג', למעט לחברת סליקת כרטיסי אשראי, העסק לא יכול להעביר את הפרטים לצדדים נוספים.
- בדיקה של מידע עודף-
העסק צריך לבדוק באופן אקטיבי האם יש לו מידע על לקוחות שהוא לא צריך וניתן למחוק אותו (כולל מידע שמחוזק בתיקיות גיבוי במחשב, או בענן, או בהתקן חיצוני), או האם יש לעסק מידע על לקוחות שהוא לא עושה בו שימוש.
- חובה לפרסם באתר האינטרנט של העסק פרטי קשר לקבלת פניות לעיון, תיקון, או מחיקת מידע-
עסקים חייבים לפרסם באתר האינטרנט שלהם ובפרסומים אחרים שלהם, פרטי קשר (דוא"ל, או טלפון- עדיפות לדוא"ל) לצורך קבלת בקשות לעיון במידע שלקוחות מסרו לעסק. עסק שקיבל פניה מלקוח לעיון במידע שיש לעסק על הלקוח, חייב לאפשר ללקוח לעיין במידע תוך 30 ימים.
- משלוח דיוור ישיר ללקוחות חדשים וקיימים-
לפני שעסק שולח דיוור ישיר (דוא"ל, הודעות טקסס, הודעות וואטסאפ), יש לקבל הסכמה אקטיבית ומפורשת של הלקוח, או באמצעות החתמת הלקוח על מכתב הסכמה, או באמצעות דרישה מהלקוח לסמן את הסכמתו באמצעות סימון דיסקליימר מתאים באתר האינטרנט).
- הגבלה על גישה למידע אישי של לקוחות–
בעלי עסקים צריכים להגדיר מי מעובדי העסק רשאי לגשת למידע של לקוחות, רק עובדים אלו יכולים לגשת למידע, יש לנקוט באמצעים כדי למנוע מעובדים לא מורשים לגשת למידע על לקוחות (לדוגמא באמצעות הגנה על המידע עם סיסמאות).
- הצפנת מידע שמועבר באינטרנט-
יש לוודא שכל העברה של מידע על לקוחות באינטרנט מבוצעת רק באמצעי הצפנה מקובלים.
- העברת מידע על לקוחות לספקים וצדדי ג'-
יש חובה על עסק לבדוק לפני שהוא מתקשר עם ספקים, או אם התקשר כבר עם ספקים לפני כניסת תיקון 13 לחוק הגנת הפרטיות – מהם הסיכונים בהעברת המידע לספקים והאם ספקים אלו פועלים בהתאם לתיקון לחוק. יש לכלול בהסכם עם ספקים, או צדדי ג' סעיף המחייב ספק לשמור על מידע המועבר אליהם על לקוחות בהתאם להוראות החוק.
- עדכוני אבטחה של מערכות מחשוב-
יש לוודא שהתוכנה במחשב בו נשמר מידע על לקוחות מקבלת עדכוני אבטחה שגרתיים במערכות האנטי וירוס.
- גיבוש נוהל המתעד מקרים של חשש להפרת החוק-
יש לגבש נוהל במסגרתו יתועד כל מקרה בו יש חשש לשימוש אסור במידע על לקוחות, או לשימוש במידע שלא למטרה שהוא נאסף, על הנוהל לכלול את תאריך האירוע, שם העובד שהיה מעורב באירוע, סוג ההפרה של החוק, או החשש להפרה.
- יש לוודא שכל עובדי העסק מודעים לחובה לשמור על המידע-
יש להדריך את כל העובדים בעסק ולוודא שהם מכירים את הוראות החוק ואת החובה שלהם לשמור על פרטיות הלקוחות ועל אבטחת המידע הנמסר על ידי לקוחות, יש להחתים את כל העובדים על התחייבות לשמירה על סודיות והגנת פרטיות.
- הכנת מסמך גיבוי במקרה של אירוע סייבר, או דליפת מידע-
יש להכין מסמך גיבוי במסגרתו על העסק לפרט באילו צעדים ינקוט במקרה בו מידע על לקוחות ידלוף, או במקרה בו יחווה תקיפת סייבר, כולל התייחסות לגיבוי המידע, יידוע לקוחות על הדליפה וכו'.
- יש לערוך מיפוי פנימי של העסק שיקל על עמידה בהוראות התיקון לחוק-
- מספר הלקוחות הפעילים והלא פעילים, המידע הנאסף על כל לקוח, היכן נשמר המידע.
- איזה שימוש נעשה במידע הנאסף על לקוחות, האם לצורכי ביצוע עסקה בלבד, שיווק, משלוח דואר שיווקי בעתיד, העברה לצדדי ג'.
- קבלת הסכמה אקטיבית מלקוחות-יש לוודא את אופן קבלת הסכמה אקטיבית מכל הלקוחות לשימוש במידע- לקוחות חדשים וקיימים.
- גישת עובדים למידע אישי– גיבוש רשימה של העובדים שיש להם גישה למידע על לקוחות, האם כל העובדים צריכים גישה למידע? וידוא בפעול שעובד שעוזב את מקום העבודה לא לוקח אתו מידע על לקוחות, עדכון חוזי עבודה בהתאם.
- גיבוש נוהל עבודה לטיפול בפניות לקוחות המעוניינים לעיין במידע שהעסק שומר עליהם, כולל בקשות לתיקון המידע, או למחיקתו.
- הכשרה של עובדים- האם כל העובדים קיבלו הדרכה על שמירת פרטיות מידע לקוחות, על זיהוי פישינג, דיווח על אירוע חריג המעלה חשש לניסיון גניבת מידע, או דליפת מידע, האם העובדים יודעים כיצד לטפל בפניות לקוחות שמבקשים לעיין במידע, האם כל העובדים חתמו על התחייבות לשמירה על סודיות, בנוסף להתחייבות כללית בחוזה עבודה?
- וידוא האם המערכות בהן נשמר מידע על לקוחות (מערכות CRM שונות, מערכות ניהול מסמכים וכו') הן מערכות עם רישיון וכן יש לוודא כי יש עדכון לכל מערכות האנטי וירוס.
- פרטים שלקוחות משאירים באתר האינטרנט-יש לוודא כי שמתחזק את אתר האינטרנט של העסק בו לקוחות משאירים פרטים, מיישם את כל אמצעי אבטחת המידע הדרושים- הגבלת גישה גיאוגרפית, הגנת DOS ניטור והצפנת תעבורת רשת בגישה לאתר.
- עבודה מרחוק- תתאפשר רק דרך VPN מאובטח הכולל אימות דו שלבי למערכות המכילות מידע רגיש.
- ניהול הרשאות גישה-לנהל יומן "מורשי גישה"- כלומר יומן עם פירוט העובדים הרשאים לעיין במידע על לקוחות ולאיזה מידע כל עובד יכול לגשת. ההרשאות צריכות להיות מינימליות כמה שניתן, כלומר לאפשר לעובד גישה למידע על לקוחות הדרוש לו לצורך ביצוע התפקיד ולא מעבר.
- סיסמאות-יש לוודא כי סיסמאות הגישה למערכות בהן נשמר מידע על לקוחות חזקות, ומוחלפות באופן תקופתי (מומלץ להחליף סיסמא לפחות כל 3 חודשים).
- שימוש בהתקנים ניידים-מומלץ להגביל את השימוש בהתקן נייד, או להשתמש במערכות הצפנה בעת העתק מיידע להתקן נייד.
משרדנו מלווה עסקים וחברות בהכנת תקנון פרטיות מותאם, מסמכים – כדי שהעסק יהיה מוגן, רגוע ובטוח.
מחפשים עורך דין לעסקים פנו למשרד עורכי דין לירן קולצ'ינסקי. לייעוץ ללא התחייבות, צרו קשר בטלפון 052-6662828, או בדוא"ל: [email protected]
האמור לעיל אינו מהווה ייעוץ משפטי, או תחליף לייעוץ משפטי.
השירותים ניתנים בעברית, אנגלית, רוסית וספרדית.
