תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ואין לכם DPO? תתכוננו לשלם ביוקר

תיקון 13 לחוק הגנת הפרטיות מעורר לא מעט שאלות: כיצד הוא משנה את המצב הקיים? על מי תחול החובה החדשה למנות ממונה על הגנת פרטיות (DPO) ומה תחומי סמכותו? איך נכון לפעול מול בקשות לחתום על נספחי הגנת פרטיות ואבטחת מידע? רגע לפני שהשינוי נכנס לתוקף - עורכי דין מציגים קווים מנחים להתארגנות נכונה במציאות החדשה

ב-14 באוגוסט 2025 ייכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 - תיקון מקיף ומשמעותי לחוק שלא עודכן באופן מהותי מאז 1996, בעידן שבו כלי איסוף, ניתוח ושמירה של מידע אישי היו עדיין בראשית דרכם.

כעת, התיקון מבקש להציב את ישראל בשורה אחת עם המדינות המובילות בתחום הגנת הפרטיות, בין היתר על ידי עדכון של מושגי יסוד כמו "מידע אישי", "עיבוד", "בעל שליטה במאגר" (Controller) ו"מחזיק" (Processor), כך שיתיישרו עם הטרמינולוגיה והעקרונות של רגולציית ה-GDPR האירופית.

שינוי זה לא רק תואם את צורכי השעה ואת האופן שבו פורש החוק על ידי רשות הגנת הפרטיות ובתי המשפט, אלא גם נועד לסייע לישראל לשמר את מעמד התאימות (Adequacy) מול האיחוד האירופי - תנאי חיוני להמשך סחר, שיתופי פעולה עסקיים ומחקריים, והעברת מידע חופשית בין ישראל לבין האזור הכלכלי האירופי.

"תיקון 13 הוא כנראה השינוי המשמעותי ביותר בדיני הפרטיות בישראל מזה שנים רבות", מבהיר עו"ד אליעד שולומוביץ' ראש תחום הגנת הפרטיות במשרד ש. פרידמן, אברמזון ושות'.

"ראשית, התיקון מחזק את סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות באופן משמעותי, ומאפשר לה להטיל קנסות מנהליים מוגברים וסנקציות כבדות בצורה אפקטיבית ומהירה יותר. שנית, התיקון ממקד מחדש את חובות הרישום והפיקוח על מאגרים עם פוטנציאל גבוה לפגיעה בפרטיות, לצד הקטנת חובת רישום של מאגרים ממרבית המגזר פרטי.

התיקון גם מחייב לראשונה מינוי 'ממונה הגנת פרטיות' (DPO) בארגונים רבים, בדגש על גופים ציבוריים אשר סוחרים במידע אישי כעיסוק (Data Brokers) ובארגונים עם עיסוק עיקרי הכרוך בניטור שיטתי או עיבוד של מידע רגיש.

לבסוף, מעגן התיקון בחוק עקרונות כגון 'צמידות מטרה', לפיהם אסור לעשות שימוש במידע למטרות החורגות מהתכלית שלשמה נאסף ובכך מעגן מוסכמות מקובלים בעולם בצורה ישירה בחוק".

"התיקון מרענן את הצורך להסדיר את ההתנהלות מול עובדים. זאת, על אף שכבר היום קיימות פסיקות והנחיות המסדירות היבטים של פרטיות ביחסים עם עובדים, כמו האיסור לחייב עובדים לתת מזהה ביומטרי והחובה לתת חלופה, הזכות של עובדים לאזורים שאינם מנוטרים עם 'ציפייה לפרטיות' בפריסת מצלמות אבטחה בתוך מבנים. כך גם התווית מדיניות מוסדרת בניטור בתיבות דואר אלקטרוני של עובדים או ניטור אחר מערכות מחשוב על-ידי המעסיק בכלל", מבהיר שולומוביץ'.

"יחד עם זאת, כעת, המעסיק יצטרך לוודא שקיים מנגנון יידוע שמתאים לדרישות סעיף 11 לחוק הגנת הפרטיות, כפי שתוקן בתיקון 13. זה אומר שבכל פעם שבודקים נושא שקשור לאיסוף מידע אישי של עובדים, יש להבין האם המידע הנאסף הכרחי לצורך העבודה (כמו ניהול משכורת, גישה למערכות, או חובות חוקיות כלפי רשויות). אם לא, יש לקבל מהעובד הסכמה מפורשת, לפי סוג השימוש במידע, או סוג ההעברה לגורם אחר.

לחילופין, אפשר לחשוב על כתב יידוע והסכמה כללי להסכם ההעסקה שיסדיר מראש את מרבית ההסכמות הנדרשות. בנוסף, מומלץ להציע לעובד חלופות סבירות, במיוחד במקרים שבהם שקיימת אי-סימטריה ביחסי הכוחות מול העובדים 'המכרסמת' ביסוד ההסכמה, לדוגמה: בהעברת מידע לספקים חיצוניים כמו חברות שמספקות תווי שי, הסעות או נופש, או שימוש בזיהוי ביומטרי. חשוב לבדוק כל מקרה לגופו. העובד, מצידו, יהיה זכאי לדעת מראש איזה מידע אישי נאסף עליו, למה הוא נאסף, מי מקבל אותו ולאיזו מטרה, ולפעמים גם לאשר את זה מראש".

"התיקון לחוק מתייחס לכל גוף בישראל שאוסף או מעבד מידע אישי, אף אם עיקר לקוחותיו ופעילותו העסקית בחו"ל", מרחיבה עו"ד דלית בן-ישראל, שותפה ומנהלת מחלקת IT והגנת פרטיות בנשיץ, ברנדס, אמיר.

לדבריה, "חוק הגנת הפרטיות והתקנות מכוחו חלים על בעלי השליטה במאגר מידע - מי שקובע את מטרות איסוף המידע, כמו מעסיק ביחס לעובדיו או חברת שירותים ביחס ללקוחות הקצה שלה. יחד עם זאת, החוק והתקנות חלים גם על ארגונים המהווים מחזיק במאגר מידע, דהיינו ספקי שירותי המבצעים פעולות כלשהן במידע אישי עבור לקוחותיהם כך, חובות הגנת הפרטיות חלות גם על ספקיות שירותי דיוור עבור לקוחות (כגון משלוח ניוזלטרים), מערכות CRM חיצוניות או כל גורם אחר המטפל במידע אישי בשם הארגון.

הפועל היוצא הוא שגם בעלי שליטה וגם מחזיקים עלולים כעת לאור התיקון להיחשף לסנקציות מנהליות, צווים להפסקת עיבוד מידע או שימוש במאגר מידע ועיצומים כספיים שיכולים להגיע למליוני שקלים כתלות ברגישות המידע האישי המעובד, כמות האנשים המושפעים מההפרה וחומרת ההפרה. לדוגמא, ספק אחסון של בנק שמאחסן עבורו מידע בעל רגישות מיוחדת אודות שני מליון לקוחות, שלא ביצע סקרי סיכונים ובדיקות חדירה, יכול למצוא עצמו נושא בעיצומים של 640,000 ₪ בגין הפרה בודדת, ו- 1,280,000 ₪ בין שתי ההפרות, שכן העיצומים מצטברים".

"התיקון מחייב לראשונה בישראל מינוי ממונה הגנת פרטיות (DPO) במקרים מסוימים. רשות הגנת הפרטיות פרסמה בשבוע שעבר טיוטת גילוי דעת לגבי מינוי ממונה הגנת פרטיות (DPO), בו מפרטת הרשות כל אחת מהוראות התיקון ביחס לחובת מינוי הממונה, כישוריו, תפקידו, מיקומו הארגוני ועוד", מספרת עו"ד בן-ישראל.

"חובת המינוי חלה על גופים ציבוריים, סוחרי מידע, מי שמנטרים בני אדם באופן שיטתי ומי שמעבדים מידע אישי בעל רגישות מיוחדת בהיקף ניכר. בעת כניסת התיקון לתוקף, ניתן יהיה להטיל עיצומים במקרה של הפרות הקשורות במינוי ממונה הגנת פרטיות רק על גופים ציבוריים וסוחרי מידע המחויבים במינוי ממונה הגנת פרטיות. על המגזר הפרטי לא יחולו עיצומים בקשר עם הפרת חובות לגבי DPO בשלב זה, אולם אם גוף כאמור המחויב במינוי מינה בפועל DPO, ניתן יהיה להפחית 10% מהעיצומים שיוטלו על הארגון באם תמצאנה הפרות אחרות".

עו"ד בן-ישראל: "על ממונה הגנת פרטיות (DPO) להיות בעל ידע מעמיק בדיני הגנת הפרטיות. הוא מחויב בשליטה מלאה ומקיפה במכלול החקיקה והרגולציה הישראלית בתחום הגנת הפרטיות ובניסיון מעשי משמעותי בתחום זה. השתתפות בקורס DPO בחסות הרשות נדרשת אך אינה מספיקה לעניין זה.

הממונה נדרש להכיר את הארגון ותחומי פעילותו, היכרות שיכולה להתבסס גם על לימוד יזום. תפקידו של הממונה לתכלל את כל היבטי הפרטיות בארגון ולפעול לקידום תרבות של פרטיות, גם מעבר למינימום המתחייב מהדין. הממונה הוא איש הקשר עם רשות הגנת הפרטיות. יחד עם זאת הרשות מדגישה כי החוק לא מטיל על הממונה אחריות אישית או חובה לדווח לרשות על הפרות שבוצעו בארגון".

"התיקון קובע כי הממונה על הפרטיות לא יכהן בתפקיד נוסף ולא יהיה כפוף לאדם הממלא תפקיד שיש בו חשש לניגוד עניינים. הרשות מבהירה כי ברוב המקרים מנהלי אבטחת מידע (CISO) לא יוכלו לשמש כ-DPO. כמו כן ה-DPO לא יכול לשמש כמנהל מערכות מידע או CTO או להיות כפוף להם", מסבירה בן-ישראל.

"המסמך מבהיר כי ניתן להציב את ממונה הגנת הפרטיות במסגרת מחלקת הייעוץ המשפטי של הארגון, אם כי יש לשים לב להבדל המהותי בין תפקיד היועץ המשפטי (שתפקידו הבטחת הציות לחוק) לבין תפקיד הממונה, שתפקידו לקדם את ההגנה על הפרטיות מעבר למינימום הנדרש בדין.

לגבי חברות זרות - אין התייחסות ישירה לשאלה האם DPO של ארגון גלובלי בחו"ל יכול לשמש בתפקיד גם עבור החברה בישראל, אולם מהמסמך עולה שהדבר בעייתי בשל קשיי שפה, ואי היכרות מספקת עם הדין הישראלי".

"תיקון 13 מקרב את הדין הישראלי לסטנדרטים של אירופה, אך עדיין קיימים הבדלים מהותיים: ה-GDPR מקנה זכויות רחבות יותר לנושאי מידע (למשל, הזכות להישכח וניוד מידע אישי), מנגנוני האכיפה ב-GDPR עדיין מחמירים יותר, ותחולתו מחוץ לגבולות אירופה רחבה בהרבה" מפרט עו"ד שולומוביץ'.

"לעומת זאת, הדין הישראלי כיום ובמיוחד לאחר תיקון 13 מספק בהירות וודאות גבוהים יותר בנוגע לאופן ביצוע ויישום החובות בפרקטיקה, באמצעות תקנות אבטחת מידע ונוספות, ואף מפרט אודות הקנסות והסנקציות המנהליות בגין הפרה, שהן משמעותיות יותר מאשר בעבר.

הגדרות כמו 'מידע אישי', 'עיבוד' ו'בעל שליטה' הותאמו באופן נרחב למודל האירופי, תוך התאמות נקודתיות למציאות הישראלית. הגדרתו של ה'מחזיק' במאגרי מידע הורחבה כך שתכלול גם את בעל השליטה במאגר (הבעלים של המידע) וגם את מחזיק המאגר (ספק השירות שמנהל את המידע).

על אף שתיקון 13 מקרב את הרגולציה הישראלית לנעשה באירופה, יש להבין שעמידה מלאה בתיקון 13 אינה מהווה אישור לציות מלא ל-GDPR ולהיפך. בנוסף, יש לשים לב שישנן תקנות המחילות חובות מתוך ה-GDPR בתוך הדין הישראלי באופן ישיר. למשל, כאשר מידע מתוך האזור הכלכלי האירופאי מועבר למאגר מידע ישראלי באמצעות גורם מתווך, ולכן יש לנהל 'מאגרים מעורבים' שכאלה בזהירות יתרה", מסכם עו"ד שולומוביץ'.