החל מה-14 באוגוסט 2025, ארגונים בישראל יידרשו לעמוד בסטנדרט חדש ומחייב של שמירה על פרטיות. תיקון 13 לחוק הגנת הפרטיות מסמן תפנית רגולטורית שמחייבת כל גוף שמחזיק במידע אישי - ציבורי או פרטי - להיערך בהתאם.
עיקרי החידושים והשינויים:
חובת מינוי ממונה הגנת פרטיות בגופים שמנהלים מידע אישי בהיקף נרחב
סמכויות חדשות לרשות להגנת הפרטיות: קנסות, צווים וסמכויות חקירה
הטלת אחריות אישית על הנהלת הארגון ועל נושאי משרה
התאמה ל־GDPR: הגדרות חדשות למידע רגיש וענישה גם ללא הוכחת נזק
ביטול חובת רישום מאגרים ברוב המקרים – אך החמרת ענישה בהפרות
חיזוק הרגולציה בעידן המידע
ב-5 באוגוסט 2024 עשתה מדינת ישראל צעד משמעותי בתחום הגנת הפרטיות, כאשר מליאת הכנסת אישרה בקריאה שנייה ושלישית תיקון מקיף לחוק הגנת הפרטיות – המוכר בשם תיקון 13 לחוק הגנת הפרטיות. התיקון מהווה תפנית מהותית באופן שבו המדינה מתייחסת לזכות לפרטיות של אזרחיה ולשמירה על מידע אישי בעידן הדיגיטלי. התיקון עתיד להיכנס לתוקפו ב-14 באוגוסט 2025.
התיקון מהווה התאמה של החקיקה למציאות הטכנולוגית הנוכחית. לצד הגברת ההגנה על הפרטיות, הוא מחזק את כלי האכיפה של הרשות להגנת הפרטיות ומאפשר לה להתמודד טוב יותר עם איומי סייבר ודלף מידע. אחת התרומות המרכזיות של התיקון היא קביעת מסגרת משפטית ברורה, מודרנית ויעילה – כזו שלא רק מגיבה למציאות הקיימת, אלא גם צופה פני עתיד.
עדכון בולט נוסף הוא חובת מינוי ממונה הגנת הפרטיות בגופים ציבוריים ובארגונים פרטיים שמטפלים בהיקפים נרחבים של מידע אישי. מדובר בדרישה חדשה שתפקידה לקבוע נורמות של אחריות פנימית וציות לחוק ובתוך כך, גם לקדם תרבות ארגונית שמכבדת ואוכפת את פרטיות המשתמשים.
לצד המגזר האזרחי, החוק החדש קובע מנגנוני פיקוח גם על גופים ביטחוניים, זאת באמצעות מפקחי פרטיות פנימיים שיונחו על ידי הרשות להגנת הפרטיות. מדובר בהכרה מפורשת בכך שגם תחומים רגישים ומורכבים חייבים לעמוד בכללי שקיפות, אבטחת מידע וכיבוד פרטיות.
אומנם עתידה להיות גם הקלה רגולטורית בגופים פרטיים - לדוגמה, במקרים רבים תבוטל החובה לרשום מאגרי מידע (למעט עבור גופים ציבוריים וגורמים העוסקים בסחר במידע) - אך במקביל, החוק נוקט גישה מחמירה במקרים של עיבוד מידע שנאסף שלא כדין, ובמקרים של הטעיה לצורך איסוף מידע אישי.
התיקון כולל גם הבחנה בין סוגי מידע רגיש. ההגדרות עוצבו כך שיתאימו לרוח התקינה הבינלאומית ובפרט ל-GDPR של האיחוד האירופאי. התאמה זו לא רק מקדמת את ההגנה על האזרח, אלא גם מחזקת את מעמדה של מדינת ישראל כמדינה שיש לה הכרה אירופית בתחום פרטיות המידע.
שינוי מהותי נוסף הוא הרחבת סמכות בתי המשפט לפסוק פיצויים בגין הפרת החוק, גם ללא צורך בהוכחת נזק בפועל. מטרתו של מהלך זה היא ליצור הרתעה אפקטיבית ולעודד ארגונים לפעול באחריות יתרה בעת טיפול במידע אישי.
התיקון מעניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים בגין הפרת החוק וכן מעניק לה סמכויות חקירה פליליות, כלי אכיפה מנהלית ואפשרות לקבלת צווים שיפוטיים להפסקת עיבוד מידע אישי או מחיקתו.
מדובר במהלך שמחזק משמעותית את הרגולטור ומעלה את רף האחריות של הארגונים כלפי הציבור.
אחריות ההנהלה ונושאי המשרה וחשיבות ההיערכות הארגונית
בהנחיית הרשות להגנת הפרטיות, הורחבה האחריות של ההנהלה והדירקטוריון לעמידת הארגון בדיני פרטיות ואבטחת מידע. כך שעליהם לאמץ גישה אקטיבית בכל הנוגע לפרטיות, אבטחת מידע וניהול סיכוני סייבר.
אי-מעורבות או היעדר פיקוח נאות עלולים להיחשב כהפרת חובה, דבר שיכול להוביל לחשיפה משפטית ורגולטורית ולהטלת סנקציות אישיות.
שילוב בין ממשל תאגידי תקינה, ניהול פרואקטיבי ובקרה שוטפת מצד נושאי משרה בכירים מהווה בסיס לעמידה בחוק, לצמצום חשיפות עתידיות ולחיזוק אמון הציבור והרגולטור בארגון.
עם כניסת התיקון לתוקף, הארגונים יחויבו ביישום מלא של הוראות החוק. האחריות לכך תחול גם על הנהלת הארגון ועל נושאי המשרה הבכירים וזאת כדי להימנע מהסנקציות שנקבעו בחוק.
על רקע השינויים שמביא עמו תיקון 13, היערכות מוקדמת מצד הארגונים אינה בגדר המלצה – אלא הכרח אסטרטגי. בפועל, הדרישה לשמירה על פרטיות הפכה לרכיב מרכזי בניהול סיכונים, בבניית אמון הציבור ובשמירה על תדמית הארגון.
מינוי ממונה פרטיות, גיבוש נהלים תואמים, ביצוע מבדקי ציות והדרכות ייעודיות – כל אלה מהווים חלק בלתי נפרד מהשינויים הנדרשים. ארגון שיקדים להיערך – לא רק שיוכל להימנע מסנקציות, אלא גם יחזק את מעמדו כגוף אחראי, אמין ומוביל בתחומו.
ניתן לקרוא על התיקון לחוק באתר הממשלתי GOV.IL.