באוגוסט 2025 ייכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, תיקון שמסמן שינוי דרמטי באופן שבו גופים ציבוריים ועסקיים בישראל נדרשים להתנהל מול מידע אישי. עבור רבים, זו לא רק רגולציה חדשה אלא קריאת השכמה.
חוק ישן, עידן חדש
חוק הגנת הפרטיות נחקק ב־1981, בתקופה שבה מאגרי מידע היו בעיקר קלסרים בחדרים נעולים ולא פלטפורמות ענן עם מיליוני משתמשים. תיקון 13 נולד מתוך צורך דחוף לגשר על הפערים שנפערו בין המציאות הטכנולוגית של 2025 והמסגרת החוקית שקדמה לה.
החקיקה החדשה לא רק מרעננת את לשון החוק, אלא מטילה חובות קונקרטיות על בעלי מאגרי מידע ודורשת מכל ארגון לשאול את עצמו: האם אני באמת שולט במידע שאני מחזיק? והאם אני עושה זאת כחוק?
למי זה רלוונטי?
כל ארגון בישראל שמנהל מידע אישי על אזרחים, בין אם מדובר במערכת CRM, מערכת הרשאות, רשימות דיוור, או ניתוחי נתוני לקוחות, חייב לבחון מחדש את עמידתו בדרישות החוק.
גם ארגונים שלא היו מחויבים בעבר יכולים להיכנס כעת תחת ההגדרה החדשה של "בעל שליטה במאגר מידע" – מונח שמחליף את ה"בעלים" בהגדרה המסורתית ומטיל אחריות רחבה יותר.
עיקרי החוק החדש (או: "מה נדרש ממני בפועל?")
הנה רשימה ממוקדת של הדרישות המרכזיות בתיקון 13:
- חובת רישום מאגר מידע – אם יש לכם מידע אישי על יותר מ־10,000 אנשים, אתם כנראה חייבים ברישום, וגם אם לא, ייתכן שחלה עליכם חובת דיווח על קיום המאגר. כעת גם קבצים "תמימים" יחסית, כמו קובץ אקסל עם פרטי עובדים, עלולים כעת להיחשב כמאגר הדורש רישום, במיוחד אם יש בו מידע מזהה או מידע רגיש.
- מינוי ממונה הגנת פרטיות (DPO) – חובה על גופים ציבוריים, חברות עם עיסוק מהותי בעיבוד מידע רגיש, או ארגונים שמבצעים ניטור שיטתי בהיקף רחב.
- אכיפה מנהלית ואחריות אישית – הרשות להגנת הפרטיות קיבלה סמכויות חדשות להטיל עיצומים כספיים משמעותיים, ובמקרים מסוימים אף להפעיל אחריות אישית פלילית על מנהלים.
- שקיפות מול הציבור – חלה חובה ליידע את נושאי המידע באילו נתונים אתם מחזיקים, מה מטרת השימוש, מי אחראי עליהם בארגון, ואיך ניתן ליצור קשר עם ה־DPO בארגונכם.
- פיצויים ללא הוכחת נזק – אדם יכול לתבוע עד 10,000 ₪ גם בלי להוכיח שנגרם לו נזק בפועל, אם ארגון לא עמד בדרישות החוק.
מה הסיכון באי-עמידה בתנאי התיקון?
המשמעות הכלכלית והתדמיתית של אי-עמידה בתנאי תיקון 13 עלולה להיות הרסנית:
- קנסות לארגון של עשרות עד מאות אלפי שקלים
- אחריות אישית למנכ"לים, סמנכ"לים, ומנהלי מערכות מידע
- תביעות אזרחיות ללא הוכחת נזק
- נזק למוניטין והפסד אמון לקוחות
זו כבר לא המלצה – זו חובה רגולטורית.
כך תוודאו שהארגון שלכם ערוך לתיקון 13
בתוך ים הדרישות, הסעיפים, החובות והקנסות הפונטציאליים – קל ללכת לאיבוד. בדיוק כאן נכנסת אשנב מערכות מידע לתמונה. עם מעל 27 שנות ניסיון בפתרונות מידע, אבטחה, תשתיות ורגולציה, אנחנו יודעים לקחת את החוק ולהפוך אותו לתהליך ברור, ישים, ומותאם אישית לארגון שלכם.
השלב הראשון בתהליך הוא ביצוע Privacy Audit מקיף. מדובר בבדיקה שיטתית ויסודית של כל המערכות, המאגרים והתהליכים הקיימים בארגון. צוות המומחים של אשנב מבצע מיפוי של מאגרי המידע, בודק אילו מהם חייבים ברישום או בהודעה לפי החוק, ומנתח את אופן עיבוד המידע, האבטחה עליו, והתאמתו לדרישות המעודכנות. בסיום הבדיקה הארגון מקבל דוח מקצועי הכולל דירוג סיכונים, פערים רגולטוריים, והמלצות מפורטות ליישום. עבור ארגונים רבים, זו הפעם הראשונה שבה נחשפים למורכבות המלאה של ניהול מידע אישי וכאן מתחיל השינוי.
השלב הבא הוא שלב היישום. לא די בהבנה תיאורטית של החוק, יש להטמיע אותו בתהליכי העבודה. אשנב מלווה ארגונים בכל שלבי ההתאמה: ניסוח מדיניות פרטיות פנימית וחיצונית, גיבוש נוהלי אבטחת מידע, יצירת טפסי הסכמה מותאמים, הקמת מערך לטיפול בבקשות עיון ותיקון של מידע אישי, וניהול שוטף של מסמכי הגדרות המאגר כפי שנדרש בתקנות. התהליך נעשה באופן שמותאם לתחום הפעילות, להיקף המידע בארגון, ולרמות הסיכון שלו.
אחת מדרישות הליבה בתיקון היא מינוי ממונה הגנת פרטיות (DPO). אשנב מספקת מענה במספר כיוונים: שירות DPO חיצוני עבור ארגונים שאין להם את המשאבים להעסיק גורם כזה באופן קבוע, וליווי מקצועי לממונה פנים-ארגוני במקומות שבהם כן קיים תפקיד כזה אך נדרש תהליך הבשלה, הגדרה והכשרה. הליווי כולל הקמת תוכנית בקרה שוטפת, בניית מערך דיווח פנימי, טיפול בפניות הציבור, ויצירת חיבור ישיר בין הממונה לבין הנהלת הארגון.
כדי שהשינויים יתבססו לאורך זמן, חשוב להטמיע תרבות פרטיות אמיתית בארגון. לצורך כך, אשנב מציעה סדנאות להכשרת DPO, המשלבות תכנים עדכניים, סימולציות מעשיות ודוגמאות מהשטח והופכות את החוק משפה משפטית לאורח חיים ארגוני. הכל מועבר בגובה העיניים, בעברית ברורה, תוך שמירה על סטנדרטים מקצועיים מחמירים.
שירותי אשנב נבנו במיוחד כדי להתמודד עם אתגרי הרגולציה של עידן הדאטה. אנחנו לא מציעים רק "ציות לחוק", אלא שקט נפשי, מוכנות ארגונית והובלה באחריות. בזכות הניסיון הרב שלנו בעבודה עם ארגונים מהמגזר הציבורי והעסקי, אנחנו יודעים לגשת לכל לקוח עם פתרון שמתאים בדיוק בשבילו – טכנולוגית, תהליכית ואסטרטגית.
תיקון 13 הוא לא רק חוק – הוא שינוי תפיסה
המעבר ממודל הצהרתי למודל אכיפתי דורש מאיתנו להפסיק "לקוות לטוב" ולהתחיל לנהל את המידע בצורה אחראית, מבוקרת, ומקצועית.
כי אם יש דבר אחד שארגונים לא יכולים להרשות לעצמם ב־2025 זה חוסר ודאות.
רוצים לוודא שהארגון שלכם עומד בדרישות תיקון 13? השאירו פרטים ונתאם אתכם שיחת ייעוץ ללא התחייבות.