תיקון 13 לחוק הגנת הפרטיות, שאושר ב-5 באוגוסט 2024 ונכנס ממש לאחרונה, ב-14 באוגוסט השנה, יוצר שינוי גדול בנוף הרגולטורי הישראלי, ולא סתם. התיקון משנה באופן בסיסי את החוק המקורי משנת 1981 ומתאים אותו לאתגרי הפרטיות בעידן הדיגיטלי. תוהים מה בדיוק השתנה ואיך זה ישפיע על ארגונים, עסקים וזכויות הפרט? המדריך הזה יעשה לכם קצת סדר בנושא.
מה זה תיקון 13 לחוק הגנת הפרטיות?
רקע התיקון ומטרותיו
תיקון 13 לחוק הגנת הפרטיות נחשב לרפורמה המשמעותית ביותר בדיני הפרטיות בישראל מאז חקיקת החוק המקורי לפני כ-44 שנים. המטרות העיקריות של התיקון, הרלוונטיות לכל מי ששוקל פתיחת עסק או שכבר יש לו עסק קיים, כוללות התאמת מסגרת החוק לעידן הדיגיטלי, התמודדות עם אתגרי פרטיות חדשים, והרמוניזציה של החקיקה הישראלית עם סטנדרטים בין-לאומיים כמו ה-GDPR האירופאי. התיקון מבקש לשנות את נקודת האיזון בין צרכי עיבוד מידע בעולם הטכנולוגי לבין הגנה על זכויות הפרט, ובמקביל מחזק את סמכויות האכיפה של הרשות להגנת הפרטיות ומעדכן הגדרות מרכזיות בחוק כדי לשקף את המציאות הטכנולוגית העכשווית.
מועד כניסת התיקון לתוקף
תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025, כשנה לאחר אישורו. הסיבה לכניסתו לתוקף כשנה לאחר שנקבע, הייתה לאפשר לארגונים ולגופים ציבוריים להיערך לשינויים המשמעותיים הקשורים אליו.
מי נושא באחריות ליישום התיקון?
אחריות היישום מתחלקת בין כמה גורמים:
- הרשות להגנת הפרטיות אחראית על אכיפת החוק ופיקוח על יישומו.
- בעלי שליטה במאגרי מידע (כולל חברות פרטיות, ארגונים וגופים ציבוריים) ומחזיקי מאגרים נושאים באחריות ישירה לציית להוראות החוק המתוקן.
- בארגונים החייבים במינוי ממונה הגנת פרטיות, נושא תפקיד זה יהיה אחראי על הובלת היישום וההטמעה של דרישות החוק.
- בחברות ציבוריות ובארגונים גדולים, הדירקטוריון וההנהלה הבכירה נושאים באחריות עליונה להבטיח ציות לחוק, כחלק מחובת הזהירות והאמונים שלהם.
השינויים העיקריים בתיקון 13 לחוק הגנת הפרטיות
הרחבת סמכויות הרשות להגנת הפרטיות
אחד השינויים המשמעותיים ביותר בתיקון 13 הוא העצמת הרשות להגנת הפרטיות. הרשות מקבלת כעת סמכויות נרחבות לפיקוח ואכיפה, הדומות לאלו של רגולטורים משמעותיים אחרים במשק הישראלי. במסגרת תפקידה היא יכולה להטיל עיצומים כספיים בסכומים משמעותיים על מפרי חוק, מה שיכול להגיע לסכומים של מאות אלפי שקלים, ובמקרים של הפרות נרחבות או מתמשכות, אף למיליוני שקלים. נוסף לכך, התיקון מעניק לרשות סמכויות חקירה משמעותיות, כולל סמכות למנות מפקחים עם יכולת לדרוש מסמכים, ולחקור חשודים בהפרת הוראות החוק.
חובת מינוי ממונה הגנת פרטיות (DPO)
לראשונה בישראל, תיקון 13 מחייב ארגונים מסוימים למנות ממונה על הגנת הפרטיות. חובה זו חלה על גופים ציבוריים כמו משרדי ממשלה ורשויות מקומיות, וכן על ארגונים העוסקים בסחר במידע עם מאגרים של מעל 10,000 אנשים. נוסף לכך, ארגונים המבצעים ניטור שוטף של אנשים בהיקף ניכר וגופים המעבדים מידע רגיש בהיקף ניכר כמו בנקים וקופות חולים נדרשים גם הם למנות ממונה.
הממונה צריך להיות בעל ידע מעמיק בדיני הגנת הפרטיות, הבנה טכנולוגית, והיכרות עם תחומי פעילות הארגון, למשל ארגון המתמחה בשירותי סליקת אשראי. הוא ידווח ישירות למנכ"ל או לעובד בכיר הכפוף ישירות למנכ"ל, ויפעל באופן עצמאי ללא ניגוד עניינים.
עדכון הגדרות ומונחים בחוק
התיקון מעדכן הגדרות מרכזיות בחוק כדי להתאימן למציאות הטכנולוגית העכשווית:
- המונח "מידע" הוחלף ב"מידע אישי" – הגדרה רחבה יותר הכוללת כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, בין במישרין ובין בעקיפין.
- המונח "מידע רגיש" הוחלף ב"מידע בעל רגישות מיוחדת" והורחב לכלול קטגוריות נוספות כמו נתוני מיקום, מידע גנטי, מידע ביומטרי, ונתוני פעילות פיננסית.
- המונח "בעל מאגר" הוחלף ב"בעל שליטה במאגר", באופן דומה למונח Controller ב-GDPR, והוגדר כמי שקובע את מטרות עיבוד המידע במאגר.
צמצום חובת הרישום ושינויים רגולטוריים
תיקון 13 מצמצם מאוד את חובת רישום מאגרי המידע, שהייתה נטל רגולטורי משמעותי על המגזר העסקי. לפי התיקון, רק שני סוגי מאגרים יחויבו ברישום:
- מאגרים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, הכוללים מידע על יותר מ-10,000 אנשים.
- מאגרים של גופים ציבוריים.
במקביל לצמצום חובת הרישום, התיקון מכניס חובה חדשה: ארגונים המחזיקים במאגר עם מידע בעל רגישות מיוחדת על יותר מ-100,000 אנשים חייבים להודיע על כך לרשות להגנת הפרטיות, גם אם אינם חייבים ברישום.
השלכות התיקון על ארגונים ועסקים
על מי חלות ההוראות החדשות?
ההוראות החדשות חלות על מגוון רחב של ארגונים ועסקים, אך בדגש מיוחד בגופים ציבוריים, בארגונים המעבדים מידע אישי בהיקף נרחב, ובחברות המעבדות מידע רגיש. עסקים קטנים ובינוניים, לרבות כאלה המשתמשים בתוכנה לניהול עסק, שאינם מעבדים מידע אישי בהיקף נרחב או רגיש יושפעו פחות, אך גם הם יצטרכו להתאים את התנהלותם לדרישות החוק המעודכנות.
שינויים נדרשים במדיניות הפרטיות
ארגונים יצטרכו לעדכן את מדיניות הפרטיות שלהם כדי לעמוד בדרישות המוגברות לשקיפות, בדיוק כפי שמקפידים בקבלות דיגיטליות לעמוד בדרישות השונות. התיקון מרחיב את חובת היידוע כלפי נושאי המידע, כאשר הודעת הפרטיות חייבת לכלול מידע מפורט יותר על האם חלה חובה חוקית למסירת המידע, המטרה לשמה נאסף, זהות בעל השליטה ודרכי התקשרות, ומידע על זכויות נושאי המידע.
עדכון הסכמים וחוזים
התיקון משפיע על הסכמים וחוזים עם צדדים שלישיים, בייחוד כאשר מדובר בהעברת מידע אישי או בשירותי עיבוד מידע. תצטרכו לעדכן הסכמי עיבוד מידע עם ספקים, הסכמי העברת מידע, והסכמי שירות כדי לשקף את הדרישות החדשות של החוק.
השוואה לתקני GDPR ולחקיקה בינלאומית
קווי דמיון ושוני עם GDPR
תיקון 13 מקרב את החקיקה הישראלית לתקנות הגנת המידע האירופאיות, אך עדיין קיימים הבדלים. הדמיון מתבטא בהגדרות מעודכנות, חובת מינוי DPO, ומשטר אכיפה דומה. ההבדלים כוללים פירוט שונה של הבסיס המשפטי לעיבוד מידע, זכויות נושאי מידע מצומצמות יותר בחוק הישראלי, והיקף תחולה פחות ברור בנוגע לתחולה חוץ-טריטוריאלית.
יתרונות מול מדינות מתפתחות
תיקון 13 מציב את ישראל בחזית המדינות המתפתחות בתחום דיני הגנת הפרטיות. היתרונות כוללים שמירה על סטטוס "מדינה עם הגנת מידע נאותה" מבחינת האיחוד האירופי, יתרון תחרותי לחברות ישראליות בשווקים גלובליים, ומיצוב ישראל כמדינה עם סביבה רגולטורית מתקדמת בתחום הפרטיות.
אתגרים ביישום התיקון
יישום תיקון 13 מציב מספר אתגרים: עלויות ציות גבוהות להיערכות לדרישות החדשות, פרשנות של מונחים עמומים כמו "היקף ניכר", והתנגשות אפשרית עם אינטרסים עסקיים של חברות המבוססות על איסוף וניתוח מידע אישי.
סיכום
תיקון 13 לחוק הגנת הפרטיות מייצג שינוי משמעותי בדיני הפרטיות בישראל. התיקון מעדכן את החוק המיושן משנת 1981 ומתאים אותו לאתגרי העידן הדיגיטלי, תוך התקרבות לסטנדרטים בינלאומיים. השינויים המשמעותיים ביותר כוללים הרחבת סמכויות הרשות להגנת הפרטיות, חובת מינוי ממונה הגנת פרטיות בארגונים מסוימים, עדכון הגדרות מרכזיות בחוק, וצמצום חובת רישום מאגרי המידע.
שאלות נפוצות
מתי נכנס תיקון 13 לחוק הגנת הפרטיות לתוקף?
תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025.
מי חייב למנות ממונה על הגנת הפרטיות?
גופים ציבוריים, ארגונים העוסקים בסחר במידע, ארגונים המבצעים ניטור שיטתי בהיקף ניכר, וארגונים המעבדים מידע רגיש בהיקף ניכר.
מה הם העיצומים הכספיים החדשים?
העיצומים יכולים להגיע למאות אלפי שקלים, ובמקרים חמורים אף למיליוני שקלים.
האם חוק הגנת הפרטיות החדש דומה ל-GDPR?
יש דמיון בהגדרות ובמשטר האכיפה, אך החוק הישראלי פחות מקיף בכל הנוגע לזכויות נושאי המידע ולבסיס המשפטי לעיבוד.
מה ההבדל בחובת רישום מאגרי מידע?
כעת רק מאגרים של "ברוקרים" מידע עם מעל 10,000 רשומות וגופים ציבוריים חייבים ברישום.
מה תפקידיו של ממונה הגנת הפרטיות?
לייעץ להנהלה, להכין תוכניות בקרה, לטפל בפניות נושאי מידע, ולשמש איש קשר מול הרשות להגנת הפרטיות.
כיצד ארגונים צריכים להיערך לתיקון?
לבצע סקר פערים, לעדכן מדיניות פרטיות והסכמים, להכשיר עובדים, ולהתכונן לדרישות הדיווח החדשות.
מה קורה למי שלא יעמוד בדרישות החוק החדש?
צפויים עיצומים כספיים, צווי ביצוע, פיקוח מוגבר, ובמקרים חמורים – הליכים פליליים ופגיעה במוניטין.