ביום 14/08/2025 נכנס לתוקף תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן: "התיקון"). תיקון זה נועד, בין היתר, להתאים את הדין הישראלי לאתגרים העכשוויים בהגנה על מידע אישי, להתפתחויות טכנולוגיות ולסטנדרטים המודרניים בתחום הגנת הפרטיות בעולם.
לתיקון עשויה להיות השפעה על התנהלותם של ארגונים ותאגידים רבים, לרבות מעסיקים, כפי שיוסבר להלן:
עדכון מונחים והגדרות:
"גוף ציבורי" – כולל משרדי ממשלה, מוסדות מדינה אחרים, רשויות מקומיות (לרבות ועדים מקומיים) וכן גופים נוספים הממלאים תפקידים ציבוריים על פי דין. גופים אלו כפופים לרגולציה מחמירה ולחובות נוספים.
"מידע אישי" – נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. כגון: שם, מספר זהות, תמונה, דוא"ל וכיוצ"ב. בנוסף, מגדיר החוק את המונח "מידע בעל רגישות מיוחדת" כמידע אישי על צנעת הפרט, מצב בריאות, מידע גנטי, מידע ביומטרי הנועד לזיהוי או אימות, מוצא, עבר פלילי, דעות פוליטיות או דתיות, הערכת אישיות מקצועית, נתוני מיקום ותעבורה, שכר ופעילות פיננסית ומידע הכפוף לסודיות בדין ועוד.
כללי הגנת הפרטיות יחולו על כל פעולה של עיבוד מידע אישי, כלומר כל פעולה שמבוצעת במידע האישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
"מאגר מידע" – אוסף של פרטי מידע אישי המעובד באמצעי דיגיטלי, למשל, מאגר לקוחות או ספקים של הארגון הכולל שמות ומספרי ת"ז, מאגר עובדי הארגון, מאגר צילומי אבטחה, רשימת דיוור אלקטרוני, מאגר נתוני שכר וכיוצ"ב.
חובת רישום מאגרי מידע:
חובת רישום מאגרי המידע תחול רק על גופים ציבוריים וסוחרי מידע שבבעלותם מאגר מידע על למעלה מ-10,000 בני אדם. עם זאת, ארגונים שיש ברשותם מידי בעל רגישות מיוחדת, על 100,000 איש ומעלה, מחויבים במתן הודעה לרשות אודות המאגר.
מינוי ממונה על הגנת הפרטיות:
על גופים מסוימים במשק תחול החובה למנות ממונה על הגנת הפרטיות, אשר יהיה אחראי לוודא שהגוף עומד בדרישות חוק הגנת הפרטיות, לשמש מוקד ידע מקצועי, לייעץ להנהלה ולעובדים, להכין תוכניות הדרכה ובקרה, לפקח על יישום נוהלי אבטחת מידע, לטפל בפניות הציבור בנוגע לזכויותיהם ולשמש איש הקשר מול הרשות להגנת הפרטיות. הממונה נדרש להיות בעל ידע משפטי מעמיק בדיני פרטיות, בהבנה טכנולוגית ובתחום הפעילות של הגוף, וללא ניגוד עניינים – הממונה יכול שיהיה חיצוני שאינו עובד של הארגון.
החובה למנות ממונה על הגנת הפרטיות תחול על גופים ציבוריים, על גופים הסוחרים במידע אישי של יותר מ־10,000 איש, על גופים המנהלים מידע רגיש בהיקף ניכר, שפעילותם כרוכה בניטור שיטתי של אנשים או בעיבוד מידע רגיש בהיקף ניכר – כגון בנקים, חברות ביטוח, בתי חולים וקופות חולים וכן על "מחזיקים" במידע עבור כל הגופים האלו.
חשוב לדעת – הרשות להגנת הפרטיות הודיעה כי תנקוט במדיניות אי-אכיפה זמנית ביחס לחובת מינוי ממונה על הגנת הפרטית בארגון הרשות להגנת הפרטיות ואינה מתכוונת לנקוט בהליכי אכיפה בכל הנוגע למינוי ממונה על הגנת הפרטיות בארגון, עד ליום 31/10/2025.
סמכויות ואכיפה:
אחת ממטרות הליבה של תיקון 13 היא להעניק סמכויות אפקטיביות לרשות להגנת הפרטיות. לראשונה לרשות מוקנות סמכויות נרחבות של פיקוח, בירור מנהלי ואכיפה מנהלית, לרבות, עריכת ביקורות והליכים מינהליים, ובעיקר – הטלת עיצומים כספיים גבוהים ומשמעותיים בגין הפרת החוק. היערכות לקויה והיעדר ציות עלולים להוביל לחשיפה רגולטורית ממשית ולקנסות של עשרות ואף מאות אלפי שקלים.
דגשים לארגונים שאינם מוגדרים כגופים ציבוריים:
- כל מאגר מידע, גם אם אינו טעון רישום, כפוף לחובות הקבועות בחוק בנוגע לאיסוף, ניהול עיבוד, ואבטחת המידע אישי המצוי בידם.
- התיקון הרחיב את חובת השקיפות באיסוף המידע האישי כך שמלבד החובה הקיימת ליידע את נושא המידע האם חלה עליו חובה חוקית למסור את המידע או שמסירתו תלויה ברצונו ובהסכמתו, חלה חובה גם ליידע אותו מהי תוצאת אי ההסכמה. כמו כן, מלבד החובה הקיימת למסור לנושא המידע את המטרה אשר לשמה מבוקש המידע, חלה חובה גם למסור לו את שמו של בעל השליטה במאגר ודרכי ההתקשרות עמו, וכן את זכותו לעיון במידע הקיים אודותיו במאגר וזכותו לדרוש את תיקון המידע.
- חובה עיקרית נוספת, היא להשתמש במידע רק למטרה לשמה הוא נאסף. החוק אוסר על עיבוד מידע שלא למטרה שנקבעה כדין במסגרת מטרות המאגר.
- חשוב מאוד לסווג את מאגרי המידע שבארגון ולבחון האם הארגון הוא בעלים או מחזיק בכל מאגר, לבחון את הדרישות העיקריות שתקנות הגנת הפרטיות (אבטחת מידע), ובכלל זה, סיווג רמת אבטחה, ניסוח מסמך הגדרות מאגר, קיום נוהל אבטחת מידע ונוהל התמודדות עם אירועי אבטחה. בנוסף יש לבחון מינוי ממונה על הגנת הפרטיות (אם קיימת חובה) ואת אופן היידוע של נושאי המידע בארגון.
דגשים בהקשר של קבלת עובדים לעבודה והעסקת עובדים:
הוראות תיקון מס' 13 חלות על מעסיקים כבר מהליך הקבלה למקום העבודה, ובהמשך גם על העסקת העובדים בארגון, ולאחר עזיבתם את הארגון.
יש לבצע מיפוי של מאגרי המידע בארגונכם, למשל –
- מאגר מועמדים לעבודה המכיל שמות, ת"ז, דוא"ל, מספרי טלפון, קורות חיים, תעודות, רישיונות.
- מאגר עובדים המכיל נתוני שכר, הערכות ביצועים, ניטור באמצעות שעות נוכחות ביומטרי ועוד.
- מאגר נתוני שכר עובדים שמצוי בהנהלת חשבונות או במיקור חוץ.
- מאגר צילומי אבטחה במקום העבודה.
יש לבחון מה סוג המידע שיש במאגר, מי הם נושאי המידע במאגרים, האם יש הסכמה ויידוע של נושאי המידע, מה הייתה מטרת האיסוף ואיזה שימוש הנכם עושים במידע שבמאגר.
חשוב להפריד בין המאגרים, ולהפריד ככל הניתן את הרשאות הגישה למאגרים, קרי, לא לאפשר גישה גורפת לכלל העובדים לכל המאגרים הקיימים בארגון, אלא רק למה שנדרש להם למילוי תפקידם. למשל, קב"ט – למצלמות, הנה"ח -לנתוני שכר, טפסי 101 וכו', משאבי אנוש – מידע על עובדים ומועמדים, עובדים – מידע רלוונטי למילוי תפקידם. כמו כן, חשוב להסיר הרשאות בעת עזיבת עובד.
עליכם לוודא כי כבר משלב גיוס העובדים, החומר והמידע שנאסף אודות המועמדים עומד בדרישות החוק, ובין היתר, יש לקבל את הסכמת המועמד לאיסוף ועיבוד המידע האישי, ואת משמעות אי מסירת המידע. בנוסף, מועמדים ועובדי הארגון זכאים לדעת איזה נתונים אישיים נשמרו בארגון אודותם, מה השימוש שנעשה בהם, וכן קיימת להם הזכות לעיין במידע, ולתקן את המידע.
חשוב לדעת – זכות העיון אינה מוחלטת. אם זכות העיון פוגעת באחר, או בחיסיון לפי דין, ניתן לסרב לעיון.
חשוב לוודא שמידע אישי לא נשמר מעבר לנדרש – אם אין בו עוד צורך לשם המטרה לשמה הוא נאסף או על פי דין- למחוק אותו.
חשוב לסווג את רמת האבטחה הנדרשת בכל מאגר, ולוודא כי הארגון עומד בחוק הגנת הפרטיות (אבטחת מידע) בקשר לשלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים.
מצלמות אבטחה:
יש להגדיר נוהל שימוש במצלמות אבטחה – הרשות פרסמה הנחיות בקשר לשימוש במצלמות מעקב במקום העבודה ובמסגרת יחסי העבודה, בין היתר, התקנת המצלמות תהא לתכלית ראויה ומסיבה מוצדקת, יש להודיע לעובדים כי מותקנות מצלמות למעקב ואבטחה באמצעות שילוט בהודעה, יש להתקין מצלמות רק בחללי העבודה הציבוריים, לא על משרדו האישי של עובד ולא בחדרי שירותים, ככל שאין צורך, יש להימנע מהקלטת שמע ושימוש ברזולוציה גבוהה ואיסור שימוש למטרות זרות.
אבטחת מידע:
אבטחת מידע היא הגנת על שלמות המידע האישי שמצוי בידי הארגון והגנה עליו מפני עיבוד או שימוש על ידי גומרים שאינם מורשים.
דרישות הדין בקשר לאבטחת המידע מפורטות בחוק הגנת הפרטיות וכן בתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017. התקנות מדרגות את מאגרי המידע לשלוש רמות אבטחה – בסיסית, בינונית וגבוהה, וקובעות מהן החובות שחלות על כל מאגר, בהתאם לרמת הסיכון.
בהתאם לרמת הסיווג כאמור, יש לקבוע נוהל אבטחת מידע שיכלול, בין היתר, הרשאות גישה למאגר, אופן התמודדות עם אירועי אבטחה ועוד.
ככלל, רמת אבטחה בסיסית תסווג על דרך השלילה, אם המאגר אינו בעל רמת אבטחה בינונית או גבוה – אז רמת האבטחה בסיסית. בנוסף, מאגר יסווג כבעל רמת אבטחה בסיסית אם המאגר מנוהל על ידי יחיד (לרבות תאגיד בבעלות יחיד), ובלבד שאין הרשאות גישה למאגר ליותר מ-3 אנשים.
ארגון שהינו גוף ציבורי, או שמטרתו העיקרית הינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, או שהוא מעבד מידע בעל רגישות מיוחדת, ייחשב מאגר המידע שברשותו כבעל רמת אבטחה בינונית לפחות, דבר המחייב ניהול הרשאות קפדני, יישום מנגנוני בקרה ותיעוד, ביצוע סקרי סיכונים וביקורות אבטחה, הדרכות שוטפות לעובדים וכן דיווח לרשות להגנת הפרטיות במקרה של אירועי אבטחה חמורים.
חשוב לדעת – על אף המפורט לעיל, מאגר מידע אודות מועסקים או הספקים של הארגון, או אם מספר בעלי ההרשה למאגר אינו עולה על -10, לא תחול רמת האבטחה הבינונית אלא רמת אבטחה בסיסית.
רמת אבטחה גבוהה תחול על מאגרים שעומדים בקריטריון של רמת אבטחה בינונית אולם מכיל מידע על למעלה מ 100,000 אנשים או מספר הרשאות הגישה למאגר גדול מ- 100.
הארגון לא ייתן גישה למידע המצוי במאגר מידע, אלא אם כן נקט אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי העובד אינו מתאים לקבלת גישה למידע המצוי במאגר. בנוסף, בטרם יקבל עובד גישה למידע ממאגר המידע, יש לקיים הדרכה לעובד בנושא החובות לפי החוק ותקנות אלה, ולמסור לו מידע על אודות חובותיו לפי החוק ונוהל האבטחה. במאגר מידע ברמת אבטחה בינונית או גבוה, יש לקיים הדרכות תקופתיות לעובדים, אחת לשנתיים לפחות.
בנוסף, מאגר מידע הכולל מידע אישי שבעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, ייחשב מאגר מידע בעל רמת אבטחה בינונית לפחות.
המלצתנו לכלל הגופים המזיקים במידע אישי כהגדרתו בחוק, לבחון מה החובות החלים עליהם מכל החוק והתקנות, ומה עליהם לעשות על מנת לעמוד בחובות.
אנו עומדים לרשותכם לכל שאלה ונשמח לסייע לכם בבחינת עמידת ארגונכם בהוראות החוק.
דוא"ל משרדנו: office@o-n.law
