התיקון לחוק הגנת הפרטיות והשפעתו על עסקים. על מה כולם מדברים?

התחלתם לקבל הודעות בלי סוף על שינויים שעסקים עושים במדיניות הפרטיות שלהם?

ברוכים הבאים. האתרים האלו הבינו את משמעות השינויים שנכנסו לתוקף בדיני הגנת הפרטיות והתאימו את עצמם אליהם. האם אתם התאמתם את העסק שלכם או שאתם ממתינים לקבל קנסות או תביעות גדולים?

כאן אסביר בקצרה את החידושים החשובים שתיקון 13 מציג לדיני הגנת הפרטיות ולעסק שלכם ואציע לכם לטפל בהם, ומהר!

(צרו איתנו קשר אם תרצו עורך דין מקצועי שיעזור לכם להתאים את עצמכם לחוק)

מבוא: עקרונות יסוד בדיני הגנת הפרטיות

רבים כבר שמעו על ה-GDPR (הרגולציה האירופית להגנת הפרטיות) אשר קבעה עקרונות מהותיים, שרבים מהם אומצו גם בישראל. שני הכללים המרכזיים הם:

1. פרטיות כברירת מחדל (Privacy by Default)
2. פרטיות בעיצוב (Privacy by Design)

משמעותם של כללים אלו היא כי על עסקים לשלב את שיקולי הפרטיות בכל שלב בחיי המוצר/שירות. נדרש גם להגדיר ברירות מחדל המגנות על פרטיות המשתמש. חריגה מברירות המחדל חייבת להיות בהסכמה או בצורה חוקית אחרת.

על בסיס עקרונות אלו נקבעו באירופה (וכיום גם בישראל) שורה של עקרונות מחייבים שחשוב שנכיר אותם :

1. חוקיות ושקיפות: כל איסוף או שימוש במידע אישי חייב להתבסס על בסיס חוקי (בישראל – הוראת חוק מפורשת או הסכמת המשתמש). נדרש גם למסור למשתמש הודעה ברורה ומובנת על איסוף המידע ועל פרטיו החשובים.
2. צמצום ומזעור מידע: יש לאסוף רק את המידע לו אתם זקוקים לשם קיום המטרות עליהן הצהרתם או שביחס אליהם קיבלתם הסכמה. אל תאספו רכיבי מידע שאינם הכרחיים למטרות אלו. הושגה המטרה? חובתכם כעת למחוק את המידע ולצמצמו.
3. צמידות המטרה: יש לקבוע מטרה ברורה לכל מידע אישי שנאסף, ואין להשתמש בו למטרה אחרת.
4. הגבלת השמירה (Data Retention): ראוי להגביל את פרק הזמן שבו אתם מחזיקים במידע אישי ועושים בו שימוש. מחקו אותו בתום התקופה.
5. אבטחת מידע: עימדו בדרישות המפורטות בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017).
6. זכויות הפרט: לנושא המידע יש זכויות במידע האישי שלו. הכירו מה הן (למשל הזכות לתיקון מידע שגוי) וודאו שאתם עומדים בהן.

השינויים שבלב תיקון 13:

תיקון 13 לחוק הגנת הפרטיות נועד להתאים את החוק למציאות הדיגיטלית החדשה. אתם מוזמנים לקרוא כאן מדריך של הרשות בעניין תיקון 13.

השינוי המדובר ביותר הוא התאמה והרחבה משמעותית של סמכויות רשות הגנת הפרטיות שהפכה לרגולטור חזק בעל סמכויות חקירה, סמכויות ביצוע בירורים מנהליים וגם סמכות לאכיפה בפועל וקנסות כספיים גבוהים.

תיקון בוצע במספר מונחים חשובים. כך למשל (וזו דוגמה בלבד), הגדרות "מידע אישי", "בעל שליטה במאגר" ואחרות.

חובה חשובה שנקבעה בתיקון היא חובת מינוי ממונה הגנת הפרטיות במקרים המתאימים.

החוק מקל מעט בחובת רישום מאגר המידע, אך זכרו שחובתכם לעמוד בתקנות אבטחת מידע נותרה בעינה.

התיקון חיזק את החובות הקבועות בחוק ואף הרחיב אותן. למשל נקבע איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי כמו גם ואיסור על עיבוד מידע ללא הרשאה מאת בעל השליטה במאגר.

חובה נוספת שחוזקה בתיקון היא חובת ההודעה והשקיפות בזמן איסוף המידע ושימוש בו.

עוד עוסק התיקון בהליך החדשני של חוות דעת מקדמית מהרשות וכן קובע הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים.

משמעות השינויים בחוק ביחס לעסקים:

במאמר זה איני מתכוון להפנות אתכם לחובות ספציפיות המוטלות אליכן. הרי זה יהיה כמו לאסוף רק את המטבע שמתחת לפנס. חשוב שתבינו (כמו שהבינו כל אלו ששולחים אליכם את אותם מיילים על שינוי הנהלים והמיניות שלהם) שהתיקון מחייב אתכם למחשבה משמעותית על נושאי הגנת הפרטיות, אם עוד לא עשיתם אותה עד עכשיו.

התיקון קיים כבר שנה והוא נכנס לתוקף ממש לפני ימים ספורים, באמצע אוגוסט 2025. לכן, מבחינתכם, כל יום שחולף מבלי שהתאמתם את נהלי הפרטיות ומדיניות הפרטיות שלכם לחוק – מקים סיכון לא מבוטל. לא תרצו לעמוד בפני חקירה מינהלית או פלילית, או בפני תביעה אזרחית עם פיצויים ללא הוכחת נזק.

בסופו של יום ניתן לחלץ מהחוק בנוסחו הנוכחי רשימת מטלות לא מבוטלות שיש לבצע כדי להתאים את העסק בצורה טובה יותר להגנת הפרטיות – פעולה שגם תשפר את מצבם של לקוחותיכם, גם תהפוך אתכם לעסק אמין יותר וגם תמנע מכם תקלות אל מול הרגולטור והתובעים הפוטנציאליים.

לכן המלצותי ברורות:

1. אתרו עורך דין מקצועי שיעזור לכם להתמודד עם הנושא ועם החובות שלכם. אל תמתינו לביקורת הרשות או לתביעות שיבואו. תהיו אקטיביים ותמנעו תקלות. זו רשימת חובות לא מבוטלת, שחשוב שתכירו.

1. צרו מיפוי מידע אישי מלא ותוודאו שהוא מתייחס למכלול הנושאים הנדרשים.
2. תערכו סקר פערים. תשוו בין התנהלותכם להתנהלות הנדרשת על פי החוק ותתקנו מה שצריך לתקן.
3. תבדקו ההודעות וההסכמות של נושאי המידע שלכם. אתם מרגישים איתן נוח? הן עומדות בדרישות החוק והנחיות הרשות?
4. תחשבו איזה נהלים ארגוניים חשובים לעסק שלכם ותכינו אותם.
5. תעמדו בדרישות הטכניות של תקנות הגנת הפרטיות (אבטחת מידע).
6. תתקנו ותתאימו את מדיניות הפרטיות העסקית שלכם לשינויים אותם אימצתם בעקבות התיקון לחוק. תעזרו במומחה שלא תפגעו.
7. תבדקו האם אתם צריכים למנות ממונה הגנת הפרטיות. אם כן – תמנו ותעמדו בדרישות החוק.
8. תעקבו באופן שוטף אחרי שינויים בחוק ובהנחיות הרשות להגנת הפרטיות. הן חשובות.
9. תפעלו. אל תגידו "יהיה בסדר".

אחרון אציע פתרון חלקי שישפר את מצבכם (גם אם לא יוביל לעמידה מושלמת בכל דרישות החוק).

אשמח להפגש אתכם, עם המשווק שלכם ועם האיש הטכני שמסייע לכם. במפגש כזה אחשוף בפניכם את העקרונות והחובות החשובים ונחשוב יחד כיצד תוכלו להתאים אותם להתנהלות העסקית שלכם. בסיומו של מפגש זה תקבלו מידע שיאפשר לכם לבצע שינויים מהותיים שישפרו את מצבכם בצורה דרמטית ויקלו עליכם לעמוד בדרישות החוק.

צרו איתי קשר ותתחילו להגן על עצמכם.