
התיקון לחוק הגנת הפרטיות והשפעתו על עסקים. על מה כולם מדברים?
התחלתם לקבל הודעות בלי סוף על שינויים שעסקים עושים במדיניות הפרטיות שלהם?
ברוכים הבאים. האתרים האלו הבינו את משמעות השינויים שנכנסו לתוקף בדיני הגנת הפרטיות והתאימו את עצמם אליהם. האם אתם התאמתם את העסק שלכם או שאתם ממתינים לקבל קנסות או תביעות גדולים?
כאן אסביר בקצרה את החידושים החשובים שתיקון 13 מציג לדיני הגנת הפרטיות ולעסק שלכם ואציע לכם לטפל בהם, ומהר!
(צרו איתנו קשר אם תרצו עורך דין מקצועי שיעזור לכם להתאים את עצמכם לחוק)
מבוא: עקרונות יסוד בדיני הגנת הפרטיות
רבים כבר שמעו על ה-GDPR (הרגולציה האירופית להגנת הפרטיות) אשר קבעה עקרונות מהותיים, שרבים מהם אומצו גם בישראל. שני הכללים המרכזיים הם:
- פרטיות בעיצוב (Privacy by Design)
- פרטיות כברירת מחדל (Privacy by Default)
משמעותם של כללים אלו היא כי על עסקים לשלב את שיקולי הפרטיות בכל שלב בחיי המוצר/שירות. נדרש גם להגדיר ברירות מחדל המגנות על פרטיות המשתמש. חריגה מברירות המחדל חייבת להיות בהסכמה או בצורה חוקית אחרת.
על בסיס עקרונות אלו נקבעו באירופה (וכיום גם בישראל) שורה של עקרונות מחייבים שחשוב שנכיר אותם :
- חוקיות ושקיפות: כל איסוף או שימוש במידע אישי חייב להתבסס על בסיס חוקי (בישראל – הוראת חוק מפורשת או הסכמת המשתמש). נדרש גם למסור למשתמש הודעה ברורה ומובנת על איסוף המידע ועל פרטיו החשובים.
- צמצום ומזעור מידע: יש לאסוף רק את המידע לו אתם זקוקים לשם קיום המטרות עליהן הצהרתם או שביחס אליהם קיבלתם הסכמה. אל תאספו רכיבי מידע שאינם הכרחיים למטרות אלו. הושגה המטרה? חובתכם כעת למחוק את המידע ולצמצמו.
- צמידות המטרה: יש לקבוע מטרה ברורה לכל מידע אישי שנאסף, ואין להשתמש בו למטרה אחרת.
- הגבלת השמירה (Data Retention): ראוי להגביל את פרק הזמן שבו אתם מחזיקים במידע אישי ועושים בו שימוש. מחקו אותו בתום התקופה.
- אבטחת מידע: עימדו בדרישות המפורטות בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017).
- זכויות הפרט: לנושא המידע יש זכויות במידע האישי שלו. הכירו מה הן (למשל הזכות לתיקון מידע שגוי) וודאו שאתם עומדים בהן.
השינויים שמוביל תיקון 13:
על רקע עקרונות אלה, נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות, שמטרתו להתאים את החוק למציאות הדיגיטלית המודרנית. אתם מוזמנים לקרוא כאן מדריך של הרשות בעניין תיקון 13.
השינוי המדובר ביותר הוא התאמה והרחבה משמעותית של סמכויות רשות הגנת הפרטיות שהפכה לרגולטור חזק בעל סמכויות חקירה, סמכויות ביצוע בירורים מנהליים וגם סמכות לאכיפה בפועל וקנסות כספיים גבוהים.
תיקון בוצע במספר מונחים חשובים. כך למשל (וזו דוגמה בלבד), הגדרות "מידע אישי", "בעל שליטה במאגר" ואחרות.
חובה חשובה שנקבעה בתיקון היא חובת מינוי ממונה הגנת הפרטיות במקרים המתאימים.
החוק מקל מעט בחובת רישום מאגר המידע, אך זכרו שחובתכם לעמוד בתקנות אבטחת מידע נותרה בעינה.
התיקון חיזק את החובות הקבועות בחוק ואף הרחיב אותן. למשל נקבע איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי כמו גם ואיסור על עיבוד מידע ללא הרשאה מאת בעל השליטה במאגר.
חובה נוספת שחוזקה בתיקון היא חובת ההודעה והשקיפות בזמן איסוף המידע ושימוש בו.
עוד עוסק התיקון בהליך החדשני של חוות דעת מקדמית מהרשות וכן קובע הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים.
משמעות השינויים בחוק ביחס לעסקים:
במאמר זה איני מתכוון להפנות אתכם לחובות ספציפיות המוטלות אליכן. הרי זה יהיה כמו לאסוף רק את המטבע שמתחת לפנס. חשוב שתבינו (כמו שהבינו כל אלו ששולחים אליכם את אותם מיילים על שינוי הנהלים והמיניות שלהם) שהתיקון מחייב אתכם למחשבה משמעותית על נושאי הגנת הפרטיות, אם עוד לא עשיתם אותה עד עכשיו.
התיקון קיים כבר שנה והוא נכנס לתוקף ממש לפני ימים ספורים, באמצע אוגוסט 2025. לכן, מבחינתכם, כל יום שחולף מבלי שהתאמתם את נהלי הפרטיות ומדיניות הפרטיות שלכם לחוק – מקים סיכון לא מבוטל. לא תרצו לעמוד בפני חקירה מינהלית או פלילית, או בפני תביעה אזרחית עם פיצויים ללא הוכחת נזק.
בסופו של יום ניתן לחלץ מהחוק בנוסחו הנוכחי רשימת מטלות לא מבוטלות שיש לבצע כדי להתאים את העסק בצורה טובה יותר להגנת הפרטיות – פעולה שגם תשפר את מצבם של לקוחותיכם, גם תהפוך אתכם לעסק אמין יותר וגם תמנע מכם תקלות אל מול הרגולטור והתובעים הפוטנציאליים.
לכן המלצותי ברורות:
- גשו לייעוץ מקצועי שיתן בידיכם את הכלים המתאימים להתמודד עם התחום ועם החובות שהוא מטיל עליכם. אל תמתינו לביקורת הרשות או לתביעות שיבואו. נסו לפעול באופן פרואקטיבי למנוע תקלות עתידיות. שימו לב שמדובר ברשימת חובות לא מבוטלת, שחשוב שתכירו.
- צרו מיפוי מידע אישי מלא. כזה שמתייחס למכלול הנושאים הנדרשים.
- בצעו סקר פערים בין התנהלותכם להתנהלות הנדרשת על פי החוק ותקנו כל ליקוי.
- בידקו את מכלול ההודעות וההסכמות של נשואי המידע אצלכם, וראו האם אתם חשים איתן בנוח והן עומדות בדרישות החוק והנחיות הרשות.
- וודאו שאתם עומדים בדרישות הטכניות של תקנות הגנת הפרטיות (אבטחת מידע).
- חישבו אילו נהלים ארגוניים חשובים לעסק כמו שלכם, וצרו אותם.
- תקנו והתאימו את מדיניות הפרטיות העסקית לשינויים אותם אימצתם בעקבות התיקון לחוק.
- בידקו את חובתכם למנות ממונה הגנת הפרטיות. מנו כזה, אם נדרש ועמדו בדרישות החוק.
- עקבו באופן שוטף אחרי השינויים בחקיקת הגנת הפרטיות והרגולציה הנלווית אליה. רשות הגנת הפרטיות פרסמת מדי פעם בפעם הנחיות חשובות וחלקן – יכול שיהיה רלוונטי אליכם. עקבו אחריהן.
- אל תתעלמו. תפעלו.
אחרון אציע פתרון חלקי שישפר את מצבכם (גם אם לא יוביל לעמידה מושלמת בכל דרישות החוק).
אשמח להפגש אתכם, עם המשווק שלכם ועם האיש הטכני שמסייע לכם. במפגש כזה אחשוף בפניכם את העקרונות והחובות החשובים ונחשוב יחד כיצד תוכלו להתאים אותם להתנהלות העסקית שלכם. בסיומו של מפגש זה תקבלו מידע שיאפשר לכם לבצע שינויים מהותיים שישפרו את מצבכם בצורה דרמטית ויקלו עליכם לעמוד בדרישות החוק.
צרו איתי קשר ותתחילו להגן על עצמכם.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.