תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף היום | הזדמנויות, סיכונים והיערכות

סיכום עם ChatGPT

תזכורת לקהל לקוחותינו אודות כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות היום 14.8.2025, המביא עימו רפורמה רחבת היקף בתחום דיני הגנת הפרטיות.

על רקע זה, מומלץ להיערך כבר עתה ולבצע התאמות לדרישות החוק, לצמצום חשיפות משפטיות, הן מצד בעלי שליטה במאגר והן מצד גופים המעבדים מידע בשמם או בעבורם (מחזיקים), לרבות גופים ציבורים, חברות מהמגזר הפרטי, עמותות.

התיקון, אשר אומץ על-ידי הכנסת לפני כשנה נועד לחזק את ההגנה על הזכות לפרטיות ועימה את החובות בדבר עיבוד מידע אישי קודם כל באמצעות חיזוק יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות, ובכלל זה בדרך של סנקציות ועיצומים כספיים, כמו גם היכולת של הפרט לתבוע את מימוש זכויותיו ואף לדרוש פיצויים ללא הוכחת נזק במקרה של הפרה.

הזדמנויות ולא רק סיכונים:

התיקון מביא עימו בשורה לחקיקה הישראלית ומטמיע נורמות מתקדמות בנוגע להגנת הפרטיות, הדומות יותר לרגולציות מתקדמות בעולם, כמו רגולציית הגנת המידע באירופה (GDPR) באופן שיאפשר למדינת ישראל לשמור על מעמדה המיוחד בהקשר של עיבוד מידע באירופה (Adequacy) ולהוזיל עלויות עסקה ולהסיר חסמים משפטיים באופן משמעותי.

הבנת ההשלכות של התיקון קריטית לכל ארגון המחזיק או מעבד מידע אישי גם כדי לנצל הזדמנויות כדלקמן:

1. התאמה לסטנדרט בינלאומי ושיפור מוכנות לשיתופי פעולה גלובליים.
2. חיזוק אמון מול לקוחות וגורמים רגולטוריים.
3. שיפור תהליכי ניהול ואבטחת מידע, והפחתת סיכוני סייבר.
4. התמודדות בצורה נאותה יותר עם טכנולוגיות מתקדמות, לרבות AI.

עיקרי השינויים בדיני הפרטיות:

• הרחבת סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות:

התיקון מציב סטנדרט גבוה יותר לרגולציה בתחום דיני הפרטיות בישראל ובמסגרתו מוענקות לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה נרחבות, לרבות:

🔹 הטלת עיצומים כספיים משמעותיים, במיוחד בגין הפרות חמורות, חוזרות או בהיקף רחב.

🔹קיום ביקורות, חקירות יזומות ופעולות אכיפה רוחביות.

🔹פרסום פעולות אכיפה לציבור – דבר המעצים את הסיכון לפגיעה במוניטין הארגון

🔹אפשרות לדרוש הפסקת שימוש במידע או מחיקת מידע.

במסגרת התיקון גם עודכנו העבירות הפליליות, כגון התנהגויות המבוצעות בכוונה להטעות הרשות או להוצאת מידע במרמה מנושא מידע.

• הרחבת החשיפה האזרחית:

בנוסף, התיקון מחזק את הזכות לפרטיות ומרחיב את עילות התביעה מבעלי שליטה במאגרים או מחזיקים בקשר למימושן של זכויות נושאי המידע (יחידים), בין היתר בעקבות הרחבת תקופת ההתיישנות משנתיים לשבע שנים, הרחבת חובת היידוע וחיזוק עיקרון צמידות המטרה, כמו גם הוספת עילה לפיצויים ללא הוכחת נזק, אשר צפוי כי תביא לתביעות כנגד ארגונים.

• צמצום חובת הרישום והוספת חובת ההודעה:

התיקון מבטל את הדרישה לרשום מאגרי מידע בפנקס/מרשם הפומבי אצל רובם המוחלט של הגופים במשק ומותיר חובה מצומצמת, תוך הבחנה בין גופים החייבים ברישום לבין גופים החייבים בהודעה. בעלי שליטה במאגר שאינם חייבים ברישום כאמור לעיל,  אך מעבדים מידע בעל רגישות מיוחדת בקשר ל-100,000 נושאי מידע ומעלה מחויבים להודיע על כך לרשות בתוך 30 ימים מהתקיימות התנאים האמורים, ולמסור העתק ממסמך הגדרות המאגר ופרטי DPO ככל שמונה.

• חובות גילוי מוגברות:

התיקון מרחיב את חובת היידוע ומחייב ארגונים המעבדים מידע אישי לקבל הסכמה מדעת מנושאי המידע תוך מסירת פרטים מלאים: האם מדובר בחובה חוקית או מסירה מרצון, מטרת האיסוף, פרטי בעל השליטה במאגר, העברות מידע לצדדים שלישיים, תוצאות הסירוב, וזכויות נושאי המידע לעיון ותיקון.

• הרחבת עיקרון צמידות המטרה:

התווסף איסור עקרוני שלא לעבד מידע בניגוד למטרה שנקבעה כדין במסגרת מטרות המאגר או עיבוד ללא הרשאה מאת בעל שליטה במאגר, ואיסור על בעל שליטה במאגר לעבד מידע שהתקבל בניגוד להוראות החוק.

•  עדכון מונחים והגדרות:

התיקון כולל שינויים בהגדרות מונחי מפתח בדיני הפרטיות לצורך התאמתם לדיני פרטיות מתקדמים בעולם והתאמתם לעת הנוכחית, כמו למשל הרחבת המונח "מידע אישי" גם למידע שאינו מזוהה במישרין אלא שניתן לזיהוי במאמץ סביר; עדכון הרחבת מידע "בעל רגישות מיוחדת" לכלול פריטים שלא היו בעבר כמו נתוני שכר או הערכת אישיות מקצועית ועוד; הגדרת "עיבוד" המרחיבה את סוגי השימוש במידע; או עדכון הגדרת "מחזיק" בקשר למי שמעבד מידע בשם בעל השליטה במאגר או בעבורו.

•  חובת מינוי ממונה הגנת פרטיות (DPO):

במסגרת התיקון, גופים שונים מחויבים במינוי ממונה הגנת פרטיות אשר ישמש כגורם בעל סמכות מקצועית בארגון לתחום הפרטיות. החובה החדשה בחוק נועדה להביא לשיפור משמעותי בהגנה על עקרונות דיני הפרטיות בארגונים. אנו ממליצים ללקוחותינו לבחון בהקדם את הימצאותן של נסיבות שיחייבו אותם במינוי ממונה הגנת פרטיות. לאור פרסומו של גילוי דעת בנושא זה הנתון להערות הציבור, הרשות הודיעה כי אינה מתכוונת לנקוט בהליכי אכיפה בכל הנוגע למינוי ממונה עד ליום 31.10.2025.

פרסומים אחרונים לשימושכם:

• פודקאסט להאזנה בנוגע לשינויים הצפויים בעקבות תיקון 13 והאם המגזר העסקי ערוך לכך
• טיוטת גילוי דעת של הרשות בנוגע למינוי ממונה הגנת פרטיות (DPO)
• טיוטת הנחיה בדבר תחולת החוק על מערכות בינה מלאכותית (AI).
• הנחיה 1/2024 בנוגע לתפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות אבטחת מידע.
• גילוי דעת בנודע לפרשנות תקנה 3 לתקנות בדבר העברת מידע מחוץ לישראל
• נוהל חדש למתן חוות דעת מקדמית מטעם הרשות.
• טיוטת גילוי דעת בנושא הסכמה.
• הרחבה בנוגע לתיקון 13

המלצות אופרטיביות להיערכות

תיקון 13 מגדיר מחדש את רמת הציות הנדרשת מכל ארגון המעבד מידע אישי בישראל. אנו ממליצים להיערך מבעוד מועד, להיעזר בייעוץ מקצועי, ולבצע התאמות נדרשות כדי לצמצם סיכונים, להגן על המוניטין ולנצל את ההזדמנויות שמציעה הרפורמה –  תוך ביצוע תהליך ציות מסודר בארגון, כדלקמן:

1. מיפוי מאגרי מידע: מיפוי מאגרי המידע בהתאם להוראות החדשות ותיעודם במרשם הפנימי.
2. עדכון מדיניות ונהלים לרבות מסמכי גילוי, הסכמות ונהלי טיפול במידע.
3. בחינת חובת מינוי DPO בהתאם למקרים המפורטים המחייבים זאת.
4. חיזוק מנגנוני בקרה: הטמעת פיקוח שוטף, תיעוד ודיווח ברמת ההנהלה ודירקטוריון.
5. הדרכות לעובדים בנושאי פרטיות, אבטחת מידע ותגובה לאירועי אבטחה.
6. מוכנות לאכיפה: היערכות לתרחישים של ביקורת, חקירה או דרישה רגולטורית.

מחלקת הגנת הפרטיות והסייבר של EBN מלווה ארגונים בהטמעת הדרישות החדשות, משלב המיפוי והניתוח הראשוני, סקר פערים, דרך עדכון נהלים ומדיניות, ועד ליישום אופרטיבי בשטח.

הצטרפו אלינו לוובינר: בוקר שאחרי תיקון 13: כללי משחק חדשים במרחב הדיגיטלי בישראל | 08/09/25 | 15:30-14:00

האמור אינו מהווה ייעוץ משפטי.