המשרד שלנו מספק ייעוץ ושירותים מקצועיים שיסייעו לארגונים בציות להוראות תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א – 1981 (בהתאמה: "התיקון" ו"החוק") אשר אושר בכנסת ב-5 באוגוסט 2024 ויכנס לתוקף באוגוסט 2025. התיקון, בין היתר, נועד להתאים את הרגולציה בישראל לחוקי פרטיות גלובליים כגון ה-GDPR (General Data protection Regulation) ומטיל חובות חדשות וסנקציות חמורות יותר על ארגונים אשר ימצאו בהפרה בל החוק ותקנותיו.
החל מאוגוסט 2025, תחת התיקון, יורחבו באופן משמעותי סמכויות האכיפה של הרשות להגנת הפרטיות, לרבות היכולת להטיל עיצומים כספיים ופיצויים ללא הוכחת נזק בגין הפרות הקשורות למאגרי מידע ולעיבוד מידע אישי ואבטחתו. בהתחשב בהיקף השינויים הללו, עמידה בדרישות החוק היא קריטית בכדי להפחית את הסיכון להליכים מנהליים, קנסות משמעותיים ותביעות ייצוגיות.
השינויים העיקריים בחוק תחת התיקון ודרישות ציות חדשות:
- הגדלת סכום העיצומים הכספיים והיקפם: בעקבות התיקון, העיצומים הכספיים אשר בסמכות הרשות להגנת הפרטיות להשית עשויים להגיע לסכומי של מיליוני שקלים, בהתאם לחומרת ההפרה, כמות נושאי המידע אשר עשויים להיפגע מההפרה וכן גורמים נוספים. לדוגמה, אי-רישום מאגר מידע או דיווח על מאגר מידע (כדרישה חדשה תחת התיקון) כפוף לעיצומים כספיים של 150,000 -300,000 ש"ח, ואי עמידה בחובת היידוע עשויה להוביל לעיצומים כספיים בסכומים גבוהים, אשר חישובם נערך על פי כמות נושאי המידע הרלוונטיים במאגר המידע.
- פיצויים ללא הוכחת נזק ותביעות ייצוגיות: בתי המשפט יכולים כעת לפסוק עד 10,000 ש"ח להפרה של חובות מסוימות תחת החוק, מבלי להידרש להוכחת נזק, דבר שמגביר את הסיכון לארגונים שאינם עומדים בדרישות ניהול מאגרי מידע ועיבוד מידע.
- הרחבת ההגדרה של סוגי המידע תחת הגדרת "מידע אישי": התיקון משנה את מונחי היסוד בחוק, ובין היתר, התווספו ההגדרות "מידע אישי" ו"מידע בעל רגישות מיוחדת" הכוללים היקף רחב יותר של סוגי מידע אשר על עיבודם יחולו ההתחייבות תחת החוק והתקנות, כגון רשומות רפואיות, מזהים ביומטריים, מזהים מקוונים ונתוני תעבורה ומיקום.
- חובת מינוי קצין הגנת פרטיות (DPO): גופים מסוימים, כגון, ארגונים שמעבדים מידע רגיש בהיקף נרחב או מבצעים ניטור שיטתי אחר אנשים, יחויבו למנות ממונה על הגנת הפרטיות, בדומה לדרישה הקיימת כיום תחת ה-GDPR.
השירותים שאנחנו מציעים :
בשבלת, אנחנו מציעים שירותים מקיפים אשר יסייעו לארגונים להבטיח ציות ועמידה בדרישות החוק, לרבות תחת התיקון וכן בתקנות שהותקנו מכוח החוק (כגון תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017, "תקנות אבטחת מידע"). הצוות בשבלת מתמחה גם ברגולציות גלובליות הקשורות להגנת מידע ופרטיות כגון ה-GDPR , חוקי הגנת הפרטיות בארה"ב (פדרליים ומדינתיים כגון HIPAA , CCPA וכדומה).
ראו כיצד נוכל לסייע:
- שירותי ממונה הגנה על הפרטיות (DPO) במיקור חוץ: אנו מספקים שירותי ממונה הגנה על הפרטיות מקצועיים, המסייעים ביצירת מדיניות פרטיות ונהלי עיבוד מידע, ניהול בקשות של נושאי מידע, והבטחת התאמה של פעילויות עיבוד המידע לדרישות החוקיות. בין היתר, עריכה ותיקוף של מסמכי תיעוד, הסכמי עיבוד מידע (DPAs) ומסמכי מיפוי מידע אישי המעובד על ידי הארגון (כגון מסמכי הגדרות מאגר כנדרש לפי תקנות אבטחת המידע ו-ROPA”" – Records of Processing כפי שנדרש לפי תקנה 30 תחת ה-GDPR).
- סקרי פרטיות והדרכות: אנו מבצעים סקרי פרטיות לזיהוי סיכונים בהקשר לפעולות עיבוד מידע בארגון ולהבטחת עמידה של הארגון בדרישות החוק. בנוסף, אנחנו מציעים הדרכות לארגונים בכדי לוודא שעובדי הארגון מעודכנים בנוגע לפרקטיקות העדכניות ביותר בתחום הפרטיות ודרישות החוק.
- הערכת סיכוני ספקים והתקשרויות חוזיות: אנו מסייעים בבחינת חוזי ספקים המעבדים מידע אישי ועדכונם בכדי להבטיח כי ההסכמים עם הספקים כוללים את כלל ההתחייבויות לסטנדרטים ואמצעי האבטחה הנדרשים תחת תקנות אבטחת מידע. אנו מספקים יעוץ והכוונה לעניין הערכת ובחינת ספקים בטרם ולאחר התקשרות (כגון דיווח שנתי נדרש ובדיקות נאותות) לוודא ציות לדרישות תחת תקנות אבטחת מידע, הנחיות הרשות להגנת הפרטיות ודינים רלוונטיים כגון תחת ה – GDPR.
- מדיניות ונהלים בתחום הגנת הפרטיות ונהלים תחת תקנות אבטחת מידע: החל מעריכת מדיניות פרטיות והודעות הסכמה לעיבוד מידע אישי (לרבות בהקשר לשימוש בטכנולוגיות כגון קבצי "עוגיות"), טפסי ונהלי בקשות נושאי מידע למימוש זכויותיהם בהקשר למידע אישי, בחינת נהלים ומדיניות פנימיים של הארגון על מנת לוודא כי הינם מסדירים את כלל הנושאים אשר יש לכלול כנדרש תחת תקנות אבטחת המידע.
- מעקב שוטף אחר עמידה ברגולציה: הצוות שלנו מספק תמיכה מתמשכת, מוודא שאתם מעודכנים בנוגע לשינויים ברגולציה והנחיות הרשות.
עם כניסתו של התיקון לתוקף ולאור הגברת סמכויות האכיפה של הרשות להגנת הפרטיות, עולה החשיבות לבחון את פרקטיקות עיבוד המידע האישי של הארגון וניהול מאגרי המידע האישי, לעדכן את מדיניות הארגון ונהליו בנושא ולוודא עמידה בדרישות לחוק. הסיכון לעיצומים כספיים, אחריות מוגברת מוטלת על בעלי שליטה ומחזיקים, ולכן עכשיו זה הזמן לפעול בנושא.
אנו מזמינים אתכם ליצור קשר עם הצוות שלנו בכדי לדון כיצד נוכל לסייע לארגון שלכם ביישום השינויים הנדרשים ולהבטיח ציות להוראות החוק.
