תיקון 13 לחוק הגנת הפרטיות משנה באופן מהותי את האופן שבו ארגונים בישראל נדרשים להתמודד עם סוגיות אבטחת מידע ופרטיות. עם כניסתו לתוקף באוגוסט 2025, החוק מחייב דיווח על אירועי סייבר, מעגן אחריות אישית ומעניק לרגולציה שיניים חדשות. מדובר בתיקון עם השלכות רוחב – משפטיות, טכנולוגיות, תפעוליות ותדמיתיות – אשר יחייבו כל ארגון לחשיבה מחודשת על הגנת הפרטיות.
העולם הדיגיטלי מייצר אינספור הזדמנויות, אך גם סיכונים משמעותיים לפרטיות. תיקון 13 לחוק הגנת הפרטיות הוא תגובה חקיקתית מתקדמת לעידן שבו מידע אישי זורם בכל מקום: בענן, באפליקציות, ברשתות החברתיות ובמערכות הCRM.
כל ארגון, קטן או גדול, מחזיק היום במידע רגיש. מה זה אומר?
שכל טעות, כל דליפה, כל תקיפה – עלולה להפוך לעניין משפטי ותקשורתי כאחד. על כן, נדרשת היערכות כוללת, עמוקה ומבוססת סקר פערים ונהלים, בליווי מומחי אבטחת מידע ופרטיות – CISO ו- DPO.
היסטוריית חוק הגנת הפרטיות:
חוק הגנת הפרטיות נחקק כבר ב-1981, אך מאז עבר העולם מהפכה דיגיטלית. כמו חוקים רבים, גם חוק זה התקשה להדביק את קצב ההתפתחות של עולם הסייבר והנתונים. רפורמה משמעותית נעשתה ב-2017, כשהותאמו התקנות לסטנדרטים דוגמת ה-GDPR האירופי. עם זאת, הרשות להגנת הפרטיות נותרה חסרת שיניים באכיפה – עד כה. תיקון 13 מעגן את האכיפה, מרחיב סמכויות ומציב סטנדרט חדש של אחריות.
מה מחדש תיקון 13 לחוק:
תיקון 13 לחוק הפרטיות מביא איתו שורת שינויים דרמטיים, וביניהם:
- חובת דיווח מיידי לרשות להגנת הפרטיות על כל אירוע שיש בו פוטנציאל לפגיעה בפרטיות
- הגדרה מדויקת של "מידע רגיש", "אירוע אבטחה", לרבות "תקיפה", "גניבת מידע", "דליפה" מכוונת או בשוגג
- אחריות אישית לנושאי משרה בכירה, כולל מנהלים, דירקטורים ובעלי תפקידים קריטיים
- חובת מינוי ממונה על פרטיות (DPO) בארגונים בהתאם לקריטריונים שנקבעו
- הרחבת סמכויות האכיפה של הרשות, כולל יכולת לבצע ביקורות פתע, להטיל קנסות ולנקוט צעדים פליליים
- התאמה לסטנדרטים בינלאומיים, מתוך מטרה להבטיח התאמה רגולטורית מול שותפים עסקיים זרים
המשמעות בתכלס של התיקון:
כל ארגון, ציבורי, עסקי או חלקים מהמגזר שלישי*, נדרש להחזיק במדיניות פרטיות ברורה, לנהל סיכונים באופן תדיר, וליישם נהלים אופרטיביים לאיתור, טיפול ודיווח על אירועים.
התנהלות לקויה תיחשב להפרה שעשויה לחשוף את הארגון לאחריות אזרחית, רגולטורית ופלילית.
נוסף לכך, הארגון חייב להוכיח כי עשה מאמצים סבירים להגן על המידע: תיעוד נהלים, ניתוח סיכונים, פיקוח על ספקים ותרגולים שנתיים לעובדים.
המשמעות העסקית והענישה:
- קנסות מנהליים משמעותיים: עשרות עד מאות אלפי שקלים – גם על מחדלים וגם על אי-דיווח
- סיכון לחשיפה אזרחית: תביעות ייצוגיות ותביעות נזיקין מטעם לקוחות ועובדים
- פגיעה במוניטין: דליפת מידע עלולה להוביל לאובדן לקוחות, שותפים עסקיים ואמון הציבור
- עלויות שיקום לאחר אירוע: במקרים רבים עלות ההתמודדות עם אירוע אבטחה עולה פי כמה ממניעתו
מה צריך לעשות כדי להתכונן לתיקון 13?
סקר פערים ומיפוי מצב קיים – זהו הצעד הראשון והחיוני.
הסקר בוחן את הפערים בין המצב בפועל לבין הדרישות הרגולטוריות. הוא כולל:
- ניתוח מדיניות קיימת
- סקירה טכנולוגית
- בדיקת חוזים עם צדדים שלישיים
- ראיונות עם בעלי תפקידים
מינוי בעלי תפקידים מתאימים
- DPO – ממונה פרטיות בעל רקע מתאים והסמכה
- CISO – מנהל אבטחת מידע האחראי על כלל ההיבטים הטכנולוגיים
אנחנו בעידור מציעים את התפקידים הללו כשירות ללקוחות אשר רוצים להעזר בגוף מקצועי, חיצוני ונטריילי
או לגופים וחברות בהם אין הצדקה להעסיק מומחים במשרה מלאה וכך לחסוך לאירגון עלויות ולשפר את רמת המקצועיות.
CISO AS A SERVICE – מנהל אבטחת מידע ארגוני במיקור חוץ
DPO AS A SERVICE – ממונה על פרטיות באירגון במיקור חוץ
בניית תוכנית תגובה לאירועי סייבר
יצירת נהלי עבודה ברורים לדיווח פנימי וחיצוני, מינויים ותחומי אחריות, טפסים מוכנים ואחריות תפקודית וניהולית בכל דרג לטיפול במשבר הקשור לאירוע סייבר.
הכשרות והעלאת מודעות בקרב העובדים
מומלץ לבצע:
- הדרכות מודעות עובדים וחידוד נהלים
- תרגילי פישינג תקופתיים
- שילוב הדרכות פרטניות המתייחסות למחלקות או מערכות ספציפיות בארגון ועדכונים בשינויי מדיניות.
חיזוק מערך ההגנה הטכנולוגי
זיהוי החוליות החלשות בשרשרשת ושיפור מערכות זיהוי פרצות, התקנת פתרונות EDR, XDR, SIEM, SOC, הקשחת מערכות ותחזוקה שוטפת.
בחינת ספקים ובחינה משפטית של חוזים קיימים
לרבות הסכמים מול ספקים, קבלני משנה ונותני שירות – לוודא עמידה בתנאים הנדרשים.
תיקון 13 הוא הרבה יותר מעדכון רגולטורי – הוא פריצת דרך בעולם הפרטיות והסייבר בישראל. הוא מחייב שינוי תרבותי-ארגוני, מעבר לניהול פרטיות אקטיבי ואחראי. ארגונים שיתייחסו ברצינות לתיקון – ייהנו מיתרון תחרותי. אלו שיתעלמו – עלולים לשלם ביוקר.
צוות המומחים של אינפוגארד מזמין אתכם לבחון את המוכנות הארגונית שלכם לתיקון 13. אנו מציעים:
- סקר פערים מותאם אישית
- ייעוץ וליווי ליישום דרישות החוק
- שירותי DPO ו-CISO כשירות בריטיינר
- הדרכות עובדים והתאמת הדרכות לדרישות הארגון
- תרגולי פישינג מקצועיים מותאמים לארגון
בואו נתכונן יחד, לפני שיהיה מאוחר מדי – כי פרטיות, כמו אבטחה, לא משאירים ליד המזל.
