עמידה בתיקון 13 לחוק הגנת הפרטיות
החוק, שנכנס לתוקף במסגרת מדיניות ההגנה על פרטיות בעידן הדיגיטלי, מטיל אחריות ישירה ומורחבת על בעלי מאגרי מידע ומנהלים בארגון, כולל חובת אבטחה, ניהול הרשאות, תיעוד נהלים ומינוי ממונה הגנת פרטיות (DPO).
המשמעות היא שכל ארגון, ציבורי או פרטי, שמעבד מידע אישי של לקוחות, עובדים, ספקים או משתמשים, נדרש ליישם סטנדרטים מחמירים בניהול ואבטחת המידע.
אי – עמידה בדרישות עלולה להביא לקנסות מנהליים, תביעות ייצוגיות, ולנזק חמור לאמון הציבור ולמוניטין הארגון.
למה חשוב שלכל עסק יהיה ליווי מקצועי?
יישום תיקון 13 דורש שילוב בין ידע רגולטורי, משפטי וטכנולוגי. החוק עצמו מנוסח בשפה משפטית, אך היישום שלו בשטח כולל פעולות מעשיות רבות, החל ממיפוי מאגרי מידע וכלה בהדרכות עובדים ובקרה שוטפת.
ללא ליווי מקצועי, ארגונים רבים מגלים שהם חשופים לטעויות קריטיות, כמו:
הגדרה שגויה של מאגרי מידע שאינה תואמת את החוק, היעדר תיעוד או נהלים עדכניים, חוסר מודעות בקרב עובדים לנושא פרטיות ואבטחת מידע וטיפול לקוי באירועי אבטחה או בפניות של נושאי מידע.
השלכות כאלה עלולות להוביל לחקירה מצד הרשות להגנת הפרטיות, לקנסות, ולפגיעה במוניטין, גם אם לא הייתה כוונה להפר את החוק.
איך CyProTech מסייעת לעמוד בתיקון 13
אנחנו מלווים את הארגון שלך בכל שלב, מהבנת הדרישות ועד עמידה מלאה בתקנות.
מיפוי מאגרי מידע
אנו מבצעים תהליך מיפוי יסודי הכולל זיהוי של כלל מאגרי המידע בארגון : עובדים, לקוחות, ספקים ועוד לצד סיווג רמות האבטחה, הגדרת הרשאות גישה וקביעת רמות סיכון. במידת הצורך, נדאג גם לרישום המאגר במשרד המשפטים בהתאם לדרישות החוק.
כתיבת נהלים ומדיניות פרטיות
נבנה עבורך תיק נהלים שלם הכולל מדיניות אבטחת מידע, מדיניות פרטיות לאתר ולעובדים, ונהלים פנים־ארגוניים. אם קיימים נהלים קיימים, נבצע בדיקה ונתקף אותם כך שיעמדו בדרישות העדכניות של תיקון 13.
הדרכות מודעות לעובדים
החוק מחייב את הארגון לוודא שעובדיו מבינים את החשיבות של הגנת המידע. נבצע הדרכות ממוקדות שיחזקו את הידע והמודעות לאיומים נפוצים כמו פישינג, דליפות מידע ומתקפות כופרה ויעניקו לעובדים כלים מעשיים להתמודדות.
סקרי פערים ותוכנית עבודה
ננתח את מערכות המידע והתהליכים בארגון ונזהה את הפערים מול דרישות החוק. לאחר מכן נבנה תוכנית עבודה ממוקדת לסגירת הפערים הכוללת פעולות טכנולוגיות, תהליכיות וארגוניות, בהתאמה לגודל הארגון ולרמת הסיכון שלו.
שירות ממונה הגנת פרטיות (DPO)
נוכל לשמש עבורך כממונה הגנת פרטיות חיצוני (DPO), המשמש איש קשר ישיר מול הרשות להגנת הפרטיות, ומטפל בכל היבטי הדיווח, הפניות, ואירועי אבטחת מידע. ה-DPO אחראי לוודא שהארגון עומד בדרישות, ומלווה אותו גם בביקורות רשמיות ובאירועים חריגים.
למה לבחור ב-CyProTech?
ניסיון רב בליווי ארגונים ועסקים לעמידה בתקנות הגנת הפרטיות בישראל. שילוב של מומחיות רגולטורית, משפטית וטכנולוגית תחת קורת גג אחת. הבנה עסקית עמוקה של האיזון בין דרישות החוק לצרכים התפעוליים שירות מקיף, מניתוח מצב קיים ועד יישום מלא וליווי שוטף. התאמה מלאה לגודל, תחום הפעילות ותיאבון הסיכון של הארגון.
תיקון 13 - שאלות נפוצות
מה משתנה עבור עסקים קטנים בעקבות תיקון 13?
גם עסקים קטנים המנהלים רשומות לקוחות, נרשמים לניוזלטר, עובדים עם קופות דיגיטליות או מפעילים מצלמות אבטחה – מחויבים לעמוד בדרישות אבטחת המידע. התיקון אינו פוטר עסקים קטנים, אלא מחייב אותם להוכיח ניהול בסיסי של הרשאות, תיעוד ותהליכי אבטחה.
האם מותר לאסוף מידע לניוזלטר בלי הסכמה מפורשת?
לא. לפי תיקון 13 חובה ליידע את המשתמש באופן ברור, לקבל הסכמה מדעת ולתעד אותה. הרשמה אוטומטית או הסתרת תנאים כבר אינם עומדים בדרישות החוק.
מה צריך לעשות במקרה של חשד לדליפת מידע בארגון?
על פי התיקון, יש לבצע בירור מהיר, לתעד את האירוע, לפעול לצמצום הנזק, ולהחליט האם קיים חשד לפגיעה בזכויות נושאי המידע. במקרים מסוימים קיימת חובה לדווח לרשות להגנת הפרטיות. יש לזכור שטיפול מהיר בעת חשש לאירוע אבטחת מידע, יכול למנוע הסלמה שלו, ובכך למנוע נזק גדול יותר לפרטיות הלקוחות ומוניטין הארגון .
איך משפיע תיקון 13 על עבודה עם ספקים חיצוניים?
ארגונים מחויבים לוודא שכל ספק שמקבל גישה למידע אישי עומד בתקנות. יש לחתום על הסכמי עיבוד מידע, לנהל בקרה שוטפת ולהגדיר הרשאות גישה מצומצמות בהתאם לצורך העסקי. כמו כן יש לוודא, גם בהסכמים וגם בבדיקות עיתיות, כי הספק לא משתמש במידע בצורה החורגת מעבר למה שהוסכם עימו.
האם יש חובה לבצע סקרי סיכונים באופן תקופתי?
כן. התיקון מחייב סקירה תקופתית של נהלי אבטחת מידע, בחינת איומים חדשים והתאמת אמצעי ההגנה. הסקר אינו חד-פעמי אלא תהליך מתמשך. במאגרי מידע ברמה הגבוהה יש חובה לערוך סקר סיכונים ומבדק חדירות כל 18 חודשים.
האם נדרש ליידע משתמשים על כל שינוי במדיניות הפרטיות?
בהחלט. יש לעשות סקירה שנתית של מדיניות הפרטיות של הארגון. במידה ונעשה שינוי מהותי באופן שבו הארגון אוסף, שומר או משתף מידע, יש לעדכן את מדיניות הפרטיות ולפרסם אותה. הדבר אמור גם על מדיניות הפרטיות ללקוחות החברה, וגם על מדיניות הפרטיות בנוגע לעובדי החברה.
כיצד תיקון 13 משפיע על צילום עובדים ולקוחות במקום העבודה?
שימוש במצלמות מחייב שקיפות מלאה – שילוט בולט, הסבר על מטרות השימוש ושמירה מוגבלת בזמן. צילום שלא תואם את חוקיות התיקון עלול להיחשב פגיעה בפרטיות. גם במקרה של אינטרס לגיטימי של המעסיק להצבת המצלמות, לדוגמה: תפיסת גנב, עדיין יש להתחשב בפרטיות העובדים, ולמזער ככל הניתן את הפגיעה בפרטיותם. ראינו כבר מקרים שהגיעו לבית המשפט בנושא זה.
האם חובה לשמור לוגים ולתעד גישה למידע?
כן. תיעוד גישה למערכות מידע, ניסיון חדירה ושימוש חריג הוא חלק מהדרישות המנדטוריות לחיזוק אבטחת המידע. בתיקון האחרון הוכנסו תקנות נרחבות בנוגע לשמירת לוגים של נתוני אבטחה.
מה קורה אם עובד מפר את נהלי פרטיות הארגון?
הארגון מחויב להחזיק נהלי אכיפה פנימיים – כולל בירור, תיעוד, הדרכות חוזרות ובמקרים מסוימים אף נקיטת צעדים משמעתיים. במידה ונעשתה הפרה של נהלי הפרטיות בארגון ע"י עובד, יש לתעד את ההפרה, למנוע גישה חוזרת של העובד למידע, ולעיתים, במקרה של פגיעה חמורה בפרטיות, יש במקרים מסוימים גם חובת הודעה לרשות.
איך תיקון 13 משפיע על אתרי אינטרנט וחנויות אונליין?
אתרים צריכים לעדכן מדיניות פרטיות, להשתמש במנגנוני אבטחה מחמירים כגון HTTPS בלבד, לנהל עוגיות בהתאם לחוק, ולהציג הודעות ברורות על איסוף מידע. כיום חלק גדול מהחברות שמארחות אתרי אינטרנט, כבר מיישמות חלק מהבקרות הנדרשות. אבל אין זה מסיר חובת בעלי האתר לוודא את העמידה בתקנות.
