3.8.2025

ביום 5 באוגוסט 2024 אושר במליאת הכנסת תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א–1981 (להלן: "התיקון" או "החוק"). התיקון זה יכנס לתוקף ביום 14/8/25. התיקון מהווה את הרפורמה המשמעותית ביותר בדיני הפרטיות בישראל בעשרות השנים האחרונות, במטרה להתאים את המסגרת החוקית לאתגרים העכשוויים בהגנה על מידע אישי, ולהתיישר עם רגולציות בינלאומיות מובילות, בראשן ה-GDPR האירופאי.

להלן סיכום נקודות המפתח בתיקון והשפעותיהם המעשיות על ארגונים ומוסדות:

1. עדכון והרחבת הגדרות יסוד
התיקון מחליף את המונח "מידע" ב"מידע אישי", מונח רחב הכולל כל נתון הנוגע לאדם מזוהה או הניתן לזיהוי, גם בעזרת מאמץ סביר, לרבות נתוני מיקום, מזהים ביומטריים ועוד.
הגדרת "מידע רגיש" הוחלפה במונח "מידע בעל רגישות מיוחדת", הכולל מידע על דעות פוליטיות, בריאות, גנטיקה, עבר פלילי, הערכת אישיות, נתוני שכר ועוד.
בנוסף, התיקון מחדד את ההבחנה בין "בעל שליטה" במאגר המידע, המכתיב את מטרות העיבוד, לבין "מחזיק", המפעיל את המערכת עבור בעל השליטה.

2. צמצום חובת הרישום של מאגרי מידע
כעת, רק שני סוגי מאגרי מידע יחויבו ברישום ברשות להגנת הפרטיות:
מאגרי מידע של גופים פרטיים שמטרתם לאסוף מידע אישי לצורך מסחור או מסירתו לצד ג’ (כגון חברות Data Brokers), כשהמאגר כולל מידע על מעל 10,000 אנשים.
מאגרי מידע בבעלות גופים ציבוריים, כמו משרדים ממשלתיים וגופים הממלאים תפקידים ציבוריים לפי חוק (למעט מאגרי העובדים שלהם).

3. חובת הודעה על מאגרי מידע עם מידע רגיש במיוחד
לצד צמצום חובת הרישום, נוספה חובה להודיע לרשות על מאגרי מידע שאינם חייבים ברישום, אך כוללים מידע רגיש על יותר מ-100,000 אנשים. ההודעה תכלול פרטים על בעל השליטה, ממונה ההגנה על הפרטיות (אם מונה), ועותק ממסמך הגדרות המאגר.

4. הרחבת חובת היידוע כלפי נושאי המידע
הודעה לנושאי המידע תכלול מעתה גם את תוצאת סירובם למסירת מידע, פרטי יצירת קשר עם בעל השליטה במאגר, וזכויות העיון והתיקון בהתאם לחוק.

5. חובת מינוי ממונה על הגנת הפרטיות (DPO)
לראשונה נקבעה חובה חוקית למינוי DPO במגוון גופים:
בעלי שליטה במאגרים החייבים ברישום;
גופים המבצעים ניטור שיטתי ונרחב של התנהגות, מיקום או פעולות של אנשים;
גופים העוסקים בעיבוד מידע רגיש בהיקף משמעותי, כגון בנקים, בתי חולים, חברות ביטוח וקופות חולים.
הממונה על הגנת הפרטיות יהיה אחראי לוודא עמידה בהוראות החוק, ניהול אבטחת מידע, טיפול בפניות נושאי המידע ויהווה איש קשר לרשות.

6. ביטול חובות מסוימות של מחזיקים
התיקון מפשט חובות קיימות כלפי מחזיקים במאגרי מידע, למשל ביטול חובת הדיווח השנתי לרשות.

7. חוות דעת מקדמית מהרשות
בעלי שליטה ומחזיקים יוכלו להגיש בקשה לחוות דעת מקדמית מהרשות בנוגע לעמידת מאגרי המידע בדרישות החוק, דבר שיכול לסייע בהפחתת סיכונים משפטיים.

8. הרחבת סמכויות האכיפה והפיקוח של הרשות
הרשות קיבלה כלים נרחבים לאכיפת החוק, לרבות:
ביצוע ביקורות רוחב (פיקוח יזום);
הסתייעות במומחים חיצוניים;
פעולות פיקוח בגופים ביטחוניים;
הטלת עיצומים כספיים משמעותיים, עד מאות אלפי שקלים ואף מיליוני שקלים במקרים חמורים;
הוצאת התראות מנהליות, דרישת הפסקת עיבוד מידע ופנייה לבית משפט.
כמו כן, הורחבו סמכויות החקירה של עובדי הרשות והתווספו עבירות פליליות חדשות.

9. אפשרות לפיצויים ללא הוכחת נזק
בית המשפט יוכל להורות על פיצויים לדוגמה בסכום של עד 10,000 ש"ח ללא צורך בהוכחת נזק, בהפרות הקשורות למאגרי מידע. אנו צופים גל של תביעות סביב נושא זה כמו שראינו בעבר סביב חוק הספאם.

סיכום והמלצות מעשיות לבעלי עסקים וארגונים
• תיקון 13 לחוק מחייב היערכות יסודית של כל הגופים העוסקים בעיבוד מידע אישי, לרבות:
• בדיקה מחודשת של חובת רישום והודעה על מאגרי מידע;
• עדכון מדיניות פרטיות והודעות לנושאי מידע;
• עמידה בזכויות העיון והתיקון;
• התאמת נוהלי אבטחת מידע;
• בחינת הצורך במינוי ממונה על הגנת הפרטיות;
• הטמעת נהלי ציות ופיקוח פנימיים.

אנו ממליצים לכל האירגונים והחברות להיערך בהתאם על מנת למנוע חשיפה לתביעות וקנסות.

המאמר נכתב ע"י עו"ד איל צורף, יועץ הלשכה בתחום חוזים, סוכנויות מסחריות והסכמי בלעדיות