עמידה בתיקון 13 לחוק הגנת הפרטיות עם Infoguard

תיקון 13 משנה את כללי המשחק בניהול מידע אישי בישראל: יותר חובות, יותר אכיפה, ויותר אחריות ניהולית בפועל. Infoguard מלווה ארגונים מקצה לקצה – ממיפוי ותיקוף מצב קיים, דרך בניית מסמכי יסוד וממשל פרטיות, ועד הטמעה תפעולית שמחזיקה ביום-יום ומוכנה לביקורת.

מהו תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות הוא העדכון המקיף ביותר לדיני הפרטיות בישראל מאז חקיקת החוק ב-1981. הוא אושר בכנסת באוגוסט 2024, ונכנס לתוקף ב-14 באוגוסט 2025.
בין השינויים המרכזיים: צמצום חובת רישום מאגרי מידע והוספת חובת הודעה לרשות על מאגרים גדולים/רגישים, חובת מינוי ממונה על הגנת הפרטיות (DPO) במגוון גופים, איסורים מהותיים חדשים על עיבוד מידע “שלא כדין”, הרחבת חובת היידוע לנושאי מידע, הרחבת אפשרות לפיצוי ללא הוכחת נזק, וחיזוק סמכויות האכיפה והעיצומים הכספיים.

תיקון 13 ו-GDPR: חפיפה בעקרונות, הבדלים בדרישות

תיקון 13 מקרב את ישראל לתפיסת ממשל פרטיות מתקדמת, אבל נדרש תכנון שמכסה גם את ההבדלים המעשיים מול אירופה.

תיקון 13 מחזק משמעותית את מסגרת הפרטיות בישראל ומקרב ארגונים רבים לחשיבה “אירופית” של ממשל פרטיות, אחריותיות ותהליכים מוכחים – אך הוא לא זהה ל-GDPR. ארגונים שפועלים גם מול השוק האירופי נדרשים לעיתים לעמוד בשתי מערכות רגולציה במקביל: הדין הישראלי (חוק הגנת הפרטיות ותיקון 13) וה-GDPR במקרה של עיבוד מידע אישי של תושבי האיחוד או ניטורם.

קיימת חפיפה בעקרונות כמו שקיפות, בקרות מול ספקים, אבטחת מידע וניהול אירועים, אבל יש הבדלים בדרישות תיעוד, זכויות, טריגרים למינוי DPO וספי דיווח. לכן המהלך הנכון הוא לבנות תשתית אחת של ניהול פרטיות שמכסה את ליבת הדרישות של שתי הרגולציות ולהוסיף התאמות נקודתיות לפי פעילות הארגון.

האתגר העסקי: פרטיות היא כבר לא “רק משפטי”

בפועל, פרטיות היא שילוב של אנשים-תהליכים-טכנולוגיה:

• מידע אישי נמצא בכל מקום: CRM, מערכות HR, שירות לקוחות, ענן, ספקי SaaS, מוקדים, שיווק ודיוור.
• כל “שיתוף” עם ספק/שותף הוא נקודת סיכון.
• תיקון 13 מחזק אכיפה, כולל עיצומים כספיים משמעותיים, ואף קובע עבירות פליליות חדשות במאגרי מידע.

על מה תיקון 13 שם דגש (העוגנים המרכזיים לציות)

1. רישום מאגרים מול חובת הודעה – ומה זה אומר בפועל
   התיקון מצמצם משמעותית את חובת הרישום, ובמקביל מוסיף חובת הודעה לרשות לגבי מאגרים מסוימים. חשוב: גם אם מאגר לא חייב ברישום – הוא לא פטור משאר החובות בחוק ובתקנות.

בדוגמה פרקטית שהרשות מפרטת: מאגר עם מידע בעל רגישות מיוחדת ובו מעל 100,000 נושאי מידע – מחייב הודעה לרשות תוך 30 יום, כולל העברת מסמך הגדרות מאגר ועדכונים שוטפים.

• חובת מינוי ממונה על הגנת הפרטיות (DPO)
  התיקון קובע חובת מינוי DPO בכל גוף ציבורי ובשורה ארוכה של ארגונים שהפעילות שלהם כרוכה בסיכון גבוה לפרטיות, ומגדיר את תפקידו כמקדם ציות לחוק ותקנותיו.
  ההנחיות גם מדגישות את המורכבות בכפל-תפקידים (למשל DPO יחד עם CISO/ממונה אבטחת מידע).
• “מה מותר לעבד” – איסורים חדשים ומהותיים
  תיקון 13 מוסיף איסורים נורמטיביים כמו:
  עיבוד מידע בניגוד למטרת המאגר שנקבעה כדין
  עיבוד ללא הרשאה מאת בעל השליטה
  איסור גורף על עיבוד מידע במאגר בלתי-חוקי (מידע שנאסף/נוצר בניגוד לדין)
• חובת היידוע – יותר שקיפות מול המשתמש/לקוח/מועמד
  החובה ליידע אדם בעת איסוף מידע הורחבה, כולל דרישה ליידע גם על תוצאות אי-הסכמה למסור מידע ועל קיום זכויות עיון ותיקון.
• אכיפה, עיצומים, וסיכון משפטי מוחשי
  המדריך המקצועי מציין עיצומים כספיים “בסכומים משמעותיים (עד מיליוני ש״ח בגין כל הפרה)”, ובנוסף מפרט עיצומים גם ביחס לתקנות אבטחת מידע, דיווח על אירוע אבטחה חמור, מבדקי חדירה למאגרים ברמת אבטחה גבוהה, ובקרה על גורמים חיצוניים (מיקור חוץ).

איך Infoguard מלווה אתכם לעמידה בתיקון 13

שלב 1: אבחון מצב קיים ומיפוי סיכונים

• מיפוי מאגרים ותהליכי עיבוד (כולל ספקים/מערכות ענן)

• זיהוי “בעלי שליטה” ו“מחזיקים” רלוונטיים בארגון והגדרת אחריות תפעולית

• Gap Analysis מול תיקון 13 + תקנות אבטחת מידע (2017)

שלב 2: ממשל פרטיות, מסמכי יסוד וחובת הודעה/רישום

• בניית/עדכון מסמך הגדרות מאגר לכל מאגר רלוונטי

• בחינת חובת הודעה לרשות והכנת החומרים הנדרשים (כולל העברת מסמך הגדרות מאגר, עדכונים ושינויים)

• סט תהליכים קבוע: מטרות עיבוד, בסיסים חוקיים, הרשאות, שמירה ומחיקה

שלב 3: DPO (בפנים או כשירות) והטמעה בארגון

• בדיקה האם קיימת חובת מינוי DPO והגדרת מודל עבודה

• הגדרת ממשקים עם הנהלה, IT, אבטחת מידע, משפטי, HR ושיווק

שלב 4: ספקים, מיקור חוץ, ובקרות תפעוליות

• מיפוי העברות מידע לצדדים שלישיים והקשחת הסכמים ותהליכי בקרה

• שגרות ביקורת/סקרי סיכונים, והיערכות לדרישות אבטחת מידע ולדיווחים

שלב 5: מודעות עובדים והיערכות לאירועים

• תהליכי תגובה לאירועי אבטחה/פרטיות ותיעוד נדרש

• הדרכות ממוקדות תפקיד (שירות, מכירות, HR, שיווק, IT)

הערה: הליווי הוא יישומי ומבוסס ניהול-סיכונים. במידת הצורך אנו עובדים בשיתוף עם הייעוץ המשפטי של הארגון.

תוצרים אופייניים בפרויקט

• דו״ח פערים ותכנית עבודה מדורגת
• מיפוי מאגרים וזרימות מידע (Data Inventory + Data Flow)
• מסמכי הגדרות מאגר (מעודכנים)
• סט נהלים/מדיניות פרטיות (כולל הרחבת חובת היידוע)
• מסמכי ספקים ומנגנוני בקרה (מיקור חוץ)
• חבילת DPO: מינוי, תחומי אחריות, תכנית עבודה שנתית

למי השירות מתאים במיוחד

• חברות SaaS, פלטפורמות דיגיטל, E-commerce ומוקדים
• ארגונים עם מאגרים גדולים / מידע רגיש (בריאות, פיננסים, HR)
• גופים ציבוריים ונותני שירותים לגופים ציבוריים (כמחזיקים)
• ארגונים עם ריבוי מאגרים/מערכות וספקים חיצוניים

רוצים להבין מהר אם תיקון 13 חל עליכם, מה נדרש מכם, ואיך סוגרים פערים בלי להיכנס לפרויקט אינסופי?
השאירו פרטים ונבנה יחד מפת דרכים מעשית לעמידה בתיקון 13.