עדכון לקוחות: תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף – עוה"ד אליעד שולומוביץ' ודרור גדרון

לקוחות וחברים יקרים,

בהמשך לעדכונים הקודמים בנושא, תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב־14.8.2025 ומעדכן מהיסוד את כללי משחק הפרטיות בישראל: פחות בירוקרטיית רישום במגזר הפרטי, יותר משקל לאחריות מהותית והידוק אבטחת המידע בארגון, שקיפות מול מי שנאסף עליו מידע, וכלי אכיפה משמעותיים יותר.

המשמעויות המרכזיות בקצרה שנובעות מהתיקון לחוק

1. מעתה אפשר לתבוע עד 10,000 ₪ ללא הוכחת נזק במקרים מסוימים (למשל אי-מימוש זכויות לעיון או לתיקון מידע או איסוף מידע ללא יידוע תקין מראש). כלומר, נוצרה חשיפה משפטית אזרחית חדשה שיש לקחת בחשבון כעת.
2. התיישנות אזרחית הוארכה ל־7 שנים (במקום שנתיים) — פרק הזמן שלגביו ניתן לתבוע הותאם לדין הכללי, ולכן חשוב לתעד ולנהל סיכונים לאורך זמן.
3. צמצום חובת הרישום במגזר הפרטי והחלפתה בחובת הודעה – אם אינכם גוף ציבורי לפי סעיף 23 לחוק הגנת הפרטיות או "סוחרי מידע" (Data Brokers) בעלי מידע על 10,000 איש או יותר, אשר מחויבים לרשום את המאגר ללא שינוי, אז עליכם לוודא לגבי מאגרים קיימים עד ה-14 בספטמבר או לגבי מאגרים חדשים באופן כללי, אם יש במאגר "מידע בעל רגישות מיוחדת" (למשל מידע רפואי, נפשי, מיקום ועוד כהגדרת החוק) על יותר מ-100,000 איש ומעלה, כדי לדעת האם עליכם לתת "הודעה" על קיום המאגר.
4. הוספו קנסות חדשות וכלי אכיפה חזקים יותר. לרשות להגנת הפרטיות (עיצומים מנהליים, עבירות פליליות חדשות, קנסות "מתגלגלים" (מקדם כפול מס' אנשים במאגר, ועוד), לרבות פרסום החלטות אכיפה. המשמעות: חשיפה כספית, פגיעה תדמיתית וחשיפה לתביעות אזרחיות כתוצאה לכך.
5. עדכון מספר הגדרות יסוד בדיני הפרטיות בכל הנוגע להגדרתו של "מידע אישי", יחסי הגומלין בין בעל השליטה במאגר ("בעל המאגר") לבין מי שהוא גורם חיצוני ואשר מעבד עבורו מידע ("המחזיק"), והכניס את תפקיד ממונה הגנת הפרטיות (DPO) לדין הישראלי, עבור חברות מסוימת בעלות פעילות עם אופי עם "פוטנציאל פגיעה" בפרטיות.

"צ'ק ליסט" לפעולות עיקריות שיש להתמקד בהן

בין אם נערכתם, נמצאים בתהליך היערכות לציות או שטרם התחלתם, מומלץ להיוועץ עם חברת ייעוץ או עורך דין. להלן "צ'ק ליסט" לפעולות עיקריות שיש להתמקד בהן:

1. בדקו את המאגרים שאתם מנהלים:

• חובת רישום מאגר מידע – מפו את "תזרים המידע" (מקורות המידע, תנועה פנים-ארגונית והרשאות והגורמים אליהם מועבר המידע) וראו איזה מאגרי מידע אתם מנהלים ואם הם חייבים ברישום או בהודעה; כך גם אם רשמתם מאגר מידע בעבר, בדקו האם הוא עדיין מחויב ברישום או לחלופין אם הוא רק "מחויב בהודעה", ובקשו לגרוע אותו (או להודיע עליו) כדי להימנע מחשיפות פרטיות מיותרות לסנקציות מנהליות ופליליות שלא לצורך.
• מהם סוגי המידע שהמאגר כולל והאם יש הנחיות או גילויי דעת של הרשות להגנת הפרטיות רלוונטיות עבורכם – האם יש במאגר מידע אישי "בעל רגישות מיוחדת" (ביומטרי, נפשי, בריאות, צילומי פנים, וכיו"ב)? חשוב לבדוק על מנת לדעת מה החובות שחלות עליכם לפי דין (הסדרת יידוע ועיון בצילומי מצלמות, אופן הניהול הנכון של ניטור מרחוק אחר עובדים מרחוק, הטמעה או שימוש בבינה מלאכותית בפעילות פנימית או מול לקוחות וכיו"ב).

2. וודאו בכל מקום בו אתם אוספים מידע אישי ישירות שאתם מקבלים הסכמה: האם קיים טופס אלקטרוני באתר שלכם; וודאו שיש מנגנון תיעוד הסכמה למדיניות פרטיות; אם אתם אוספים קוקיז, וודאו שיש באנר שמנהל את ההסכמה לכך בטרם התקנתם; אם אתם מחתימים על כתב הסכמה, וודאו שהוא מקיף מספיק; אם אתם מעבירים מידע לעובדים שאינו מכוח חובה חוקית לצד שלישי כלשהו, יידעו ו/או קבלו הסכמה מראש.
3. וודאו שיש לכם את כל מסמכי החובה הנדרשים לפי תקנות אבטחת מידע:
   – כל חברה בישראל שאוספת, שמנהלת ומעבדת מידע אישי עבור צרכיה, כלומר שהיא "בעלת שליטה במאגר" צריכה להחזיק "מסמך הגדרות מאגר", "נוהל אבטחת מידע" ו"מסמך מיפוי מערכות" לפי תקנות 2, 4 ו-5 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אם אין לכם כאלו – פעלו להכנתם, ואם יש לכם כאלה – וודאו שהם עדכניים ומשקפים את המצב אצלכם כיום.
   – לעומת זאת, אם הנכם קבלן משנה או פועלים מכוח מכרז שבמסגרת זו אתם מספקים ומעבדים מידע אישי עבור גורם אחר, כלומר הנכם "מחזיק", וודאו שיש לכם את נוהל ומסמך מיפוי מערכת הרלוונטי לפעילות זו, לפי מאגר המידע של אותו גורם.
   
4. נהלו את היבטי הפרטיות בשרשרת האספקה או בהעברת מידע לצדדים שלישיים: אם העברתם פעילות הקשורה במידע אישי לגורם חיצוני, למשל: שירות SAAS בו מארחים מידע, חברה שאוספת עבורכם מידע כמו מוקד לקוחות או חברת סקרים ושיווק וכיו"ב, יש לוודא שקיימת הסדרה חוזית בהתאם לדרישות החוק בהתקשרות עם אותו מחזיק. באופן דומה, אם אתם מעבירים באופן בלתי-חוזר מידע לצד שלישי שלא מכוח חוק, וודאו שמי שבעל המידע הסכים לכך ושהנעבר מתחייב לעמוד בחובותיו לפי הדין.
5. בדקו אם אתם צריכים למנות ממונה הגנת הפרטיות (DPO): סעיף 17ב1 לחוק הגנת הפרטיות קובע מי נדרש למנות ממונה הגנת פרטיות. בדקו אם אתם מחויבים ישירות בשל אופי פעילותכם או לחלופין אם משרשרים לכם את החובה מכוח היותכם מחזיק של גוף המחויב למנות ממונה הגנת פרטיות. הרשות דחתה את האכיפה של חובה זו עד ל-31.10.25, ורצוי למי שלא בדק או פעל למנות, לחתור להשלמת פער זה עד אז.

להלן מספר חומרי עזר:

לפורטל באתר הרשות להגנת הפרטיות  בנוגע לתיקון 13 לחצו כאן

לנוסח הסופי כפי שהוא מפורסם בפומבי (בנבו): לחצו כאן

אז מה הלאה?

אנו נמשיך לעדכנכם מעת לעת לגבי התפתחויות בתחום הפרטיות בישראל,  לרבות הנחיות הרשות המבארות את הסעיפים החדשים שהוכנסו לחוק בתיקון ותיקוני חוק נוספים ו/או הרחבות דיני הפרטיות לתחומים נוספים (כגון תובענות ייצוגויות, חובות נושאי משרה וכיו"ב).

אנו מזכירים, חובה על כל מי שבידו מידע מזהה או שמאפשר זיהוי בעקיפין על צדדים שלישיים, לרבות לקוחות, עובדים ובני אדם אחרים לבחון את הוראות החוק הרלוונטיות אליהם ולוודא עמידה בהן, בטרם יינקטו אמצעי ענישה חמורים נגדו.

*המדובר בהצגה תמציתית, שאין בה כדי למצות את מלוא הסוגיה ואינה מהווה תחליף לייעוץ משפטי, וכמובן שנשמח לעמוד לרשותכם בכל שאלה, הבהרה או שירות שתזקקו לו בנושא.