רפורמות משמעותיות בחוק הגנת הפרטיות בישראל ייכנסו לתוקף ב-14 באוגוסט 2025, ויחוללו שינוי מהותי באופן שבו ארגונים בישראל נדרשים לשמור על פרטיות המידע. כפי שפורט בעדכון הלקוחות המקיף שלנו (ראו כאן), שינויים אלה מקרבים את הסטנדרטים הישראליים לנורמות הבינלאומיות המובילות ומבססים מסגרת רגולטורית מקיפה. לקראת מועד התחולה המתקרב, ריכזנו עבורכם את הנקודות המרכזיות וצעדי ההיערכות המומלצים, במטרה לסייע לארגונכם להסתגל בהצלחה למשטר הרגולטורי החדש בתחום הגנת הפרטיות.
התפתחויות מרכזיות:
הרחבת סמכויות האכיפה: רשות הגנת הפרטיות (להלן: "הרשות") תקבל מגוון סמכויות חדשות ומשמעותיות בתחומי החקירה, הפיקוח והאכיפה. הרשות תוכל להטיל קנסות מנהליים בהיקפים משמעותיים, כאשר תקרת הסנקציות הכספיות תעלה באופן ניכר. ארגונים העוסקים בעיבוד מידע בעל רגישות מיוחדת או בהיקפים נרחבים עשויים להיות חשופים לקנסות מצטברים בסך מיליוני שקלים. בנוסף, הסמכות לפרסם ברבים את פעולות האכיפה מציבה סיכון ממשי למוניטין הארגוני ולאמון הציבור.
חובות פיקוח של הדירקטוריון: הרשות פרסמה הנחיה (הנחיה 1/2024, זמינה כאן) הקובעת את תחום אחריותו של הדירקטוריונים בנוגע לעמידה בדרישות הפרטיות ואבטחת המידע. בארגונים בהם עיבוד מידע אישי הוא חלק מרכזי מפעילותם או כרוך בסיכון מוגבר לפרטיות, הדירקטוריון נדרש לקבוע, לאשר ולפקח על יישום מדיניות כוללת להגנת הפרטיות ואבטחת המידע. הדירקטוריון מחויב גם לפיקוח שוטף, לבחינה תקופתית של אמצעי הציות ולתיעוד נאות של כל פעולות הציות.
חובת מינוי ממונה על הגנת הפרטיות (DPO): לראשונה, מגוון רחב של ארגונים, לרבות סוחרי מידע, גופים המבצעים ניטור שיטתי של נושאי מידע, וכן ארגונים המעבדים מידע בעל רגישות מיוחדת בהיקף משמעותי, יחויבו למנות ממונה על הגנת הפרטיות (DPO). הממונה ישמש כתובת מרכזית לאחריות מקצועית ולידע בתחום הגנת הפרטיות בארגון.
עדכון דרישות רישום ודיווח מאגרי מידע: הדרישה המסורתית לרישום מאגרי מידע צומצמה באופן ניכר. עם זאת, חלות חובות דיווח חדשות על בעלי שליטה במאגרים הכוללים מידע בעל רגישות מיוחדת על מספר רב של נושאי מידע, המחייבות דיווח מדויק ובזמן לרשות. על הארגונים גם למחוק באופן יזום רישום של מאגרים שכבר אינם נדרשים לרישום.
הגברת שקיפות וגילוי: החוק החדש מרחיב את היקף הפרטים שיש למסור לנושאי המידע בעת איסוף נתוניהם, דבר המחייב בחינה ועדכון של מדיניות הפרטיות, נהלים פנימיים ותהליכי עבודה בארגון.
אחריות פלילית ואזרחית חדשה: החוק המעודכן מוסיף עבירות פליליות חדשות, לרבות עיבוד מידע אישי ללא הרשאה ומסירת מידע מטעה ליחידים או לרגולטור. כמו כן, הוא מרחיב את האפשרות לתביעות אזרחיות, ומאפשר פיצויים ללא הוכחת נזק. שינויים אלה מגבירים משמעותית את הסיכון הרגולטורי והמשפטי לארגונים שלא יעמדו בדרישות החדשות.
המלצות פעולה:
עם כניסת התיקון לחוק החדש לתוקף בעוד מספר שבועות, מומלץ לארגונים:
- לבצע סקירה יסודית ולעדכן בהתאם את מסמכי מדיניות הפרטיות והנהלים הפנימיים הנוגעים לציות;
- לבחון האם חלה על הארגון חובת מינוי ממונה על הגנת הפרטיות ולפעול למינוי אדם בעל כישורים מתאימים במידת הצורך;
- לבצע סקירה יסודית של סטטוס מאגרי המידע הרשומים ולהבטיח התאמה לדרישות הרישום והדיווח העדכניות;
- לוודא עמידה מלאה בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, ובהנחיות הרשות;
- לעדכן את מנגנוני הפיקוח של הדירקטוריון בהתאם להנחיית הרשות, כולל אימוץ מדיניות אבטחה הולמת, מערך פיקוח שוטף ותיעוד מסודר;
- לחזק את מערך הציות הארגוני לקראת הגברת האכיפה הרגולטורית והעלייה בסיכון לתביעות בתחום הפרטיות.
פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.
