תיקון 13 משנה את חוקי המשחק: כך מנהלים צריכים להיערך לרפורמה בפרטיות
החוק החדש שייכנס החודש לתוקף מציב רף גבוה לאיסוף, עיבוד והגנה על מידע אישי - עם קנסות, חובת מינוי DPO ודרישות אבטחה חדשות. מה צריכה לדעת כל הנהלה כדי להיערך נכון, גם כשאין משאבים כמו בארגוני ענק?
תמונה: dreamstime
ב-14 באוגוסט 2025 ייכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות – רפורמה מקיפה שמעמידה את ישראל באותו קו עם הסטנדרטים הבינלאומיים המחמירים ביותר, בדגש על ה-GDPR האירופי. מטרת התיקון היא לחזק את ההגנה על פרטיות האזרחים, נוכח הכמויות העצומות של מידע אישי שזורמות דרך מערכות מידע ארגוניות מדי יום. הרפורמה משנה מן היסוד את אופן ההתנהלות של ארגונים בכל הנוגע לאיסוף, שמירה ועיבוד של מידע אישי ורגיש.
התיקון מעניק לרשות להגנת הפרטיות סמכות לאכיפה מנהלית, הכוללת קנסות כספיים משמעותיים גם ללא הוכחת נזק, ובנוסף תחול חובת מינוי ממונה על הגנת הפרטיות (DPO), תורחב ההגדרה של "מידע רגיש במיוחד" ויתווספו זכויות חדשות לנושאי המידע. העסקים והארגונים בישראל יידרשו כעת לא רק לנקוט אמצעים סבירים לשמירה על המידע, אלא גם להוכיח כי נקטו בכל האמצעים הנדרשים להגנה עליו.
אתגר כפול
במרכז התיקון עומדים שני עקרונות: הגברת האחריות של בעלי מאגרי מידע והצבת סטנדרטים ברורים לאבטחת מידע, לרבות חובת דיווח על אירועי אבטחה. עבור מנהלים בארגונים – בין שמדובר במנהלי מערכות מידע, מנהלים משפטיים או מנהלי תחום פרטיות – זוהי קריאה לפעולה. ההיערכות לתיקון אינה עניין טכני בלבד, אלא חלק מהניהול התקין של סיכוני סייבר, סיכונים משפטיים וסיכוני מוניטין.
עסקים קטנים ובינוניים ללא משאבים מרובים ומי שלא עוסקים ישירות באבטחת מידע בעצם מתמודדים כעת עם אתגר כפול: גם להבין את דרישות החוק וגם לוודא שהארגון מיישם אותן בפועל.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
חלק מהשאלות שצריכות להישאל כעת במשרדי ההנהלה: האם יש לי תמונה מלאה של סוגי המידע האישי שנאספים בארגון? האם יש בקרות שמונעות דליפת מידע דרך משתמשים פנימיים? האם קיימים תהליכי תיעוד וניטור של פעילות משתמשים? האם הוגדרו נהלים ברורים להתמודדות עם אירוע אבטחה? האם העובדים מקבלים הדרכות תקופתיות בנושא פרטיות?
במקרים רבים, התשובה לא ברורה, או גרוע מכך – שלילית. במקרים כאלה לצד ייעוץ משפטי והסדרת נהלים ומדיניות, נדרשת גם השקעה בטכנולוגיה שתתמוך באכיפה יעילה של מדיניות הארגון.
כולם חייבים מערכות אבטחת מידע?
מערכות ניהול ואבטחת מידע אינן פתרון קסם, אך הן כלי חשוב ביישום מדיניות פרטיות אפקטיבית בעיקר בגופי SMB (עסקים קטנים ובינוניים) שהתמקדו עד היום בחסימת כניסה לארגון או במניעת נוזקות, ופחות בניהול ומדיניות אבטחת המידע והשמירה על הפרטיות. כעת מנהלי IT ומנהלי סייבר חייבים לבחון שילוב של מערכות המאפשרות שליטה, ניטור ותגובה – שלושת המרכיבים החיוניים בניהול מידע אישי.
הנה הנקודות העיקריות שחשוב לבדוק בעת בחירת מערכת מתאימה:
ניטור וגילוי חריגות – מערכת צריכה להיות מסוגלת לזהות גישה לא שגרתית לקבצים, ניסיון להעתיק מידע אישי למדיה חיצונית או שליחת מסמכים רגישים מחוץ לארגון. ניטור בזמן אמת מאפשר להגיב מיידית ולמנוע גניבה או הוצאת נתונים מחוץ לארגון לפני שהם הופכים למשבר.
מניעת דלף מידע (DLP) – מערכות הכוללות יכולות DLP – Data Leakage Prevention מאפשרות לחסום פעולות כמו הדפסת מסמכים מסווגים, העתקתם להתקנים ניידים או שליחתם בדוא"ל. בכך הן מונעות תרחישי זליגה לא מכוונת או מכוונת.
ניהול הרשאות וגישה מבוקרת – יש לוודא שרק עובדים הזקוקים למידע רגיש כחלק מתפקידם מקבלים גישה אליו. מערכות מתקדמות מאפשרות ניהול גישות לפי תפקיד (RBAC) והגדרת מדיניות מינימום נחוץ (Least Privilege) – מינימום החשיפה לנתונים רגישים הדרושה לכל עובד.
תיעוד ובקרה – שמירה על לוגים של גישה לקבצים ופעולות שבוצעו בהם מהווה דרישה רגולטורית וגם הגנה משפטית. חשוב לוודא שהמערכת מאפשרת הפקת דוחות אוטומטיים וניתוחים מתקדמים.
תגובה לאירועים – נדרשים מנגנונים להתראה אוטומטית על פעילות חשודה.
אחריות ניהולית, לא רק טכנולוגית
תיקון 13 לחוק הגנת הפרטיות הוא לא רק עניין של תקנות – הוא מסמן שינוי תרבותי בתפיסת האחריות על מידע אישי. על הנהלה בכירה לאמץ גישה פרואקטיבית, שמבינה כי הגנה על פרטיות אינה עול, אלא ערך עסקי. השקעה במערכות ניהול מידע, שילוב תהליכי עבודה עם הדרכות לעובדים, ובחינה מתמדת של סיכונים הם הדרך הנכונה לעמוד בדרישות החוק, לשמור על אמון הלקוחות, ולהפחית חשיפה משפטית ותקשורתית.
אלכס ויטוחנובסקי הוא מנהל מוצר Safetica בקומסקיור
