חקיקת תיקון 13 לחוק הגנת הפרטיות מסמנת נקודת מפנה בהתייחסות הרגולטורית לפרטיות דיגיטלית בישראל. התיקון, שאושר לאחרונה בכנסת וצפוי להיכנס לתוקף במהלך 2025, מציב סטנדרטים חדשים ומחמירים להגנה על מידע אישי ומטיל סנקציות משמעותיות על מפרי החוק. מדובר ברפורמה מקיפה שתשנה את האופן בו ארגונים מנהלים ומאבטחים מידע אישי.
המשמעויות עבור חברות ישראליות דרמטיות: עיצומים כספיים של עד 320 אלף שקל להפרה בודדת, ואפשרות לתביעות אישיות של עד 10,000 שקל ללא הוכחת נזק. מעבר לקנסות, הסיכונים כוללים פגיעה במוניטין, אובדן אמון לקוחות, ואף צווי הפסקת פעילות מהרשות להגנת הפרטיות. הרשות קיבלה סמכויות נרחבות לפיקוח ואכיפה, כולל היכולת לערוך ביקורות פתע ולדרוש מסמכים ומידע מארגונים.
תפיסת הפרטיות בזירה הדיגיטלית תשתנה (צילום: אינג'אימג')
ההיערכות לחוק החדש מחייבת גישה מערכתית ומקיפה. ראשית, על ארגונים לבצע מיפוי מקיף של מאגרי המידע שברשותם, כולל זיהוי מידע אישי רגיש, מזהים דיגיטליים ומידע ביומטרי. תהליך המיפוי חייב לכלול ראיונות עם מנהלי מחלקות, שימוש בשאלונים מובנים, ויישום כלים טכנולוגיים לזיהוי אוטומטי של מידע רגיש.
במקביל, בחלק מהארגונים יש למנות ממונה הגנת פרטיות בעל הבנה משפטית וטכנולוגית, שיוביל את הטמעת תרבות ארגונית המכבדת פרטיות. תפקידו כולל גם פיתוח תוכניות הדרכה, ניהול סיכונים, ותיאום מול הרשות להגנת הפרטיות.
עדכון מדיניות אבטחת המידע והפרטיות הוא צעד קריטי נוסף. זה כולל רענון נהלים פנימיים, הסכמים עם ספקים ומסמכי מדיניות פומביים. במקביל, נדרשת השקעה בתשתיות טכנולוגיות מתקדמות לניהול הסכמות, זיהוי מידע אישי והגנה מפני דליפות. מערכות אלו חייבות לכלול יכולות הצפנה מתקדמות, ניטור אנומליות בזמן אמת, ומנגנוני הגנה מפני דליפות מידע.
הכשרת עובדים והטמעת תוכניות תגובה לאירועי אבטחה הם מרכיבים חיוניים בהיערכות. מומלץ לפתח מערך הדרכה מקיף ולתרגל תרחישי חירום. התרגולים צריכים לכלול סימולציות של אירועי דליפת מידע, תקיפות סייבר, ותרחישים של בקשות מצד נושאי מידע למימוש זכויותיהם.
מתקפת סייבר (צילום: אינגאימג')
ניהול ספקי מיקור חוץ דורש תשומת לב מיוחדת. יש למפות את כלל הספקים, לבצע סקרי בקרה תקופתיים ולהסדיר הסכמי עיבוד מידע מפורטים. חשוב גם להקים ועדת היגוי שתדון באירועי אבטחת מידע ותפקח על ניהול ההרשאות והעדכונים במערכות, תוך תיעוד מלא של כל ההחלטות והפעולות.
היערכות לתיקון 13 אינה רק חובה חוקית, אלא הזדמנות לשדרוג תהליכים ארגוניים ולחיזוק אמון הלקוחות. ארגונים שישכילו להיערך מבעוד מועד לא רק יימנעו מסנקציות, אלא יזכו ביתרון תחרותי בעידן הדיגיטלי. למרות העלויות הכרוכות בהיערכות, המחיר של אי־היערכות – הן במונחים כספיים והן במונחי מוניטין – עלול להיות גבוה לאין שיעור. הזמן לפעול הוא עכשיו.
הכותב הוא שותף ומנהל מחלקת מערכות מידע וסייבר, פאהן קנה ניהול בקרה – GT ISRAEL