מהם השינויים המהותיים שתיקון 13 מביא ומהם הצעדים הראשונים שעליכם לנקוט?
תיקון 13 לחוק הגנת הפרטיות, שאושר בכנסת באוגוסט 2024 ועתיד להיכנס לתוקףבאוגוסט 2025, אינו עוד תיקון שולי – הוא מהווה רפורמה מהותית בדיני הפרטיות בישראל.שינוי זה, המשתווה בהיקפו לחוקקתו המקורית של החוק בשנת 1981, נועד להתאים אתהחקיקה הישראלית לסטנדרטים בינלאומיים מתקדמים, דוגמת ה-GDPR האירופי, ולהתמודד עם האתגרים הייחודיים של עידן המידע.
אחד השינויים הבולטים ביותר הוא הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות הרשות הופכת לרגולטור חזק ובעל שיניים, המסוגל להטיל עיצומים כספייםמשמעותיים על הפרות, ואף לנקוט בהליכים פליליים במקרים חמורים. המשמעות ברורה:הסיכון המשפטי והתדמיתי במקרה של אי-ציות עולה באופן דרמטי.
בנוסף, התיקון קובע לראשונה חובה למנות ממונה הגנת פרטיות (DPO) בארגונים מסוימים,ובפרט בגופים ציבוריים ובארגונים המעבדים מידע אישי רגיש בהיקף ניכר או עוסקיםבמעקב שיטתי אחר אנשים. תפקיד ה-DPO קריטי בהבטחת עמידה בדרישות החוקובשיפור ממשל תאגידי בתחום הפרטיות.
התיקון גם מעדכן הגדרות מפתח בחוק, מרחיב את עיקרון "צמידות המטרה" (הקובע כי איןלהשתמש במידע אישי שלא למטרה שלשמה נמסר), ומחייב שקיפות רבה יותר מצד הארגונים באיסוף ועיבוד מידע.
מהם הצעדים הראשונים שעליכם לנקוט?
לקראת כניסתו לתוקף של התיקון, עליכם, כאנשי עסקים, לנקוט בצעדים אקטיביים:
1. מיפוי נתונים וסקר ציות: ערכו סקר ציות מקיף לאיתור כל מאגרי המידעשברשותכם, סוגי המידע הנאסף, מטרות השימוש, משך השמירה והיכן הוא נשמר.זהו את הפערים הקיימים ביניכם לבין דרישות החוק החדשות.
2. הערכת הצורך ב-DPO: בדקו האם ארגונכם נמנה עם הגופים החייבים במינויממונה הגנת פרטיות, ובמידת הצורך, התחילו בתהליך איתור ומינוי.
3. השקעה באבטחת מידע: יישמו פתרונות אבטחת מידע מתקדמים וערכו סימולציות של אירועי סייבר. היערכות מוקדמת תצמצם סיכונים משפטיים ותפעוליים.
4. הדרכת עובדים: הטמיעו מודעות לחשיבות הגנת הפרטיות בקרב כלל עובדי הארגון.התיקון אינו רק נטל רגולטורי; הוא הזדמנות לחזק את אמון הציבור והלקוחות בארגונכם.
כיצד יש לעדכן את תקנון הפרטיות ומהן הזכויות החדשות שלקוחותיכם מקבלים?
תיקון 13 לחוק הגנת הפרטיות שם דגש משמעותי על שקיפות ועל חיזוק זכויות נושאי המידע. כתוצאה מכך, עליכם לעדכן באופן מהותי את תקנון הפרטיות שלכם ואת אופן ההתנהלות מול לקוחותיכם בכל הנוגע למידע אישי.
מהם השינויים הנדרשים בתקנון הפרטיות?
ראשית, תקנון הפרטיות שלכם חייב להיות ברור, מפורט, ונגיש לכלל הציבור. עליו לכלולהסברים פשוטים ובהירים אודות סוגי המידע הנאספים, מטרות האיסוף והשימוש, משךשמירת המידע, ועם מי הוא משותף (לדוגמה, ספקים חיצוניים).שנית, חובת היידוע המפורטת בחוק הורחבה באופן ניכר.
בעבר, נדרשתם לציין האם מסירת המידע היא חובה או רשות, את מטרת האיסוף ולמי יימסר המידע. כעת, עליכם לכלול בהודעת הפרטיות גם את הפרטים הבאים:
1. זהות בעל השליטה במאגר ודרכי התקשרות עמו: לקוחותיכם צריכים לדעת מי אחראי למידע שלהם וכיצד ניתן ליצור עמו קשר.
2. תוצאות הסירוב למסירת המידע: עליכם להבהיר מהן ההשלכות של סירוב למסורמידע מסוים, למשל, האם הדבר ימנע מתן שירות מסוים.
3. זכויות העיון והתיקון של נושא המידע: יש להבהיר באופן מפורש את זכותם שלהלקוחות לעיין במידע שנאסף עליהם ולדרוש את תיקונו או מחיקתו.
התיקון מעניק לנושאי המידע זכויות מורחבות וברורות יותר, המעצימות את שליטתם במידעהאישי שלהם. זכויות אלו כוללות, בין היתר, את הזכות לגשת למידע שנאסף עליהם, לבקש לתקן מידע שגוי או לא מדויק, ולדרוש את מחיקת המידע במקרים מסוימים. עליכם לייצר מנגנונים פשוטים ויעילים שיאפשרו ללקוחות לממש זכויות אלו בזמן סביר.
משמעות הדבר היא שגם אי-עמידה בדרישות טכניות או פרוצדורליות עלולה לגרור תביעות משפטיותוחיובים כספיים.לסיכום, עדכון תקנון הפרטיות והטמעת מנגנונים למימוש זכויות הלקוחות אינם רק חוב החוקית, אלא גם הזדמנות לבנות אמון עם לקוחותיכם ולחזק את המוניטין שלכם כארגון המגן על הפרטיות.
גישה פרואקטיבית לתחום זה תהפוך את הגנת הפרטיות מנטל רגולטורי לנכס עסקי אסטרטגי.