חובות בעלי עסקים לפי חוק הגנת הפרטיות
מדריך מעשי
למה זה חשוב לעסק שלך?
חוק הגנת הפרטיות ותקנות אבטחת מידע מחייבים כל עסק המטפל במידע אישי לפעול באופן מתודי: להגדיר מטרות, ליידע את הלקוחות, לאבטח את המידע, לתעד, ולהיות ערוך לאכיפה מנהלית. תיקון מס’ 13 עדכן את הגדרות היסוד, צמצם את חובת הרישום והוסיף מנגנוני הודעה ואכיפה—אך החובות המהותיות (ניהול תקין של מאגר ועיבוד, יידוע, זכויות, אבטחה) נשארו ואף התחזקו.
מי חייב לציית?
באופן כללי—כל מי שמנהל “מאגר מידע” ובו נתונים על אנשים (לקוחות, עובדים וכד’), כפוף להוראות החוק והתקנות. מדריך העסקים הקטנים מדגיש שהתקנות “חלות על כל המשק הישראלי” ועל כלל סוגי המידע האישי הנפוצים בעולם העסקי.
מושגים שחשוב להכיר
-
מידע אישי: נתון על אדם מזוהה/ניתן לזיהוי (כולל מזהים מקוונים ונתוני מיקום—במסגרת ההרחבות בתיקון). עיקר ההרחבות וההסברים כלולים במדריך לתיקון 13.
-
מידע בעל רגישות מיוחדת: רשימה סגורה בחוק—לרבות בריאות, ביומטריה, עבר פלילי, דעות פוליטיות/אמונות דתיות, הערכות אישיות מקצועיות, וכן נתוני שכר ופעילות פיננסית ונתוני מיקום/תעבורה. מידע כזה מחייב הקשחת בקרה.
-
מאגר המנוהל בידי יחיד: קטגוריה הקובעת לרוב רמת אבטחה בסיסית, אלא אם מתקיימים חריגים; יש למפות לפי התקנות מהי הרמה החלה בפועל.
החובות המהותיות – ליבת הציות לכל עסק
-
מסמך הגדרות מאגר ונוהל אבטחה
על העסק להחזיק מסמך הגדרות מאגר מעודכן (מטרות, סוגי מידע, מקורות, נמענים/מחזיקים, סיכוני אבטחה) ולגזור ממנו נוהל אבטחה ארגוני. המדריכים הרשמיים מציינים מפורשות את מסמך ההגדרות (תקנה 2) ונוהל האבטחה (תקנה 4) כעמודי תווך.
במדריך לעצמאים/עסקים קטנים מודגשים גם טריגרים לעדכון המסמך (שינוי מהותי, שינוי טכנולוגי/ארגוני, אירוע אבטחה). -
איסורים נורמטיביים וחובת יידוע בעת איסוף
אסור לעבד מידע “שלא כדין”; חובה למסור הודעת יידוע בעת איסוף (זהות בעל המאגר, מטרות, חובה/רשות, נמענים וזכויות). התיקון הדגיש והרחיב הוראות אלו. -
זכויות נושאי מידע
זכות עיון ובקשות לתיקון/מחיקה מחויבות בדין; גם בהיבטי האכיפה מצוינים ספציפית הפרות ביחס לזכויות אלו. -
אבטחת מידע לפי רמות
התקנות מחלקות את הדרישות לפי שלוש רמות: בסיסית / בינונית / גבוהה.
– אם לא חלות נסיבות בינונית/גבוהה, המאגר ייפול לרוב לרמה בסיסית;
– רמה בינונית תחול, בין היתר, במאגרים לגביהם מדובר בסחר במידע, בגוף ציבורי, או בסוגי מידע רגישים מסוימים;
– רמה גבוהה תחול, בין היתר, כשבמאגר מידע על ≥100,000 אנשים או מעל 100 בעלי הרשאה.
המדריך המלא מרכז את התקנות החלות בכל רמה (טבלה שימושית ליישום). -
בקרות ליבה שנדרשות כמעט בכל עסק
ניהול הרשאות “לצרוך לדעת”, זיהוי/אימות (כולל 2FA כשניתן), ניהול מערכות מעודכן, אבטחת תקשורת, מיקור-חוץ (תקנה 15), ביקורות תקופתיות, וגיבוי/שחזור. המדריך המלא מפרט סעיפי תקנות לפי נושאים (מכשירי קצה, הקשחת מערכות, אבטחת תקשורת, מיקור חוץ, ביקורות, אחריות לאבטחת מידע ועוד). -
תיעוד, לוגים ושמירת נתוני אבטחה – 24 חודשים
יש להפעיל ולשמר תיעוד גישה/אירועים; התקנות קובעות משך שמירת נתוני האבטחה כדרישה מרכזית.
מדריך העסקים הקטנים מתמצת: לתעד אירועי אבטחה בלוגים/תוכנה מתעדת.
חובות מותנות (טריגרים שכדאי להכיר)
-
חובת הודעה לרשות (ס’ 8א(ב)(1)): אם במאגר שלכם מצוי “מידע בעל רגישות מיוחדת” על יותר מ־100,000 אנשים—יש למסור הודעה לרשות בתוך 30 יום. הטופס הרשמי אף דורש לציין את המועד שבו נחצה הרף.
שים/י לב: גם אם מאגר אינו חייב ברישום לאחר התיקון, כל שאר החובות בחוק ובתקנות ממשיכות לחול במלואן.
-
חובת מינוי ממונה על הגנת הפרטיות (DPO): חובה בגופים ציבוריים ובארגונים פרטיים מסוימים שהפעילות שלהם כרוכה בסיכון גבוה (לרבות ניטור שיטתי, סחר במידע, או עיבוד בהיקף ניכר של מידע רגיש במיוחד).
מה נדרש מעסק קטן בפועל?
גם אם אתם “מאגר המנוהל בידי יחיד”, עליכם ליישם את הבסיס: מסמך הגדרות, נוהל אבטחה, הרשאות/אימות, אבטחת תקשורת, תיעוד ולוגים, גיבויים, והסכמי מחזיקים. המדריך לעצמאים מדגיש גם בדיקה שנתית שאין החזקה עודפת של מידע מעבר לנדרש למטרות המאגר.
כיצד נוכל לסייע לכם
-
מיפוי מאגרים וקביעת רמת אבטחה נכונה;
-
ניסוח/עדכון מסמך הגדרות מאגר ונוהל אבטחה תואמי פעילות;
-
בדיקת טריגרים להודעה/מינוי DPO;
-
הטמעת הסכמי מחזיקים/מעבדים ובקרות ציות;
-
הכנת טפסי עבודה: לוגים, ביקורות, טופס רבעוני/שנתי להפקת לקחים.
סיכום
ציות חכם לחוק הגנת הפרטיות אינו רק “תיבה לסמן”—זהו מנגנון ניהול סיכונים עסקי המגן על לקוחות, מוניטין ותזרים. עם מסמך הגדרות ונוהלי אבטחה עדכניים, בקרות תפעוליות, והיערכות לטריגרים (הודעה/DPO), העסק מצמצם חשיפה לעיצומים ומבסס אמון ארוך-טווח.
צרו קשר לקביעת פגישת ייעוץ לבחינת החובות החלות עליכם לפי החוק להגנת הפרטיות.