עו"ד מוטי כהן |

תיקון חוק הגנת הפרטיות עודכן בכנסת

רגולציה וחקיקה
תיקון לחוק הפרטיות

בחודש אוגוסט 2024 אושר בכנסת תיקון לחוק הגנת הפרטיות. התיקון מהווה עדכון חשוב לחוק המקורי שנחקק בשנת 1981. התיקון קובע הסדרים חדשים אשר מתאימים את המצב החוקי בישראל למדיניות הרווחת באירופה ומדינות ה OECD ולא פחות חשוב, קובע התאמות לשינויים טכנולוגיים של השנים האחרונות.

נזכיר כי חוק הגנת הפרטיות הוא החוק המרכזי בישראל שעוסק בהגנה על "מידע אישי". "מידע אישי " הוא בין היתר שמות של אנשים, מספרי תעודות זהות, מידע רפואי, מידע על מצב כלכלי, מידע על אמונות פוליטיות ודתיות, מידע על מעמד אישי ומשפחתי וכיוב'.

כידוע, עמותות רבות מספקות שירותים לאוכלוסיות שונות, כולל אוכלוסיות מוחלשות. לפיכך, רוב העמותות, מחזיקות בידן מידע אישי רב, שיש להגן עליו בהתאם לחוק. כפי שנפרט בהמשך, אי-ציות לחוק החדש, עלולה לגרום להטלת קנסות כספיים משמעותיים על עמותות.

מדוע העדכון חשוב ורלוונטי לעמותות?

1. הרחבת סמכויות האכיפה של רשות הגנת הפרטיות

התיקון מקנה לרשות הגנת הפרטיות סמכות להטיל עיצומים כספיים (קנסות מנהליים) בגין הפרות של חוק הגנת הפרטיות ותקנות אבטחת המידע.
המשמעות היא שהחל מכניסת התיקון לתוקף, עמותות יהיו חשופות לקנסות בשיעור עשרות ואף מאות אלפי ₪ בגין הפרות של דיני הפרטיות.

2. קביעת חובה למינוי ממונה הגנה על הפרטיות בארגונים

החוק קובע חובות חדשות למינוי ממונה הגנה על הפרטיות בארגון. ממונה הגנה על הפרטיות (DPO) הוא עובד בארגון, או נותן שירות בארגון, שתפקידיו הם:

  • הבטחה שהארגון פועל לקיום הוראות חוקי הפרטיות ואבטחת המידע
  • הממונה משמש כסמכות מקצועית ומוקד ידע ארגוני בתחום הפרטיות. הוא מכין תכניות הדרכה והסברה לעובדים ומפקח על ביצוע התכניות.
  • הממונה מכין תכניות לבקרה שוטפת על העמידה בדיני הפרטיות, ומוודא שהתכניות מבוצעות.
    הערה: לפי סעיפי החוק, טרם התברר אם עמותות מחויבות במינוי ממונה להגנה על הפרטיות, ואם כן, באילו מקרים ותנאים עמותה תהיה חייבת במינוי. אולם, לפי פרשנות החוק ומדיניות רשות הגנת הפרטיות, לחוות דעתי, ראוי שעמותות שמנהלות ומעבדות מידע אישי ורגיש, בהיקפים גדולים ימנו ממונה הגנת הפרטיות. זאת מפני שאירועי אבטחת מידע, מעמידים בסיכון משמעותי כמות גדולה של מידע אישי, שזליגתו 'החוצה' עלולה לפגוע באוכלוסיות רגישות. חשוב להדגיש שעמותות יכולות למנות יועצים חיצוניים לתפקיד זה.

3. סמכות לתבוע, ולזכות בפיצויים בתביעות ללא הוכחת נזק (פיצויים לדוגמה)

החוק החדש מאפשר בסעיף 15א לתובעים להגיש תביעות מבלי להוכיח נזק. תביעות אלו אמנם מוגבלות לסכום של 10,000 ₪, אולם יש לזכור כי יכולות להיות מוגשות על ידי תובעים רבים ולגרום לסיכונים כלכליים מוחשיים. זאת בנוסף לעלויות הנלוות של ייעוץ משפטי וניהול הליכים.

כיצד על עמותות להיערך לכניסת התיקון לתוקף בקיץ 2025?

אם אתם מסמנים 'V' על אחד מהסעיפים הבאים, עליכם להיערך בוודאות לתיקון החוק:

  • העמותה מנהלת מידע אישי רגיש – למשל מידע רפואי, כלכלי, או כזה שנוגע לצנעת הפרט
  • העמותה מנהלת מידע בהיקף גדול
  • העמותה מנהלת מידע אודות אוכלוסיות מוחלשות או רגישות – נוער בסיכון, קטינים, חולים במחלה מסוימת, קשישים וכיוב'
  • העמותה מעבירה או חולקת מידע עם גופים אחרים

לקראת הכניסה לתוקף של החוק, אני רוצה להציע לעמותות סדר פעולות פשוט,
שבאמצעותו הן תוכלנה לוודא כי הן פועלות לפי החוק, ולצמצם סיכונים משפטיים וסיכונים כלכליים בגין הפרות שונות.
להלן סדר הפעולות:

  1. "לעשות סדר"
    ראשית, על כל עמותה לקבל יעוץ מקצועי על מנת לאפיין ולהגדיר את התנהלות העמותה בתחום המידע האישי שהיא מנהלת.
    החובות והרגולציה שחלות על עמותה, משתנות בהתאם לנתונים שונים כגון – סוג המידע המנוהל, היקף המידע, מספר בעלי ההרשאות למידע וכיוב'.
  2. סקר פערים
    השלב השני הוא עריכת סקר של המצב המצוי, מול המצב הנדרש לפי החוק, וריכוז הפערים והשלבים הנדרשים על מנת לעמוד בדרישות החוק והתקנות. סקר הפערים מתמקד גם בפן הטכנולוגי של אבטחת המידע, וגם בהיבטי הפרטיות, הנהלים בארגון, חוזים והסכמים, בקרה ארגונית ועוד. בנוסף, במהלך הסקר מזהים את כל הגורמים והמערכות שיש להם זיקה וקשר לעיבוד המידע האישי.
  3. קביעת תכנית עבודה ליישום
    לאחר סקר הפערים, העמותה נדרשת ליצור תכנית עבודה לצמצום הפערים ויישום הוראות החוק. בשלב הזה חשוב להגדיר סדרי עדיפויות, תוך ניהול הסיכונים והחשיפה המשפטית, ותוך שמירה על פעילות סדירה של העמותה.
  4. יישום התכנית
    בשלב היישום העמותה יש לוודא כי העמותה מצייתת לחוקים ולרגולציה החלים עליה. יש להכין נהלי אבטחת מידע, מסמכי הגדרות מאגר מידע ומיפוי מערכות מידע. יש לערוך חוזים והסכמים עם ספקים שמקבלים גישה למידע, וכמו כן עם עובדים ומתנדבים.חשוב ביותר שהעמותה תפרסם מדיניות פרטיות, וכמו כן תאפשר לאנשים שנשמר עליהם מידע מימוש הזכויות הקבועות בדין.

    עובדים ומתנדבים של העמותה צריכים לעבור הדרכות מודעות וריענון כדי לצמצם סיכונים לאירועי אבטחת מידע כתוצאה מכשל אנושי.

    כמובן שנדרש לטפל גם בצד הטכנולוגי – לוודא שהמערכות הארגוניות מוגנות לפי דין, בסטנדרט מקובל.

שימו לב שההיערכות בתוך העמותה לוקחת זמן. אני בהחלט ממליץ לא לחכות לרגע האחרון, ולהתחיל את התהליך מוקדם ככל האפשר!

ניתן להיעזר במשרד חיצוני לייעוץ או הכוונה בנושא הגנת הפרטיות ואבטחת מידע – עורך דין מומחה לתחום דיני הגנת הפרטיות ואבטחת המידע, שהוא גם DPO בהכשרתו, יוכל ללוות את העמותה בתהליך העבודה.

*המאמר נועד לצרכי סקירה והעשרה. התוכן במאמר לא מהווה ייעוץ משפטי ואין להסתמך עליו ככזה.

עו"ד מוטי כהן מלווה מוסדות וארגוני תרבות בתחום הגנת הפרטיות ואבטחת מידע. זאת בנוסף לניסיון ניהולי רב שנים בתחום ותוך היכרות מעמיקה של צרכי המוסדות.

משפיעות על העולם? מקדמים שינוי חברתי?

פנו אלינו ליעוץ

עו
עו"ד מוטי כהן
הכתבות של עו"ד מוטי כהן >

עוד פוסטים בנושא Uncategorized

פוסטים אחרונים

סווטלנה זיסקינד | 23 בדצמבר 2024

שיעור בדמוקרטיה במולדובה

מייס מסאלחה | 15 בדצמבר 2024

קליטת עובד חדש / עובדת חדשה

לב ארן | 12 בדצמבר 2024

פסטיבלי מוזיקה ששינו את העולם: וודסטוק, מחאה, ושינוי חברתי

יוליה בנימין | 10 בדצמבר 2024

טרנדים ומגמות ברשתות החברתיות לשנת 2025

ענת מופקדי | 8 בדצמבר 2024

בניית שותפויות בין ארגונים

גלי בסודו | 28 בנובמבר 2024

בשביל מה צריך דוח ביצועים לאתר?

לב ארן | 18 בנובמבר 2024

איך שורת משברים הובילו למהפך בבחירות בסרי לנקה?

שולחן המערכת | 10 בנובמבר 2024

שלוש מלכודות תקשורתיות שהמחנה הדמוקרטי-ליברלי נופל אליהן

הצטרפו לרשימת המנויים שלנו

וקבלו מייל עם תכנים חדשים שעולים לבלוג

    תגובות

    כתבו תגובה