מדריך: תיקון חוק הגנת הפרטיות 2025 לבעלי אתרים, חברות ומנהלי קמפיינים
- שי דוד
- 21 באוג׳ 2025
- זמן קריאה 5 דקות
מליאת הכנסת אישרה ביום (5.8.24) בקריאה שניה ושלישית תיקון מקיף בחוק הגנת הפרטיות. התיקון מעדכן ומבהיר את החקיקה בתחום, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים.
בעידן שבו מידע הוא המטבע היקר ביותר, מדינת ישראל מבצעת צעד היסטורי לעבר התאמת חקיקת הפרטיות למאה ה-21. "חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024", שהונח על שולחן הכנסת לקריאה שנייה ושלישית ב-24 ביולי 2024, מביא עמו שינויים דרמטיים שישפיעו באופן ישיר על כל מי שעוסק בבניית אתרים, ניהול קמפיינים ממומנים ואיסוף נתוני משתמשים בישראל.
התיקון החדש מחליף את החוק המיושן משנת 1981 ומיישר קו עם סטנדרטים בינלאומיים מחמירים, בראשם ה-GDPR האירופי. עבור בעלי עסקים, מנהלי שיווק וסוכנויות דיגיטל, התעלמות מהשינויים אינה אופציה. החוק החדש מקנה לרשות להגנת הפרטיות "שיניים" חדשות בדמות סמכויות אכיפה מורחבות ויכולת להטיל קנסות כבדים על מפרים.
במאמר זה נפרט את עיקרי החוק החדש ונסביר מה אתם צריכים לעשות כדי להתאים את הפעילות הדיגיטלית שלכם לעידן הפרטיות החדש.
שינויי מונחים: מי הוא "בעל שליטה" ומי "מחזיק"?
אחד השינויים הבסיסיים ביותר בחוק הוא עדכון הטרמינולוגיה, שמשקף שינוי תפיסתי לגבי אחריות.
מ"בעל מאגר" ל"בעל שליטה במאגר מידע": המונח הישן "בעל מאגר מידע" מוחלף ב"בעל שליטה במאגר מידע" (Data Controller). בעל השליטה הוא מי שקובע, לבדו או יחד עם אחרים, את מטרות עיבוד המידע במאגר.
ברוב המקרים, בעל האתר או העסק הוא "בעל השליטה".
"מחזיק" במאגר מידע: מוגדר כגורם חיצוני לבעל השליטה, המעבד עבורו מידע (Data Processor).
סוכנות דיגיטל, חברת דיוור ישיר, או ספק שירותי ענן (IaaS/SaaS) ייחשבו בדרך כלל ל"מחזיק".
ההבחנה הזו קריטית, מכיוון שהחוק מטיל חובות נפרדות ומשותפות על שני הגורמים.
הגדרות מורחבות: מהו "מידע אישי" ומה נחשב "רגיש"?
התיקון מרחיב משמעותית את ההגדרות למידע, כדי שיכללו את כל סוגי הנתונים הנאספים כיום בפעילות דיגיטלית.
מידע אישי: כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר. ההגדרה כוללת במפורש מזהים דיגיטליים כמו: שם, מספר זהות,
נתוני מיקום, מזהה מקוון (כמו כתובת IP או Cookie ID), וכל נתון אחר הקשור למצבו הפיזי, הכלכלי, החברתי ועוד.
מידע בעל רגישות מיוחדת: קטגוריה זו זוכה להגנה מוגברת וכוללת, בין היתר:
דעות פוליטיות, אמונות דתיות או השקפת עולם.
מידע על מצב בריאותי, מידע גנטי ונתונים ביומטריים.
מידע על צנעת חיי המשפחה, נטייה מינית ומידע על עבר פלילי.
נתוני מיקום ותעבורה ומידע על פעילות פיננסית ונתוני שכר.
עבור מנהלי קמפיינים, המשמעות ברורה: פילוח קהלים (segmentation) על בסיס תחומי עניין שנוגעים לנושאים רגישים אלו, או שימוש בנתוני מיקום מדויקים, מחייב עמידה בכללים מחמירים במיוחד.
חובות חדשות: רישום מאגרים ומינוי ממונה הגנת הפרטיות
החוק מעדכן את החובות המוטלות על עסקים המחזיקים במידע אישי.
חובת רישום או הודעה: מאגר מידע חייב ברישום אם מטרתו העיקרית היא איסוף מידע לשם מסירתו לאחר (למשל, שירותי דיוור ישיר) והוא מכיל מידע על יותר מ-10,000 איש . בנוסף, קיימת חובת הודעה חדשה לרשות על מאגרים שאינם חייבים ברישום אך מכילים מידע רגיש על מעל 100,000 איש.
מינוי ממונה על הגנת הפרטיות (DPO): גופים מסוימים מחויבים למנות ממונה שתפקידו להבטיח את קיום הוראות החוק בארגון. חובה זו חלה, בין היתר, על:
גופים ציבוריים.
מי שעיסוקו העיקרי הוא איסוף מידע אישי לשם מסירתו לאחר, על יותר מ-10,000 איש.
גופים שעיסוקם כרוך בניטור שוטף ושיטתי של אנשים בהיקף ניכר (למשל, ספקי שירותי חיפוש מקוון).
גופים המעבדים מידע רגיש בהיקף ניכר (למשל, בנקים וחברות ביטוח).
עידן האכיפה החדש: סמכויות מורחבות וקנסות כבדים
זהו השינוי המשמעותי ביותר בחוק. הרשות להגנת הפרטיות מקבלת כלים אפקטיביים לאכיפה מינהלית, המאפשרים לה להטיל קנסות כספיים ("עיצומים כספיים") משמעותיים, ללא צורך בהליך פלילי.
גובה הקנסות משתנה בהתאם לחומרת ההפרה ויכול להגיע למאות אלפי שקלים. במקרים מסוימים, הקנס מחושב כמכפלה של סכום קבוע במספר האנשים שהמידע אודותיהם הופר.
דוגמאות לקנסות על הפרות נפוצות:
אך ורק על מסמך הצעת החוק שהועבר לקריאה שנייה ושלישית בתאריך 24.07.2024. חשוב להדגיש כי מדובר בהצעת חוק, והסכומים או הסעיפים עשויים להשתנות עד לחקיקה הסופית. המידע מאומת מול הסעיפים והתוספות השונות במסמך עצמו.
קנסות עיקריים לפי סוג הפרה
סוג ההפרה | סכום העיצום הכספי הבסיסי | הערות נוספות |
הפרות רישום וניהול | ||
עיבוד מידע במאגר החייב ברישום, אך לא נרשם כדין . | 150,000 ₪ | הסכום מוכפל אם במאגר יש מידע על מעל 1,000,000 איש . |
אי מסירת הודעה לרשות על מאגר החייב בהודעה (מאגר עם מידע רגיש על מעל 100,000 איש) . | 150,000 ₪ | |
הפרות זכויות נושאי המידע | ||
סירוב לאפשר לאדם לעיין במידע אישי השמור אודותיו . | 15,000 ₪ | |
אי מחיקת מידע אישי ממאגר דיוור ישיר, למרות דרישת האדם . | 15,000 ₪ | |
הפרות איסוף ושימוש במידע | ||
פנייה לאדם לקבלת מידע אישי מבלי למסור הודעה כנדרש על מטרת האיסוף וזכויותיו . | 50 ₪ לאדם (100 ₪ למידע רגיש) | הקנס מחושב כמכפלה במספר האנשים שאליהם פנו. |
הפרות חובות ארגוניות | ||
אי מינוי ממונה על אבטחת מידע כנדרש בחוק . | 2 ₪ לאדם (4 ₪ למידע רגיש) | הקנס מחושב כמכפלה במספר האנשים שהמידע עליהם במאגר. |
אי מינוי ממונה על הגנת הפרטיות (DPO) כנדרש (בגופים מסוימים) . | 2 ₪ לאדם (4 ₪ למידע רגיש) | הקנס מחושב כמכפלה במספר האנשים שהמידע עליהם במאגר. |
הפרות חמורות | ||
עיבוד מידע אישי למטרה שאינה חוקית (שלא נקבעה למאגר) . | 4 ₪ לאדם (8 ₪ למידע רגיש) | הקנס מחושב כמכפלה במספר האנשים שהמידע עליהם במאגר. המינימום לקנס כזה הוא 200,000 ₪ . |
עיבוד מידע אישי ללא הרשאה מבעל השליטה במאגר . | 4 ₪ לאדם (8 ₪ למידע רגיש) | הקנס מחושב כמכפלה במספר האנשים שהמידע עליהם במאגר. המינימום לקנס כזה הוא 200,000 ₪ . |
אי ציות להוראות הרשות | ||
אי מסירת מסמך או מידע למפקח מטעם הרשות . | 300,000 ₪ |
קנסות על הפרת תקנות אבטחת מידע
הצעת החוק קובעת מנגנון מורכב לקנסות על הפרת תקנות הגנת הפרטיות (אבטחת מידע). גובה הקנס תלוי בסוג ההפרה ובסיווג המאגר. התוספת השלישית להצעה מפרטת עשרות הפרות אפשריות.
רמות האבטחה והקנסות לדוגמה:
רמת אבטחה של המאגר | דוגמה להפרה | קנס מרבי לדוגמה |
מאגר המנוהל בידי יחיד | אי הכנת "מסמך הגדרות מאגר" כנדרש. | 2,000 ₪ |
מאגר ברמת אבטחה בסיסית | אי ביצוע בקרה ותיעוד כניסה לאתרים פיזיים בהם נמצא המאגר. | 1,000 ₪ |
מאגר ברמת אבטחה בינונית | אי ביצוע סקר סיכונים תקופתי (אחת ל-18 חודשים). | אין סכום נקוב ישירות, אך זו הפרה חמורה. |
מאגר ברמת אבטחה גבוהה | אי דיווח מיידי לרשות על אירוע אבטחה חמור. | 320,000 ₪ |
הפחתות והחמרות
הפרה נמשכת: על כל יום שבו נמשכת ההפרה לאחר קבלת דרישת תשלום, יתווסף לקנס 1% מסכומו המקורי .
הפרה חוזרת: הפרה של אותה הוראה בתוך שנתיים מההפרה הקודמת תגרור הכפלה של הקנס .
הפחתות: התוספת החמישית לחוק מפרטת נסיבות המאפשרות לראש הרשות להפחית את הקנס, למשל:
העסק הוא "עסק זעיר" או "עסק קטן" (עם תקרות קנס מוגדרות) .
המפר הפסיק את ההפרה מיוזמתו ודיווח עליה .
לא הוטל על המפר קנס ב-5 השנים האחרונות על אותה הפרה .
ההפחתה המצטברת לא תעלה על 70% מהקנס המקורי .
צעדים מעשיים להתאמת העסק והאתר שלכם
מפו את המידע שלכם (Data Mapping): הבינו איזה מידע אישי אתם אוספים (דרך טפסי יצירת קשר, פיקסלים, אנליטיקס, מערכות CRM), היכן הוא מאוחסן, מדוע אתם אוספים אותו ולכמה זמן אתם שומרים אותו.
עדכנו את מדיניות הפרטיות: ודאו שמדיניות הפרטיות באתר שלכם שקופה, ברורה ומפרטת את כל סוגי המידע הנאספים, מטרות האיסוף, זכויות המשתמשים (כמו הזכות לעיין במידע ולתקנו), ודרכי ההתקשרות עם הממונה על הפרטיות בארגונכם (אם מונה).
בחנו את מנגנוני ההסכמה: ודאו שאתם מקבלים הסכמה מפורשת וברורה מהמשתמשים לפני איסוף מידע, במיוחד באמצעות קוקיז וטכנולוגיות מעקב אחרות.
הסדירו חוזים מול ספקים (ה"מחזיקים"): אם אתם עובדים עם סוכנויות דיגיטל, פרילנסרים או כל ספק חיצוני אחר שמעבד עבורכם מידע, ודאו שיש לכם הסכם עיבוד מידע (DPA) ברור המגדיר את אחריותו לשמירה על המידע בהתאם לחוק.
השקיעו באבטחת מידע: החוק החדש, יחד עם תקנות אבטחת המידע, מטיל אחריות כבדה על בעלי שליטה ומחזיקים להגן על המידע. אירוע אבטחה חמור שלא דווח לרשות עלול לגרור קנסות כבדים.
לסיכום, תיקון מס' 13 לחוק הגנת הפרטיות אינו עוד המלצה, אלא דרישה חוקית מחייבת עם מנגנון אכיפה משמעותי. עסקים שישכילו להטמיע את עקרונות החוק בפעילותם לא רק יימנעו מקנסות גבוהים, אלא גם יבנו אמון חיוני עם לקוחותיהם, שנעשים מודעים יותר ויותר לזכותם לפרטיות. זה הזמן לבחון לעומק את תהליכי ניהול המידע שלכם ולהבטיח שאתם ערוכים לעידן החדש.
מקורות.
תגובות