דליפת מידע עלולה לעלות מיליונים – כל מה שצריך לדעת על תיקון 13 להגנת הפרטיות

מאת /

תארו לעצמכם שאתם מתעוררים יום אחד ומגלים שהמרפאה בה ביצעתם הליך קוסמטי או ניתוח פלסטי הותקפה על ידי האקרים והמידע הרפואי שמחזיקה המרפאה, כמו גם תמונות של "לפני ואחרי" מוחזקים בידי קבוצת התקיפה – מאיראן, מרוסיה או בעצם, מכל מדינה אחרת בעולם – אירוע מטלטל מאוד עבורכם וכזה שיכול להביא לסגירתה של המרפאה על רקע קנסות רגולטוריים ותביעות על פגיעה חמורה בפרטיות.
מקרים מסוג זה אינם כה נדירים בימינו והביאו את המחוקק בישראל ליישר קו עם הרגולציה באירופה ולבצע תיקונים נרחבים המחייבים חברות וארגונים להגן על המידע של לקוחותיהם באופן הרבה יותר ייסודי ומקצועי.
בשנים האחרונות המודעות הציבורית להגנה על הפרטיות שלנו, לצד האצת השימוש בטכנולוגיות מתקדמות הביאו להתערבות גוברת של מחוקקים בעולם בנושא אופן הטיפול של ארגונים במידע אישי ופרטי – אחד מהסיפורים המוכרים שהעלו את המודעות הציבורית לדרישה לרגולציית פרטיות שמותאמת להתקדמות הטכנולוגית הוא פרשת פייסבוק וקיימברידג' אנליטקה – דליפת מידע בסדר גודל ענק שהשפיעה על הבחירות בארצות הברית.

השינויים המרכזיים בתיקון 13 לחוק הגנת הפרטיות

הרחבת ההגדרה של "מידע אישי"
בעבר, "מידע אישי" התייחס בעיקר לפרטים כמו שם, כתובת ומספר טלפון. כיום, ההגדרה מתרחבת לנתונים נוספים אשר עשויים להעיד על זהות הגולש / המשתמש באתר או אפליקציה, המוגדרים בתקנות כ"מזהה מקוון" ו"נתוני מיקום" ועל דפוסי השימוש שלו. כך, גם חברות שאינן אוספות פרטים ישירים ומובנים מאליהם צריכות להתייחס להיבטי פרטיות סביב המידע שהן שומרות ומעבדות.
שקיפות מוגברת
ארגונים נדרשים ליידע את הלקוחות איזה מידע נאסף עליהם, מדוע הוא נאסף, ולכמה זמן הוא יישמר. כך מובטחת שליטה רבה יותר של המשתמשים על פרטיהם האישיים.
חובת דיווח על פרצות אבטחה
חברות מחויבות לדווח לרשות להגנת הפרטיות וללקוחותיהם על כל פרצה משמעותית. עליהן ליישם מדיניות אבטחת מידע מעודכנת, לבצע הערכות סיכונים ולפעול אקטיבית למניעת דליפות מידע.
זכויות המשתמשים
המשתמשים יכולים לעיין במידע שנאסף עליהם, לתקן אותו ואף לדרוש את מחיקתו במקרים מסוימים – "הזכות להישכח". כך לדוגמה, לקוח שאינו מרוצה מהשירות של אתר קניות מסוים, יכול לא רק לדרוש את הסרתו מרשימת התפוצה, אלא לבקש הסרה מלאה של פרטיו ממאגר המידע של החברה שמתפעלת את האתר.
ענישה מחמירה
בעבר, בהפרות שאינן פליליות, הסנקציות שיכלה להטיל רשות הגנת הפרטיות היו במידה רבה סמליות – מעין סוג של שיימינג, לעיתים בליווי קנסות של כמה עשרות אלפי שקלים – תיקון 13 מעלה את רף הענישה להפרות, כולל קנסות שיכולים להגיע למיליוני שקלים, לצד סנקציות פליליות במקרים חמורים.

כיצד תיקון 13 חוק משפיע על עסקים?

ארגונים שמחזיקים במידע פרטי חייבים להתאים את עצמם לדרישות הפרטיות החדשות ולשפר את אבטחת המידע, אבל המשמעות היא לא רק הוצאות ותהליכים מורכבים – זו יכולה להיות גם הזדמנות.
לצד ההתאמות הרבות הנדרשות מחברות וארגונים במסגרת התקנות החדשות ישנם יתרונות רבים כגון, הגנה על מידע פרטי מהווה נכס עסקי חשוב, שכן ניהול נכון שלה לא רק מסייע בעמידה בדרישות רגולטוריות, אלא גם מבדל את הארגון בשוק תחרותי. היערכות מוקדמת מסייעת בהפחתת סיכונים משפטיים ותפעוליים עשויה למנוע תקריות ומתקפות סייבר העלולות לגרום לנזק כספי או תדמיתי. מטבע הדברים התקנות מחייבות תיעוד ברור ומסודר של ניהול המידע, דבר המפחית סיכונים לניהול לקוי.
בעידן שבו הצרכנים מודעים יותר לפרטיותם, ארגון המציג מחויבות אמיתית להגן על המידע האישי בונה לעצמו מוניטין חיובי. סקר שנערך בארה"ב, הראה כי 79% מהלקוחות יעדיפו לרכוש שירותים מחברה שהם סומכים עליה בהיבטי פרטיות.

התאמות לתיקון 13 לחוק הגנת הפרטיות

  • מיפוי נתונים ומאגרים – להבין איזה מידע אישי נאסף, היכן הוא נשמר וכיצד הוא מוגן.
  • עדכון מדיניות פרטיות – לוודא שהמדיניות עומדת בדרישות החוק החדשות, ומובנת לקהל הרחב.
  • השקעה בטכנולוגיה – יישום פתרונות אבטחת מידע מתקדמים ועריכת סימולציות של אירועי סייבר הכוללים הדלפת מידע.
  • הדרכות מודעות לעובדים – להטמיע מודעות בארגון לחשיבות ההגנה על פרטיות המידע.
  • הכנת תוכנית תגובה לאירועי סייבר (IRP – Incident Response Plan) – רשימת פעולות ונהלים המוגדרים מראש למקרה של אירוע סייבר ותרגול סימולציות של תרחישים שונים עם הנהלת הארגון, מחלקת מערכות המידע בשיתוף חברת ה-IR.

    חשוב לציין שהרשימה חלקית – כלל הנושאים הנדרשים במסגרת היערכות טכנולוגית לתיקון 13 משוקפים לארגון במסגרת סקר הגנת פרטיות.
תיקון-13-הגנת-הפרטיות_640x640

הגנת פרטיות – אתגרים עתידיים

למרות שהתיקון מביא עמו שיפורים חשובים, ישנם גם אתגרים לא מעטים. אחד מהם הוא הצורך לשמור על עדכניות החוק, שכן בעידן שבו טכנולוגיות חדשות משתנות במהרה כמו בינה מלאכותית ורשתות חברתיות, גם הגנת הפרטיות צריכה להיות דינמית. בנוסף, האתגר במניעת פרצות אבטחה מחייבת לא רק טכנולוגיה עדכנית, אלא בעיקר פיתוח תהליכים מותאמים ותודעה ארגונית גבוהה. ארגונים יידרשו להמשיך להשקיע בבניית תרבות ארגונית שמעמידה את אבטחת המידע ושמירה על המידע הפרטי בראש סדר העדיפויות.

תיקון 13 – הזדמנות לבידול

תיקון 13 הוא לא רק חובה חוקית – הוא הזדמנות לחזק את חוסן החברה מפני מתקפות סייבר. בנוסף, חברות שיעמדו בדרישות התקנות ימצאו עצמן לא רק בצד הנכון של החוק, אלא גם בחזית החדשנות והאמון – ארגון שמגן על פרטיות המידע, מייצר אמון בקרב לקוחות ושותפים עסקיים ומשפר את המוניטין.
השאלה היא: האם הארגון שלכם מוכן לעידן החדש?
זקוקים לעזרה? אנחנו כאן כדי ללוות אתכם בשיקוף הפערים הטכנולוגיים לעמידה בתקנות הגנת הפרטיות.


מאמר זה אינו מהווה תחליף לייעוץ ספציפי לארגון, חברה או עסק בהתאם לרמת אבטחת המידע אותה נדרש ליישם על פי התקנות, ובכל מקרה, מאמר זה אינו מהווה תחליף לייעוץ משפטי כלשהו.

מאמרים נוספים

Scroll to Top
דילוג לתוכן
הגנת פרטיות
סקירת עוגיות

אתר זה משתמש בעוגיות כדי להעניק לך את חוויית הגלישה הטובה ביותר. העוגיות נשמרות בדפדפן שלך ומשמשות, בין היתר, כדי לזהות אותך כשאתה חוזר לאתר, וכדי לעזור לנו להבין אילו חלקים באתר מעניינים ושימושיים עבורך במיוחד. גלישה נעימה!