הגנת הפרטיות – סעיף 13 א'

תיקון 13 א' לחוק הגנת הפרטיות

תיקון 13 א' לחוק הגנת הפרטיות נכנס לתוקף באוגוסט 2025 והוא מרחיב את חוק הגנת הפרטיות שנכתב בשנת 1981. להלן עיקרי הנושאים אשר מורחבים בעדכון:

  • מינוי ממונה (DPO) בארגון על הגנת הפרטיות
  • הרחבת ההגדרה למאגר – כל מידע שניתן לזהות עם יישות אנושית והרחבת הגדרה למידע בעל רגישות מיוחדת.
  • רישום מאגרים – כל גוף ציבורי מחוייב לדווח לרשות להגנת הפרטיות ולנהל מסמך הגדרת מאגר:
    • שימוש במאגר:רק למטרה אליה הוא נועד ובאופן הולם.
    • אין להחזיק במידע שאינו נדרש למטרות הארגון (יש להסיר אם יש כזה)
  • הגדרת זכויות נשואי המאגר – עיון, עדכון ומחיקה.
  • אבטחת מידע – שמירה על המידע באמצעות טכנולוגיה ונוהלי שימוש
  • הרשאות – הגבלת גישה רק למשתמשים מיועדים ובהתאם להרשאות
    עילות ההפרה וסנקציות מחמירות.

מהו 'מאגר מידע'?

כל אוסף "לוגי" של נתונים אשר ניתן לקשר אותו אל זהות בעל המידע שהיא יישות אנושית (לא חברות מסחריות). מאגר מתעניינים יכול להיות אוסף של טבלת מתענינים, מאגר הקלטות של שיחות עם מתעניינים ובסיס הנתונים של תוכנת ה CRM. 
דוגמאות למאגרים:

  • מאגר מתעניינים
  • מאגר עובדים (תלושי שכר וכו')
  • מאגר סטודנטים או משתמשים בשירות דיגיטלי (ERP, CRM הקלטות שיחות וכו)

החוק מבחין בין מאגר מידע "רגיל" למאגר מידע בעל "רגישות מיוחדת". ישנה רשימה של מאפיינים של מאגר בעל רגישות מיוחדת: מידע רפואי, מידע פיננסי, פלילי ועוד.
להלן מאפינים של מאגר בעל "רגישות מיוחדת":

  • מידע על צנעת חיי המשפחה של אדם, צנעת אישותו, ונטייתו המינית.
  • מידע המתייחס למצב בריאותו של אדם, כולל מידע רפואי לפי חוק זכויות החולה.
  • מידע גנטי כהגדרתו בחוק מידע גנטי.
  • מזהה ביומטרי המשמש או מיועד לשמש לזיהוי אדם או לאימות זהותו באופן ממוחשב.
  • מידע על מוצאו של אדם.
  • מידע על עברו הפלילי של אדם.
  • מידע על דעותיו הפוליטיות של אדם, על אמונותיו הדתיות או השקפת עולמו.
  • הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכה של
  • מאפייני אישיות מהותיים, ובכלל זה קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה או בלימודים.
  • מידע על נתוני שכר של אדם ועל פעילותו הפיננסית.
  • נתוני מיקום ונתוני תעבורה, כהגדרתם בחוק נתוני תקשורת, שנוצרו על ידי ספק מורשה
  • לפי חוק נתוני תקשורת.
  • נתונים על מיקומו של אדם המלמדים על כל אחת מהקטגוריות האחרות )למעט על
  • הערכת אישיות, נתוני שכר ופעילות פיננסית(.
  • מידע שחלה עליו חובת סודיות שנקבעה בדין.
  • מידע אישי אחר שקבע שר המשפטים, באישור ועדת החוקה, והוא נכלל בתוספת השנייה לחוק.

מה החידושים בסעיף 13 א?

  • הרחבת ההגדרה למאגר – כל מידע שניתן לזהות עם יישות אנושית והרחבת הגדרה למידע בעל רגישות מיוחדת. כלומר שם פרטי ושם משפחה, קישור לדף פייסבוק או מספר טלפונים מאפשרים לזהות את היישות הרשומה במאגר.
  • רישום מאגרים במדרש המשפטים – כל גוף ציבורי מחוייב לדווח לרשות להגנת הפרטיות ולנהל מסמך הגדרת מאגר.
  • שימוש במאגר:
    • יהיה רק למטרה אליה הוא נועד ובאופן הולם, כלומר מאגר שנשואי המאגר נרשמו אליו עבור לימודים במוסד אקדמי איננו ניתן לשימוש לצורך מכירת ספרים. עובד בארגון איננו רשאי להשתמש בו לצורך פרטי וכו'
    • אין להחזיק במידע שאינו נדרש למטרות הארגון (יש להסיר אם יש כזה). למשל: מוצא ההורים איננו רלוונטי לרישום ללימודים ולכן יש להסיר או לא להוסיף שדה מסוג זה לטבלה במאגר.
  • הגדרת זכויות נשואי המאגר – כל מי שרשום במאגר – רשאי לבקש עיון ברשומותיו, עדכון ומחיקה.
  • אבטחת מידע – יש חובה ואחריות לשמירה על המידע באמצעות טכנולוגיה ונוהלי שימוש במחקלת מערכות המידע המוסדית.
  • הרשאות – הגבלת גישה רק למשתמשים מיועדים ובהתאם להרשאות
  • עילות ההפרה וסנקציות מחמירות – קנסות כבדים מאוד.
  •  

איך מממשים את התיקון לחוק בארגון

מה מצופה מעובד בארגון:

  • קבלת הדרכה בדבר חוק הגנת הפרטיות – הגדרה כללית לכל העובדים והגדרה ספציפית לבעלי תפקידים שבאים במגע ישיר עם מאגרי המידע ו/או נשואי המידע.
  • הכרת נוהל הגנת הפרטיות, וחתימה עליו.
  • עבודה שוטפת – הבנה כיצד בא ליידי ביטוי הנוהל בתפקיד הספציפי שלהם בעבודה השוטפת.
  • עדכון ודיווח בדבר חריגות – שמתגלות בשטח על מנת לשמור ולשפר את הגנת הפרטיות בפועל בארגון. 

 

משפטי

  • מינוי DPO – ממונה על הגנת הפרטיות
  • רישום המאגרים ומאפייניהם + דיווח למשרד המשפטים (לוגי)
  • קיום נוהל אבטחת מידע בארגון
  • קבלת אישורים מספקים המחזיקים במידע
  • יידוע נשואי המידע על זכויותיהם בנוגע למידע הנאסף אודותיהם

משאבי אנוש

  • כתיבת נוהל ארגוני לעובדים חדשים ונמצאים
  • הדרכת עובדים
  • החתמת עובדים על הצהרת סודיות בנוגע למידע
  • הנחיות לעובדים הבאים במגע עם נשואי המידע – שיווק ולמכירות (מענה טלפוני)

טכני

  • הטמעת תקנון פרטיות וקישורים בכל האתרים
  • טיפול בהקלטות קוליות
  • יישום נוהל אבטחת מידע

שלב איסוף המידע

  • בעת דרישת מידע יש לידע את נשוא המידע על זכויותיו:
    • באתר האינטרנט באמצעות תקנון פרטיות בעת שלב איסוף המידע
    • במענה קולי (הצהרת פתיחה) טרם אוספים ממנו מידע כלשהו:


      "שלום, לפני שאשאל אותך כמה שאלות, אני רוצה להסביר:
      מכללת השומרים אוספת מידע ומקליטה שיחות לצורך בקרה ושיפורה שירות ולצורך הצעת מגוון השירותים שהמכללה מספקת.
      אינכם חייבים למסור את המידע, אך ייתכן שלא נוכל לספק את השירות המבוקש בלעדיו.
      המידע יישמר ולא יועבר לגורמים אחרים ללא הסכמתך, אלא אם החוק יחייב אותנו לעשות זאת.
      הזכות לעיין במידע שנאסף אודותיך שמורה לך תמיד. תוכל לבקש לתקן או למחוק אותו בפנייה אלינו.
      אפשר שנמשיך בשיחה?"

  • יש לקבל אישור מנשוא המידע לשמור את פרטיו ולהציג בפניו באופן ברור את מטרת איסוף המידע
  • יש להתייחס לדרישה לעדכן או להסיר מידע במידה וביקש זאת.

שלב ניהול המידע בארגון

  • מינוי ממונה (DPO) על הגנת הפרטיות – ארגון ציבורי מחוייב במינוי ממונה על הגנת הפרטיות בארגון. היא יכול להיות פנימי או מיקור חוץ ובלבד שלא יהיה בניגוד עניינים.
  • גישה למידע היא רק לצורך העבודה –  לא לצרכים פרטיים או "טובה" (גם בתום לב עבור מישהו). אין לעיין במידע שלא לצורך, אין לאסוף או לשמור מידע אשר מנוגד להצהרת הפרטיות או לצורכי הארגון.
  • חובת סודיות ואחריות אישית על המידע המונגש. אין להעביר או לשתף את המידע לצד ג' אלא באישור נשוא המידע ורק לצורך הפעילות העסקית הארגונית ובהתאם למדיניות הפרטיות של הארגון.
  • דלף – יש חובת דיווח מיידית על חשד לדליפת מידע או שימוש לא תקין לממנוה על הפרטיות בארגון.
  • זכויות נשוא המידע – התיחסות מיידית לדרישה לעיון/עדכון/מחיקה של מידע ע"י נשוא המידע. 
  • שמירה על אבטחת המידע – סיסמאות חזקות, יציאה מאובטחת, אי־שיתוף מידע רגיש.

קישורים חשובים