מהו חוק הגנת הפרטיות הישראלי?
חוק הגנת הפרטיות, התשמ”א-1981, הוא החוק המרכזי בישראל המסדיר את נושא הגנת המידע האישי של אזרחים. החוק נועד להבטיח את פרטיותם של אנשים מפני פגיעה בשימוש לרעה במידע אישי
החוק רלוונטי לכל ארגון, עסק או מוסד ציבורי בישראל אשר אוסף, שומר או מעבד מידע אישי אודות אנשים – עובדים, לקוחות, משתמשים, ספקים וכדומה.
עם השנים החוק עודכן מספר פעמים, אך אחד העדכונים המשמעותיים ביותר הוא תיקון 13, שנכנס לתוקף ביולי 2023. תיקון זה מחזק משמעותית את אכיפת החוק ומרחיב את סמכויות רשות הגנת הפרטיות (הרשות לאכיפה ואבטחת מידע אישי בישראל – לשעבר הרשם). הוא כולל הגדרות חדשות, סמכויות אכיפה מנהלית, וחובת יידוע במקרים של פגיעה בפרטיות או אירוע אבטחת מידע.
החוק מקביל ברוחו לחקיקות פרטיות בינלאומיות, אך עדיין שונה בפרטים ובדרישות. האכיפה והציות לחוק הישראלי הם חובה לכל גוף הפועל בישראל, גם אם מדובר בשלוחות של חברות בינלאומיות.
מהם הדרישות לפי חוק הגנת הפרטיות?
כדי לעמוד בדרישות החוק כל ארגון המחזיק או מנהל מאגר מידע (כהגדרתו בחוק) נדרש לבצע מספר פעולות מרכזיות:
- רישום מאגר מידע ברשות הגנת הפרטיות (אם הוא עומד באחד מהקריטריונים המחייבים).
- יישום אבטחת מידע הולמת לפי רמת הסיכון של המאגר – נמוכה, בינונית או גבוהה.
- הגדרת מדיניות פרטיות ברורה ושקופה לגורמים שמהם נאסף המידע.
- יידוע נושא המידע לגבי מטרות השימוש, מסירת מידע לצדדים שלישיים וזכויותיו.
- מינוי ממונה על אבטחת מידע במאגרים המחייבים זאת.
- תיעוד אירועי אבטחת מידע ודיווח עליהם במקרים המחייבים – למשל דליפת מידע רגיש.
גוף הפיקוח הוא רשות הגנת הפרטיות, הכפופה למשרד המשפטים, והיא בעלת סמכויות אכיפה לרבות קנסות, הוראת תיקון ואף פתיחה בחקירה פלילית במקרים חמורים.
מדוע חשוב לעמוד בדרישות חוק הגנת הפרטיות?
ציות לחוק מעניק לארגון יתרונות רבים, בהם:
- הגנה מתביעות – עמידה בדרישות החוק מגנה על הארגון מתביעות אזרחיות וקנסות מנהליים.
- חיזוק אמון הלקוחות והציבור – ארגון אשר פועל באופן שקוף ואחראי נתפס כאמין וכבעל תרבות פרטיות מפותחת.
- התאמה לסטנדרטים בינלאומיים – יישום כללים מהחוק הישראלי, ובעיקר מתיקון 13, מקרב את הארגון לדרישות כמו GDPR ו- CCPA.
- היערכות לאירועי סייבר – יישום הדרישות מחזק גם את מערך ההגנה הכללי של הארגון.
אי ציות לחוק עלול להוביל ל:
- קנסות מנהליים של עד מיליוני שקלים.
- פגיעה במוניטין ובאמון הציבור.
- אחריות אישית של מנהלים.
- השעיה מפעילות בשווקים מסוימים.
איך אפשר לעמוד בדרישות החוק?
- מיפוי מידע אישי – לזהות אילו פרטי מידע נאספים, נשמרים ומעובדים.
- רישום מאגרי מידע – אם מתקיימים התנאים לכך, יש לרשום את המאגר ברשם מאגרי המידע.
- אבטחת מידע – ליישם אמצעי הגנה בהתאם לתקנות אבטחת מידע.
- שימוש הוגן במידע – להשתמש במידע רק למטרות שלשמן נאסף, ובאופן שלא פוגע בפרטיות.
- שקיפות והסכמה – ליידע את נושא המידע ולקבל את הסכמתו, במידת הצורך.
- מענה לזכויות נושאי המידע – לאפשר צפייה, תיקון או מחיקה של מידע בהתאם לחוק.
- הדרכת עובדים – להבטיח שעובדים מכירים את חובותיהם בנוגע למידע אישי.
- חתימה על חוזים עם ספקים – במיוחד כשיש עיבוד מידע אישי על ידי צדדים שלישיים.
ניתן לעמוד בדרישות החוק בצורה מהירה, חכמה ויעילה עם Centraleyes, פלטפורמה המספקת הערכות אוטומטיות, שאלונים חכמים וניטור סיכונים מתקדם. בעזרת Centraleyes ארגונים יכולים ֿלנווט בבטחה בדרישות החוק, לשפר את רמת אבטחת המידע – ולהתמקד בבניית אמון עם לקוחותיהם.
