תיקון 13 לחוק הגנת הפרטיות, התשמ”א–1981, שנכנס לתוקף ביום 14/8/2025, מהווה רפורמה רגולטורית עמוקה, לצורך שמירה על פרטיות נושאי המידע. בעוד עיקר הדיון הציבורי התמקד בהשלכות על משרדי הממשלה, גופי המדינה, רשויות מקומיות, חברות עסקיות, מלכ”רים ואנשים פרטיים, זירה אחת נותרה ללא שיח: תחום המכרזים הציבוריים. מי שחושב שהוספת נספח טכני או דרישה לתצהיר במסמכי המכרז, כדרך להתמודד עם החובות הרגולטוריות החדשות – טועה לחלוטין. השפעת תיקון 13 חוצה את כל שלבי המכרז: החל מהגדרת הדרישות הראשוניות, דרך ניהול ההליך המכרזי, ההתקשרות החוזית והביצוע בפועל. סקירה מקיפה על השפעת תיקון 13 במכרזים.
האם לתאגיד המתמודד במכרז עומדת הזכות לפרטיות?
טרם שנצלול לניתוח סוגיות הפרטיות במכרזים, יש להקדים ולבחון האם לתאגיד, המתמודד במכרז, עומדת הזכות לפרטיות? ברור שלאדם פרטי (עוסק מורשה או עוסק פטור), המתמודד במכרז, עומדת הזכות לפרטיות – אולם האם כך לגבי תאגיד מסחרי? על פניו, אין זה מובן מאליו שהוראות חוק הגנת הפרטיות חלות על תאגידים. בעבר, הפסיקה העיקרית קבעה כי אין פרטיות לתאגיד במשפט הישראלי. אלא שבמהלך השנים, הלאו החד-משמעי, הלך והתעמעם. על פי כב’ הנשיא ברק (“התאגיד וחוק-יסוד: כבוד האדם וחירותו”, מבחר כתבים: עיונים חוקתיים 671-670 (2017)), במקרים המתאימים ניתן להחיל את הזכות החוקתית לפרטיות גם על תאגיד. פסק דין תקדימי של כב’ השופט ג’ גונטובניק מבית המשפט המחוזי (תא (ת”א) 19187-03-12 אויגן פיהוף נ’ עירא דביר, ניתן ביום 12/1/2024), קבע כי גם לתאגיד עומדת הזכות לפרטיות עסקית.
על פי פסק הדין, קריאה לעומק בסעיף 3 לחוק הגנת הפרטיות, מגדיר את המונח “אדם”, כך: “‘אדם’ – לענין סעיפים 2, 7, 13, 14, 17ב, 17ג, 17ו, 17ז, 23א, 23ב ו-25 – למעט תאגיד“. המחוקק ביקש אפוא להחריג את התאגיד, ולקבוע כי לא כל פגיעה בפרטיותו מהווה, בהכרח, הפרה של חוק הגנת הפרטיות. אולם, במקרים האחרים, ההגנה שמוענקת בחוק הגנת הפרטיות תינתן גם לתאגידים – שאחרת לשם מה לבצע את פעולת הייחוד? בהתאם לכך,
“… מן הראוי להכיר בהיקף משמעותי של זכותו של התאגיד לפרטיות. המציאות המודרנית מחייבת זאת. כך, בתחום העוולות המסחריות מגן המשפט על סודותיו המסחריים, בין השאר, של התאגיד (ראו סעיפים 5 ואילך לחוק עוולות מסחריות, התשנ”ט-1999). הפסיקה אף הכירה ב”פרטיות עסקית” כמצדיקה הגנה מפני חשיפת נתונים רגישים אגב ההתדיינות העסקית (ראו רע”א 1651/15 פלוני נ’ פלוני (פורסם במאגרים [פורסם בנבו]; 2015 בפס’ 3 להחלטה)).
ואכן אין כל סיבה שלא להכיר בפרטיות העסקית של התאגיד כחלק חשוב של הפרטיות כפי שהיא באה לידי ביטוי בעולם העסקי. פרטיות זו יכולה לבוא לידי ביטוי, כמובן, באחד המובנים החשובים של הפרטיות, והיא תפיסת הפרטיות כשליטה. ברור כי לתאגיד קיים אינטרס מובהק כי מידע המצוי בשליטתו, ושאינו אמור להימצא בידי אחרים, יישאר כזה.”
הזכות לפרטיות של עובדי התאגיד
תפיסת “Privacy by Design” כדרישה מכרזית
תיקון מס’ 13 לחוק הגנת הפרטיות יוצר מסגרת מעודכנת להגנה על מידע אישי ומחזק את הזכות לפרטיות בישראל, באופן קרוב יותר לתפיסה הנהוגה באיחוד האירופי (GDPR). בתוך כך, החלת עקרון הליבה של Privacy by Design (“פרטיות כבר בתכנון”). זהו אחד מהעקרונות המרכזיים בהגנת הפרטיות והמידע, שמשנה את נקודת המבט המוסדית והמשפטית: לא עוד פרטיות כתגובה או כטיפול במחדלים, אלא פרטיות כגישה יזומה, מניעתית, מתוכננת מראש, שמהווה חלק בלתי נפרד מתהליך החשיבה, הפיתוח והיישום של שירות, מערכת או פרויקט. עיקרון זה קובע חובה מפורשת להטמיע אמצעי הגנה על פרטיות המידע האישי כבר בשלב האפיון הראשוני של כל פרויקט, מערכת או תהליך. במילים אחרות, בענייננו, לא ניתן עוד “להלביש” דרישות להגנת פרטיות על הליך מכרזי לקבלת שירותים, אלא יש לתכנן את המכרז ואת השירותים, מלכתחילה, כך שיכללו תהליכים, מנגנונים והגבלות מובנות שיבטיחו את שמירת פרטיותם של נושאי המידע.
המשמעות המעשית היא שעל כלל בעלי התפקידים המעורבים בפרסום וניהול מכרזים – עורך המכרז, היועץ למכרז, ההנהלה הבכירה של הגוף המזמין, חברי ועדת המכרזים, יועצי אבטחת המידע והיועצים המשפטיים – לשאול את עצמם, כבר בשלב התכנון הראשוני, את השאלות הקריטיות הבאות:
-
לאיזה מידע ייחשף הספק?
-
אילו סוגי מידע אישי יעובדו על ידי הספק? האם מדובר במידע מזהה (כגון שם, כתובת, מספר זהות), במידע בעל רגישות מיוחדת (נתונים ביומטריים, מידע המתייחס למצב בריאותי, מידע על צנעת חיי המשפחה של האדם, אישיותו, נטייתו המינית או זהות מגדרית, מידע על נתוני השכר של האדם) וכיוצ”ב?
-
מהי רמת הרגישות של המידע האמור? האם נדרש סיווג מסוים? האם החוק מחייב רמת הגנה מיוחדת? האם קיים סיכון לפגיעה חמורה בפרטיות במקרה של דליפה, גניבה או שימוש לא מורשה?
-
מהו היקף המידע? מה מספר נושאי המידע? האם המידע ייאסף באופן חד־פעמי, או שמדובר בעיבוד שוטף ומתמשך? האם יהיה שילוב בין מקורות מידע?
-
אילו מנגנוני בקרה ואבטחה יידרשו? האם נדרשת הצפנה? ניהול הרשאות? מחיקה אוטומטית? ניטור אירועים חריגים? רישום גישה (logs)? מנגנוני התראה? ביקורת פנימית? עדכוני אבטחה?
-
מהן נקודות הכשל האפשריות? האם קיים סיכון בהעברת מידע לצדדים שלישיים? מה קורה במקרה של הפסקת התקשרות עם הספק? כיצד יובטח שהמידע יימחק, לא יועתק, ולא ינוצל לצרכים זרים?
-
האם המערכת או השירות המוצעים נבנו תוך הטמעת פרטיות כברירת מחדל (Privacy by Default)? כלומר, האם הגדרות המערכת מגבילות כברירת מחדל את גישת המשתמשים למידע לפי הצורך בלבד?
-
כיצד ניתן למזער את היקף המידע הנמסר? האם קיימת דרך לבצע את המשימה המכרזית מבלי להעביר מידע אישי, או תוך הפיכתו למידע אנונימי או פסאודונימי?
ניסוח תנאי הסף
תנאי סף במכרז הם התנאים שקובע עורך המכרז כדי לקבוע מי רשאי להשתתף בו. הם מהווים את “שער הכניסה” לתחרות במכרז, ונועדו לאפשר לעורך המכרז את סינון ההצעות. “תנאי סף” הנו השער, המחסום, דרכו ניתן לסנן את המציעים במכרז. מציע שאינו עומד, באופן מלא, במועד האחרון להגשת ההצעות, בתנאים שהוכתבו על ידי עורך המכרז – ייפסל, ולא יוכל להתמודד במכרז, תהא הצעתו טובה ככל שתהא. זהו אחד השלבים הקריטיים ביותר, שכן בשלב זה קובע עורך המכרז את הקריטריונים הבסיסיים ביותר שהמתמודד במכרז יידרש לעמוד בהם, על מנת שהצעתו תיבחן. בשלב זה, מגדיר עורך המכרז, לרוב, ניסיון קודם של המציע בתחום המכרז, יכולות הנדסיות, טכניות, כוח אדם, פרמטרים של יציבות פיננסית של המציע, ועוד. אלו מאפשרים לגוף העורך את המכרז לפסול הצעות שאינן מקיימות תנאים אלו, באופן מלא.
תיקון 13 לחוק הגנת הפרטיות מחייב את עורך המכרז לבדוק, טרם פרסום המכרז, את הדינים החלים על העבודות ו/או השירותים, דרישות הרשויות לרישיונות, הסמכות, תעודות, רישום מאגרי מידע, וכיוצ”ב, המחייבות לצורך ביצוע העבודות או מתן השירותים. להוכחת הניסיון, מומלץ לכלול תנאי סף המחייבים הוכחת ניסיון בעמידה בתקנות אבטחת המידע ובהוראות הרשות להגנת הפרטיות, הוכחת עמידה ב- ISO 27001, רישום במערכת יוב”ל וכיוצ”ב.
הזמנת מציעים פוטנציאליים: ניסוח מחדש של ההוראות המכרזיות
לצורך ניתוח, בדיקה ושקילת ההצעות במסגרת מכרז, נדרש עורך המכרז ו/או מי מטעמו, לאסוף מידע מהמציעים, ולעיתים אף ממציעים פוטנציאליים בשלב המקדמי (למשל, בהליך מיון מוקדם, סיור קבלנים או שאלות הבהרה). חובת היידוע הקבועה בסעיף 11 לתיקון מחייבת כל גורם המבקש לאסוף מידע אישי, לפרט בפניו נתונים הנוגעים לאיסוף ולשימוש שייעשה במידע על אודותיו. ומן הכלל אל הפרט:
אם חלה חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו ומהי תוצאת אי-ההסכמה
בדיני המכרזים, על עורך המכרז להבהיר מהו המקור לבקשה לאיסוף המידע – דרישה שבדין או דרישה מכוח ההשתתפות במכרז. בהתאם לכך, מה תהיה תוצאת הסירוב למסירת המידע.
המטרה אשר לשמה מבוקש המידע
לאחר מכן, עליו להבהיר, במסמכי הפניה במכרז, באופן מפורש ונרחב, מהן מטרות איסוף המידע: בדיקת עמידה בתנאי הסף; ניקוד האיכות; השוואה למציעים שונים; פניה לצדדי ג’ לצורך אימות המידע; אפשרות להתקשרות חוזית; וכיוצ”ב.
סוגי המידע המבוקש
על עורך המכרז לפרט אילו סוגי מידע נדרש מהמציעים להמציא. לדוגמה, מסמכים דקלרטיביים (אישורים, רשיונות, היתרים, תעודות זהות, וכיוצ”ב); פרטים אישיים של בעלי מניות, עובדים בכירים, קבלני משנה או גורמים אחרים; תעודות השכלה, מידע רפואי; ניסיון וחוסן כלכלי (דרישה לאישורי רו”ח, חשיפת הכנסות, חשיפת חוזים והתקשרויות עם צדדי ג’); פוליסות ביטוח (הכוללות מידע על תביעות עבר); פרטי התקשרות; ועוד. ברי, כי חשיפת מסמכים ומידע זה מהווה פגיעה בפרטיות המציע הפוטנציאלי, ובפרטיות גורמים הקשורים אליו.
בהקשר זה נעיר כי מקום בו המציע מוסר מידע אישי ביחס לעובדיו, קבלני המשנה או צדדים שלישיים אחרים, עליו להצהיר ולהתחייב כי קיבל הסכמה מדעת כדין מכל נושא מידע, או כי מסירת המידע נעשית מכוח עילה חוקית אחרת. נמליץ לציין, במסמכי המכרז, כי המציע ישא באחריות מלאה לקיום חובה זו.
נבהיר כי יש להקפיד על עיקרון צמידות המטרה, ועל עיקרון המידתיות, ההגבלה והסבירות. כל דרישה לקבלת מידע מצד עורך המכרז, איפוא, חייבת להופיע במסמכי המכרז, להיות מנומקת, רלוונטית, פרופורציונלית, ונוגעת באופן ישיר להשתתפות המציע בהליך המכרזי. חשוב להדגיש: על הגוף המזמין להימנע מדרישה למידע עודף או שאינו חיוני לצורך בדיקת ההצעה. דרישה מיותרת למידע אישי, גם אם נעשתה בתום לב, עלולה להיחשב להפרת עקרון המידתיות ולעמוד בניגוד להוראות הדין. כך לדוגמה, אין הצדקה לדרוש פרטי זהות מלאים של כלל צוות המציע, או לצרף מסמכים שאינם משפיעים על שיקול הדעת של הוועדה.
למי יימסר המידע ומטרות המסירה
מסמכי ההצעות עצמם, כוללים, כאמור, מידע רב. הגישה למסמכים אלו חייבת להיות מוגבלת אך ורק לבעלי תפקידים המוסמכים לכך, ורצוי שתלוּוה במערכת בקרה מתועדת (log), אשר תאפשר לדעת מי עיין בחומר, מתי, ובאיזה היקף. מערכת ניהול המכרזים עצמה (פנימית או חיצונית) חייבת לכלול אמצעי אבטחת מידע עדכניים: אימות דו־שלבי, זיהוי חריגות וניסיונות חדירה, גיבוי מוצפן, ובמקרים המתאימים גם כלי סיווג והרשאות לפי תפקיד. אין להסתפק עוד בשמירת המסמכים בתיקייה פתוחה ברשת הארגונית, או בשליחתם בדוא”ל בין חברי ועדת המכרזים.
ככל שוועדת המכרזים נעזרת ביועצים חיצוניים (יועץ מקצועי, יועץ משפטי חיצוני, עורכי דין חיצוניים, שמאי, חברת בקרה וכו’), או אף וועדה מקצועית, הרי שיש לוודא באופן חד־משמעי כי כל אחד מהם חתום על הצהרת סודיות והתחייבות לעמידה בהוראות הדין, לרבות חוק הגנת הפרטיות, תקנות אבטחת מידע, והנחיות הרשות להגנת הפרטיות. יש לציין ולפרט, במסמכי המכרז, כי אפשר שהמידע יועבר לגורמים אלו, ואת הסיבה להעברה.
שמירת ההצעות
יש להבהיר שהמידע יישמר ככל הנדרש, ולא מעבר לכך. היינו, לאחר סיום ההליך המכרזי, לאחר שנבחר מציע זוכה (ותקופת זמן לאחר מכן, תלוי בנסיבות), על פניו אין עוד הצדקה לשמור את מסמכי ההצעות. למען הסר ספק נזכיר כי ההצעה הכספית – איננה חסויה בשום מקרה.
אילו זכויות מגיעות לנושא המידע?
תיקון 13 מחייב הודעה בדבר הזכות לעיין במידע, ולתקנו (אם אינו נכון או מדויק). לפיכך, קיימת חובה לעדכן את המציע על זכויות אלה, בעת איסוף המידע.
הסכם ההתקשרות
בעוד שהשלבים המקדמיים בהליך המכרזי (ניסוח תנאי הסף, בחינת ההצעות וניהול ההליך) עוסקים בעיקר בהבטחת כשירות המציעים ועמידתם בדרישות המקדמיות, הרי ששלב ההתקשרות עוסק באחריות המהותית והאופרטיבית של הצדדים לניהול, עיבוד והגנה על המידע האישי לאורך זמן.
הסכם ההתקשרות שייחתם עם המציע הזוכה, אינו יכול עוד להסתפק בפרק כללי, בהתחייבויות כלליות, בנספח התחייבות לשמירת סודיות ו/או בנספח דרישות אבטחת מידע. בהתקשרויות מסויימות, מעבר למסמכים אלו, על ההסכם לכלול הסכם עיבוד נתונים (DPA) מפורט, שבו הספק מתחייב לעבד את המידע רק למטרה שנקבעה במכרז, להחזירו או למחוק אותו בסיום ההתקשרות, לדווח מיידית על כל אירוע אבטחת מידע, לאפשר לגוף המזמין לבצע ביקורות במערכותיו, ולשתף פעולה עם ביקורות הרשות להגנת הפרטיות. במקרים מסויימים, ניתן ואף רצוי לחייב את הספק למנות ממונה הגנת פרטיות (DPO), שיהווה איש הקשר הישיר בין הארגון לבין הגוף המזמין.
מעבר לכך: על ההסכם לכלול הגדרה ברורה של “בעל השליטה” ו-“המעבד”, וכן הגדרת שליטה ושליטה ייחודית על המידע. בנוסף, הכללת הגבלות על שימוש משני או עיבוד תוצאתי, איסור על שימוש ב-AI, התחייבות לאי־שימוש בקבלני משנה ללא אישור מוקדם, חובת ביטוח סייבר ייעודי, אחריות אישית של נושאי משרה, ועוד.
לסיכום: השפעת תיקון 13 במכרזים
המשמעות עבור מנהלי מכרזים, יועצים משפטיים ומקבלי החלטות היא ברורה: עליהם להעמיק את הידע הרגולטורי בתיקון 13, לעדכן את כל מסמכי המכרז והסכמי ההתקשרות, כך שישקפו את דרישות ההגנה החדשות, להטמיע מנגנוני פיקוח בזמן אמת על הביצוע. בסופו של יום, הגנת הפרטיות הפכה מחלק טכני ושולי של הליך המכרז לאחד ממרכיביו המרכזיים. היא משלבת טכנולוגיה, משפט, ניהול סיכונים ואחריות אישית ברמה הבכירה ביותר. גופים ציבוריים שלא ייערכו בהתאם, עלולים למצוא את עצמם חשופים מבחינה משפטית, כלכלית, מנהלית וציבורית.
למען הסר ספק: האחריות המוטלת כיום על נושאי משרה בכירים בגופים הציבוריים, מקימה חובת זהירות אישית, משפטית ומנהלית, שסטייה ממנה עלולה להוביל להטלת סנקציות אישיות ואף לחשיפת הגוף עצמו להליכים אזרחיים, מנהליים או פליליים. תיקון 13 עיגן מציאות חדשה, בה תחום הגנת הפרטיות הפך לאבן יסוד בהליכים מכרזיים, ומחייב התייחסות יסודית, מערכתית, רב־תחומית ומתמשכת.
משרד וולר ושות’ – מובילים את תחום הגנת הפרטיות
משרד עורכי הדין וולר ושות’ הוא מהמשרדים הותיקים בישראל, ומהמובילים בדיני הגנת פרטיות ודיני המכרזים. המשרד מלווה עשרות גופים ציבוריים, רשויות מקומיות, חברות ממשלתיות ותאגידים עירוניים ביישום תיקון 13, החל ממיפוי ראשוני של סיכונים, המשך בניסוח מסמכי מכרז מותאמים וכלה בבניית מנגנוני פיקוח חוזיים הכוללים הסכמי DPA, סעיפי שיפוי, אמצעי אבטחת מידע חוזיים והנחיות להפעלת ביקורות. המשרד מעניק גם שירותי DPO חיצוניים, הדרכות ייעודיות להנהלות וועדות מכרזים, ומערכי רגולציה מותאמים אישית. למידע נוסף, תיאום פגישת ייעוץ או קבלת סקירה ראשונית של התאמת מסמכי המכרז להוראות תיקון 13 – מוזמנים לפנות אלינו ישירות דרך אתר המשרד.
