מליאת הכנסת אישרה ביום 5/8/2024, תיקון מקיף ויסודי בחוק הגנת הפרטיות: תיקון 13, התשפ”ד-2024. תיקון זה מעדכן ומבהיר את החקיקה בתחום הגנת הפרטיות ואבטחת המידע, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל. התיקון מעורר דאגה בקרב מנכ”לי רשויות המקומיות: חשיפה אישית, קנסות מנהליים והליכים פליליים, פיצויים ללא הוכחת נזק, ובעתיד הקרוב גם תביעות ייצוגיות. כאשר מערך הסייבר הלאומי מגדיר למעלה מ-50% מהרשויות המקומיות במצב “רע מאוד” בסייבר, נקודת הפתיחה של הרשות המקומית בהיערכות לתיקון 13 ולעמידה בהוראות, נמוכה במיוחד. על רקע זאת, מצאנו לנכון ליצור מדריך יישומי, צ’ק ליסט, הכולל את עיקרי הצעדים הנדרשים ליישום תיקון 13 ברשויות המקומיות.
מה משמעות תיקון 13 לחוק הגנת הפרטיות על הרשויות המקומיות?
תיקון 13 משנה מהותית ויסודית את כללי המשחק ברשויות המקומיות. מכאן ואילך, מוטלת אחריות ברורה, ארגונית ואישית, מנהלית ופלילית, על בעלי תפקידים בכירים ברשויות המקומיות, ובראשם מנכ”ל הרשות, בגין הפרת החוק. במרכזו של התיקון בהתייחס לרשויות המקומיות, עומדת החובה למינוי ממונה הגנת פרטיות (DPO), ביצוע סקר סיכונים, הטמעת תוכנית מקיפה לניהול ציות, קביעת נהלי אבטחת מידע, כתיבת נהלים ארגוניים, הטמעת הוראות חוזיות, ועדכון מדיניות הפרטיות. שינויים אלו מהווים אתגר משמעותי עבור רשויות מקומיות, המצריך השקעת משאבים ניכרת בהקמת תשתיות, הדרכה, ייעוץ משפטי ופיתוח מומחיות פנימית בתחום הגנת הפרטיות. נדרש גם שינוי תרבותי ארגוני להטמעת תפיסת הפרטיות כחלק אינטגרלי מהפעילות השוטפת. ללא מאמץ מתמשך בכיוון זה, שיסתיים בתוך שנה מיום פרסום החוק – הרשויות המקומיות, ומנהליהן הבכירים, חשופים ממשית לסיכונים משפטיים.
מי הגורם האחראי (באופן אישי) ברשות המקומית?
בעבר, מנהל המאגר היה “מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה”. במילים אחרות, מנהלי מאגרי מידע היו מנהלי המחלקות או האגפים ברשויות המקומיות, כל אחד בתחום סמכותו. אלא שתיקון 13 קבע כי “מנהל מאגר” הוא “בעל שליטה במאגר מידע, ולעניין גוף ציבורי כהגדרתו בסעיף 23 – המנהל הכללי של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שהמנהל הכללי הסמיכו לנהל את המאגר“. דהיינו, נוכח מעמדה והגדרתה של הרשות המקומית כ-“גוף ציבורי”, הרי שהאחריות הסטטוטורית, האישית, היא של מנכ”ל הרשות.
נדגיש: אם כי כל אחד מהעובדים והמנהלים ברשות המקומית אחראי באופן ישיר או עקיף לשמירה על פרטיות המידע, תיקון 13 ביטל את האחריות האישית שהיתה למנהל מאגר ביחס לאבטחת המידע במאגר, והטיל את החובות על מנכ”ל הרשות המקומית. מנכ”ל הרשות המקומית רשאי, על פי הוראות הסעיף דלעיל, להסמיך עובד אחר, בכתב, להיות מנהל המאגר. ברם, לפי דיני הרשויות המקומיות, חוקת העבודה ברשויות המקומיות ופסיקות בתי הדין לעבודה, ספק רב האם ניתן להטיל או להעביר על עובד מבין עובדי הרשות המקומית את האחריות, על אף רצונו, ובוודאי נוכח היקפי ועוצמת הסיכונים בתחום זה.
חובת מינוי ממונה הגנת הפרטיות ((DPO) Data Protection Officer) ברשות המקומית
על הרשות המקומית למנות ממונה על הגנת הפרטיות – עובד הרשות המקומית, או במיקור חוץ (אאוט-סורסינג) מכוח סעיף 17ב3(ב) לחוק. ההחלטה על מתכונת ההעסקה של ה-DPO צריכה להתקבל בכל רשות מקומית לגופה, בשים לב למאפייני הרשות, גודל הרשות (מספר התושבים), פעולות עיבוד המידע שהיא מבצעת, מספר מאגרי המידע, ועוד. גם זמינותם של בעלי הכשרה ברשות, ידע מקצועי של בעלי התפקידים (מנמ”ר, CISO וכו’), וניגודי עניינים פוטנציאליים מהווים שיקול רלוונטי לקביעת מתכונת ואופי ההעסקה.
תשומת הלב כי ברשויות המקומיות, באוגדן תיאורי תפקידים של מינהל השלטון המקומי – האגף לכוח אדם ושכר ברשויות המקומיות במשרד הפנים (אוגדן המחייב את הרשויות המקומיות) – אין כיום הגדרת תפקיד ל-DPO. מעבר לכך, מרבית הרשויות המקומיות בישראל, במיוחד הקטנות והבינוניות, אינן מחזיקות משאבים למינוי DPO. הפתרון היעיל הוא מינוי ממונה הגנת פרטיות חיצוני (Outsourced DPO או DPO as a Service).
סנקציה בגין הפרת החובה למינוי ממונה הגנת הפרטיות
אי מינוי ממונה הגנת הפרטיות עלול להוביל לעיצום כספי לפי חישוב של מספר האנשים אודותם קיים מידע או מידע רגיש כפול 2 ₪ או 4 ₪ בהתאמה (ס’ 23 כו (ד) (1) (ג)). לדוג’: מאגר מידע של רשות מקומית, בגודל בינוני, ובו מידע אישי אודות 50,000 אנשים, בה מנכ”ל הרשות לא מינה ממונה הגנת פרטיות – עלול לשלם סך של 100,000 ₪. אם המידע היה רגיש במיוחד – 200,000 ₪.
חובת מינוי DPO לצד CISO (ממונה על אבטחת מידע) ברשויות
נזכיר כי סעיף 17ב לחוק הגנת הפרטיות, ותקנות 3 ו-4 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבות את הרשויות המקומיות למנות גם ממונה על אבטחת המידע (Chief Information Security Officer- CISO).
כישורי הממונה על הגנת הפרטיות: תנאי סף
מומחיותו של ממונה ההגנה על הפרטיות נדרשת להיות משולבת, כך שתאפשר לו הבנה מיטבית של התהליכים ברמה ההנדסית-טכנולוגית, לצד יכולת לבחון את התאמתם לדרישות הדין, היינו ידע משפטי בתחום הגנת הפרטיות. המחוקק בחר, באופן מודע, שלא לקבוע דרישות סף נוקשות לצורך מילוי תפקיד ה-DPO, ולא לייצר רגולציה נוספת, בלתי הכרחית.
בהתאם לסעיף 17ב3, הממונה על הגנת הפרטיות יהיה בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ובכלל זה –
- ידע מעמיק בדיני הגנת הפרטיות. זהו תחום הידע הבסיסי והחשוב ביותר החיוני לממונה, על מנת שיוכל למלא את תפקידו בצורה נאותה. על הממונה להיות בעל שליטה מלאה ומקיפה במכלול החקיקה והרגולציה בתחום הגנת הפרטיות. על פי גילוי הדעת של הרשות להגנת הפרטיות מיום 23/7/2025, על פי רוב, ידע מעמיק בדיני הגנת הפרטיות נרכש באמצעות ניסיון מעשי משמעותי בהיבטים משפטיים או רגולטוריים בתחום הגנת הפרטיות, לרבות ניסיון קודם בתפקיד ממונה על הגנת הפרטיות או ליווי תחום הפרטיות בארגון בפן המשפטי. בכל מקרה, המומחיות צריכה להיות ניתנת להוכחה, למשל באמצעות אסמכתאות על לימודים או ניסיון מעשי.
- הבנה הולמת בטכנולוגיה ואבטחת מידע. הממונה על הגנת הפרטיות נדרש להפגין הבנה טכנולוגית ברמה שתאפשר לו לבצע באופן יעיל את תפקידו לאור המאפיינים הספציפיים של הרשות המקומית בה הוא מכהן, תחום עיסוקו, פעולות עיבוד המידע האישי שהרשות מבצעת, ושל הטכנולוגיות המשמשות את הרשות. הבנתו של הממונה בהיבטים הטכנולוגיים והתהליכיים של אבטחת המידע צריכה להיות ברמה שתיתן בידיו כלים למלא את תפקידיו ברשות באופן הולם, ובכלל זה הבנה של סיכוני האבטחה ושל נאותות הפתרונות המוצעים.
- היכרות עם תחומי פעילותה של הרשות המקומית ומטרותיה. על הממונה על הגנת הפרטיות להכיר את ייעודה של הרשות, תחומי העיסוק שלה; מבנה ארגוני; חלוקת תחומי האחריות ותהליכי העבודה, בדגש על תהליכי עיבוד מידע; עיקרי הרגולציה בדיני הרשויות המקומיות ובתחומים בהם עוסקת הרשות; גופים אחרים איתם מקיימת הרשות פעילויות; ומאפייני נושאי המידע עליהם הארגון אוסף ומעבד מידע, בדגש על אוכלוסיות מיוחדות (קטינים, חסרי ישע, אזרחים ותיקים, בעלי צרכים מיוחדים, עולים חדשים וכיוצ”ב).
תפקידי ממונה הגנת הפרטיות ברשויות המקומיות
מה התפקידים והמשימות של ממונה הגנת הפרטיות?
- יבטיח קיום ההוראות לפי החוק על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע.
- יקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע.
- ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו.
- יכין תוכנית הדרכה ויפקח על ביצועה.
- יכין תוכנית לבקרה שוטפת על העמידה בהוראות לפי חוק זה לגבי מאגרי מידע, יוודא את ביצועה על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע. בנוסף, עליו לדווח להנהלת הגוף שהוא ממלא בו את תפקידו על ממצאיו ויציע הצעות לתיקון הליקויים.
- יוודא את קיומם של נוהל אבטחת מידע (מסמך הקובע את העקרונות והנהלים לשמירה על סודיות, שלמות וזמינות המידע, בהתאם למתודולוגיית CIA), ושל מסמך הגדרות המאגר (מסמך המתעד את מאפייני המידע המעובד, לרבות סוג המידע, מטרות השימוש, הרשאות גישה, פעולות העיבוד המתבצעות, פרטי האחראים, הסיכונים העיקריים לאבטחת המידע ואת תוכניות הפעולה להתמודדות עמם במקרה של אירוע). אלה יובאו לאישור הנהלת הרשות.
- יוודא טיפול בפניות של נושאי מידע שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה, ובכלל זה בקשות לעיון במידע אישי או לתיקונו.
- ישמש איש קשר של הרשות המקומית, עם הרשות להגנת הפרטיות.
תשומת הלב כי תפקידו של ממונה הגנת הפרטיות, איננו טכני ואינו שולי. עליו להכיר את הארגון באופן רוחבי ומעמיק, לפעול אקטיבית ולהיות זמין לארגון. עליו לדווח ישירות על הממצאים, ולמנוע אפשרות של טענות בדבר חוסר מודעות מצד הגורמים הבכירים ברשות. ממונה הגנת פרטיות שאינו פועל באופן זה, לא רק שלא משרת את הארגון, אלא אפשר שאינו מקיים את החוק – ובכך חושף את עצמו ואת הרשות המקומית.
גבולות האחריות של הממונה על הגנת הפרטיות
תפקיד העיקרי של הממונה על הגנת הפרטיות הוא להבטיח כי הרשות פועלת בהתאם להוראות החוק, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. היינו, תפקידו הנו יותר בתחום הייעוץ, הציות, הפיקוח והבקרה. הוא איננו נושא באחריות הישירה לניהול או לתפעול המערכות.
עצמאות הממונה על הגנת הפרטיות בתיקון 13
מעמדו של ממונה הגנת הפרטיות בארגון ויחסיו עם בעלי תפקידים אחרים העוסקים בהגנה על מידע אישי
החובה של ממונה הגנת הפרטיות לדווח ישירות להנהלה הבכירה של הארגון, איננה רק דרישה פרוצדורלית. היא מהווה תנאי יסוד למילוי תקין ויעיל של תפקידו, הן מבחינה משפטית, הן מבחינה מוסדית-ארגונית, והן בהיבטים של אחריותיות (Accountability).
הרשות להגנת הפרטיות המליצה (“מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו”, 24/2/2024), כי על מנת שהממונה על הגנת הפרטיות יוכל למלא באופן מיטבי את תפקידיו ואת המשימות המוטלות עליו, עליו להיות חלק מההנהלה הבכירה של הארגון, או לכל הפחות לדווח ישירות להנהלה הבכירה. עליו להשתלב בהיררכיה של הארגון בעמדה בכירה דיה, שתאפשר לו להשפיע באופן יעיל על התהליכים המרכזיים בארגון. הוא חייב לפעול במנותק מלחצים פנים-ארגוניים, באופן עצמאי וחף מהשפעות של גורמים בעלי עניין. תיקון 13 לחוק הפך את ההמלצה של הרשות, להוראה חוקית. התיקון קבע כי אין חובה לשילוב הממונה כבעל תפקיד בכיר, אולם עליו להיות כפוף למנכ”ל הרשות, ולדווח למנכ”ל הרשות (או לעובד שכפוף ישירות למנהל הכללי). עליו למלא את תפקידו בדרך אשר תשרת את הוראות החוק. חל איסור לפגוע בזכויותיו או להטיל עליו סנקציות בשל היותו מבצע של בקרה ותהליכי ביקורת.
ניגוד עניינים של ממונה הגנת הפרטיות
סעיף 17ב3(ג) לחוק קובע כי –
“הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה”.
איסור זה נועד לחזק את עצמאות שיקול הדעת של הממונה בביצוע תפקידו, ולצמצם השפעות ושיקולים מתנגשים או שלא ממין העניין לייעודו של הממונה לקדם את השמירה על הפרטיות בארגון. ממונה הגנת הפרטיות משמש כגורם המפקח על הרשות מבחינת עמידה בדרישות הפרטיות, וצריך להתריע ולהצביע על ליקויים ואי-עמידה, גם אם הדבר סותר אינטרסים ציבוריים, ארגוניים, פוליטיים, או עסקיים אחרים.לכן, בראש ובראשונה, הממונה אינו יכול למלא תפקידים (או להיות כפוף לבעלי תפקידים) הכוללים את הסמכות או האחריות לקבוע מדיניות בעניין עיבוד המידע האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד.
ככל שהממונה על הגנת הפרטיות משמש במקביל בתפקיד נוסף ברשות המקומית, יש לוודא כי אין בכך כדי ליצור ניגוד עניינים מובנה. דהיינו, מינוי נושאי משרה המחזיקים בתפקידים ניהוליים או ביצועיים נוספים ברשות המקומית, או בתפקידים הקשורים לקבלת החלטות בנוגע לעיבוד נתונים (כגון יועץ משפטי, מנכ”לי הרשות, מנמ”ר, מנהל מערכות מידע וכו’), בנוסף לתפקידם כממונים על הגנת פרטיות – עלול להוות ניגוד עניינים. יש לוודא עצמאות מוחלטת של ממונה הגנת הפרטיות, הן ברמה המבנית והן ברמה התפקודית, כדי למנוע ניגוד עניינים שעלול לפגוע בתפקידו העיקרי – שמירה על פרטיות וזכויות נושאי המידע.
תשומת הלב כי העובדה שה-DPO הוא בעל תפקיד בכיר ברשות, או כפוף ישירות למנכ”ל – אינה יכולה לבטל או להקטין את ניגוד העניינים. במחשבה עמוקה יותר, עצמאותו של ה-DPO איננה נובעת מהמיקום הארגוני/ היררכי, אלא גם מהיעדר ניגוד עניינים תפקודי. המשמעות היא שמומלץ להרחיק את הממונה על הגנת הפרטיות, ככל הניתן, מהעבודה השוטפת והרגילה ברשות, במטרה לאפשר לו פיקוח ללא חשש מהשפעה ישירה או עקיפה.
ניגוד עניינים של DPO במיקור חוץ
האיסור על הימצאות בחשש לניגוד עניינים רלוונטי הן ל-DPO שהוא עובד הרשות (במקרים בהם היקף משרתו וצרכי הארגון מאפשרים להטיל עליו תפקיד נוסף), והן על DPO המועסק במיקור חוץ. במקרים אלו, יש להכין שאלון למניעת ניגוד עניינים עבור ה-DPO החיצוני, טרם ההתקשרות והמינוי.
חובת הקצאת משאבים למילוי התפקיד
תיקון 13 מאמץ את עקרונות ה-GDPR, ובראשן עקרון האחריותיות, לפיו גוף המעבד מידע אישי אינו יכול להסתפק בהצהרה שהוא “שומר על הפרטיות”. עליו להוכיח בפועל, באופן מתועד ומדיד, שהוא עומד בהוראות החוק. ללא הקצאת משאבים, הרי שאין אפשרות מעשית לעמוד בחובות אלו, והגוף עלול להיחשב כמפר את החוק, גם אם בפועל טרם אירעה הפרה.
לפיכך, בעל השליטה במאגר המידע או המחזיק במאגר המידע, לפי העניין, יספקו לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של תפקידו. המשמעות המעשית היא כי על הרשות המקומית להכין, במסגרת התקציב השנתי והתב”ר, אמצעים מספיקים למילוי תפקיד הממונה על הגנת הפרטיות (כוח אדם, מומחים, מערכות תוכנה, כלי בקרה והדרכה, מערך ניהול סיכונים וכיוצ”ב). הקצאת המשאבים נבחנת לא על פי כוונות או הצהרות, אלא על פי תוצרים ותיעוד.
הכנת תוכנית עבודה ל-DPO
לאחר מינוי ה-DPO ברשות, ולאחר הסדרת תפקידו, סמכויותיו והמשאבים העומדים לרשותו, יש להכין תוכנית עבודה שנתית (Privacy Workplan). תוכנית עבודה שנתית מובנית לתחום הגנת הפרטיות ואבטחת המידע מסייעת להבטיח ציות אפקטיבי להוראות הדין, בניהול הסיכונים הארגוניים (ואף בהטמעת תרבות פרטיות מבוססת מדיניות, נהלים וכלים טכנולוגיים). מעבר לכך, תוכנית עבודה מסודרת של ה-DPO תאפשר הקצאת משאבים מתאימה בתקציב הרשות השנתי (פתיחת סעיף תקציבי), או הקצאת תקציב רב-שנתי, כתב”ר. סקירה נרחבת כאן.
דיווח על מינוי DPO
דיווח על מינוי DPO הוא מסמך רשמי מאת הגוף הממנה, בו מדווח הממנה על מינוי ממונה הגנת פרטיות (DPO), לרשות להגנת הפרטיות, ולציבור הרחב. על הדיווח לכלול את שם ה-DPO, תחומי האחריות של ה-DPO החדש, כמו גם את הקשר שלו לארגון, ומקומו במבנה הארגוני, פרטי הקשר עימו, ועוד.
מיפוי וגיבוש תשתיות מידע
נושא נוסף ומהותי שבו עוסק תיקון 13 לחוק הגנת הפרטיות הוא נושא תשתיות המידע. המחוקק הכיר בכך שהעולם הדיגיטלי המודרני מבוסס כולו על זרימת מידע רציפה, מורכבת ורב־שכבתית, הנשענת על מערכות טכנולוגיות מתקדמות, מסדי נתונים, שרתים מקומיים ומבוזרים, שירותי ענן, מערכות SaaS ופתרונות תקשורת מאובטחים. תשתיות אלה הן למעשה “צנרת החיים” של כל גוף ציבורי ופרטי, והן המאפשרות את הפעילות השוטפת, מתן השירותים, תהליכי קבלת ההחלטות והניהול הפיננסי. בהתאם לכך, תיקון 13 מחייב גופים המחזיקים או מעבדים מידע אישי לנהל תשתיות מידע תקינות, מאובטחות ומנוטרות, תוך התאמתן להוראות הדין ולעקרונות אבטחת המידע. הדרישה איננה טכנית בלבד, אלא מהותית: היא מחייבת שילוב בין תכנון ארכיטקטוני נכון של מערכות המידע, יישום מנגנוני בקרת גישה והצפנה, יצירת נהלי עבודה ברורים ותיעוד פעולות עיבוד.
מיפוי מקיף של תשתיות ומידע
על מנת להגן על נכסי ומאגרי המידע הקיימים ברשות, קיים צורך לזהותם, לתעד אותם ולסווגם. בהתאם לרגישות המידע ולחשיבותו. מכאן, שיש לבצע “יישור קו” – מיפוי מקיף של כלל המידע ומאגרי המידע הקיימים ברשות, ומאגרים בהם הרשות עושה שימוש, המכילים מידע אישי, וזיהוי מקורות המידע, זרימת המידע, המערכות והקבצים שבהם נשמר מידע זה.
חובת רישום ועדכון מאגרי מידע
ככלל, התיקון מצמצם משמעותית את חובת רישום מאגר המידע. אולם הרשויות המקומיות חייבות עדיין ברישום מאגרי המידע (למעט מאגר מידע הכולל מידע אישי על עובדי הגוף הציבורי בלבד). צמצום חובת הרישום אינה מפחית את החובות והאחריות המהותיות החלות על מי שמשתמש או מעבד מידע, גם אם הנתונים אינם חייבים ברישום. לפיכך, מומלץ לבחון את זרימת המידע (Data Flow) כדי לבחון האם הפעילויות של הרשות או של ספקיה, מחייבת רישום מאגרי מידע או האם ניתן לגרוע מאגרים מהמרשם, לפי העניין. בנוסף, באופן שוטף, יש לבחון את עמידת מאגרי המידע הקיימים בדרישות תיקון מס’ 13. לעניין רישום מאגרי עובדים אצל רשם מאגרי המידע – לאחר כניסת התיקון לתוקף, לא יידרש רישום. חשוב לדעת: אי רישום מאגר מידע של גוף ציבורי (למעט אם היה רק מאגר עובדים) או עיבוד שלא כדין (ס’ 23 כו (1)) עלול להוביל לעיצום כספי של 150,000 ₪.
מסמך הגדרות מאגר מידע
על מנת להבטיח ניהול תקין של מאגרי מידע ברשות, נדרש לערוך ולתחזק באופן שוטף מסמך הגדרות מאגר עבור כל מאגר מידע קיים. מסמך זה משמש כמעין “תעודת זהות ארגונית” של המאגר, ומאגד בתוכו את כלל הפרטים החיוניים הנוגעים לאופיו, תכליתו ואופן ניהולו. חובה זו מופיעה, בין היתר, בתקנה 2 לתקנות הגנת הפרטיות (אבטחת המידע).
במסגרת המסמך יש לפרט בראש ובראשונה את זהות מנהל המאגר, תפקידו ותחומי אחריותו, תוך הגדרת מקומו במבנה הארגוני של הרשות. לצד זאת נדרשת הצגה בהירה של מטרות המאגר, קרי הייעוד שלשמו נאסף המידע, המטרות הציבוריות או המנהליות העומדות בבסיסו, ומהם השימושים המותרים בו. בהמשך לכך, יש לפרט את סוגי המידע הכלולים במאגר, לרבות מידע אישי, מידע רגיש, נתונים ביומטריים, נתוני בריאות או חינוך, וכל סוג מידע אחר המנוהל במסגרתו.
חלקים נוספים במסמך הגדרות המאגר עוסקים במקורות המידע. נקודה חשובה נוספת היא בחינת היקף המידע הנאסף אל מול מטרות המאגר, מתוך מחויבות לעקרון המידתיות: על הרשות להבטיח כי נאסף אך ורק מידע הנחוץ להשגת המטרות, ולהימנע מצבירת נתונים עודפים או לא רלוונטיים. בנוסף, המסמך נדרש לכלול פירוט של בעלי ההרשאה לעיון ולעיבוד המידע. לצד זאת יש להציג רשימה מסודרת של המחזיקים במידע, ובכלל זה ספקי שירותי ענן, חברות אבטחת מידע, נותני שירותים טכנולוגיים או כל גורם חיצוני אחר שהמידע מצוי בידיו. לבסוף, על המסמך לכלול את יתר רכיבי החובה המוגדרים בדין, ובכללם הוראות לעניין תקופות שמירת המידע, מנגנוני אבטחת מידע ופיקוח, אופן מימוש זכויות נושאי המידע כגון זכות העיון, התיקון או המחיקה, וכן פרטי הקשר המיועדים לפניות הציבור.
המסמך אינו נועד להישאר קבוע, אלא עליו להיות חי ומתעדכן באופן שוטף. לפיכך, על הרשות לקיים בחינה תקופתית ולהבטיח כי לפחות אחת לשנה, ובכל מקרה של שינוי מהותי במטרות המאגר, בהיקף המידע או בזהות המחזיקים – יש לעדכן את המסמך, כך שישקף את תמונת המצב המדויקת והעדכנית ביותר.
כתיבה ועדכון של נהלי אבטחת מידע
בנוסף לעריכת מסמך הגדרות המאגר, נדרשת הרשות לגבש נוהל אבטחת מידע ארגוני מקיף אשר ישמש מסגרת נורמטיבית ומעשית לניהול הגנת המידע בכלל יחידותיה. נוהל זה מהווה את “מדריך ההפעלה” של הרשות בכל הנוגע לשימוש, שמירה והגנה על מידע אישי, ומעגן עקרונות מנחים לצד הוראות פרקטיות, המחייבות כל עובד וגורם מטפל.
מעבר לחובה החוקית, קיומם של נהלי אבטחה פנימיים (בשיתוף הממונה על אבטחת מידע, היועץ המשפטי לרשות, וכן וועד העובדים ברשות) מחזקת את מודעות העובדים לחשיבות ההגנה על פרטיות המידע ומשפרת את התרבות הארגונית בנושא זה. חשוב לדעת: התוספת השלישית בתיקון מס’ 13 כוללת (לראשונה) הטלת עיצומים כספיים הנעים בין 2,000 ₪ ועד 320,000 ₪ על כל תת-הפרה. עיצומים אלו יכולים להגיע לסכומים של מיליוני שקלים.
עדכון מדיניות הפרטיות והודעות הפרטיות של הרשות על מנת לעמוד בדרישות השקיפות החדשות
על פי תיקון מס’ 13, על הרשויות המקומיות ליידע את התושבים, איזה מידע נאסף עליהם, מדוע הוא נאסף, כיצד הוא מעובד, ולכמה זמן הוא יישמר. כך מובטחת שליטה רבה יותר של התושבים על פרטיהם האישיים. ככל שהרשויות לא יעשו כן, תיקון 13 מוסיף סנקציות פליליות ומנהליות בגין הפרת עיקרון זה. לפיכך, אנחנו ממליצים לבחון מחדש את זרימת המידע (Data Flow) ברשות, ואת כל היבטי ההסכמה ו/או ההתחייבויות החוזיות של ספקי מידע כלפיכם, על מנת לוודא כי העיקרון נשמר. בנוסף לכך, יש להביא לידי ביטוי את מגוון האמצעים והכלים בהן עושה הרשות המקומית שימוש, ולפרסם לידיעת הציבור את זכות העיון במידע (סעיף 13); את הזכות לניוד מידע; את הזכות להתנגד לעיבוד מידע, או לתקן את המידע.
כתיבה מחדש של מדיניות פרטיות
טקסט כללי, שאינו ברור, שאינו מפורט או בשיטת “העתק-הדבק” – לא יעמוד ברף החוקי. על כל רשות לעדכן ולהתאים את מדיניות הפרטיות, כך שיכללו פירוט מלא על איסוף, עיבוד, ושיתוף מידע בהתאם לחובות הגילוי והתקנות.
עדכון טפסי הסכמה והודעות פרטיות
הבסיס החוקי הנדרש לאיסוף ועיבוד המידע האישי אודות אדם הנו, ככלל, הסכמה מדעת. שימוש במידע אישי ללא הסכמה, או ללא הוראה מפורשת בדין, עלול לעלות כדי פגיעה בפרטיות לפי החוק. לאחר התיקון, על הרשויות לעדכן ולקבל הסכמה של נושאי המידע (אנשים), לאחר גילוי מלא ושקוף של מטרת האיסוף, זכויות העיון והתיקון לפי החוק בקשר למידע האישי אודותיו, ולכלול גם את תוצאת הסירוב למסירת המידע.
שינוי ועדכון של טפסי הצטרפות, הרשמה, וטפסי יצירת קשר צריכים להיות מותאמים לדרישות הגילוי וההסכמה החדשות. כלומר, על הרשות המקומית לעדכן את מאגרי הטפסים בהם היא עושה שימוש, פיזית ודיגיטלית.
עדכון וקבלת הסכמת עובדים: יחסי עבודה
לאחר כניסת תיקון 13 לתוקף, לא יהא עוד צורך ברישום מאגר עובדים. אולם, הרשות עדיין מחוייבת לנהל מאגר מידע בקשר למידע האישי על כוח האדם. בהתאם לכך, היא תדרש לתת הודעות פרטיות לעובדים בהתאם לדרישות החוק, ולקבל את הסכמתם לאיסוף ועיבוד המידע האישי עליהם. יש לתת את הדעת לסוגיות דוגמת רישום נוכחות, נתוני מיקום (אפליקציות או GPS שברכבים), שימוש במצלמות מעקב, מידע אישי-ביומטרי, טפסים, עיבוד שכר (פנימית או אצל גורם חיצוני), וכיוצ”ב.
עדכון נהלים בדבר איסוף מידע, שמירת מידע, עיון במידע ומחיקת מידע
מדיניות הרשות בתחומי מצלמות אבטחה, המוקד העירוני, התקשרויות עם ספקים, חוזים ומכרזים, קבלת מידע על ידי יחידות הרשות (ארנונה, חינוך, רווחה וכיוצ”ב), נהלי עבודה של משאבי האנוש ברשות המקומית, ועוד – כולם יצטרכו לעבוד עדכון מקיף.
הסדרת מנגנוני מימוש זכויות ונהלי טיפול בבקשות נושאי מידע
אחת החובות המרכזיות שנקבעו בתיקון 13 לחוק הגנת הפרטיות היא הקמת מנגנון מוסדר, ברור ושקוף לטיפול בפניות תושבים המבקשים לממש את זכויותיהם בנוגע למידע האישי שנאסף ועובד על ידי הרשות המקומית. היינו, אם אדם מבקש לעיין – מי הגורם המטפל? מה מסלול הטיפול, משך הזמן וה-SLA? כיצד מתעדים? עם פתיחת האפשרות להגשת תביעות ללא הוכחת נזק (סעיף 15 לחוק), ותביעות ייצוגיות בנושא, סביר כי יוגשו בקשות, תלונות ותביעות בהיקפים משמעותיים.
ניהול פניות של נושאי מידע
אחת החובות המרכזיות שבתיקון 13 היא הקמת מנגנון מוסדר, ברור ושקוף לטיפול בפניות תושבים ואזרחים, המבקשים לממש את זכויותיהם בנוגע למידע האישי שנאסף ועובד על ידי הרשות המקומית. זוהי זכות יסוד שנועדה להבטיח ולוודא את שליטת נושא המידע על פרטיו האישיים.
על הרשות המקומית להעמיד לרשות התושבים ערוצי פנייה נגישים, פיזיים ודיגיטליים כאחד, המאפשרים הגשת בקשות לעיון במידע האישי ולתיקונו במידת הצורך. ערוצים אלו צריכים להיות מתואמים עם כלל יחידות הרשות ולעבוד תחת נוהל אחיד, המבטיח טיפול שיטתי, מהיר ושקוף בכל פנייה. בהתאם לסעיף 13 לחוק, הרשות מחויבת להשיב לכל בקשה בתוך 30 ימים קלנדריים ממועד קבלתה. חובה זו איננה בגדר המלצה בלבד; היא תנאי מהותי לעמידה בדרישות החוק. במקרים בהם הרשות אינה משיבה במועד, היא חושפת את עצמה לעיצומים כספיים משמעותיים. על הרשות לתעד בקפידה את כלל הפניות המוגשות ואת אופן הטיפול בהן.
תפקיד ה-DPO בהבטחת זכויות נושאי מידע
ממונה הגנת הפרטיות ממלא תפקיד מרכזי בהבטחת מימוש זכויותיהם של נושאי המידע מול הרשות המקומית. תפקידו של ה-DPO אינו מתמצה במתן ייעוץ בלבד, אלא כולל אחריות ישירה על פיקוח, בקרה והכוונת ההליך כולו. נפרט:
- על ה-DPO לוודא כי ברשות קיימת תשתית ארגונית מתאימה לניהול בקשות נושאי מידע. הדבר כולל הקמת ערוצים ברורים ונגישים להגשת בקשות (כתובת דוא”ל, טלפוני, פרונטלית, מוקד עירוני), והטמעת נהלים ברורים בנוגע לאופן הטיפול בכל בקשה.
- אחריות על בקרת לוחות הזמנים. החוק מחייב מתן מענה תוך 30 ימים קלנדריים, לכל היותר. ככל שנדרש לרשות זמן נוסף, עליו לוודא כי נשלחת הודעה מנומקת לנושא המידע, תוך תיעוד מלא של ההליך.
- פיקוח על איכות התשובות הניתנות. נדגיש כי אין די במענה טכני; על התשובה להיות מלאה, ברורה ומבוססת על החוק. היעדר מענה מספק עלול להיחשב כהפרה מהותית של הוראות החוק ולהוביל להטלת סנקציות.
- ניהול תיעוד. ה-DPO חייב לוודא שכל בקשה מתועדת במערכת מתאימה, לרבות מועד קבלתה, פרטי נושא המידע, מהות הבקשה, האופן שבו טופלה, ומועד המענה שניתן. תיעוד זה משמש כלי מרכזי בהוכחת עמידת הרשות בהוראות החוק.
- נקודת קשר ישירה מול נושאי המידע. במקרים בהם מתעוררת מחלוקת, או כאשר הבקשה כרוכה בשאלות מורכבות משפטיות או טכנולוגיות, נדרש ה-DPO להיכנס לעובי הקורה, לייעץ, ולהבטיח שהטיפול נעשה באופן מקצועי ושקוף.
- אחריות להדרכת עובדי הרשות בנושא מימוש זכויות נושאי מידע, כדי לוודא שכלל העובדים מכירים את הנהלים ופועלים לפיהם.
בדיקה חשובה: האם ספקים חיצוניים המחזיקים במידע של הרשות מינו DPO?
בהתאם לסעיף 3 לחוק, לאחר תיקון מס’ 13, חובת מינוי ממונה על הגנת הפרטיות (DPO) אינה חלה רק על הרשות המקומית עצמה, אלא גם הורחבה לכל “מחזיק” במידע אישי מטעמה של הרשות. דהיינו, צד ג’ המבצע עבור הרשות המקומית פעולות עיבוד, אחסון, תפעול, או כל פעולה אחרת במידע האישי.
המשמעות המעשית היא כי הרשות המקומית עצמה אינה יכולה להסתפק בהסדרת נושא הפרטיות בתחומה הפנימי בלבד, אלא עליה לוודא כי כל גורם הקשור אליה, שיש לו גישה למידע אישי (במישרין או בעקיפין), ממלא אחר דרישות החוק. מספר דוגמאות נפוצות:
- חברות המפעילות מערכות מידע עבור הרשות, נותני שירותי מחשוב ואחסון בענן (שרתי GIS; תיבות דואר אלקטרוני; מרשם האוכלוסין; גיבויים פיזיים או בענן).
- חברות המפעילות עבור הרשות מערכות ניהול פנימי (ניהול פרוטוקולים לדוגמה), פורטלי שירות לתושב, מערכות CRM, אתרי אינטרנט עירוניים.
- חברות המפעילות תוכנות שכר ושעון נוכחות במודל SaaS (ענן).
- חברות המבצעות עיבוד שכר לרשות.
- חברות המפעילות מוקד מצלמות או מוקד שירות 106, עבור הרשות (כולל קבלת קריאות, תיעוד פניות וניהול מערכת CRM תושבים).
- חברות המספקות פתרונות גבייה ממוחשבת, סליקה מקוונת, חיובים והנפקת שוברים, מערכות תשלומים מקוונות, ממשקי API עם מערכות הגבייה העירוניות.
- תאגידים עירוניים המעבדים נתוני תושבים, לשם מתן סל שירותים לתושבי הרשות.
- עמותות המפעילות תוכניות חינוך, תרבות ורווחה עבור תושבי הרשות.
- המועצה הדתית, ככל שהיא קשורה במאגרי המידע ו/או בתשתיות, שרתים, מערכות ERP או מערכות גבייה.
כל אלה מחויבים במינוי ממונה על הגנת הפרטיות, ככל שהם מחזיקים במידע אישי או מעבדים אותו בשם הרשות המקומית. לשם כך על הרשות המקומית לעגן את חובת מינוי ממונה על הגנת הפרטיות במסמכי ההתקשרות בין הצדדים, בנהלי העבודה, ולפקח על אופן יישום חובת מינוי ה-DPO בקרב גורמים אלו.
סקר סיכוני אבטחה בתחום הגנת הפרטיות
סקר סיכונים הוא תהליך מתודולוגי של זיהוי איומים או חולשות, הערכת פוטנציאל הסיכוי והפגיעה, ומידת הנזק הצפויה לארגון. ניהול סיכונים בתחום הגנת הפרטיות נדרש לצורך ניהול אפקטיבי של מדיניות הגנת הפרטיות ברשות, במטרה לאמוד את רמת ההתאמה לדרישות הדין, לזהות פערים מהותיים המחייבים תיקון, ולהמליץ על תוכנית תיקון ואכיפה. תיקון 13 מחייב ביצוע סקר סיכונים וביצוע מבדקי חדירות, במאגרי מידע המסווגים כבעלי רמת אבטחה גבוהה, במועדים קבועים (לפחות אחת ל־18 חודשים, ובכל מקרה של שינוי מהותי). סקר הסיכונים נועד לאתר נקודות תורפה וסיכונים אפשריים לפגיעה במידע אישי, ולהעריך את מידת עמידת הרשות בהוראות החוק והתקנות. מנגד, מבדקי החדירות מתמקדים באיתור פרצות אבטחה טכנולוגיות באתרי אינטרנט, במסדי הנתונים וברשתות הפנימיות, ומאפשרים נקיטת צעדים פרואקטיביים לחיזוק מערכות ההגנה.
- סקר הסיכונים מהווה כלי ניהולי־משפטי ראשון במעלה. במסגרתו נבחנים כלל התהליכים הארגוניים והטכנולוגיים הקשורים בעיבוד המידע, במטרה לאתר סיכונים לפגיעה בזכויות נושאי המידע או להפרת הוראות הדין. בין היתר נבחנת רמת ההתאמה של מערכות המידע לדרישות חוק הגנת הפרטיות, התקנות מכוחו, תקני ISO רלוונטיים, והנחיות הרשות להגנת הפרטיות. הסקר כולל זיהוי חולשות במנגנוני גישה, ניהול סיסמאות, מערכי גיבוי, הצפנה, תיעוד אירועים והיקף המידע הנאסף ביחס למטרותיו.
- מבדקי החדירות (Penetration Tests) נועדו להשלים את הממד המעשי של הסקר. במסגרת זו מתבצעת הדמיה של תקיפות סייבר על אתרי האינטרנט של הרשות, מערכות הענן, מסדי הנתונים והרשת הפנימית. מטרת המבדקים היא לחשוף פרצות אבטחה טכנולוגיות, ולאפשר טיפול יזום ומיידי בטרם ינוצלו חולשות אלה על ידי גורמים עוינים.
הסקר והמבדקים אינם תכלית לעצמם. בסיומם יש לגבש דו”ח מסודר הכולל תיעוד של כלל הממצאים, סיווגם לפי רמות סיכון (גבוה, בינוני, נמוך), והצעת תוכנית פעולה אופרטיבית המגדירה לוחות זמנים, אחריות גורמים, ודרכי טיפול בליקויים שהתגלו. טיפול זה עשוי לכלול שדרוג מערכות טכנולוגיות, הטמעת מערכי הדרכה, חידוד נהלים ארגוניים, או שינוי מבני במערך ההרשאות. בהקשר זה נמליץ להקים וועדת היגוי, בראשות מנכ”ל הרשות המקומית, שתדון בממצאים ובמסקנות.
התיקון מגביר משמעותית את החשיפה לרשויות כתוצאה מהפרת החוק והתקנות מכוחו. מעבר ליישום הדרישות החדשות המופיעות בתיקון, הוא מחייב את הרשויות לבחון לעומק את עמידתן גם בדרישות הקיימות, בדגש על חובות לפי תקנה 5 לתקנות אבטחת המידע. חשוב לדעת: התוספת השלישית בתיקון מס’ 13 כוללת (לראשונה) הטלת עיצומים כספיים בסך 320,00 ₪ על אי ביצוע סקר סיכונים מבדקי חדירות וחוסן כאמור בתקנות 5 ג’ ו- 5 ד’ בהתאמה.
תיקון/ עדכון חוזים: התקשרויות עם יועצים, ספקים ונותני שירותים
חוק הגנת הפרטיות, התשמ”א -1981, ותקנות הגנת הפרטיות (אבטחת המידע) תשע”ז – 2017, קובעים כי טרם ההתקשרות עם ספק חיצוני, על הרשות למפות את סיכוני אבטחת המידע הכרוכים בהתקשרות עם אותו ספק על ידי ביצוע הערכת סיכונים ויישום הבקרות הנדרשות על עמידתו בהוראות הדין. על הרשות המקומית לבחון כל התקשרות חוזית, קיימת או עתידית, עם יועץ, ספק או נותני שירותים, אשר כרוך בעיבוד מידע אישי, ולתקן אותו באמצעות הוספת נספח אבטחת מידע. בעניינה של הרשות המקומית, אלו יועצים, ספקים, נותני שירותים, תאגידים עירוניים, עמותות עירוניות, מתנ”ס, הוועדה המקומית לתכנון ובניה, מועצה דתית.
ניסוח מחודש של הוראות במכרזים
במסגרת דיני המכרזים, דורשות הרשויות מידע ונתונים ממתמודדים (ומתמודדים פוטנציאליים). בין היתר, הוכחת ניסיון, איתנות פיננסית, שמות אנשי קשר, שמות ופרטי עובדים, תעודות זהות, רשיונות, העתקי הזמנות עבודה, חוזים וכיוצ”ב. חלק מהנתונים, מטבע הדברים, חוסים תחת הוראות חוק הגנת הפרטיות. משכך, אנו ממליצים לבחון את ההוראות החוזיות, המתירות לעורכי המכרזים לבקש ולקבל את המידע, קבלת הסכמה מדעת, קביעת הוראות ונהלים בדבר החשיפה למידע, עיבוד המידע וכו’.
ניהול סיכוני סייבר מצד שרשרת האספקה
“שרשרת אספקה” היא מונח המתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון. מתקפות סייבר המתבצעות באמצעות שרשרת האספקה מכוונות לפגוע באחד מספקי הארגון, מנצלות את האמון שהארגון נותן בספק שלו כדי לחדור באמצעותו אל הארגון. בשנים האחרונות חל גידול ניכר במספר מתקפות הסייבר על ארגונים ועוצמתן גברה, וכיום מתקפות סייבר המתבצעות באמצעות שרשרת האספקה שלהם הן אחד האיומים החמורים ביותר הנשקפים לכלל המשק.
הנחיות אבטחת מידע מול יועצים, ספקים ונותני שירותים: שרשרת האספקה
המידע שספק החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות; מערכות המאגר שהספק החיצוני רשאי לגשת אליהן; סוג העיבוד או הפעולה שהספק החיצוני רשאי לעשות; משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הספק החיצוני ודיווח על כך לבעל מאגר המידע; אופן יישום החובות בתחום אבטחת המידע שהמחזיק (במידה והגורם החיצוני הינו מחזיק כהגדרתו בחוק) חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, במידה וקבע.
בנוסף לכך, חובתו של הספק החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם; חובתו של הספק החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה; וכן חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות. בנוסף, במקרה של שירותי ענן, מעמדו של הספק החיצוני הנו כ”מחזיק” של המידע האישי. במקרים אלו, יש לוודא בהסכם כי הספק מקיים את חובותיו לפי הדין.
עיצומים כספיים לפי תיקון 13: הטלת קנסות על הרשויות המקומיות
כאמור לעיל, הרשות להגנת הפרטיות קיבלה סמכות להטיל עיצומים כספיים בגין הפרת ההוראות, בסכומים שיכולים להגיע למאות אלפי שקלים במקרים מסוימים. תיקון 13 הוסיף לחוק את פרק ד’1 – עיצום כספי, במסגרתו נקבעו הסדרים חדשים לסנקציות כספיות מנהליות בגין הפרות שונות של החוק. העיצומים יכולים להיות מוטלים הן על בעל השליטה במאגר, והן על מחזיק.
ממשטר של קנסות מנהליים – לעיצומים כספיים
הסנקציות מכוח תיקון 13, הפכו ממשטר של קנסות מנהליים, לעיצומים כספיים. זהו שינוי מהותי: בעוד שקנס הוא תוצאה של הליך פלילי ונובע מהודאה או מהרשעה, הרי שהעיצום הכספי הוא צעד מינהלי שאינו נושא אופי פלילי, ומיועד, על פי רוב, לצורך אכיפה מהירה ויעילה של חוקים ורגולציות.
שיקולים לקביעת גובה העיצום
בהתאם לסעיף 13ו(ב), הרשות להגנת הפרטיות תהא רשאית לשקול, בין היתר, את השיקולים הבאים: מספר נושאי המידע שנפגעו; מספר סוגי הפרות; היקף ההפרה וחומרתה; שיעור הנזק הפוטנציאלי או הממשי; קיומם של צעדי מנע; האם מדובר בהפרה חוזרת; ושיתוף פעולה עם החקירה.
נציין כי לפי פרט 2(4) לתוספת החמישית לחוק, מינוי ממונה הגנה על הפרטיות בארגון שנדרש לכך מכוח סעיפים 17ב1(א)(3) או (4), עשוי לזכות את הארגון בהפחתה בסך 10%, ככל שיוטל עליו עיצום כספי בשל הפרות אחרות של החוק.
פרסום ההחלטה על הטלת עיצום כספי
סעיף 13ט(ב) מאפשר לרשם לפרסם את דבר ההחלטה בדבר העיצום הכספי, את מהות ההפרה ושם הגורם המפר, גם אם לא מוצו ההליכים המשפטיים, וזאת כחלק ממדיניות הרתעה ושקיפות.
סנקציות פליליות לפי תיקון 13 לחוק הגנת הפרטיות
פגיעה בפרטיות לפי מרבית המצבים שבסעיף 2 לחוק הגנת הפרטיות מהווה עבירה פלילית, שהעונש בצדה הוא עד 5 שנות מאסר. כמו כן, הפרת חובת הסודיות ביחס ל”מידע אישי” (סעיף 16 לחוק הגנת הפרטיות) מהווה עבירה פלילית שעונשה עד 5 שנות מאסר. תיקון 13 הוסיף לחוק פרק ייעודי של עבירות פליליות חדשות, הכולל את העבירות הבאות:
- עיבוד מידע ממאגר מידע בלא הרשאה מאת בעל השליטה במאגר, לפי סעיף 8(ג) – עבירה שדינה מאסר 3 שנים.
- הפרת חובת היידוע. פניה לאדם לקבלת מידע אישי אודותיו לפי סעיף 11, תוך מסירת פרטים לא נכונים בכוונה להטעותו באשר למסירת המידע האישי – עבירה שדינה מאסר 3 שנים.
- מסירת מידע מגוף ציבורי. גוף ציבורי, עובד של גוף ציבורי או מי שפועל מטעם גוף ציבורי, המוסר מידע שחל איסור על מסירתו מגוף ציבורי לפי סעיף 23ב, במטרה שגורם שאינו מוסמך יעבדו – עבירה שדינה מאסר 3 שנים.
- הפרעה לראש הרשות, לחוקר או למפקח מטעם הרשות במילוי תפקידם – עבירה שדינה מאסר של 6 חודשים.
- הטעיית ראש הרשות להגנת הפרטיות, מפקח או מומחה חיצוני מטעם הרשות באמצעות מסירת פרטים שאינם נכונים בבקשה לרישום מאגר מידע, בהודעה על מאגר מידע, בהודעה על שינוי פרטי הרישום, או במענה לדרישת ידיעות ומסמכים של מפקח או של מומחה חיצוני – עבירה שדינה מאסר שנתיים.
הארכת תקופת ההתיישנות
עד לתיקון 13, תביעות מכוח חוק הגנת הפרטיות היו כפופות לתקופת התיישנות קצרה של שנתיים. תקופה זו הייתה חריגה ביחס למשטר ההתיישנות הכללי (שבע שנים), והקשתה על ניהול הליכים – במיוחד בעידן בו פגיעות בפרטיות אינן תמיד גלויות. פעמים רבות מתגלות הפרת פרטיות (כמו מכירת נתונים, דליפה, פריצה, או שימוש פסול) רק כעבור זמן, לעיתים דרך תחקירים או פרסום תקשורתי. תיקון 13 ביטל את סעיף ההתיישנות המיוחד, ובמקומו אימץ את הוראת ההתיישנות הכללית של שבע שנים, בהתאם לחוק ההתיישנות, תשי”ח–1958.
משמעויות יישומיות של הארכת תקופת ההתיישנות
תיקון 13 ביטל את הסדר החריג הזה ואימץ את הכלל הרחב יותר של שבע שנים, כפי שקבוע בחוק ההתיישנות. שינוי זה נושא עמו השלכות מעשיות רחבות היקף. ראשית, הוא פותח בפני נפגעי פרטיות אפשרות ממשית להגיש תביעות גם בחלוף זמן ניכר מאז הפגיעה. המשמעות היא שחלק ניכר מן ההפרות, שבעבר נותרו מחוץ להישג יד של מערכת המשפט, יכולות כעת למצוא ביטוי בהליכים אזרחיים ואף ייצוגיים. בכך מתחזקת ההגנה על זכויות נושאי המידע והנגישות לסעד.
מן העבר השני, עבור ארגונים ציבוריים ועסקיים, הארכת תקופת ההתיישנות משנה את כללי המשחק. החשיפה המשפטית אינה נמוגה עוד כעבור שנתיים, אלא מלווה את הארגון לאורך שבע שנים. המשמעות המיידית היא כי סיכון התביעה הופך מתמשך ורחב. על הארגונים לנהל מערך תיעוד, לשמור לוגים, נהלים והסכמים לאורך זמן, ולהיות מסוגלים להציגם גם כעבור שנים. כך נוצרת חובה מעשית לשנות מדיניות שמירת מסמכים, להאריך את פרקי הזמן לשמירת ראיות, ולבנות מנגנונים שיאפשרו הגנה מפני טענות עתידיות.
יחד עם זאת, שינוי זה יוצר מתח משפטי מובנה. מצד אחד, דיני הגנת הפרטיות מחייבים מחיקה של נתונים אישיים שאינם דרושים עוד למטרותיהם. מצד שני, הארכת תקופת ההתיישנות מחייבת שמירת מסמכים ונתונים לצרכים ראייתיים. כאן נדרשת חשיבה יצירתית: הבחנה בין נתונים שיש לשמור לצרכים משפטיים לבין מידע אישי שיש למחוק כדי לעמוד בחובת צמצום עיבוד המידע.
השפעת התיקון ניכרת במיוחד גם בהיבט של תובענות ייצוגיות. האפשרות להגיש הליכים כאלה לאורך שבע שנים מגבירה את הסיכון עבור ארגונים, ולעיתים משבשת את מאזן הכוחות לטובתם של תובעים. היכולת לנהל הליכים ייצוגיים שנים לאחר ההפרה יוצרת קושי ראייתי לא מבוטל עבור הנתבעים, שמתקשים לשחזר מערכות ישנות או להציג מסמכים מלאים. בכך גדל הפיתוי להגיע להסדרים מוקדמים ולהימנע מהליך ממושך.
הרחבת תקופת ההתיישנות משליכה גם על תחום האכיפה. הרשות להגנת הפרטיות יכולה מעתה להעמיק את ביקורותיה לאירועים שהתרחשו שבע שנים אחורה. בתי המשפט יצטרכו להתמודד עם גידול בהיקף התביעות, דבר שיתרום להתפתחות הפסיקה בתחום, אך גם עלול להכביד על המערכת.
בסופו של דבר, המשמעות עבור הארגונים היא מעבר מתפיסה של “סגירת ספרים” לאחר שנתיים, לתפיסה של חשיפה מתמשכת לאורך זמן. מנהלים, יועצים משפטיים וממונה הגנת הפרטיות חייבים להיערך לכך באמצעות ניהול סיכונים מובנה, הרחבת ביטוחי אחריות מקצועית וסייבר, ויישום תרבות של תיעוד ושמירה. ה־DPO ממלא כאן תפקיד מפתח: עליו לעצב מדיניות שמירת מסמכים מאוזנת, להדריך את ההנהלה והעובדים, ולוודא כי הארגון מחזיק במערכות שיכולות להגן עליו מפני תביעות גם כעבור שבע שנים.
למעשה, תיקון 13 משיב את האיזון לטובת נושאי המידע, אך מטיל על הארגונים נטל כבד בהרבה. ההשלכה היישומית הברורה היא כי לא ניתן עוד להסתפק במינימום פורמלי של עמידה בהוראות החוק. נדרש מערך ציות ארוך טווח, יציב ומתועד, שבמרכזו דמות ה־DPO, אשר מתווה את הדרך ומפחית את הסיכון המשפטי, הכלכלי והתדמיתי הנלווה לעיבוד מידע אישי.
סיכום: משמעויות ופעולות שעל הרשות המקומית לנקוט בהתאם לתיקון 13
תיקון 13 לחוק הגנת הפרטיות (וכאן נוסח התיקון לחוק) מטיל אחריות על הרשות המקומית ועל בעלי התפקידים הבכירים בה, ובראשם המנכ”ל. אי עמידה בדרישות החוק תביא להטלת קנסות כבדים על הרשויות, וכן לסנקציות אזרחיות, מנהליות ופליליות של המנכ”ל והגורמים האחראים. מנכ”לי הרשויות המקומיות נמצאים במלכוד. מחד גיסא, הם נדרשים לייצר ולדאוג למשאבים כספיים לביצוע התוכניות (נושא המצוי בסמכות גזבר הרשות, ראש הרשות והמליאה). מאידך גיסא, באחריותם האישית ליישם שינויים מהותיים, אפקטיביים ומהירים, בהתנהלות הרשות, בתוך פחות משנה. ללא התגייסות של כלל הגורמים ברשות ו”שינוי כיוון” מהיר בתחום הגנת הפרטיות, מנכ”לים עלולים לשלם בראשם ובכיסם. על הרשויות לסיים את כלל ההליכים המשפטיים והמנהליים עד ולא יאוחר מ- 14/08/2025.
עורכי דין הגנת הפרטיות ברשויות מקומיות
משרד עו”ד וולר ושות’ מעניק לרשויות מקומיות, לעמותות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי הגנת הפרטיות, שירותי DPO חיצוני, ואבטחת מידע. למשרד ניסיון ארוך שנים בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי, בתחום הניהול הבכיר והייעוץ המשפטי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, רס”ן בוגר יחידה 8200.