מה ההבדל בין אבטחת מידע להגנת פרטיות לפי תיקון 13?

אבטחת מידע היא הכלים הטכנולוגיים להגנה על נתונים (CIA), בעוד הגנת פרטיות היא המסגרת המשפטית המגינה על זכויות האדם, השקיפות והסכמתו לשימוש במידע.

האם תיקון 13 מטיל אחריות פלילית אישית על מנכ"לים?

כן. תיקון 13 והנחיות הרשות להגנת הפרטיות משנת 2024 קובעים כי נושאי משרה ודירקטורים עשויים להימצא אחראים אישית במקרה של רשלנות בפיקוח על הגנת הפרטיות בארגון.

מהם הקנסות על הפרת חוק הגנת הפרטיות ב-2026?

הקנסות המנהליים הוחמרו משמעותית ויכולים להגיע למאות אלפי שקלים לכל הפרה, בהתאם לסוג המידע, היקף המאגר וחומרת המחדל הארגוני.

מתי חלה חובה למנות ממונה הגנת פרטיות (DPO)?

החובה חלה על גופים ציבוריים, רשויות מקומיות, וגופים פרטיים המעבדים מידע רגיש בהיקף נרחב או מבצעים ניטור שיטתי של נושאי מידע.

מהו הסכם עיבוד מידע (DPA) ולמה הוא הכרחי?

DPA הוא חוזה מחייב בין בעל מאגר לבין קבלן משנה (כמו שירותי ענן). היעדר הסכם כזה מהווה הפרה רגולטורית חמורה תחת תיקון 13.

איך מבצעים ציות (Compliance) לתיקון 13?

התהליך כולל סקר פערים, עדכון מדיניות פרטיות, רישום מאגרים כחוק, הטמעת נוהלי אבטחת מידע והדרכת עובדים.

האם מותר להעביר מידע אישי של ישראלים לשרתים בחו"ל?

העברת מידע לחו"ל מותרת רק למדינות בעלות רמת הגנה הולמת (כמו ה-EU) או בכפוף לחתימה על תקנות העברת מידע והתחייבויות משפטיות ספציפיות.

מהן סמכויות החקירה של רשם מאגרי המידע ב-2026?

לרשם סמכויות כניסה למשרדים, תפיסת ציוד, דרישת מסמכים וחקירת עובדים, בדומה לסמכויות משטרתיות, לצורך אכיפת חוק הגנת הפרטיות.

מה השלב הראשון שעל מנכ"ל לעשות כדי להימנע מקנסות פרטיות?

ביצוע תסקיר השפעה על הפרטיות (DPIA) למיפוי סיכונים וזיהוי פערים בין המצב הטכנולוגי לדרישות החוק החדשות.

למה לבחור במשרד וולר ושות' לליווי בתיקון 13?

המשרד משלב ניסיון ניהולי בכיר (מנכ"לות רשויות) עם מומחיות משפטית וטכנולוגית, מה שמאפשר פתרונות אופרטיביים שחוסכים קנסות וזמן.

אבטחת מידע לעומת הגנת פרטיות | משרד עו"ד וולר ושות'

מחשב עם מנעול כסוף ולוח מסמכים עם סמל מנעול וכתובת

פרטיות אינה רק אבטחה

אבטחת מידע היא ה”איך” הטכנולוגי. הגנת הפרטיות היא ה”למה” המשפטי. בעידן תיקון 13, “חומות אש” ואמצעי אבטחה מתקדמים אינם פוטרים מאחריות פלילית אישית של נושאי משרה, מקנסות, מעיצומים כספיים ומתביעות. הארגון שלכם אולי מאובטח טכנולוגית, אך ללא ליווי משפטי צמוד – אתם חשופים.
השורה התחתונה: משרד עו”ד וולר ושות’ מחבר בין טכנולוגיה למשפט, להגנה מקסימלית.

מה ההבדל בין הגנת פרטיות לאבטחת מידע? המדריך למנהלים

רבים מהמנהלים ונושאי המשרה בישראל חושבים שארגון המוגן באמצעות חומות אש (Firewalls), ססמאות והצפנה מתקדמת, הוא בהכרח ארגון שעומד בדרישות חוק הגנת הפרטיות. זוהי טעות שעלולה לעלות ביוקר.

חוק הגנת הפרטיות, והתקנות שהותקנו מכוחו, מבחינים בין המישור הטכנולוגי (אבטחת מידע) לבין מישור הזכויות (הגנת הפרטיות). ההבחנה היא לא רק סמנטית, אלא קריטית למניעת אחריות פלילית ועיצומים כספיים של מאות אלפי שקלים. אף שהשניים משתלבים זה בזה בפועל, הם משרתים מטרות שונות, כפופים לעקרונות רגולטוריים שונים ומטילים חובות משפטיות וטכנולוגיות ייחודיות. הבחנה זו חיונית לגופים פרטיים וציבוריים כאחד, הן לצורך עמידה ברגולציה, והן לשם בניית אמון עם הציבור.

אבטחת מידע: ה”איך” הטכנולוגי

אבטחת מידע מתייחסת לאמצעים טכנולוגיים, ארגוניים ופרוצדורליים שנועדו להגן על כלל המידע המוחזק בידי הארגון. בין אם מדובר במידע אישי, מסחרי, טכנולוגי או אחר. היא יוצרת את התשתית הטכנית לשמירה על מידע. הגדרת אבטחת המידע מתמקדת בשלושה עקרונות מרכזיים (המכונים מודל CIA):

סודי (Confidentiality) – מוגן מפני גישה לא מורשית;
שלם (Integrity) – מוגן מפני שינוי או השחתה;
זמין (Availability) – נגיש בעת הצורך לגורמים המורשים.

אבטחת מידע כוללת מגוון אמצעים, כגון הצפנת מידע, ניהול הרשאות וגישה, התקנת מערכות זיהוי ותגובה לאיומי סייבר, ביצוע סקרי סיכונים תקופתיים ובדיקות חדירות (Penetration Tests), ועוד.

מבחינה רגולטורית, בישראל, תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, קובעות סטנדרטים מחייבים לאופן ניהול ואבטחת מאגרי מידע בהתאם לרמות סיכון שונות. לצידו, ISO/IEC 27001 – תקן בינלאומי לניהול אבטחת מידע.

הגנת פרטיות: הזכות לשלוט במידע האישי

לעומת זאת, הגנת פרטיות (Privacy Protection) מתמקדת בזכויות האדם שמאחורי הנתונים. היא קובעת האם לארגון בכלל מותר להחזיק במידע, לאיזו מטרה, ולכמה זמן. הגנת הפרטיות קובעת את המסגרת החוקית לשימוש במידע. היא מבוססת על עקרונות משפטיים ואתיים, שנועדו לאזן בין האינטרסים העסקיים של הגופים המאגרים מידע לבין הזכות החוקתית של האדם לפרטיות. כך, בתמצית, העקרונות המרכזיים כוללים:

תכלית איסוף המידע: איסוף מידע רק לתכלית ראויה, ובמידה שאינה עולה על הנדרש.
שקיפות: יידוע נושא המידע באופן מלא וברור.
הסכמה מדעת: קבלת הסכמה חופשית ומודעת לשימוש במידע.
שמירה על זכויות נושאי המידע: זכות לעיין, לתקן, למחוק ולהתנגד לשימוש במידע.

המשמעות היא שהגנת פרטיות עוסקת בשאלות כמו מה הבסיס המשפטי לאיסוף המידע? האם ניתן להעביר את המידע לגוף שלישי? אילו זכויות יש לנושא המידע מול הגוף המחזיק בו?

בישראל, חוק הגנת הפרטיות, התשמ”א–1981 (לאחר תיקון 13, התשפ”ד–2024), מעגן עקרונות אלו ומוסיף עליהם מנגנוני אכיפה וסנקציות משמעותיות. החקיקה תואמת חקיקה בינלאומית, דוגמת ה-GDPR האירופי (General Data Protection Regulation).

טבלת השוואה: אבטחת מידע מול הגנת פרטיות

המאפיין	🛡️ אבטחת מידע	🔒 הגנת פרטיות
מהות התחום	הגנה על כלל נכסי המידע (מסחרי, טכני ואישי)	הגנה על הזכות הבסיסית לפרטיות של אדם
מטרת העל	סודיות, שלמות וזמינות המידע (CIA)	שקיפות, הסכמה ושליטה של האדם במידע שלו
הכלים המרכזיים	חומות אש, הצפנה, ניהול הרשאות וניטור סייבר	מדיניות פרטיות, הסכמי DPA ותסקירים (DPIA)
דוגמה לכשל	פריצה למאגר וגניבת סיסמאות ע”י האקרים	שימוש במידע למטרה שלא הוסכמה (למשל: מכירה לצד ג’), אי רישום מאגרי מידע
אחריות ב-2026	מנהל טכנולוגיות (CTO) ומנהל אבטחה (CISO)	מנכ”ל, דירקטוריון ונושאי משרה (תיקון 13)
רגולציה עיקרית	תקנות אבטחת מידע, תקן ISO 27001	חוק הגנת הפרטיות, GDPR

מדוע אבטחת מידע אינה תחליף להגנת פרטיות?

קל לטעות ולחשוב כי הגנה טכנית על מידע (באמצעות מערכות אבטחה מתקדמות) מהווה גם עמידה בדרישות דיני פרטיות. זוהי טעות. אבטחת מידע אינה מפצה על אי-קיום חובות יסוד כמו שקיפות, קבלת הסכמה, פגיעה במידה הפחותה ביותר האפשרית, הבטחת זכויות נושאי המידע, וכו’. לדוגמה, חברה שמאבטחת את מסד הנתונים שלה בהצפנה מתקדמת – אך אוספת מידע אישי מלקוחות מבלי לקבל את הסכמתם או ליידע אותם כיאות. החברה מפרה את דיני הפרטיות, למרות אבטחת המידע הגבוהה.

מה ההשלכות הרגולטוריות והאחריות האישית?

המשולש הרגולטורי: פלילי, מנהלי ואזרחי

המשפט הישראלי, ובראשו חוק הגנת הפרטיות, התשמ”א-1981 ותקנות אבטחת מידע מכוחו, יוצר מערך של סנקציות המשולבות זו בזו:

המישור המנהלי, עיצומים, קנסות וצווים שיפוטיים: הרשות להגנת הפרטיות מחזיקה בסמכויות אכיפה נרחבות. כשלים כגון אי-רישום מאגרי מידע (בהתאם לדרישות החוק), היעדר הסכם עיבוד מידע (DPA) מול ספקי צד ג’ או אי-דיווח על אירוע אבטחה חמור, עלולים להוביל לקנסות כספיים משמעותיים. מעבר לקנס, הרשות מוסמכת להתלות את רישום המאגר – צעד שמשמעותו בפועל היא שיתוק פעילות הארגון המבוססת על מידע זה.
תביעות אזרחיות: זהו אפיק הסיכון המשמעותי ביותר מבחינה כספית. דליפת מידע אישי (שמות, פרטי קשר, מידע רפואי או פיננסי) חושפת את החברה לתביעות בגין רשלנות והפרת חובה חקוקה. בשנים האחרונות אנו עדים לזינוק במספר התובענות הייצוגיות המוגשות מיד לאחר אירועי פריצה, כאשר הפיצויים נפסקים בגין “פגיעה באוטונומיה” ועוגמת נפש, גם מבלי שהתובע יוכיח נזק ממשי לחשבון הבנק שלו.
הליכים פליליים: סעיפי החוק מאפשרים הגשת כתבי אישום כנגד תאגידים ומנהלים במקרים של פגיעה בזדון בפרטיות או רשלנות פושעת בניהול מאגרי מידע.

אחריות אישית של דירקטורים ונושאי משרה

בינואר 2024 פרסמה הרשות להגנת הפרטיות הנחיה המהווה “קריאת השכמה” לכל חבר דירקטוריון בישראל. ההנחיה קובעת מפורשות כי האחריות לעמידת התאגיד בהוראות החוק והתקנות מוטלת על הנהלת הארגון והדירקטוריון.

דירקטור או נושא משרה שלא פעל להטמעת תרבות של הגנת פרטיות בארגון עלול להימצא אחראי אישית בגין הפרת חובת הזהירות. המשמעות היא חשיפה לתביעות נגזרות (מצד בעלי מניות) ואף אחריות אישית לנזקים שנגרמו לצדדים שלישיים.

סיכום: הגנת הפרטיות ואבטחת מידע – שילוב בלתי נפרד

כל ארגון חייב לא רק לאבטח את המידע שברשותו, אלא גם לוודא שעיבוד המידע עומד בעקרונות דיני הפרטיות, תוך יישום מנגנוני שקיפות, קבלת הסכמות והגנה על זכויות נושאי המידע. יישום נכון של שני התחומים גם יחד הוא מפתח לעמידה ברגולציה, שמירה על אמון הלקוחות ומניעת סיכונים משפטיים כבדים. משרד וולר ושות’ עורכי דין מתמחה בליווי משפטי בתחומי הגנת פרטיות, אבטחת מידע ורגולציה טכנולוגית. המשרד מספק פתרונות מותאמים אישית לעמידה בדרישות החוק, ניהול סיכוני סייבר ושמירה על אמון הציבור, תוך הקפדה על מקצועיות, זמינות וחדשנות משפטית.

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 26/04/2023. עידכון אחרון: 11/03/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

אבטחת מידע לעומת הגנת פרטיות