top image

דיני הגנת הפרטיות בעמותות

מתנדבים עובדים עם ילדים בעלי מוגבלות בסביבה טיפולית, לצד סמלים של פרטיות ואבטחת מידע – מצלמה, עין, מחשב, טופס הסכמה ומגן סייבר.

עם חקיקת תיקון 13 לחוק הגנת הפרטיות, תשמ”א-1981, ארגונים רבים בישראל, ובתוכם עמותות ומלכ״רים, ניצבים בפני שינויים רגולטוריים משמעותיים בתחום הפרטיות. התיקון לחוק משליך באופן ישיר על האופן שבו עמותות אוספות, מעבדות ושומרות מידע אישי. על עיקרי התיקון והשלכותיו על עמותות, אחריות הוועד המנהל לעמידה בדרישות החוק, הטיפול במידע רגיש, ומספר צעדים יישומיים להיערכות עמותות לעמידה בדרישות החוק.

 

תיקון 13 לחוק הגנת הפרטיות – עיקרי השינויים והשלכות על עמותות

תיקון 13 לחוק הגנת הפרטיות ייכנס לתוקף באוגוסט 2025, ומטרתו לתקן את הדין הישראלי בתחום אבטחת המידע , תוך התקרבות לעקרונות ה-GDPR האירופאי. להלן עיקרי השינויים המרכזיים בחוק, תוך התייחסות מיוחדת להשפעתם על עמותות:

  • חיזוק סמכויות האכיפה והפיקוח. לרשות להגנת הפרטיות ניתנו כלי אכיפה רחבים, ובתוכם הטלת עיצומים כספיים מנהליים משמעותיים על מפרי החוק ותקנותיו, במיוחד בתחום אבטחת המידע. בנוסף, החוק מסמיך את הרשות לפנות לבית משפט לקבלת צו שיפוטי להפסקת עיבוד מידע (ועד למחיקת מידע אישי), במקרים של הפרת החוק. מבחינת עמותות, משמעות הדבר היא שאי-עמידה בדרישות החוק עלולה להוביל לקנסות גבוהים ואף לצו המורה על הפסקת שימוש במאגרי מידע של העמותה עד לתיקון ההפרות.
  • הרחבת עילות לתביעות ופיצויים ללא הוכחת נזק. התיקון מרחיב את סמכות בתי המשפט להעניק פיצויים לדוגמה (עונשיים) ללא הוכחת נזק במקרים של הפרות מסוימות של חוק הגנת הפרטיות. למשל, הפרת עקרון צמידות המטרה, אי-רישום מאגר מידע, אי-מסירת הודעת פרטיות וקבלת הסכמה מפורשת בעת איסוף מידע, אי מימוש זכות עיון ותיקון, ועוד. שינוי זה צפוי להגדיל את חשיפתן של עמותות לתביעות אזרחיות, לרבות תובענות ייצוגיות, מצד תורמים, מקבלי שירותים או עובדים שטוענים להפרת זכויותיהם לפי החוק.
  • חובת מינוי ממונה הגנת הפרטיות (DPO). לראשונה בישראל, החוק יחייב גופים מסוימים במינוי ממונה על הגנת הפרטיות. חובה זו חלה על גופים ציבוריים וכן על ארגונים שעיסוקם העיקרי כולל עיבוד מידע אישי רגיש במיוחד בהיקף ניכר, או ארגונים שפעילותם כרוכה בניטור שיטתי של אנשים בהיקף ניכר. עבור עמותות העוסקות במתן שירותי רווחה או בריאות בהיקף רחב, יש למנות בעל תפקיד ייעודי שיפקח על עמידת העמותה בהוראות החוק.
  • שינויים בהגדרת מידע אישי ומידע רגיש. החוק המעודכן מרחיב מאוד את מושג “מידע אישי”. כעת כל נתון אודות אדם מזוהה או ניתן לזיהוי נחשב מידע אישי, לרבות מזהים מקוונים (כגון כתובת IP), בהתאם להגדרה המודרנית בדין האירופי. בנוסף, הגדרת “מידע רגיש” הישנה הוחלפה בהגדרה “מידע בעל רגישות מיוחדת”, אשר תואמת את קטגוריות המידע הרגיש המוכרות מה-GDPR. ההגדרה החדשה מונה שורה ארוכה של סוגי מידע הנחשבים רגישים במיוחד – למשל, מידע על חיי המשפחה והצניעות של אדם ונטייתו המינית, מידע רפואי על מצבו הבריאותי או הגנטי, מידע על דעותיו הפוליטיות או אמונתו הדתית, הערכות פסיכולוגיות ומבחני אישיות, מידע על עברו הפלילי, נתוני מיקום ותקשורת, מזהים ביומטריים, מוצא אתני, נתוני שכר ופעילות פיננסית, וכן כל מידע שחלה עליו חובת סודיות בדין. עבור עמותות, משמעות הדבר היא שסוגי מידע רבים שבעבר לא נחשבו “רגישים” כעת יקבלו מעמד מחמיר יותר, ויחייבו הגנות ונהלים מיוחדים (כפי שיוסבר בהמשך בפרק על מידע רגיש).
  • ביטול חובת רישום מאגרי מידע. אחת ההקלות בתיקון היא ביטול הדרגתי של חובת רישום מאגר מידע. עם זאת, יש חריגים: גופים ציבוריים וכן גורמים העוסקים בסחר במידע עדיין יחויבו ברישום. בנוסף, החוק מטיל חובת הודעה לרשות במקרים מסוימים: למשל, בעל מאגר מידע המכיל מידע רגיש במיוחד על יותר מ-100,000 אנשים (גם אם המאגר עצמו לא חייב ברישום) יצטרך לדווח לרשות על קיום המאגר, פרטי הארגון וממונה הפרטיות (אם יש) ועוד. עמותות רבות נדרשו בעבר לרשום מאגרי מידע (כגון מאגר תורמים או מקבלי שירותים). השינוי מקל עליהן מבחינת רישום, אולם הקלת הרישום לא מפחיתה מחובת ניהול נאות של המידע.

השלכות מעשיות לעמותות

השינויים הנ”ל דורשים מעמותות לבצע עדכונים משמעותיים באופן ניהול המידע. כל עמותה צריכה לבחון האם עליה למנות DPO, להתאים את נהלי העבודה להגדרות החדשות (למשל, לזהות איזה מידע ברשותה נחשב “רגיש במיוחד”), ולעמוד ברמת ציות גבוהה יותר לאור כלי האכיפה המוגברים. במילים פשוטות, רמת הסיכון באי-ציות לחוק עלתה, ולכן על עמותות לנקוט צעדים פרואקטיביים להבטיח עמידה בחוק ולהגן על פרטיות המידע שברשותן.

חובת מינוי ממונה על הגנת הפרטיות (DPO) בעמותות – האם ומתי?

אחד הנושאים המרכזיים בתיקון 13 הוא, כאמור, חיוב ארגונים מסוימים במינוי ממונה על הגנת הפרטיות (Data Protection Officer – DPO). מדובר בתפקיד חדש במרבית הארגונים בישראל, הדומה לתפקיד ה-DPO תחת רגולציית GDPR האירופית. חשוב להבהיר: לא כל עמותה חייבת במינוי ממונה – החובה חלה רק אם העמותה עונה על קריטריונים מסוימים שנקבעו בחוק. להלן הקריטריונים העיקריים למינוי ממונה, כפי שנקבעו בתיקון:

  1. גוף ציבורי. אם העמותה נחשבת “גוף ציבורי” (למעט גופי ביטחון שלהם יש הסדר נפרד), היא חייבת במינוי ממונה הגנת הפרטיות. רוב העמותות הפרטיות אינן מוגדרות כגוף ציבורי, אך ייתכנו מקרים גבוליים (למשל, עמותה שפועלת מכוח דין מיוחד או ממומנת ברובה בידי המדינה). כלל האצבע: עמותות רשומות “רגילות” אינן גוף ציבורי, ולכן קריטריון זה לרוב לא יחייבן.
  2. גורם העוסק במסירת מידע לאחרים (data broker). אם עמותה מפעילה מאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לצורך מסירתו לאחר בתמורה (כלומר, סחר במידע), ובמאגר יש מידע על יותר מ-10,000 אנשים – היא תחויב במינוי ממונה. תרחיש זה פחות שכיח במגזר המלכ”רי, שכן עמותות אינן נוטות לעסוק במסחר במידע לשם רווח.
  3. ארגון המעבד מידע אישי רגיש במיוחד בהיקף ניכר. אם העמותה מנהלת או מחזיקה מאגר מידע שיש בו מידע בעל רגישות מיוחדת בכמות משמעותית, והיא עושה זאת כחלק מפעילותה, עליה למנות ממונה. למשל, עמותת בריאות גדולה המטפלת בחולים (מידע רפואי), עמותת סיוע נפשי המחזיקה נתוני טיפול פסיכולוגי, ארגון סיוע לנפגעי עבירה עם מידע על רקע פלילי וטראומה, או עמותת צדקה המחזיקה מידע פיננסי רגיש על נתמכים. נציין שבקטגוריה זו החובה חלה גם אם העמותה רק מחזיקה את המאגר עבור גוף אחר (כקבלן עיבוד מידע), ולא רק אם היא הבעלים הישיר.

 

תפקידו וסמכויותיו של ממונה הגנת הפרטיות בעמותות

תפקיד ה-DPO, הנו לוודא שהארגון (בעל המאגר והמחזיקים בו) יקיים את הוראות החוק, ולפעול לשם קידום הגנת הפרטיות ואבטחת המידע בארגון. הממונה אמור לשמש מוקד ידע מקצועי בתחום הפרטיות, לייעץ להנהלה ולעובדים בנושא, לקדם תוכניות הדרכה והטמעת תרבות של פרטיות, ולוודא ביצוע ביקורות ועמידה במדיניות הפרטיות של הגוף.

כשירות ה-DPO עבור עמותות

לפי החוק, הממונה חייב להיות בעל ידע והכשרה בדיני הגנת הפרטיות, וכן הבנה טכנולוגית והיכרות עם אבטחת מידע והפעילות של הגוף. הוא יכול להיות עובד פנימי בעמותה או גורם חיצוני במיקור-חוץ, ובלבד שאין ניגוד עניינים בין תפקידו זה לתפקידים אחרים שלו. על ה-DPO לדווח ישירות למנכ”ל העמותה.

DPO חיצוני

עבור עמותות שחייבות בכך – עד יום 14/8/2025, על העמותות לאתר ולמנות ממונה מתאים. מומלץ להתחיל כבר עתה בתהליך, שכן ההתקשרות עם גורם מקצועי אינה בהכרח פשוטה. גם עמותות שאינן חייבות במינוי DPO לפי חוק עשויות לשקול מינוי כזה בהתנדבות או לפחות להסמיך עובד בכיר כאחראי תחום פרטיות, במסגרת ניהול הסיכונים. משרד וולר מציע שירותי DPO חיצוני (במיקור חוץ), עבור ארגונים.

 

אחריות הוועד המנהל בעמותה להגנת הפרטיות – אחריות אישית, פיקוח וניהול סיכונים

מנכ”ל העמותה והוועד המנהל נושאים באחריות העליונה להתנהלות החוקית והתקינה של העמותה – בכלל זה גם לציות לחוקי הגנת הפרטיות ואבטחת המידע. החוק מטיל את החובות גם על נושאי המשרה ובעלי התפקידים בעמותה, ולא רק על העמותה כמוסד מופשט. משמעות הדבר: אם עמותה מפרה את חוקי הפרטיות, ייתכן וניתן יהיה לייחס אחריות אישית לחברי הוועד המנהל, למנכ”ל ולגורמים בכירים נוספים, במיוחד אם ההפרה נבעה מהתרשלותם בפיקוח וניהול.

אחריות הוועד המנהל של העמותה  

נכון להיום, הרשות להגנת הפרטיות קובעת את אחריותו של הדירקטוריון (כהגדרתו בחוק), בתחום הגנת הפרטיות, ורק עבור חברות שבליבת העיסוק שלהן מידע אישי או סיכון לפרטיות. דהיינו, הרשות להגנת הפרטיות איננה מטילה אחריות על חברי הוועד המנהל. עם זאת, צפוי כי הפסיקה תרחיב את ההגדרה שבחוק, ותשווה את המעמד לדירקטוריון, באופן שתחול אחריות גם של חברי הוועד המנהל.

כיצד הוועד המנהל יכול למלא חובתו?

ראשית, על חברי הוועד להכיר בכך שהגנת הפרטיות היא חלק מחובות הניהול והפיקוח שלהם. מומלץ שהנושא יעלה לדיון בישיבות הוועד באופן סדיר, למשל בדיווח תקופתי של ממונה הפרטיות (אם יש) או גורם מקצועי אחר. שנית, על הוועד לוודא שקיימת בעמותה תוכנית ציות פנימית לנושא פרטיות ואבטחת מידע, כולל נהלים כתובים, מדיניות והכשרות (ראו פרק צעדים פרקטיים). שלישית, בעת קבלת החלטות אסטרטגיות, הוועד צריך לקחת בחשבון את היבטי הפרטיות – למשל, בבחירת מערכת מחשוב חדשה המכילה מידע אישי, לוודא שיש תקציב לאבטחה; בשיתוף פעולה עם גורם חיצוני, לוודא שיש הסכם שמגן על הנתונים וכדומה. האחריות הסופית אמנם מוטלת על ההנהלה, אך אם הוועד המנהל ינקוט צעדי פיקוח ומניעה סבירים, הוא יקטין משמעותית את סיכון האחריות האישית ויגן גם על העמותה וגם על עצמו.

 

טיפול במידע רגיש בעמותות – סוגי מידע רגיש וחובות בטיפולו

עמותות עוסקות לרוב במידע אישי של מתנדבים, תורמים, מקבלי שירות, עובדים ועוד. חלק ממידע זה יכול להיחשב “מידע רגיש” או “מידע בעל רגישות מיוחדת” לפי החוק, ולכן דורש הקפדה יתרה.

סוגי המידע הרגיש (מידע בעל רגישות מיוחדת)

תיקון מס’ 13 לחוק הגנת הפרטיות מפרט רשימה רחבה של פריטי מידע הנחשבים רגישים במיוחד, ביניהם –

  • מידע על חייו האישיים והמשפחתיים של אדם (לדוגמה: מצבו המשפחתי, הרגלי חיים אינטימיים, נטייתו המינית).
  • מידע על בריאותו הפיזית או הנפשית של אדם, כולל מידע רפואי וגנטי.
  • מידע על דעותיו הפוליטיות, אמונותיו הדתיות או השקפת עולמו.
  • הערכות מקצועיות על אישיותו (כגון אבחונים פסיכולוגיים, מבחני מהימנות).
  • מידע על עבר פלילי (הרשעות, חקירות).
  • מזהים ביומטריים (טביעות אצבע, זיהוי פנים).
  • נתוני מיקום ותקשורת (כגון פלט שיחות, איכוני טלפון) שיכולים לחשוף הרגלים של אדם.
  • נתוני שכר ופעילות פיננסית של אדם.
  • וכל מידע שחלה עליו חובת סודיות בדין (למשל, מידע שהוגדר כסודי לפי חוק אחר, כמו תיק אימוץ או מידע פסיכולוגי לפי חוק הנוער).
  • פרטי זיהוי רשמיים (תעודת זהות, מספרי דרכון) ואמצעי תשלום (כרטיסי אשראי) בדרך-כלל נתפסים כמידע רגיש בשל הסכנה שבשימוש לרעה בהם, אף אם לא צוינו מפורשות ברשימה.

אילו חובות חלות על טיפול במידע רגיש בעמותה?

כאשר עמותה אוספת או מחזיקה מידע רגיש, החוק מטיל עליה כמה חובות עיקריות:

חובת אבטחת מידע מוגברת

סעיף 17 לחוק הגנת הפרטיות מחייב כל בעל מאגר מידע לקיים אבטחת מידע נאותה ולמנוע דליפות, חדירות או שימוש לא מורשה במידע. התקנות לאבטחת מידע מפרטות דרישות בהתאם לרמת האבטחה הנדרשת. מאגרים המכילים מידע רגיש בהיקף גדול יחויבו ברמת אבטחה בינונית או גבוהה, הכוללת אמצעים מחמירים: הגבלת גישה למידע רק לעובדים שהוסמכו לכך, שימוש באמצעי זיהוי ואימות חזקים, הצפנת מידע רגיש במאגר ובגיבויים, תיעוד וגיבוי לוגים של גישה למידע, ביצוע בקרות תקופתיות, ועוד. כמו כן, ברמות אבטחה אלה חובה למנות מנהל אבטחת מידע בארגון, ולערוך הדרכות ייעודיות לעובדים בעלי גישה למידע.

בפועל, עמותה המטפלת במידע רגיש צריכה להטמיע נהלי אבטחה פנימיים: לדוגמה, הגדרת סיסמאות חזקות, התקנת תוכנות אנטי-וירוס עדכניות, נעילת ארונות עם תיקים פיזיים רגישים, ושימוש בהרשאות מוגבלות במערכות מידע (כל משתמש רק לפי הצורך).

חובת סודיות

סעיף 16 לחוק מטיל חובת סודיות על כל אדם שבמסגרת תפקידו מקבל גישה למידע מתוך מאגר מידע (ובוודאי מידע רגיש). המשמעות היא שעובדי ומתנדבי העמותה בעלי גישה למידע אישי רגיש חייבים לשמור אותו בסוד ולא לגלותו או לעשות בו שימוש מעבר להרשאה שניתנה. על עמותה להחתים את עובדיה הרלוונטיים על התחייבות לסודיות ולהסביר להם את החובה הזו. הפרת סודיות עלולה להוות עבירה פלילית וגם עוולה אזרחית.

שימוש במידע רק למטרה שלשמה נמסר (עקרון צמידות המטרה)

אסור לגוף להשתמש במידע אישי שברשותו למטרה שונה מזו שלשמה המידע נאסף, אלא בהסכמת האדם או בהיתר מפורש בחוק. עיקרון זה הופך קריטי כשמדובר במידע רגיש. עמותה שאוספת למשל מידע רפואי מאדם לצורך מתן סיוע, אסור לה להשתמש באותו מידע לצורך אחר (נניח, העברתו לגוף מחקרי) בלי הסכמה. תיקון 13, כאמור, אף מאפשר תביעה של עד 10,000 ש”ח ללא הוכחת נזק אם הופר עיקרון צמידות המטרה. לכן על עמותה לנסח במדויק את מטרות איסוף המידע בהודעות הפרטיות שלה, ולוודא שלא נעשה שימוש החורג מהמטרות המוצהרות.

קבלת הסכמה מדעת

כאשר מידע רגיש נאסף ישירות מאדם, יש לקבל את הסכמתו המפורשת. כך, טופסי הרשמה של העמותה לשירותיה צריכים לכלול סעיף הסכמה לשמירת המידע הרגיש ושימוש בו למטרת השירות. אם יש כוונה לחלוק את המידע עם גורם חיצוני (למשל, להעביר דיווח לרשות ממשלתית, או להשתמש בשירותי ענן), יש לציין זאת במדיניות הפרטיות ולקבל הסכמה לכך, אלא אם ההעברה מתחייבת לפי דין.

כיבוד זכויות נושאי המידע

עמותה שמחזיקה מידע על אדם מחויבת לאפשר לו לממש את זכויותיו על פי החוק. הזכויות המרכזיות הן זכות עיון – כל אדם רשאי לפנות ולדרוש לדעת איזה מידע מחזיקה עליו העמותה במאגריה, ו-זכות תיקון – לדרוש תיקון או מחיקה של מידע שגוי או בלתי רלוונטי. חובה זו חלה על כל מידע אישי, אך לגבי מידע רגיש יש לה חשיבות יתרה, כי אי-כיבוד הזכות עלול לפגוע בפרטיות באופן חמור יותר. תיקון 13 אף הוסיף אפשרות לפסוק פיצוי ללא נזק אם לא נמחק מידע בעקבות בקשת אדם. לכן על עמותות להגדיר נוהל פנימי לפניות עיון/תיקון, ולוודא שהן מסוגלות לאתר ולמחוק מידע רגיש במידת הצורך.

העברת מידע לחו”ל

אם עמותה שומרת מידע רגיש בענן או מעבירה אותו לספק בחו”ל, עליה לוודא שההעברה עומדת בדרישות חוק הגנת הפרטיות (הדורשות רמת הגנה מספקת במדינת היעד או עמידה בתנאים חוזיים מאושרים). מידע רגיש במיוחד רצוי, אם ניתן, לשמור בשרתים מקומיים או להצפין לפני שליחתו לחו”ל, לצמצום סיכונים.

כיצד מיישמים הגנות על מידע רגיש בעמותות?

  • זיהוי וסיווג המידע. ראשית, לבצע מיפוי של המידע הרגיש בעמותה – איזה מידע רגיש יש לנו, היכן הוא נשמר (קבצים, מערכת ממוחשבת, ניירת), מי ניגש אליו ולמה. לאחר המיפוי, לסמן באופן ברור אילו מאגרים או קבצים מכילים מידע רגיש, כדי שיופעלו עליהם נהלים מחמירים.
  • הגבלת גישה והרשאות. להגדיר במערכות המידע הרשאות כך שרק מי שחייב לצפות במידע הרגיש – יקבל גישה. למשל, ייתכן שרק עובד סוציאלי בעמותה יכול לראות את מלוא פרטי התיק של מקבל סיוע, בעוד למתנדבים יוצגו רק נתונים חלקיים. מומלץ גם להשתמש באמצעי זיהוי כפולים (דו-שלבי) למי שמנסה לגשת למאגר רגיש מרחוק.
  • אבטחה טכנולוגית. לוודא שמידע רגיש מאוחסן בצורה מאובטחת – אם במסד נתונים ממוחשב, אז עם הצפנת הנתונים הרגישים; אם בתיקיות, תחת סיסמה; אם בענן – שהספק עומד בתקני אבטחה מוכרים. כמובן, גיבויים תקינים ומאובטחים חיוניים כדי למנוע אובדן מידע. תקנות אבטחת מידע אף מחייבות התקנת מערכות למניעת חדירות (כגון Firewall) והצפנת מידע רגיש בהעברה (SSL וכו’) עבור מאגרים ברמות בינונית ומעלה.
  • נהלי שימוש וזהירות.
  • הדרכות שוטפות.
  • צמצום מידע ושמירה מינימלית. עקרון צמצום הנתונים אומר שלא אוספים מידע רגיש שאינו חיוני. עמותה צריכה לשאול: האם אנו באמת צריכים את שדות המידע הרגישים הללו? אם לא – עדיף לוותר על איסופם. כמו כן, יש לשמור מידע רגיש רק כל עוד יש צורך חוקי או עסקי בו, ולאחר מכן למחוק באופן מאובטח.

 

השלכות משפטיות של הפרת חוק הגנת הפרטיות בעמותות

המחוקק הקנה לרשות להגנת הפרטיות כלים משמעותיים לאכיפת חוק הגנת הפרטיות, בעקבות תיקון 13, במספר מישורין: אחריות אזרחית, אכיפה מנהלית ואכיפה פלילית.

אחריות אזרחית (תביעות נזיקין ופיצויים)

חוק הגנת הפרטיות קובע כי פגיעה בפרטיות (כהגדרתה בחוק) מהווה עוולה אזרחית. אדם שנפגע מהפרת פרטיותו על ידי העמותה רשאי לתבוע פיצויים בבית משפט. בתי המשפט לאורך השנים פסקו פיצויים במקרים של חשיפת מידע אישי ללא רשות, דיוור פרסומי בניגוד לחוק, אי-אבטחת מידע וכדומה. התובע אינו חייב להוכיח שנגרם לו נזק ממוני ממשי – די בעצם הפגיעה בפרטיות. בנוסף, החוק מאפשר פסיקת פיצויים ללא הוכחת נזק עד סכום שנקבע (המכונה פיצויים לדוגמה). עד היום בתי משפט קבעו סכומים של עשרות אלפי שקלים לאדם כפיצוי לדוגמה במקרי פגיעה בפרטיות. תיקון 13, כאמור, הרחיב אפשרות זו: כעת ניתן לתבוע פיצויים לדוגמה (עד 10,000 ש”ח לאדם) גם על הפרות טכניות של החוק, כגון אי-מסירת הודעת פרטיות כנדרש, הפרת עקרון צמידות המטרה, או אי-מחיקת מידע לאחר שחלף זמן רב. המשמעות היא שעמותה יכולה להיתבע גם אם לא “פרסמה ברבים” מידע פרטי, אלא פשוט התרשלה בחובותיה על פי החוק.

אכיפה מנהלית (קנסות ועיצומים)

לרשות להגנת הפרטיות יש כיום (ובתיקון 13 אף ביתר שאת) סמכות להטיל קנסות מנהליים (עיצומים כספיים) על גוף שהפר את החוק. סכומי הקנסות תלויים בחומרת ההפרה, בכמות הנפגעים ובגודל הארגון. קנסות אלה אינם תלויים בתביעת נפגע – הרשות יכולה להטילם ביוזמתה, בעקבות חקירה או ביקורת. עבור עמותה, קנס מנהלי משמעותי עשוי להיות הרסני מבחינה כספית. לכן, מניעת הפרות מראש היא המפתח.

אכיפה פלילית

חלק מהוראות חוק הגנת הפרטיות מגובות בסנקציה פלילית. עוד לפני התיקון, דברים כמו שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה (ביודעין וללא סמכות) היו עבירה פלילית שעונשה עד 5 שנות מאסר (עבירת “פשע”). תיקון 13 הוסיף מספר עבירות, כגון איסור לעבד מידע שנאסף שלא כדין – כלומר, אם מידע התקבל מלכתחילה בהפרת חוק, גם שימוש בו לאחר מכן מהווה עבירה. הטעיה בקבלת מידע – מי שמציג מצג שווא לאדם כדי שיוציא ממנו מידע אישי, עובר עבירה.

תרחישים נפוצים עשויים להיות שימוש במאגר מידע שנדלף מגורם אחר (בידיעת העמותה); עמותה ששיתפה מידע עם ארגון אחר בניגוד לחוק. במקרים קיצוניים, רשויות האכיפה יכולות לפתוח בחקירה פלילית נגד המעורבים.

נזק תדמיתי

פרט לתביעות וקנסות, אירוע של הפרת פרטיות (למשל דליפת נתונים גדולה) עלול לגרום לנזק תדמיתי קשה לעמותה, אובדן אמון מצד תורמים וציבור, פגיעה במוטיבציית המתנדבים, וכמובן פגיעה במוטבים שהמידע עליהם דלף. נזקי המוניטין לעיתים חמורים יותר מהקנס הכספי. בנוסף, רגולטורים אחרים עשויים להתערב: למשל, רשם העמותות במקרה קיצון יכול לראות בהפרת חוק שיטתית משום ניהול לא תקין של העמותה. הדבר עשוי להוביל לסנקציות כמו אי-מתן אישור ניהול תקין, מה שישליך על יכולת קבלת תרומות ומענקים ממשלתיים. כך שהמשמעות של הפרת החוק חורגת מעבר לבית המשפט; היא נוגעת לעצם המשך תפקודה התקין של העמותה ולמעמדה הציבורי.

צעדים פרקטיים להיערכות עמותות להגנת הפרטיות

מה יכולות וצריכות עמותות לעשות, כבר עכשיו, כדי להיערך לעמידה בדרישות החוק? להלן סט של צעדים מעשיים וישימים, צ’ק ליסט לבדיקת מוכנות בתחום הגנת הפרטיות.

מיפוי המידע והסיכונים

ראשית, על העמותה למפות את כל מאגרי המידע והנתונים האישיים שברשותה. יש לזהות אילו סוגי מידע מוחזקים (פרטי תורמים, נתוני מקבלי שירות, מידע רפואי, רשימות דיוור, פרטי עובדים וכו’), היכן המידע שמור (קובץ אקסל? מערכת CRM? תיקיות נייר?), מי ניגש אליו, והאם הוא מועבר לגורמים חיצוניים. במסגרת המיפוי, יש לסווג את המידע לפי רמת הרגישות (למשל, לסמן איזה מאגר מכיל “מידע רגיש במיוחד”). מיפוי זה מהווה בסיס להבנת הסיכונים: מאגר גדול עם מידע רגיש = סיכון גבוה, רשימת דיוור עם שם וטלפון בלבד = סיכון נמוך יותר, וכדומה.

לאחר המיפוי, יש לבצע הערכת סיכונים – לבחון מהם איומי האבטחה הרלוונטיים (פריצה למחשב, עובד סורר, טעות אנוש) ומה הנזק הפוטנציאלי בכל מקרה. רצוי לתעד תהליך זה כדי שישמש מאוחר יותר כראיה למאמץ הציות של העמותה.

עדכון מדיניות הפרטיות והודעות לנושאי מידע

כל עמותה צריכה לגבש או לעדכן מדיניות פרטיות ברורה. המדיניות היא מסמך (פנימי וחיצוני) שמתאר איזה מידע העמותה אוספת, מהן המטרות, כיצד המידע נשמר ומאובטח, למי הוא נמסר, ומה זכויות האנשים. עבור עמותות רבות, מדיניות הפרטיות מתבטאת גם ב”הודעת פרטיות” שניתנת לתורמים, למשתתפים בתכניות, למשתמשי האתר וכו’ בעת איסוף המידע.

תיקון 13 הרחיב את חובת ההודעה: כעת בעת איסוף מידע יש לפרט גם את שם ומען בעל השליטה במאגר ודרכי ההתקשרות עמו, וכן במקרה של מינוי ממונה הגנת פרטיות – גם את פרטיו. יש לוודא שהטפסים, אתרי האינטרנט ודפי ההרשמה של העמותה כוללים את מלוא המידע הנדרש. כמו כן, יש לוודא שהמדיניות תואמת את הדרישות החדשות בתיקון 13.

המדיניות צריכה להיות נגישה ושקופה כלפי הציבור – פרסום באתר העמותה, במסמכי ההצטרפות, וכדומה.

בנוסף, על העמותה לקבוע נהלים פנימיים לעובדים לטיפול במידע, בהתאם למדיניות – למשל, נוהל מענה לבקשות עיון/תיקון, נוהל דיווח על אירוע אבטחה, נוהל שמירת מידע במערכות.

מינוי אחראי להגנת הפרטיות (DPO)

אם העמותה חייבת במינוי ממונה הגנת הפרטיות (DPO) על פי החוק – יש לפעול למינויו בהקדם, כאמור. גם אם לא חלה חובה פורמלית, מומלץ למנות אחראי פרטיות פנימי (אפשר בהיקף חלקי, נוסף על תפקיד אחר) שיהיה איש הקשר לנושא. אותו אחראי יוביל את יישום כל הצעדים כאן, יוודא שהם מתבצעים ויתעדכן ברגולציה.

חיזוק אבטחת המידע (טכנית וארגונית)

על סמך מיפוי הסיכונים, יש ליישם את כל אמצעי האבטחה הנדרשים, וככל שנמצאו פערים, לטפל בהם מיידית.

כמו כן, להקפיד על עדכון הסכמים עם ספקים חיצוניים. אם העמותה משתמשת בשירותי תוכנה או ענן, ודאו שהסכם השירות כולל סעיפי הגנת מידע, הסכם DPA באשר לעיבוד מידע על ידי הספק, דרישה מהספק לקביעת רמת אבטחה נאותה, זכות לבקרות, חובת דיווח על אירוע דלף מידע, וכיוצ”ב.

הדרכת עובדים ומתנדבים

כאמור, הגורם האנושי הוא קריטי. מומלץ לארגן הדרכות וסדנאות לכל גורם שבא במגע עם מידע אישי בעמותה. תכני ההדרכה צריכים לכלול: עיקרי חוק הגנת הפרטיות (בהתאם לתפקיד המשתתפים), חובת הסודיות, זיהוי ניסיונות הונאה (phishing) באימייל או בטלפון, פרוצדורה לדיווח מיידי במקרה של אובדן מידע (למשל, מחשב נייד שנגנב עם מידע של העמותה), וקווים מנחים לשמירה על פרטיות היומיום (לא להשאיר מסמכים חשופים, לא לדון בפרטי מקרה רגיש בקול רם במקום ציבורי וכו’). כדאי להדגים אירועים שקרו, כדי להגביר מודעות.

עריכת תכנית אכיפה פנימית ובקרה מתמשכת

מומלץ להכין מסמך תכנית אכיפה בתחום הגנת הפרטיות. מדובר במסמך ניהולי שמסכם את כל הצעדים שהארגון נוקט כדי לציית לחוק: מדיניות, נהלים, ממונים, הדרכות, לוחות זמנים לביקורות וכד’. תכנית כזו (אשר יכולה להוות חלק מתכנית רחבה יותר של ציות רגולטורי בעמותה) משמשת כמצפן לפעולה שוטפת. יש לקבוע במסגרת התכנית גם מנגנון בקרה – למשל, ביקורת פנימית שנתית שתבדוק מדגמית את רמת הציות.

התכנית והבקרות לא רק יעזרו לתפוס ליקויים בזמן, אלא יהוו גם ראיה טובה לטובת העמותה אם חלילה תיחקר – היא תוכל להראות שפעלה באופן יזום וסביר להטמעת החוק.

היערכות למקרי אירועי אבטחה

על אף כל אמצעי המנע, קיים סיכון שתתרחש פרצת אבטחה או תקלה (למשל, האקר שפורץ, או טעות שמובילה לשליחת נתונים רגישים לגורם לא נכון). חשוב שלעמותה תהיה תכנית תגובה לאירוע. בתכנית יצוין מי צוות הטיפול (מנמ”ר/ממונה אבטחה, יועמ”ש, יח”צ), למי מדווחים מיד (בראש ובראשונה – לראשי העמותה, ובהמשך ייתכן שלרשות להגנת הפרטיות ולנושאי המידע, בהתאם לחומרת האירוע), אילו פעולות לנקוט (לבודד שרת, לתקן פרצה, לערוך תחקיר). תיקון 13 מחמיר את חובת הודעת דיווח על אירועי אבטחה. כבר כיום תקנות האבטחה דורשות לדווח לרשות על אירוע אבטחה חמור (לגבי מאגר ברמת אבטחה בינונית/גבוהה), והתיקון ככל הנראה ירחיב דרישה זו ואולי גם יחייב הודעה לנפגעים במקרים מסוימים (בדומה ל-GDPR). לכן, תכנית התגובה היא קריטית הן למזער את הנזק המיידי והן לעמידה בדרישות החוק למתן דיווח מהיר.

תיעוד

יש לשמור תיעוד של כל הפעולות שננקטו במסגרת ההיערכות: פרוטוקולי ישיבות הנהלה על הנושא, אישורי השתתפות בהדרכה, דוחות סקר הסיכונים, קבלות על רכישת מערכות אבטחה, וכן פניות ותגובות של העמותה בנושאי פרטיות. בעת ביקורת של הרשות להגנת הפרטיות, העמותה תצטרך להראות ראיות לציות. בנוסף, התיעוד מסייע ברציפות: כאשר מתחלף בעל תפקיד (נניח, ממונה הפרטיות), הוא יכול ללמוד מהנעשה עד כה.

צעדים אלה יסייעו לעמותות ליצור סביבת עבודה “Privacy by Design” – פרטיות משולבת כברירת מחדל בתהליכי העבודה. מעבר למילוי דרישות החוק, הקפדה על הגנת המידע היא גם האינטרס של העמותה: היא מחזקת אמון מול התורמים והציבור, מונעת מבוכות תקשורתיות, ומשפרת את היעילות (סדר בארגון המידע).

סיכום

חקיקת תיקון 13 לחוק הגנת הפרטיות מסמנת עידן חדש של הגברת הרגולציה והאכיפה בתחום הפרטיות בישראל. עמותות, כמו יתר הגופים, חייבות להקדיש תשומת לב מיוחדת להשלכות התיקון. הגנת הפרטיות אינה “מותרות”: היא חלק בלתי נפרד מניהול העמותה. על הנהלות העמותות להפנים אחריותן ולהוביל מדיניות אקטיבית ויוזמת של ציות, פיקוח וניהול סיכונים בתחום זה. פעולה מקדימה עכשיו – במיפוי, מינוי ממונים, חיזוק נהלים והדרכה – תוכל לחסוך לעמותה תקלות עתידיות, קנסות ועוגמת נפש.

בסופו של יום, הגנה על פרטיות מקבלי השירות והתומכים של העמותה היא גם הגנה על המוניטין והלגיטימציה של העמותה עצמה. באמצעות יישום ההמלצות לעיל ושימוש במקורות המידע האמינים (חקיקה, הנחיות הרשות ופסיקה עדכנית ככל שישנה), עמותות יכולות להתאים עצמן לדרישות החדשות ולהמשיך בפעילותן הברוכה בבטחה משפטית. שמירה על פרטיות בעמותות היא היום תנאי יסוד לניהול תקין – ועם הכלים הנכונים, היא ברת השגה.

 

משרד וולר ושות’ מתמחה בליווי משפטי לעמותות ולגופים ציבוריים, עם דגש על רגולציה, הגנת הפרטיות, כתיבת והטמעת נהלי עבודה, וניהול סיכוני פרטיות  – תוך שילוב ידע משפטי, טכנולוגי, ניהולי וארגוני. מוזמנים ליצור קשר כבר כעת.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign