מהו השינוי המרכזי בתיקון 13 לחוק הגנת הפרטיות בשנת 2026?

תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות אכיפה דרמטיות, כולל עיצומים כספיים של מיליוני שקלים, ומטיל אחריות פיקוח ישירה על מנכ"לים ודירקטורים.

האם מנכ"ל נושא באחריות אישית להפרת פרטיות?

כן. תיקון 13 קובע כי כשל בהגנת הפרטיות נתפס ככשל ניהולי. המנכ"ל והדירקטוריון חייבים להוכיח כי קיימו חובת פיקוח אקטיבית על אבטחת המידע.

מה היתרון של ליווי משפטי על פני ייעוץ טכנולוגי?

היתרון המכריע הוא חיסיון עו"ד-לקוח. סקרי פערים וממצאים שנערכים תחת מעטפת משרד וולר ושות' חסינים מפני גילוי בבית משפט או בקשות חופש המידע.

מי חייב במינוי ממונה הגנת פרטיות (DPO)?

חובת המינוי חלה על גופים ציבוריים וארגונים המעבדים מידע רגיש בהיקף נרחב. אנו מספקים שירותי DPO חיצוני המשלבים הבנה משפטית וניהולית.

מה נחשב כמידע רגיש הדורש רמת אבטחה גבוהה?

נתונים על מצב בריאותי, דעות פוליטיות, עבר פלילי, ונתונים ביומטריים נחשבים למידע רגיש המחייב הגנה מקסימלית לפי תקנות אבטחת מידע.

ליווי משפטי בהגנת פרטיות, סייבר וניהול מאגרי מידע

📍 סיכום בקצרה

תיקון 13 לחוק הגנת הפרטיות הופך ליקויי אבטחת מידע לכשל ניהולי עם אחריות אישית למנכ”ל.
משרד וולר ושות’ מספק מעטפת הגנה ייחודית המשלבת ניסיון ניהולי בכיר עם חיסיון עו”ד-לקוח. השירות כולל שירותי DPO חיצוני, סקרי ציות וניהול משברי סייבר להפחתת חשיפה רגולטורית ומשפטית.

בעשור האחרון, הפרטיות עברה גלגול דרמטי: מנושא טכני המנוהל בחדר השרתים ובמחלקות ה-IT, לנושא המרכזי שעל סדר יומה של הנהלת החברה ושל הדירקטוריון. בשנת 2026, ובמיוחד נוכח תיקון 13 לחוק הגנת הפרטיות, המושג “יהיה בסדר” – לא קיים עוד. כיום, אירוע אבטחת מידע או הפרת פרטיות אינם מסתיימים רק בנזק תדמיתי. הם עלולים להוביל להשבתה עסקית, לקנסות מנהליים חסרי תקדים, להליכים משפטיים, לאחריות אישית של נושאי משרה, ועוד סנקציות.

משרד וולר ושות’ מביא לשולחן גישה מהפכנית. אנו מבינים שהגנת פרטיות היא בראש ובראשונה ניהול סיכונים. אנו לא בוחנים רק את האות הכתובה בחוק, אלא את המשמעות התפעולית והכלכלית של כל החלטה ארגונית וניהולית על השורה התחתונה של הארגון.

“מבט המנכ”ל”: מדוע הניסיון הניהולי של עו”ד רועי וולר הוא תעודת הביטוח שלכם?

בעולם המשפטי המסורתי, עורך הדין נתפס לעיתים קרובות כ”שומר סף” שתפקידו העיקרי הוא לומר “לא” או “זה מסוכן”. עבור מנכ”ל או דירקטוריון, הגישה הזו מייצרת לעיתים חיכוך. עורכי דין קלאסיים נוטים לפעול בתוך “סילו” (Silo) משפטי מבודד: הם מנתחים את הוראות החוק, מספקים חוות דעת בכתב מלאות בהסתייגויות, אך משאירים את המנהל ללא פתרון יישומי בשטח.

הפער הזה נובע מחוסר היכרות עם הדינמיקה של ניהול ארגון: הצורך בקבלת החלטות מהירה, ניהול תקציבים מוגבלים, הלחץ מצד משקיעים והשאיפה לחדשנות טכנולוגית. בעוד שעורך הדין הקלאסי רואה סיכון משפטי שיש להימנע ממנו, המנהל רואה אתגר עסקי שיש לנהל.

הערך המוסף של עו”ד רועי וולר נובע מהעובדה שהוא ישב משני צידי השולחן. כמי שכיהן בתפקידי מנכ”ל וניהול בכיר במערכות מורכבות, הוא אינו רק “יועץ חיצוני” אלא שותף אסטרטגי שמבין את המשמעות של כל הנחיה משפטית על הארגון.

משפט בשירות האסטרטגיה

אנחנו לא שואלים “האם זה מותר?”, אלא “איך עושים את זה נכון?”. הניסיון הניהולי מאפשר לנו לבנות מבנה משפטי שתומך במטרות העסקיות. אם הארגון מבקש להטמיע כלי AI חדשים, אנחנו לא נאסור את השימוש בהם מחשש לפרטיות, אלא נבנה פרוטוקול ניהולי המאפשר חדשנות תוך גידור הסיכונים הרגולטוריים.

שפה משותפת עם ההנהלה הבכירה

כשאתם מדברים על ROI, על “זמן לשוק” (Time to Market) או על יעדי צמיחה, אנחנו מבינים אתכם. הייעוץ שלנו לא נועד לעצור אתכם, אלא לספק לכם את ה”בלמים” שמאפשרים למכונית מרוץ לנסוע מהר יותר בסיבובים.

אסטרטגיה לפני בירוקרטיה

אי אפשר להטיל על הארגון הררי טפסים שחונקים את העבודה. המתודולוגיה שלנו מתמקדת ביצירת “זרימת נתונים בטוחה” – תהליכים שמוטמעים בתוך ה-Workflow הטבעי של הארגון, כך שהציות הופך לשקוף ויעיל.

נזכיר את המובן מאליו: הגנת פרטיות היא בראש ובראשונה נושא של תרבות ארגונית, לא רק מסמכים משפטיים. אי אפשר להנחית נהלים “מהחלל”. ליווי המשרד כולל הבנה של ההון האנושי, הדרכת צוותים בגובה העיניים ויצירת תהליכי עבודה שהעובדים יכולים (ורוצים) לעמוד בהם, מבלי שהדבר ייתפס כנטל בירוקרטי.

ניהול סיכונים מבוסס מציאות

אנחנו יודעים לתעדף. כל מאגרי המידע מחייבים התייחסות – אך לא כולם מחייבים רישום, דיווח, אותה רמת הגנה או אותה רמת דחיפות בטיפול. הניסיון הניהולי שלנו מאפשר לנו לסייע למנהלים בארגון היכן להשקיע את המשאבים כדי לקבל את מקסימום ההגנה המשפטית והתפעולית במינימום עלות.

תיקון 13 לחוק הגנת הפרטיות: המהפכה כבר כאן

עד לא מזמן, שיח אבטחת המידע בארגונים התמקד בחומות: Firewalls, הצפנה, הפרדת רשתות וניטור גישה. המטרה הייתה לבודד את המידע האישי בתוך “כספת דיגיטלית”. תקנות ה-GDPR, ובעקבותיהן תיקון 13, מעמידים במרכז את “נושא המידע” (Data Subject) – האדם שמאחורי השורה בבסיס הנתונים.

הזכות לניידות: האדם הוא הבעלים של המידע, ולא הארגון שאסף או שקיבל את המידע. היינו, היכולת של כל אדם לדרוש לעיין, לתקן ולהעביר את המידע שלו.
איסוף מידע בהתאם למטרה שהוגדרה, שאישר החוק, או שניתנה הסכמה מדעת של נושא המידע.
שקיפות אקטיבית: הארגון לא יכול להסתתר מאחורי “מדיניות פרטיות” סבוכה של 50 עמודים. בשנת 2026, המידע חייב להיות נגיש, קריא, מותאם ומובן.

סמכויות הרשות להגנת הפרטיות

הרשות להגנת הפרטיות נתפסה בעבר כגוף מייעץ, שתהליכי האכיפה שלו מסורבלים ואיטיים. החל מיום 15/8/2025, נוכח הסמכויות שהוענקו לרשות להגנת הפרטיות מכוח תיקון 13, הרשות הפכה לרגולטור בעל “נשק יום הדין”. מגוון של סמכויות וכלים שהופכים כל בדיקה, חקירה או ביקורת לאירוע בעל השלכות מרחיקות לכת. בין היתר, עיצומים כספיים כבדים עד לגובה של מיליוני ש”ח בהליך מנהלי, ללא צורך בניהול הליך פלילי ארוך או מורכב.

עבור המנכ”ל והדירקטוריון, המשוואה השתנתה: החוק כבר אינו דורש הוכחה של “כוונה פלילית” או רשלנות כדי להטיל קנס. כיום, די בקיומו של “ליקוי מובנה” – כשל בשיטת העבודה או אי-עמידה בסטנדרט הציות, כדי להפעיל סנקציות כספיות המגיעות למיליוני שקלים. במילים אחרות, הרשות כבר לא מחפשת רק את ה”פורץ” שמגיע מבחוץ; היא בוחנת את הליקוי המובנה בתוך המערכת. היא מחפשת כשלים בתרבות הארגונית, בהגדרת התפקידים ובניהול זרימת המידע.

המציאות היא שהמנכ”ל והדירקטוריון אינם יכולים עוד להסתתר מאחורי מנהל אבטחת המידע (CISO). הרשות להגנת הפרטיות עברה להתמקד ב”אחריות הפיקוח”. כשל בפרטיות נתפס כיום ככשל ניהולי לכל דבר, המטיל אחריות אישית על כתפי נושאי המשרה.

בוולר ושות’, אנו בונים עבורכם “חומת הגנה משפטית” אקטיבית. ההגנה שלנו אינה מתמצתת בקירות בטון טכנולוגיים, אלא בבניית ממשל נתונים מתועד. אנו מוודאים שבזמן אמת, וגם ביום שאחרי תקלה, הארגון יוכל להציג תשתית ראייתית מוצקה המוכיחה כי פעל לפי “סטנדרט הזהירות המצופה” ומטיב הפרקטיקה המקצועית.

משרדי ממשלה, חברות ממשלתיות, רשויות מקומיות, תאגידים עירוניים: הגנה על הפרטיות בגופים ציבוריים

תיקון 13 לחוק הגנת הפרטיות, מתייחס באופן מיוחד למגזר הציבורי. בעוד שהמחוקק בחר להקל על עסקים קטנים, הוא דווקא הידק את החבל סביב גופים ציבוריים, מתוך הבנה שהם מחזיקים במידע הרגיש ביותר של האזרחים.

השינוי הדרמטי ביותר הוא חובת המינוי של ממונה על הגנת הפרטיות (DPO). מעתה, כל משרד ממשלתי, רשות מקומית או גוף בריאות מחויב להחזיק ב”שומר סף” מקצועי שתפקידו לוודא שהארגון לא רק מדבר על פרטיות, אלא גם מיישם אותה. במקביל, האחריות המשפטית כבר לא מתפזרת בין מחלקות המחשוב; התיקון קובע כי מנכ”ל הגוף הציבורי הוא הנושא באחריות הישירה לניהול המאגר, מה שהופך את סוגיית הפרטיות לנושא קריטי בשולחן הנהלה.

אם בעבר הסתפקו הגופים הציבוריים ב”אותיות קטנות”, הרי שהיום עליהם לנהוג בשקיפות מלאה. בעת איסוף מידע, הגוף הציבורי חייב להבהיר לאזרח האם הוא מחויב למסור את המידע מכוח חוק או שזוהי בחירה חופשית, לפרט במדויק לאילו מטרות המידע ישמש, ועם אילו צדדים שלישיים הוא עשוי להשתף.

אחת ההקלות המשמעותיות בתיקון הייתה ביטול חובת רישום מאגרי המידע עבור רוב המגזר הפרטי. עם זאת, הגופים הציבוריים הוחרגו מהקלה זו. הם עדיין נדרשים לרשום את מאגרי המידע שלהם אצל הרשם, מה שמאפשר פיקוח הדוק יותר על זרימת המידע הציבורי והשימושים הנעשים בו.

הערך המוסף: חיסיון עו”ד-לקוח כנכס בניהול פרטיות

מצד אחד, תיקון 13 מחייב גופים לבצע “בדק בית”, לערוך מבדקי חדירות (PT), ולחשוף כשלים במערכות המידע שלהם. מצד שני, כל חשיפה של ליקוי כזה עלולה להפוך ל”כדור אקדח” בידי תובעים או לשמש ככלי לניגוח ציבורי ותקשורתי. כאן בדיוק נכנס היתרון המכריע של משרד וולר ושות’.

בניגוד לייעוץ הניתן על ידי חברות טכנולוגיה או מומחי פרטיות שאינם משפטנים, הליווי של משרדנו מעניק לארגון חיסיון עו”ד-לקוח. הגנה זו מאפשרת לארגון ליצור מרחב מוגן ובטוח לבחינה עצמית; כאשר גוף ציבורי עורך סקר פערים או ביקורת אבטחת מידע באמצעות יועץ חיצוני רגיל, הממצאים הללו אינם חסינים. במקרה של דליפת מידע, תובעים עלולים לדרוש את חשיפת הדו”חות הללו כדי להוכיח שהארגון היה מודע לתקלה אך בחר שלא לטפל בה – טענה שהופכת להודאה כמעט אוטומטית ברשלנות.

המודל של משרד וולר משנה את המשוואה הזו מהיסוד. חוות דעת, סקירה, מיפוי ובדיקה שנערכים תחת המעטפת המשפטית של משרדנו, נהנים מחיסיון. המשמעות הפרקטית היא שהנהלת הארגון יכולה – ואף צריכה – להיות כנה לחלוטין לגבי חולשותיה, מתוך ידיעה ברורה שהממצאים הללו לא יוכלו לשמש נגדה כראיה. מעבר לכך, הליווי המשפטי מספק חסינות גם מול בקשות מכוח חוק חופש המידע; בעוד שייעוץ עסקי רגיל עשוי להיות חשוף לעיון הציבור, התכתבויות וחוות דעת משפטיות נהנות מהגנה סטטוטורית חזקה המונעת מחומרים רגישים להתגלגל לידיים עוינות.

יתרון זה הופך לקריטי במיוחד לאור האחריות האישית שהטיל תיקון 13 על מנכ”ל הגוף הציבורי. הליווי שלנו מאפשר לדרג הבכיר לקבל החלטות מבוססות סיכונים בתוך “חדר סגור”, לבחון תרחישי קיצון ולגבש אסטרטגיית תיקון מבלי שהדיונים הפנימיים על חומרת המצב יהפכו לנחלת הכלל. גם ברגעי משבר, כמו אירוע סייבר בזמן אמת, הפעולה תחת חסות המשרד מאפשרת לנהל את האירוע ולגבש את הדיווח לרשויות תוך שמירה על חיסיון לגבי כל ההתייעצויות המוקדמות.

בשורה התחתונה, היתרון התחרותי של משרד וולר אינו מסתכם רק בידע מקצועי, אלא ביכולת להעניק לגוף הציבורי את הביטחון המוחלט לחקור את עצמו ולהשתפר, מבלי שתהליך התיקון עצמו יהפוך לסיכון משפטי חדש.

סל השירותים המורחב: מעטפת 360 מעלות

1. שירותי DPO (Data Protection Officer) במיקור חוץ

לא כל ארגון זקוק לממונה פרטיות במשרה מלאה, אך כל ארגון חייב את הידע. אנחנו משמשים כ-DPO החיצוני של הארגון, מספקים מענה לפניות נושאי מידע, לשאלות יומיומיות ומייצגים אתכם מול הרשויות.

2. סקרי ציות ומיפוי נתונים

אי אפשר להגן על מה שלא יודעים שקיים. אנחנו מבצעים מיפוי מעמיק של זרימת הנתונים בארגון, מזהים “חורים שחורים” ומציעים תוכנית עבודה מדורגת לסגירת פערים.אנו מאמינים בגישת “פרטיות בתכנון” (Privacy by Design) למניעת כשלי אבטחה מובנים.

תסקיר השפעה (DPIA): הערכת סיכונים לפרטיות בתהליכים טכנולוגיים ועסקיים חדשים.
סקרי פערים (Gap Analysis): מיפוי הפער בין המצב הקיים לדרישות התקנות ודירוג סיכונים משפטיים.
מיפוי זרימות מידע: תיעוד מלא של איסוף, עיבוד והעברת מידע בתוך ומחוץ לארגון.

3. הכנה לביקורות של הרשות להגנת הפרטיות

אל תחכו שהרשות תקיש בדלת. אנחנו מבצעים “ביקורות דמה” ומכינים את הצוותים שלכם להתמודדות עם שאלות הרגולטור.

4. מסמכי תשתית ונהלים משפטיים

כתיבת התשתית המשפטית הנדרשת לפי תקנות אבטחת המידע:

מסמכי הגדרות ומבנה מאגר: ניסוח בהתאם לתקנות 2 ו-5, כולל מטרות וסיכונים.
נוהל אבטחת מידע ארגוני: גיבוש נוהל מקיף (תקנה 4) ובקרתו השנתית.
מדיניות פרטיות: ניסוח הודעות פרטיות ומנגנוני הסכמה מודעת המותאמים לחובת היידוע המורחבת.

5. ניהול ספקים ומיקור חוץ (Third Party Risk)

הגנה על הארגון דרך שרשרת האספקה:

הסכמי עיבוד נתונים (DPA): ניסוח נספחי פרטיות קשיחים מול ספקים חיצוניים.
בקרת ספקים: בדיקת עמידות ספקים (סעיף 15 לתקנות) ועיגון זכויות פיקוח.
העברת מידע לחו”ל: הסדרת העברות נתונים בין-לאומיות בהתאם לתקנות העדכניות.

6. הגנה על זכויות נושא המידע וניהול משברים

מימוש זכויות: בניית מנגנונים לטיפול בבקשות לעיון, תיקון וצמצום מידע (Data Minimization).