שאלות ותשובות: תיקון 13 לחוק הגנת הפרטיות בעמותות

תיקון 13 מעדכן את ההגדרות הקיימות בתחום הפרטיות, מצמצם חובות מיותרות ומוסיף מנגנוני פיקוח ואכיפה. עבור עמותות, משמעות התיקון כפולה: ראשית, הוא מחייב אותן להטמיע מדיניות ונהלים ברורים לאיסוף, שימוש ושמירת מידע אישי של תורמים, מתנדבים, תלמידים או מטופלים. שנית, הוא חושף אותן לסנקציות כבדות במקרה של אי־ציות – לרבות עיצומים כספיים, צווים משפטיים ותביעות.

התיקון חל על כל גוף המחזיק או מעבד מידע אישי, ובכלל זה עמותות קטנות ביותר. אין פטור בשל היקף התקציב, מספר חברי העמותה או מספר מתנדבים. היקף החובות נגזר מהסיכון, מהיקף המידע ומרגישות המידע.

מידע רפואי, פסיכולוגי, עבר פלילי, אמונות דתיות או פוליטיות, נטייה מינית, שכר והכנסות, מידע פיננסי אישי, נתוני מיקום, נתוני תקשורת, וכן נתונים ביומטריים (טביעות אצבע, זיהוי פנים). גם מזהים מקוונים, כגון כתובות IP או מזהי עוגיות, עשויים להיחשב מידע רגיש אם הם משמשים לפרופילינג. עמותות המחזיקות מידע מסוג זה חייבות לנקוט באמצעי אבטחה מחמירים יותר, לבחון חובת מינוי DPO, ולעגן בהסכמי ספקים ובנהלים פנימיים את החובות הנדרשות. החזקת מידע רגיש כזה ללא מנגנוני אבטחה נאותים מהווה סיכון משפטי חמור.

מקור החובה למנות DPO באחד משלושת המקרים הבאים: (א) כאשר מדובר בגוף ציבורי; (ב) כאשר העמותה מחזיקה או מעבדת מידע רגיש במיוחד בהיקף רחב; (ג) כאשר היא מבצעת ניטור שיטתי של אנשים – למשל איסוף נתוני מיקום, ניתוח פרופילים דיגיטליים או שימוש שוטף במערכות CRM.

הממונה על הגנת הפרטיות חייב להיות עצמאי, בעל ידע משפטי וטכנולוגי, ולדווח ישירות להנהלה. הרשות אף פרסמה מדיניות אי־אכיפה זמנית נקודתית, אך זו נועדה רק לאפשר היערכות הדרגתית. בפועל, גם אם אין חובה פורמלית, מומלץ למנות DPO כדי להפחית חשיפה משפטית ולהבטיח ניהול מקצועי של תחום הפרטיות.

החוק מאפשר למנות DPO במיקור חוץ (אאוט-סורסינג), בתנאי שהוא עומד בדרישות החוק: ידע מקצועי מוכח בדיני פרטיות ואבטחת מידע, הבנה טכנולוגית ויכולת עצמאית לפעול ללא ניגוד עניינים. מינוי חיצוני מתאים במיוחד לעמותות קטנות ובינוניות שאין להן משאבים להעסיק ממונה פנימי במשרה מלאה. ההסכם מול DPO חיצוני חייב להבטיח גישה מלאה למידע, קשר ישיר עם ההנהלה, עצמאות בקבלת החלטות וזכות לבדיקה וביקורת. במודל זה, ניתן לקבל ליווי משפטי־טכנולוגי מותאם, תוך חסכון תקציבי. עמותות רבות בוחרות במודל החיצוני מתוך הבנה שהוא מאפשר להן עמידה בתיקון 13 לצד שליטה תקציבית.

עד לתיקון 13 לחוק הגנת הפרטיות, כמעט כל מאגר מידע היה חייב ברישום. התיקון שינה זאת: כיום, רק מאגרים בעלי פרופיל סיכון גבוה (מאגרים הכוללים מידע רגיש במיוחד או כאלה שנעשה בהם שימוש מסחרי) חייבים ברישום מלא. לצד זאת, קיימת חובה חדשה של הודעה לרשות, גם במקרים שאין חובת רישום. חובת ההודעה כוללת דיווח על מטרות העיבוד, סוגי המידע, פרטי בעל השליטה, פרטי DPO אם מונה, ואמצעי אבטחה. ההבחנה בין רישום להודעה נועדה לצמצם בירוקרטיה, אך להבטיח שקיפות ופיקוח אפקטיבי. עמותות חייבות לבדוק בכל שלב אם הן חוסות תחת חובת הודעה או רישום.

כאשר מתקיים תנאי המחייב הודעה, על העמותה למסור הודעה לרשות להגנת הפרטיות בתוך 30 ימים. ההודעה צריכה לכלול מסמך הגדרות מאגר ובו פירוט מטרות, סוגי מידע, אמצעי אבטחה ופרטי בעלי תפקידים. עמותה שאינה עומדת במועד זה עלולה להיחשב כמי שהפרה את החוק ולהיחשף לעיצומים כספיים. לכן, חשוב לשלב בדיקה זו כחלק בלתי נפרד מתהליך המיפוי השנתי. מומלץ להכין מראש טיוטות הודעה ולהחזיק מנגנון תיעוד פנימי שיאפשר מילוי מהיר של הדרישות אם תתעורר החובה.

מסמך זה מהווה את “תעודת הזהות” של המאגר. הוא צריך לכלול: פרטי בעל השליטה, פרטי DPO אם מונה, מטרות העיבוד המדויקות, סוגי המידע הנאספים, המקורות שממנו נאסף המידע, נמענים אפשריים של המידע, בסיס חוקי לעיבוד, אמצעי אבטחה טכנולוגיים וארגוניים, תקופות שמירה ומחיקה, וכן פרטי יצירת קשר לנושאי מידע. בנוסף, חשוב לכלול התייחסות להעברת מידע לחו”ל אם קיימת כזו. המסמך אינו רק דרישה פורמלית – הוא מהווה כלי עבודה לניהול סיכונים, לתיאום עם הנהלה, ולהבטחת עמידה בדרישות החוק בעת ביקורת פנימית או חיצונית.

תיקון 13 חיזק והרחיב את זכויות נושאי המידע. כל אדם זכאי לעיין במידע שנשמר עליו, לדרוש תיקון מידע שגוי או לא מעודכן, לבקש מחיקה של מידע שאינו נחוץ עוד למטרותיו החוקיות, ולהתנגד לעיבוד במצבים שאין לו בסיס חוקי מוצק. העמותה מחויבת לאפשר מימוש זכויות אלה באמצעות מנגנון נגיש, ברור ומתועד – בין אם באמצעות טופס מקוון, דואר אלקטרוני או פנייה פיזית. זמן התגובה מוגדר בחוק – 30 ימים. הפרה של זכות כזו מהווה פגיעה ישירה בזכות יסוד ועלולה להביא לעיצומים ואף לתביעות.

החוק קובע פרק זמן של 30 ימים ממועד קבלת הבקשה. העמותה רשאית להאריך את התקופה בנסיבות מיוחדות, אך עליה לנמק זאת בכתב לפונה. אם קיימת חובה חוקית לשמור את המידע (כגון שמירת מסמכי שכר או תיעוד תרומות לצורכי מס), ניתן לסרב למחיקה אך חובה להסביר לפונה ולצמצם שימוש נוסף. ניהול נכון דורש הקמת מנגנון SLA פנימי, תיעוד כל בקשה והחלטה, ומינוי איש קשר ייעודי. אי־תגובה במועד נחשבת כהפרה בפני עצמה ועלולה להוביל לסנקציות גם אם לא נגרם נזק ישיר לנושא המידע.

כן. גם טפסי תרומה ידניים, טפסי הרשמה לפעילויות או טפסי התנדבות – מודפסים או דיגיטליים – נחשבים כחלק ממאגר מידע אם נאסף בהם מידע אישי מזוהה. אין חשיבות לכך שהטפסים אינם מנוהלים במערכת ממוחשבת מתקדמת; ברגע שהמידע נשמר ונעשה בו שימוש, החוק חל עליו. לפיכך, עמותה חייבת להציג הודעת פרטיות בעת מילוי הטפסים, להבהיר למי מיועד המידע, מה מטרות העיבוד ומהן זכויות הנרשמים. במידה והטפסים סורקים ונשמרים בקבצים, הם מחויבים לעמוד בתקני אבטחת מידע, לרבות הצפנה ושליטה בגישה. אי־התייחסות לטפסים אלו כמאגרים חושפת את העמותה לסיכון משפטי ממשי.

כאשר ספק חיצוני מקבל גישה למידע אישי (לרבות רואה חשבון, עורך דין, חברת IT, ספק שירותי ענן או פלטפורמת דיוור, ואפילו אם הם חינמיים כמו monday)  – יש חובה לחתום על הסכם עיבוד מידע (DPA). ההסכם חייב לכלול פירוט של סוגי המידע המועברים, מטרות השימוש, התחייבות לאבטחה מתאימה, מגבלות על שימוש חורג, נוהל למחיקת מידע עם סיום ההתקשרות, ודרישה לדיווח מיידי במקרה של אירוע אבטחת מידע. בנוסף, על ההסכם להגדיר אחריות נושאת סנקציות במקרה של הפרה. אין להסתפק בתנאים כלליים שמציע הספק. עמותה שלא דאגה להסכמי DPA עם ספקיה עלולה להיחשב כמי שלא קיימה את חובותיה החוקיות.

ניהול הרשאות הוא נדבך קריטי בהגנת פרטיות. על העמותה ליישם את עקרון “הגישה המינימלית”: כל עובד או מתנדב יקבל גישה רק למידע הנדרש לתפקידו. יש לקבוע סיווגי מידע, לקבוע הרשאות ברמת משתמש, להגדיר אימות רב־שלבי (כגון קוד חד־פעמי לנייד), לנהל רישום של כל גישה ולבצע בדיקות תקופתיות של הרשאות. עובדים שסיימו תפקידם חייבים להיות מוסרים מיידית מרשימות הגישה. בנוסף, יש ליישם בקרה לוגית – ניהול משתמשים, סיסמאות חזקות, ותיעוד לוגי של כל כניסה ופעולה במערכת. מערך הרשאות כושל הוא מקור עיקרי להפרות פרטיות ולדליפות מידע.

כן. עמותה חייבת להטמיע תרבות של פרטיות ואבטחת מידע בקרב כל מי שנחשף למידע אישי – עובדים, מתנדבים, ספקים. ההדרכות צריכות לכלול: הסבר על החוק והחובות, דוגמאות מעשיות, נוהלי אבטחת מידע פנימיים, והדרכה על זיהוי איומים כגון פישינג או שימוש לא מורשה. ההדרכות חייבות להיות מתועדות ולהיערך אחת לשנה לפחות. מטרתן אינה רק פורמלית אלא גם פרקטית – הקטנת טעויות אנוש, שהן גורם מרכזי להפרות. בהיעדר הדרכות מתועדות, הרשות עשויה לקבוע כי העמותה לא קיימה את חובת הציות, גם אם היא השקיעה באבטחת מידע טכנולוגית.

להרחבה בנושא אבטחת מידע, אנחנו ממליצים לעיין במדריך של הרשות להגנת הפרטיות, כאן.

החוק קובע כי עמותה חייבת להשיב לכל בקשה של נושא מידע לעיון או תיקון בתוך 30 ימים ממועד קבלת הבקשה. ניתן להאריך את התקופה בנסיבות מיוחדות, אך חובה לנמק זאת. אי־תגובה בתוך פרק הזמן נחשבת כהודעת סירוב, ועלולה להיחשב כהפרה של החוק. על כן, עמותה צריכה להקים מנגנון מובנה לטיפול בבקשות: טופס פנייה נגיש באתר, איש קשר ייעודי, נהלים פנימיים לאימות זהות, ותיעוד של תהליך המענה. בכך, העמותה מבטיחה עמידה בהוראות החוק ושומרת על אמון נושאי המידע.

לעיתים קיימת חובת שמירה בחוק (לדוגמה שמירת מסמכי שכר לעובדים למשך שבע שנים, או מסמכי תרומות לצורכי מס. במקרים אלה, העמותה אינה יכולה למחוק את המידע לפי בקשת נושא המידע. עם זאת, עליה להגביל את השימוש במידע למינימום, למנוע גישה שאינה נדרשת ולתעד את הסיבה לסירוב. חובה להשיב לנושא המידע בכתב, להסביר את החובה החוקית ולפרט מה נעשה לצמצום השימוש. כך מיישמת העמותה את האיזון בין חובת השמירה לבין זכות הפרטיות. שקיפות ותיעוד מלאים הם המפתח למניעת מחלוקות עתידיות. קראו כאן על צמצום מידע עודף.

כאשר עמותה מעבירה מידע אישי לגורמים שלישיים (שותפים, גופי מימון, רשויות מקומיות או רשויות המדינה), עליה לוודא שההעברה נעשית על בסיס חוקי ברור (הסכמה, חובה משפטית או אינטרס לגיטימי). יש לתעד את מטרת ההעברה, סוגי המידע, ולוודא שהצד המקבל מחויב לעמוד בהוראות החוק. במקרים רגישים, יש לדרוש מהצד המקבל לחתום על הסכם לשמירה על פרטיות, אבטחת מידע ומחיקה עם סיום הצורך. כל העברה שאינה מוסדרת בחוק או בחוזה מהווה סיכון ממשי לחשיפת מידע ולהפרה רגולטורית.

אנחנו ממליצים כי האפשרות להעביר את המידע תופיע במדיניות הפרטיות המפורסמת לציבור, וכי תתקבל הסכמה לכך.

העברת מידע אישי מחוץ לישראל מותרת רק אם מתקיימות דרישות הדין. הדרך הפשוטה ביותר היא כאשר המידע מועבר למדינה שהוכרזה על ידי הרשות כמדינה המספקת “רמת הגנה נאותה” – למשל מדינות האיחוד האירופי. כאשר מדובר במדינה שלא קיבלה הכרה כזו, חובה להחתים את מקבל המידע על הסכמים חוזיים הכוללים התחייבויות לשמירה על רמת הגנה מקבילה לדין הישראלי, לרבות אבטחה, שקיפות, מחיקה וציות לזכויות נושאי המידע. במקרים רגישים, כגון העברת מידע רפואי או פיננסי, מומלץ לבצע הערכת סיכונים (DPIA) טרם ההעברה. אי־קיום הדרישות חושף את העמותה לעיצומים משמעותיים ולסנקציות.

נכון להיום, אין דרישה לאחריות חוקית של חברי הוועד (בניגוד לחברי דירקטוריון), נראה כי המגמה היא לדרוש מחברי ועד לפעול ולהכווין את פעילות העמותה, גם בתחום הגנת הפרטיות. לכן, נמליץ כי הוועד המנהל יעסוק בנושא, יאשר מדיניות פרטיות ואבטחת מידע, יקבע תקציב ומשאבים לנושא, יפקח על מינוי ממונה על פרטיות (DPO) אם נדרש, וידרוש לקבל דיווחים שוטפים על אירועי אבטחה, סקרי סיכונים ובקשות נושאי מידע. בנוסף, על הוועד להבטיח שהעמותה מתעדכנת בשינויים רגולטוריים ושקיימת תוכנית עבודה שנתית בתחום.

תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות אכיפה נרחבות. ניתן להטיל עיצומים כספיים מדורגים בהתאם לחומרת ההפרה, סוג המידע שנפגע והיקף הנפגעים. במקרים חמורים העיצומים יכולים להגיע למאות אלפי שקלים ואף להצטבר לסכומים של מיליונים כאשר מדובר בהפרות נרחבות. בנוסף, ניתן להוציא צווי מניעה להפסקת עיבוד, לדרוש מחיקה מיידית של מידע ולעתים אף להטיל אחריות אישית על חברי הנהלה. לצד האכיפה המנהלית, קיימת גם אפשרות לתביעות אזרחיות, כולל תביעות ייצוגיות, וכן פיצויים ללא הוכחת נזק במקרים מוגדרים. מדובר במערך סנקציות מחמיר שמטרתו לעודד ציות ולמנוע זלזול בזכויות הפרט.

כן. אחד החידושים בתיקון 13 הוא האפשרות להגיש תביעה לפיצוי גם ללא צורך בהוכחת נזק ממוני. הדבר חל במקרים של הפרות יסוד, כגון איסוף מידע ללא הסכמה מודעת, שימוש החורג מהמטרה שלשמה נאסף המידע, אי־מתן הודעת פרטיות, או סירוב למתן זכות עיון ותיקון. מטרת הפיצוי ללא הוכחת נזק היא להרתיע גופים מהתנהלות רשלנית ולחזק את ההגנה על הזכות החוקתית לפרטיות. עבור עמותות, המשמעות היא חשיפה ממשית לתביעות גם כאשר לא נגרם נזק כספי ישיר, אלא רק פגיעה עקרונית בזכות לפרטיות.

תיקון 13 מדגיש את חשיבות היכולת להוכיח עמידה בדרישות החוק. לכן, עמותה מחויבת לתעד את כל פעילותה הקשורה למידע אישי: מסמכי מדיניות, נהלים, מיפוי מאגרים, הסכמי DPA עם ספקים, פרוטוקולי הדרכות, דוחות סקרי סיכונים, בקשות עיון ותשובות שניתנו, תיעוד אירועי אבטחת מידע והטיפול בהם. התיעוד נדרש לא רק לצורך ביקורת עתידית מצד הרשות, אלא גם כהגנה משפטית בפני תביעות. ללא תיעוד מסודר, עמותה תתקשה להוכיח שפעלה בתום לב ובצורה סבירה. ניהול תיעוד שיטתי הוא אפוא חלק בלתי נפרד מממשל פרטיות תקין.

ביקורת פרטיות תקופתית מאפשרת לעמותה לבחון את עמידתה בדרישות החוק ולאתר פערים מבעוד מועד. מומלץ לערוך ביקורת כזו אחת לשנה לפחות, באמצעות גורם פנימי או חיצוני, בהתאם לגודל העמותה והיקף עיבוד המידע. הביקורת כוללת בחינת נהלים, בדיקת הרשאות גישה, סקירת הסכמים עם ספקים, בדיקות אבטחת מידע והערכת תרבות פרטיות בקרב העובדים. דו”ח הביקורת מוגש להנהלה וכולל המלצות לתיקון ליקויים. ביצוע ביקורת והצגת תיקון ליקויים מוכיחים רצינות מול הרשות להגנת הפרטיות ויכולים לשמש כהגנה משפטית במקרה של אירוע אבטחת מידע או תביעה.

כן. תיקון 13 לחוק הגנת הפרטיות מחייב כי כל עיבוד מידע אישי יתבסס על הסכמה מדעת, מפורשת ושקופה. המשמעות היא שהסכמות שניתנו בעבר, בטרם כניסת התיקון לתוקף, אינן בהכרח עומדות בדרישות העדכניות. אם ההסכמה ההיסטורית נוסחה באופן כללי מדי, לא הבהירה את מטרות העיבוד, לא פירטה את סוגי המידע הרגיש שנאסף או לא ציינה את זהות הגורמים אליהם יועבר המידע – הרי שהיא איננה מספקת. במקרים כאלה יש חובה לרענן את ההסכמה, ולעיתים אף לבקש הסכמה מחודשת, במיוחד כאשר מדובר בעיבוד מידע רגיש במיוחד כגון מידע רפואי, פסיכולוגי או פיננסי. מעבר לכך, עמותות וגופים ציבוריים נדרשים להציג בפני נושאי המידע מנגנון הסכמה ברור, מבוסס Opt-in ולא Opt-out, ובשפה נגישה שתבטיח כי הנושא מודע במלואו לזכויותיו. ריענון הסכמות אינו רק חובה משפטית, אלא גם צעד מהותי לחיזוק האמון הציבורי, להפחתת חשיפות לתביעות, ולהיערכות לביקורות עתידיות של הרשות להגנת הפרטיות.

עמותות הפועלות בתחומי חינוך, רפואה, סיעוד, רווחה, תרבות או פנאי נדרשות לנהוג במשנה זהירות כאשר הן אוספות ומעבדות מידע אישי הנוגע לקטינים. הדין בישראל מכיר ברגישות המוגברת של מידע זה, וקובע כי איסוף מידע מקטינים או על אודותיהם מחייב שקיפות מלאה, לרבות מתן הסבר בהיר ומפורט להורים או לאפוטרופוסים לגבי מטרות העיבוד, סוגי המידע הנאספים, משך השמירה והגורמים להם המידע עלול להימסר. ברוב המקרים, ובעיקר כאשר מדובר במידע רגיש במיוחד (כגון נתונים רפואיים, פסיכולוגיים או חברתיים), נדרשת קבלת הסכמה מפורשת ומדעת מההורים, כאשר לקטינים עצמם יש להציג את המידע בשפה פשוטה, מותאמת לגילם, כדי להבטיח הבנה אמיתית של המשמעות.

עמותות מחויבות גם להימנע מאיסוף עודף או לא נחוץ, ולעמוד בעיקרון “צמידות המטרה”. קרי, שימוש במידע אך ורק לצורך שהובהר מראש בעת איסופו. חובתן כוללת הקפדה על אמצעי אבטחת מידע מחמירים, כגון הרשאות גישה מוגבלות, הצפנה, ניהול לוגים, ובדיקות תקופתיות למניעת דליפות או שימוש בלתי מורשה. תקופת השמירה על המידע צריכה להיות קצרה ומוגבלת למינימום ההכרחי. יתרה מכך, מומלץ מאוד לשקול מינוי ממונה על הגנת פרטיות (DPO), גם כאשר לא קיימת חובה פורמלית על פי החוק. עצם קיומו של DPO מאפשר לעמותה להתמודד כראוי עם האתגרים המורכבים הכרוכים בהגנת פרטיות קטינים, לחזק את מערך הציות והפיקוח הפנימי, ולהגן הן על זכויות הילדים והוריהם והן על העמותה מפני חשיפות משפטיות, רגולטוריות ומוניטין שליליים.

שקיפות היא עקרון יסוד מהותי בתיקון 13 לחוק הגנת הפרטיות, המשקף את תפיסת המחוקק כי כל עיבוד מידע אישי מחייב מערכת יחסים הוגנת וברורה בין העמותה לבין נושאי המידע. חובת השקיפות מחייבת את העמותה להבהיר לנושאי המידע, בצורה ברורה ומפורטת, מהם סוגי הנתונים שנאספים, מהן מטרות השימוש המדויקות, מיהם הגורמים שיקבלו גישה למידע, מהו משך שמירתו, ומהן זכויותיהם על פי החוק.

החובה כוללת לא רק פרסום מדיניות פרטיות באתר האינטרנט, אלא גם שילוב הודעות פרטיות בכל טופס איסוף (טפסי תרומה, הרשמה לפעילות, הצטרפות כחבר עמותה, טופסי מתנדבים וכיוצ”ב). בנוסף, יש להנגיש את פרטי הקשר של הגורם הממונה על פרטיות בעמותה או כתובת ייעודית למימוש זכויות, כדי שנושאי המידע יוכלו לממש בפועל את זכותם לעיון, תיקון, מחיקה או התנגדות לעיבוד.

נושא מידע רשאי לדרוש את הסרת פרטיו מרשימות דיוור ישיר בכל עת. עמותה חייבת להיענות לבקשה זו בתוך 30 ימים ולהפסיק את הדיוור. מומלץ ליצור קישור (Link) להסרה בכל דיוור דיגיטלי או כתובת מייל ייעודית. גם כאשר ההסרה עשויה לפגוע במערך גיוס התרומות, החוק מחייב כיבוד זכות זו. אי־ציות עלול להוביל לעיצומים ותביעות.

עמותה שמבינה את חובותיה בחוק, ובפרט לאור תיקון מס’ 13 לחוק הגנת הפרטיות, צריכה להתחיל בשלושה צעדים מרכזיים. ראשית, מיפוי מלא של כלל מאגרי המידע והספקים החיצוניים המעורבים. שנית, גיבוש והטמעה של מדיניות פרטיות עדכנית ושקופה באתר האינטרנט, ובטפסים. שלישית, בחינת הצורך במינוי DPO וביצוע סקר סיכונים. לאחר מכן, יש להתקדם להסכמי DPA עם ספקים, לקביעת נהלים פנימיים, להדרכות ולתיעוד. הכנה מוקדמת מצמצמת סיכונים, מאפשרת עבודה מסודרת, ומשדרת לתורמים ולמתנדבים שהעמותה מתנהלת במקצועיות ובשקיפות.

הרשות מוסמכת לבצע ביקורות יזומות או בעקבות תלונות. עמותה המוכנה לביקורת חייבת להחזיק תיעוד מלא של מדיניות, נהלים, הסכמים, הדרכות ותיעוד בקשות נושאי מידע. מומלץ לקיים “ביקורת פנימית” אחת לשנה, כדי לאתר פערים ולתקנם מראש. נזכיר כי בחודש פברואר 2024, ערכה הרשות להגנת הפרטיות הליך פיקוח רוחב בעמותות (כאן קישור לממצאי הסקר). במילים אחרות – הרשות להגנת הפרטיות מכירה ו”שמה על הכוונת” את המגזר השלישי, בכל הקשור להפרת דיני הגנת הפרטיות.

בעת ביקורת, שקיפות ושיתוף פעולה מלא עם הרשות עשויים להפחית את הסנקציות. מנגד, חוסר שיתוף פעולה או תיעוד חסר מחמירים את המצב. הכנה מראש מאפשרת לעמותה להציג יכולת ציות מקצועית, גם אם התגלו ליקויים נקודתיים, ולהפחית סיכונים משפטיים ותדמיתיים.