מי מחויב לעמוד בתיקון 13 לחוק הגנת הפרטיות?

כל גוף ציבורי וארגון המעבד מידע אישי בהיקף משמעותי או מידע רגיש, לרבות רשויות מקומיות ותאגידים עירוניים. תיקון 13 מחזק חובות ציות, תיעוד וניהול סיכונים ומרחיב סמכויות פיקוח ואכיפה.

האם רשות מקומית חייבת ממונה הגנת פרטיות (DPO) חיצוני?

החובה עשויה לחול בהתאם להיקף ואופי המידע והפעילות. גם כאשר ממנים גורם חיצוני, נדרש לוודא עצמאות מקצועית, נגישות להנהלה, וסמכויות תפעוליות לביצוע בקרה והטמעה.

מה האחריות האישית של מנכ״ל או נושא משרה בתחום הפרטיות?

תיקון 13 מאפשר ייחוס אחריות לנושאי משרה במצבי מחדל, היעדר בקרה, אי־יישום נהלים או אי־טיפול בליקויים ידועים. ניהול סיכונים ותיעוד פעולות ציות הם רכיב קריטי בהגנה.

האם ניתן לקבל קנס גם בלי אירוע סייבר או דלף מידע?

כן. פיקוח יכול להתמקד בליקויי ציות, ניהול הרשאות, היעדר נהלים, אי־רישום מאגרים או אבטחת מידע בלתי מספקת גם ללא דלף בפועל, בהתאם לסמכויות האכיפה.

איך מתכוננים לביקורת של הרשות להגנת הפרטיות?

מכינים תיק ציות: מיפוי מאגרים וזרימות מידע, נהלים ויישומם, בקרות גישה, הסכמי ספקים, תיעוד הדרכות, טיפול בפערים ותוכנית עבודה. המטרה היא להראות ציות מעשי ולא “מדיניות על הנייר”.

הגנת הפרטיות ואבטחת מידע | רגולציה וציות משפטי

שירותי פרטיות ואבטחת מידע של משרד וולר ושות’ מיועדים לגופים ציבוריים, חברות ממשלתיות, רשויות מקומיות, חברות עירוניות, תאגידי מים וביוב, מלכ”רים וארגונים עתירי מידע, בהתאם לתיקון 13 לחוק הגנת הפרטיות. השירות כולל ליווי רגולטורי, ניהול סיכוני פרטיות, מינוי DPO במיקור חוץ, יישום חובות אבטחת מידע והיערכות לביקורות הרשות, לצמצום קנסות ואחריות אישית לנושאי משרה.

רגולציה, ציות וניהול משפטי במרחב הדיגיטלי

הגנת הפרטיות מהווה מרכיב יסודי בממשל תקין ובפעילות ארגונית מודרנית. איסוף, עיבוד, אחסון והעברה של מידע אישי מייצרים חשיפות משפטיות, ניהוליות ותפעוליות משמעותיות, המחייבות עמידה בחובות סטטוטוריות, ניהול סיכונים מובנה, שקיפות כלפי נושאי המידע, ופיקוח הדוק על מחזור חיי המידע לכל אורכו.

המסגרת המשפטית בישראל כוללת את חוק הגנת הפרטיות, התשמ”א–1981, את תיקון 13 המקיף, את תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, ותקנות משלימות. לצד אלה קיימות רגולציות סקטוריאליות: הנחיות משרד הבריאות, הוראות בנק ישראל, חוזרי מנכ”ל לרשויות מקומיות, הוראות רשות המים בתחום הסייבר, הוראות הממונה על שוק ההון והביטוח, הוראות תכ”מ ורגולציה ייעודית לגופים ציבוריים. גופים הפועלים מול האיחוד האירופי נדרשים לעמוד גם בהוראות ה-GDPR, המחמירות את מנגנוני ההגנה, את חובת הדיווח על אירועי אבטחת מידע, ואת החובות כלפי נושאי מידע ומעבדי מידע.

שירותים משפטיים בליבת הפעילות

המשרד מלווה לקוחות ציבוריים ופרטיים בתכנון, הקמה ותחזוקה של תשתיות ציות מלאות, הנשענות על ניתוח משפטי-מערכתי ועל התאמה מדויקת למאפייני הארגון, לרבות גודלו, תחום פעילותו ומידת רגישות המידע שבידיו. הליווי כולל מיפוי שיטתי של מאגרי מידע, בחינת סוגי המידע הנאסף, מטרות העיבוד, זהות הגורמים הנחשפים אליו, ונתיבי העברתו בין מערכות ארגוניות וספקי שירותים.

במסגרת זו מגבש המשרד מדיניות פרטיות, נהלי שמירת מידע ומחיקתו, נוהלי הרשאות, בקרה ופיקוח, ותיעוד אופן קבלת הסכמה. לצדם נערכים סקרי ציות תקופתיים לבחינת עמידה בחובות הדין, זיהוי פערים, ניתוח סיכונים וחיזוק מנגנוני הגנה. בנוסף, המשרד מספק שירות מקיף לניסוח והטמעה של הסכמים מול מעבדי מידע וספקי שירותים (DPA), לרבות קביעת חובות אבטחת מידע, מנגנוני בקרה, אחריות הדדית ודרישות דיווח. השירות משלים רישום מאגרי מידע בפנקס המאגרים, הכנת תיקי מאגר מלאים, ופיתוח תשתית תיעוד המותאמת לדרישות הדין ולביקורות רגולטוריות.

גישה זו מבטיחה לארגון תשתית ציות יציבה, מוכוונת־בקרה ומותאמת למציאות רגולטורית דינמית.

שירותי DPO במיקור חוץ (ממונה הגנת פרטיות)

בהתאם להוראות תיקון 13 לחוק הגנת הפרטיות, ולחובת מינוי ממונה הגנת פרטיות בגופים ציבוריים ובארגונים המחזיקים במאגרים מהותיים, המשרד מספק שירותי ממונה פרטיות במיקור חוץ (DPO as a Service), המשלבים פיקוח מקצועי, ניהול סיכונים ויישום בקרה משפטית־טכנולוגית מתמשכת.

השירות כולל גיבוש והטמעת מדיניות פרטיות ארגונית, ביצוע סקרי סיכונים ומבדקי חוסן, פיקוח על מחזור חיי המידע, טיפול בפניות נושאי מידע, ניהול דיווחים על אירועי אבטחת מידע, וכתיבת הנחיות פעולה במצבי כשל. בנוסף, מגובשים דוחות תקופתיים והמלצות אופרטיביות להנהלת הארגון, לצד תכנון שנתי מובנה לניהול ציות.

תפקיד ה-DPO במיקור חוץ משלב מומחיות משפטית, ניסיון בעבודה מול רגולטורים, והבנה מעשית של מערכות מידע וארגונים מורכבים, תוך תיאום רציף בין הנהלה, טכנולוגיה, תפעול ומשאבי אנוש.

ליווי התקשרויות בתחום הגנת הפרטיות, מערכות מידע וטכנולוגיה

המשרד מלווה התקשרויות טכנולוגיות מורכבות עבור גופים ציבוריים ופרטיים, משלב האיפיון ועד היישום. השירות כולל ניסוח הסכמי מערכות מידע, מחשוב ענן, שירותי SaaS, פלטפורמות דיגיטליות ואפליקציות, לצד קביעת הוראות אבטחת מידע, מנגנוני בקרה, חובות תיעוד ודיווח. המשרד מוביל מכרזים בתחום טכנולוגיית המידע והגנת הפרטיות עבור רשויות מקומיות ותאגידים ציבוריים, לרבות ניסוח מסמכי מכרז, קביעת תנאי סף מקצועיים, והטמעת דרישות פרטיות ואבטחת מידע.

הכשרות, הדרכות ונהלים פנים-ארגוניים

כתיבת נהלים ארגוניים, קיום הדרכות לעובדים ולמנהלים, והטמעת תרבות פרטיות וציות בארגון. השירות כולל הכנה לביקורות רגולטוריות, עמידה בדרישות תקני אבטחת מידע (לרבות ISO 27001), והיערכות משפטית כוללת למחזור חיי המידע.

התאמות משפטיות לממשקים דיגיטליים

בעלי אתרים, אפליקציות ומערכות דיגיטליות נדרשים ליישם מנגנונים ברורים ומדויקים לאיסוף, עיבוד ושמירת מידע אישי. המשרד מלווה את כלל שלבי הפיתוח, האיפיון וההשקה, תוך ניסוח מדיניות פרטיות ותנאי שימוש, פיתוח מנגנוני הסכמה חוקיים, עיצוב מודלים לצמצום מידע, וקביעת מחזור חיי המידע בהתאם לדין. בנוסף, נבחנים היבטי נגישות, שקיפות מול משתמשים, עמידה בהוראות תיקון 13, עמידה בדרישות סקטוריאליות (כגון חינוך, בריאות או פיננסים), וכן בחינת התקשרויות עם ספקי אנליטיקה, פרסום, סליקה ומדידת תנועה. התוצאה היא מוצר דיגיטלי העומד בחובות המשפטיות, מבוסס על עקרונות ציות מלאים, ומתוכנן לצמצום חשיפה עתידית.

רגולציה היא הזדמנות

יישום נכון של דיני פרטיות ואבטחת מידע אינו בבחינת מעמסה רגולטורית בלבד, אלא מהווה מפתח לבניית אמון, לגיבוש שפה אחידה של נהלים פנים-ארגוניים, ולהפחתת חשיפה משפטית משמעותית, לארגון ולעומדים בראשו. משרד עו”ד וולר ושות’ רואה בתחום זה תחום ליבה אסטרטגי, ומשלב בין מומחיות משפטית, הבנה מערכתית ויכולת פרקטית מוכחת – ליצירת מענה מדויק, אמין ויעיל לכל גוף הפועל במרחב המידע הרגיש. רוצים לדעת עוד? נשמח להיפגש לפגישת ייעוץ ראשונית.

הגנת הפרטיות ואבטחת מידע