מדוע כדאי לבחור במשרד וולר ושות' לליווי בתחום הגנת הפרטיות?

המשרד משלב ניסיון משפטי עתיר שנים עם רקע ניהולי בכיר במגזר הציבורי. עו"ד רועי וולר, לשעבר מנכ"ל רשות מקומית, מביא הבנה ייחודית של דרישות הרגולציה והיכולת ליישם אותן פרקטית בארגונים מורכבים.

מהו שירות DPO חיצוני שמספק המשרד?

אנו משמשים כממוני הגנת פרטיות חיצוניים (Data Protection Officer) עבור חברות ורשויות. השירות כולל פיקוח שוטף, הדרכות עובדים, ניהול מאגרי מידע ווידוא שהארגון עומד בסטנדרטים של תיקון 13 ו-GDPR.

איך המשרד מסייע לארגונים להיערך לתיקון 13 לחוק הגנת הפרטיות?

אנו מבצעים 'סקירת פערים' מקיפה, מעדכנים את נהלי אבטחת המידע, מנסחים הסכמי עיבוד נתונים עם ספקים ומבטיחים כי מנגנוני הדיווח על אירועי אבטחה פועלים לפי החוק החדש.

האם המשרד מתמחה בליווי רשויות מקומיות ותאגידים עירוניים בנושא פרטיות?

כן. בזכות הניסיון של עו"ד רועי וולר כמנכ"ל רשות מקומית, המשרד נחשב למוביל בתחום הגנת הפרטיות במגזר המוניציפלי, תוך הכרה עמוקה של האתגרים הייחודיים לרשויות ותאגידיהן.

מה כולל ליווי משפטי בעת אירוע אבטחת מידע או דליפת נתונים?

בעת אירוע, אנו מספקים מענה חירום: ניהול הדיווח לרשות להגנת הפרטיות (תוך 72 שעות), ליווי ועדת הבדיקה הארגונית, הגנה משפטית מול תביעות ייצוגיות וצמצום חשיפה לרגולטור.

כיצד משרד וולר ושות' מסייע בניהול מאגרי מידע רשומים?

אנו מטפלים ברישום מאגרים חדשים, עדכון מאגרים קיימים, והגדרת הרשאות הגישה, תוך הבטחה כי השימוש במידע תואם למטרות המוצהרות ומונע קנסות מנהליים.

האם המשרד מנסח מדיניות פרטיות לאתרים ואפליקציות?

בוודאי. אנו מנסחים מסמכי מדיניות פרטיות (Privacy Policy) ותנאי שימוש המותאמים אישית לפעילות העסקית, תוך התחשבות באיסוף נתונים, עוגיות (Cookies) וזכויות הגולשים.

מהו היתרון של ניהול סיכוני רגולציה על ידי עורך דין לעומת ייעוץ טכני בלבד?

יועץ טכני פותר בעיות אבטחה, אך עורך דין מגן על החברה מבחינה משפטית. משרד וולר ושות' מספק מעטפת שבוחנת לא רק את ה'איך' אלא גם את ה'מה' מבחינת אחריות אישית של נושאי משרה.

האם המשרד מבצע הדרכות עובדים בנושא הגנת פרטיות?

כן. הדרכת עובדים היא דרישה רגולטורית קריטית. אנו מעבירים סדנאות והדרכות להעלאת מודעות לסיכוני פרטיות, מניעת טעויות אנוש ושמירה על סודיות המידע בארגון.

כיצד המשרד מטפל בהסכמים מול צדדים שלישיים וספקי ענן?

אנו בוחנים ומנסחים נספחי אבטחת מידע (DPA) מול ספקי חוץ כדי לוודא שהאחריות המשפטית במקרה של דליפת מידע אצל הספק לא תיפול באופן בלעדי על הארגון שלכם.

מהן הסנקציות על אי-ציות לחוק הגנת הפרטיות בישראל?

אי-ציות עלול להוביל לקנסות מנהליים גבוהים, חקירות פליליות של הרשות להגנת הפרטיות, תביעות נזיקין אזרחיות ופגיעה קשה במוניטין הארגון. הליווי שלנו נועד למנוע תרחישים אלו.

האם המשרד מסייע לחברות ישראליות לעמוד בתקני GDPR האירופיים?

כן. עבור חברות הפועלות מול השוק האירופי, אנו מבצעים התאמה של מערכי המידע לדרישות ה-GDPR המחמירות, כולל ניהול זכויות נושאי מידע (Right to be forgotten) והעברות מידע בין-לאומיות.

מהי החשיבות של 'פרטיות בעיצוב' (Privacy by Design) בליווי שלכם?

אנו מלווים סטארטאפים וחברות טכנולוגיה כבר בשלבי הפיתוח, כדי לוודא שהמוצר נבנה עם הגנות פרטיות מובנות, מה שחוסך עלויות שינוי מבניות בעתיד ומקל על חדירה לשווקים גלובליים.

איך משרד וולר ושות' מתמודד עם האתגרים המשפטיים של בינה מלאכותית (AI) ופרטיות?

אנו מייעצים על השימוש האתי והחוקי בכלי AI בארגון, בוחנים את מקורות הנתונים לאימון מודלים ומוודאים שיישומי הבינה המלאכותית לא מפרים את פרטיות הלקוחות או העובדים.

איך ניתן ליצור קשר לייעוץ ראשוני בנושא ציות ופרטיות?

ניתן לפנות למשרדנו בחיפה בטלפון 04-8661537 או בוואטסאפ 052-4264318. צוות המומחים שלנו, בהובלת עו"ד רועי וולר, זמין לבחינת מערכי המידע שלכם והתאמת פתרון משפטי מקיף.

מה ההבדל המרכזי בין אבטחת מידע לבין הגנת פרטיות?

אבטחת מידע היא ה'איך' הטכנולוגי — מערכת האמצעים (הצפנה, חומות אש, ניהול סיסמאות) שנועדה להגן על כלל נתוני הארגון מפני גישה או השחתה. הגנת פרטיות היא ה'למה' המשפטי והרגולטורי — היא עוסקת בזכויות האדם על המידע שלו, בלגיטימיות של איסוף הנתונים, מטרות העיבוד, חובת השקיפות וזכויות העיון והמחיקה.

האם ארגון המוגן בטכנולוגיית סייבר מתקדמת חסין מפני קנסות של חוק הגנת הפרטיות?

ממש לא. ארגון יכול להיות מאובטח לחלוטין ברמה הטכנית, אך לעבור על החוק באופן בוטה אם הוא אוסף מידע ללא הסכמה מדעת, שומר נתונים עודפים בניגוד לעיקרון צמצום המידע, מעביר רשימות לצדדים שלישיים ללא היתר, או מסרב לאפשר לאזרחים לעיין במידע השמור עליהם.

מהו השינוי המרכזי שהביא עמו תיקון 13 לחוק הגנת הפרטיות לגבי נושאי משרה?

תיקון 13 החמיר דרמטית את האכיפה והטיל אחריות מנהלית ופלילית אישית ישירה על מנכ"לים, דירקטורים ונושאי משרה בארגון. כיום, קיום ליקויי ציות או היעדר פיקוח מנהלי על מאגרי המידע מהווים עילה להטלת קנסות ועיצומים כספיים כבדים על המנהל עצמו, ללא צורך בהוכחת אירוע פריצה.

מתי קיימת חובת דיווח על אירוע אבטחת מידע חמור לרשות להגנת הפרטיות?

על פי תקנות אבטחת מידע, במקרה של אירוע סייבר או דליפה במאגר המוגדר ברמת אבטחה בינונית או גבוהה (מאגרים המכילים מידע רגיש או בעלי הרשאות רבות), קיימת חובת דיווח מיידית לרשות להגנת הפרטיות. תיקון 13 אף מעניק לרשות סמכות לחייב את הארגון ליידע אקטיבית את הגולשים והלקוחות שמידע שלהם דלף.

מהו תפקידו של ממונה הגנת פרטיות (DPO) חיצוני וכיצד משרד וולר ושות' מסייע בכך?

ממונה הגנת פרטיות (DPO) פועל כרגולטור פנימי המפקח על הליכי הציות, הסכמי ה-DPA, והתאמת הארגון לתקנות. פירמת וולר ושות' (נוסדה 1965, מובילה ב-Dun's 100 ל-2026) ובהובלת עו"ד רועי וולר (DPO ו-CRO מוסמך) מספקת שירותי DPO חיצוני במיקור חוץ, עורכת סקרי ציות מקיפים ומקימה תוכניות הגנה משפטיות הרמטיות תחת חיסיון עורך דין מלא. ☎ 04-8661537.

אבטחת מידע לעומת הגנת פרטיות | משרד עו"ד וולר ושות'

מחשב עם מנעול כסוף ולוח מסמכים עם סמל מנעול וכתובת

פרטיות אינה רק אבטחת מידע

אבטחת מידע היא ה"איך" הטכנולוגי. הגנת הפרטיות היא ה"למה" המשפטי. בעידן תיקון 13, "חומות אש" ואמצעי אבטחת מידע מתקדמים אינם פוטרים מאחריות פלילית אישית של נושאי משרה, מקנסות, מעיצומים כספיים ומתביעות אם אספתם או עיבדתם מידע אישי בניגוד לדין. הארגון שלכם אולי מאובטח טכנולוגית, אך ללא ליווי משפטי צמוד בתחום הפרטיות – אתם חשופים.
השורה התחתונה: משרד עו"ד וולר ושות' מחבר בין טכנולוגיה למשפט, להגנה מקסימלית.

ארגונים, חברות ומלכ"רים רבים במשק הישראלי נופלים שוב ושוב במלכודת ניהולית קריטית: החלפה או מיזוג שגוי בין עולם אבטחת המידע (Cyber & IT Security) לבין עולם הגנת הפרטיות (Data Privacy & Compliance). מדובר בשתי דיסציפלינות שונות לחלוטין, הדורשות מיומנויות מקצועיות נפרדות – האחת טכנולוגית והשנייה משפטית. בעוד שמחלקת ה-IT אמונה על בניית החומות הדיגיטליות, הייעוץ המשפטי אמוק על חוקיות החזקת המידע, הציות לרגולציה ובניית אמון ארוך טווח עם הציבור, הלקוחות והתורמים.

במישור המעשי, מי שאמון על תחום זה בארגון הוא מנהל אבטחת המידע (CISO) או מנהל מערכות המידע (CIO). הכלים שבהם הם משתמשים הם טכנולוגיים קשיחים: התקנת חומות אש (Firewalls), מערכות זיהוי ותגובה בנקודות קצה, מנגנוני הצפנה, ניטור, ניהול הרשאות, מבדקי חדירות, ועוד. המטרה ברורה: למנוע מההאקר או מהגורם העוין לחדור לרשת הארגונית.

הגנת הפרטיות נשענת על עקרונות החוק: האם לארגון יש זכות משפטית לאסוף את הנתון? האם הגולש העניק "הסכמה מדעת"? האם המידע משמש אך ורק למטרה המקורית שלשמה נאסף? הפונקציה המנהלת עולם זה היא היועץ המשפטי של החברה או ממונה הגנת הפרטיות (DPO – Data Protection Officer). הכלים כאן הם משפטיים ותהליכיים: ניסוח מדיניות פרטיות ותנאי שימוש, בניית מסמכי הגדרת מאגר, עריכת תסקירי השפעה על הפרטיות (DPIA) והחתמת ספקים על נספחי מעבדי מידע (DPA).

ארגונים וחברות נקנסים כיום על פגמים מהותיים בחובת היידוע, שמירת מידע עודף ללא צורך תפעולי, ניהול מאגרים ללא מסמך הגדרת מאגר חתום ומעודכן, או אי-מתן מענה חוקי במועדים הקבועים לבקשות עיון ותיקון של אזרחים. חמור מכך, החוק מטיל כיום אחריות מנהלית ואישית ישירה על מנכ"לים ונושאי משרה שלא פיקחו אקטיבית על הקמת משטר ציות, והופך ליקויי פרטיות לכשל ניהולי אישי המלווה בחשיפה כספית משמעותית.

בעוד שבמגזר העסקי הסיכונים הניהוליים ברורים, הרי שבמגזר השלישי הסיכון הרגולטורי והציבורי מחמיר שבעתיים בשל רגישות המידע הגבוהה של תורמים, מתנדבים ומוטבים (מידע רפואי, נפשי, סוציאלי ופיננסי). להרחבה על חובות הציות וההתאמה הייחודיות לעולם זה, קראו את המדריך המלא והייעודי שלנו בנושא דיני הגנת הפרטיות בעמותות ומלכ"רים.

מה ההבדל בין הגנת פרטיות לאבטחת מידע? המדריך למנהלים

רבים מהמנהלים ונושאי המשרה בישראל חושבים שארגון המוגן באמצעות חומות אש (Firewalls), ססמאות והצפנה מתקדמת, הוא בהכרח ארגון שעומד בדרישות חוק הגנת הפרטיות. זוהי טעות שעלולה לעלות ביוקר.

חוק הגנת הפרטיות, והתקנות שהותקנו מכוחו, מבחינים בין המישור הטכנולוגי (אבטחת מידע) לבין מישור הזכויות (הגנת הפרטיות). ההבחנה היא לא רק סמנטית, אלא קריטית למניעת אחריות פלילית ועיצומים כספיים של מאות אלפי שקלים. אף שהשניים משתלבים זה בזה בפועל, הם משרתים מטרות שונות, כפופים לעקרונות רגולטוריים שונים ומטילים חובות משפטיות וטכנולוגיות ייחודיות. הבחנה זו חיונית לגופים פרטיים וציבוריים כאחד, הן לצורך עמידה ברגולציה, והן לשם בניית אמון עם הציבור.

אבטחת מידע: ה"איך" הטכנולוגי

אבטחת מידע מתייחסת לאמצעים טכנולוגיים, ארגוניים ופרוצדורליים שנועדו להגן על כלל המידע המוחזק בידי הארגון. בין אם מדובר במידע אישי, מסחרי, טכנולוגי או אחר. היא יוצרת את התשתית הטכנית לשמירה על מידע. הגדרת אבטחת המידע מתמקדת בשלושה עקרונות מרכזיים (המכונים מודל CIA):

סודי (Confidentiality) – מוגן מפני גישה לא מורשית;
שלם (Integrity) – מוגן מפני שינוי או השחתה;
זמין (Availability) – נגיש בעת הצורך לגורמים המורשים.

אבטחת מידע כוללת מגוון אמצעים, כגון הצפנת מידע, ניהול הרשאות וגישה, התקנת מערכות זיהוי ותגובה לאיומי סייבר, ביצוע סקרי סיכונים תקופתיים ובדיקות חדירות (Penetration Tests), ועוד.

מבחינה רגולטורית, בישראל, תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, קובעות סטנדרטים מחייבים לאופן ניהול ואבטחת מאגרי מידע בהתאם לרמות סיכון שונות. לצידו, ISO/IEC 27001 – תקן בינלאומי לניהול אבטחת מידע.

הגנת פרטיות: הזכות לשלוט במידע האישי

לעומת זאת, הגנת פרטיות (Privacy Protection) מתמקדת בזכויות האדם שמאחורי הנתונים. היא קובעת האם לארגון בכלל מותר להחזיק במידע, לאיזו מטרה, ולכמה זמן. הגנת הפרטיות קובעת את המסגרת החוקית לשימוש במידע. היא מבוססת על עקרונות משפטיים ואתיים, שנועדו לאזן בין האינטרסים העסקיים של הגופים המאגרים מידע לבין הזכות החוקתית של האדם לפרטיות. כך, בתמצית, העקרונות המרכזיים כוללים:

תכלית איסוף המידע: איסוף מידע רק לתכלית ראויה, ובמידה שאינה עולה על הנדרש.
שקיפות: יידוע נושא המידע באופן מלא וברור.
הסכמה מדעת: קבלת הסכמה חופשית ומודעת לשימוש במידע.
שמירה על זכויות נושאי המידע: זכות לעיין, לתקן, למחוק ולהתנגד לשימוש במידע.

המשמעות היא שהגנת פרטיות עוסקת בשאלות כמו מה הבסיס המשפטי לאיסוף המידע? האם ניתן להעביר את המידע לגוף שלישי? אילו זכויות יש לנושא המידע מול הגוף המחזיק בו?

בישראל, חוק הגנת הפרטיות, התשמ”א–1981 (לאחר תיקון 13, התשפ”ד-2024), מעגן עקרונות אלו ומוסיף עליהם מנגנוני אכיפה וסנקציות משמעותיות. החקיקה תואמת חקיקה בינלאומית, דוגמת ה-GDPR האירופי (General Data Protection Regulation).

טבלת השוואה: אבטחת מידע מול הגנת פרטיות

המאפיין	🛡️ אבטחת מידע	🔒 הגנת פרטיות
מהות התחום	הגנה על כלל נכסי המידע (מסחרי, טכני ואישי)	הגנה על הזכות הבסיסית לפרטיות של אדם
מטרת העל	סודיות, שלמות וזמינות המידע (CIA)	שקיפות, הסכמה ושליטה של האדם במידע שלו
הכלים המרכזיים	חומות אש, הצפנה, ניהול הרשאות וניטור סייבר	מדיניות פרטיות, הסכמי DPA ותסקירים (DPIA)
דוגמה לכשל	פריצה למאגר וגניבת סיסמאות ע"י האקרים	שימוש במידע למטרה שלא הוסכמה (למשל: מכירה לצד ג'), אי רישום מאגרי מידע
אחריות ב-2026	מנהל טכנולוגיות (CTO) ומנהל אבטחה (CISO)	מנכ"ל, דירקטוריון ונושאי משרה (תיקון 13)
רגולציה עיקרית	תקנות אבטחת מידע, תקן ISO 27001	חוק הגנת הפרטיות, GDPR

מדוע אבטחת מידע אינה תחליף להגנת פרטיות?

קל לטעות ולחשוב כי הגנה טכנית על מידע (באמצעות מערכות אבטחה מתקדמות) מהווה גם עמידה בדרישות דיני פרטיות. זוהי טעות. אבטחת מידע אינה מפצה על אי-קיום חובות יסוד כמו שקיפות, קבלת הסכמה, פגיעה במידה הפחותה ביותר האפשרית, הבטחת זכויות נושאי המידע, וכו'. לדוגמה, חברה שמאבטחת את מסד הנתונים שלה בהצפנה מתקדמת – אך אוספת מידע אישי מלקוחות מבלי לקבל את הסכמתם או ליידע אותם כיאות. החברה מפרה את דיני הפרטיות, למרות אבטחת המידע הגבוהה.

מתי אירוע אבטחת מידע הופך להפרת פרטיות?

לא כל תקלה טכנולוגית מהווה בהכרח הפרת פרטיות, אך כמעט כל אירוע פרטיות משמעותי כולל רכיב של כשל אבטחתי. ההבחנה המשפטית חשובה במיוחד לצורך דיווחים רגולטוריים, אחריות משפטית וניהול סיכונים.

כך למשל, גניבת מחשב נייד המכיל מידע אישי בלתי מוצפן, שליחת מידע רפואי לנמען שגוי, הרשאות גישה רחבות מדי לעובדים, שימוש בקבוצות WhatsApp ארגוניות ללא בקרה, או חשיפת נתוני לקוחות באתר אינטרנט, עשויים להיחשב גם כאירוע אבטחת מידע וגם כהפרת פרטיות.

הרשות להגנת הפרטיות בוחנת לא רק את עצם האירוע, אלא גם את התנהלות הארגון לפניו ואחריו: האם בוצע סקר סיכונים? האם העובדים הוכשרו? האם הייתה מדיניות פרטיות? האם נשמר מידע עודף ללא צורך? האם קיים נוהל טיפול באירועים?

ארגונים רבים טועים לחשוב כי אם "לא הייתה פריצה", אין חשיפה משפטית. בפועל, גם שימוש פנימי לא תקין במידע, גישה עודפת של עובדים או שמירת מידע ללא בסיס חוקי עשויים להוות הפרה עצמאית של חוק הגנת הפרטיות.

בעידן הנוכחי, אירועי פרטיות אינם נמדדים רק לפי השאלה "האם המערכת נפרצה", אלא לפי השאלה הרחבה יותר: האם הארגון ניהל מידע אישי באופן חוקי, מידתי ואחראי.

דוגמאות נפוצות להפרות פרטיות בארגונים ובחברות

הפרות פרטיות אינן מתרחשות רק באירועי סייבר רחבי היקף או בפריצות מתוחכמות. בפועל, חלק משמעותי מאירועי הפרטיות בישראל נובע דווקא מהתנהלות יומיומית שגויה, מהיעדר נהלים ברורים או משימוש לא מבוקר במידע אישי.

כך למשל, שליחת קובץ לקוחות לכתובת דוא"ל שגויה, צירוף עובדים לקבוצת WhatsApp החושפת מספרי טלפון ללא הסכמה, או שמירת צילום תעודת זהות ללא צורך ממשי, עשויים להוות הפרה של חוק הגנת הפרטיות והתקנות מכוחו.

גם שימוש במצלמות אבטחה ללא שילוט מתאים וללא נוהל או מדיניות, הקלטת שיחות ללא מדיניות ברורה, שמירת קורות חיים במשך שנים ללא הצדקה, או העברת מידע לספק חיצוני ללא הסכם עיבוד מידע, עלולים ליצור חשיפה משפטית משמעותית.

במקומות עבודה נפוצים במיוחד מקרים של הרשאות גישה רחבות מדי. עובדים מקבלים גישה למידע שאינו דרוש לצורך תפקידם, ולעיתים אף ממשיכים להחזיק בהרשאות לאחר סיום העסקתם. במקרים אחרים, ארגונים עושים שימוש במידע שנאסף למטרה אחת לצורך פעילות אחרת, מבלי לעדכן את נושאי המידע.

גם אתרי אינטרנט מהווים מוקד סיכון משמעותי. טפסי "צור קשר", מערכות דיוור, Cookies, פיקסלים פרסומיים, מערכות CRM וכלי אנליטיקה עשויים לאסוף מידע אישי מבלי שהארגון עמד באופן מלא בדרישות השקיפות, ההסכמה והאבטחה.

המשותף לרוב המקרים הוא שההפרה אינה נובעת בהכרח מכוונה רעה, אלא מהיעדר מנגנון ציות מסודר. לכן, ארגונים אינם יכולים להסתפק בפתרונות טכנולוגיים בלבד. נדרש מערך כולל של נהלים, בקרה, הדרכה וליווי משפטי שוטף.

אחריות הנהלה ודירקטוריון בתחום הגנת הפרטיות

אחד השינויים המשמעותיים בתחום הגנת הפרטיות בשנים האחרונות הוא המעבר מתפיסה טכנולוגית לתפיסת ממשל תאגידי. כלומר: פרטיות ואבטחת מידע הפכו לנושא ניהולי ואסטרטגי ברמת ההנהלה והדירקטוריון. זהו תחום ליבה ניהולי, משפטי ועסקי, המשפיע ישירות על חשיפת הארגון, אמון הציבור והמוניטין שלו.

רגולטורים בישראל ובעולם מצפים כיום מהנהלות להכיר את סיכוני המידע של הארגון, לפקח על מנגנוני הציות, לוודא קיומם של נהלים ולהקצות משאבים מתאימים. ארגון שאינו מנהל סיכוני פרטיות באופן סדור עלול להיחשב כמי שהתרשל בניהולו.

במקרים מסוימים, מחדלים בתחום הפרטיות עשויים להוביל גם לחשיפה אישית של נושאי משרה, במיוחד כאשר קיימת התעלמות מסיכונים ידועים או אי-יישום הוראות רגולטוריות בסיסיות.

לכן, ארגונים מתקדמים מטמיעים כיום ועדות פרטיות, ועדת היגוי, מינוי DPO, ביקורות תקופתיות, הסכמי עיבוד מידע, ניהול ספקים, תוכניות הדרכה ומדיניות ארגונית ברורה, מדיניות ונהלים, ועוד.

מה ההשלכות הרגולטוריות והאחריות האישית?

המשולש הרגולטורי: פלילי, מנהלי ואזרחי

המשפט הישראלי, ובראשו חוק הגנת הפרטיות, התשמ"א-1981 ותקנות אבטחת מידע מכוחו, יוצר מערך של סנקציות המשולבות זו בזו:

המישור המנהלי, עיצומים, קנסות וצווים שיפוטיים: הרשות להגנת הפרטיות מחזיקה בסמכויות אכיפה נרחבות. כשלים כגון אי-רישום מאגרי מידע (בהתאם לדרישות החוק), היעדר הסכם עיבוד מידע (DPA) מול ספקי צד ג' או אי-דיווח על אירוע אבטחה חמור, עלולים להוביל לקנסות כספיים משמעותיים. מעבר לקנס, הרשות מוסמכת להתלות את רישום המאגר – צעד שמשמעותו בפועל היא שיתוק פעילות הארגון המבוססת על מידע זה.
תביעות אזרחיות: זהו אפיק הסיכון המשמעותי ביותר מבחינה כספית. דליפת מידע אישי (שמות, פרטי קשר, מידע רפואי או פיננסי) חושפת את החברה לתביעות בגין רשלנות והפרת חובה חקוקה. בשנים האחרונות אנו עדים לזינוק במספר התובענות הייצוגיות המוגשות מיד לאחר אירועי פריצה, כאשר הפיצויים נפסקים בגין "פגיעה באוטונומיה" ועוגמת נפש, גם מבלי שהתובע יוכיח נזק ממשי לחשבון הבנק שלו.
הליכים פליליים: סעיפי החוק מאפשרים הגשת כתבי אישום כנגד תאגידים ומנהלים במקרים של פגיעה בזדון בפרטיות או רשלנות פושעת בניהול מאגרי מידע.

אחריות אישית של דירקטורים ונושאי משרה

בינואר 2024 פרסמה הרשות להגנת הפרטיות הנחיה המהווה "קריאת השכמה" לכל חבר דירקטוריון בישראל. ההנחיה קובעת מפורשות כי האחריות לעמידת התאגיד בהוראות החוק והתקנות מוטלת על הנהלת הארגון והדירקטוריון.

דירקטור או נושא משרה שלא פעל להטמעת תרבות של הגנת פרטיות בארגון עלול להימצא אחראי אישית בגין הפרת חובת הזהירות. המשמעות היא חשיפה לתביעות נגזרות (מצד בעלי מניות) ואף אחריות אישית לנזקים שנגרמו לצדדים שלישיים.

מה ארגונים צריכים לעשות עכשיו בתחום הגנת הפרטיות ואבטחת המידע?

הטעות הנפוצה ביותר היא להמתין לאירוע אבטחה, לתלונת לקוח או לפנייה רגולטורית לפני טיפול בתחום הפרטיות. בפועל, בשלב שבו מתרחש אירוע, הנזק המשפטי, התפעולי והתדמיתי כבר החל להיווצר.

הגישה הנכונה היא מעבר מניהול תגובתי לניהול סיכונים יזום.

השלב הראשון הוא מיפוי מידע ארגוני. על הארגון להבין איזה מידע אישי נאסף, היכן הוא נשמר, מי נחשף אליו, לאילו מטרות נעשה בו שימוש, וכמה זמן הוא נשמר. ארגונים רבים מחזיקים מידע עודף שאין להם צורך אמיתי בו, ולעיתים אף אינם מודעים להיקף המידע המצוי ברשותם.

בשלב השני יש לבחון את עמידת הארגון בדרישות הדין והתקנות. בין היתר: קיומם של מאגרי מידע רשומים, מדיניות פרטיות, ניהול הרשאות, נהלי עבודה, הסכמי ספקים, מנגנוני מחיקה, נוהלי גיבוי ואבטחה, ותיעוד אירועי אבטחה.

השלב השלישי הוא ניהול סיכונים בפועל. ארגון אחראי אינו מסתפק במסמכים פורמליים. עליו לבצע סקרי סיכונים תקופתיים, לבחון הרשאות גישה, לבדוק ספקי שירות חיצוניים, להדריך עובדים ולוודא שהנהלים אכן מיושמים בשטח.

חשוב במיוחד להבין כי הסיכון המרכזי כיום אינו רק פריצת סייבר קלאסית. במקרים רבים החשיפה נובעת דווקא מהתנהלות פנימית שגרתית: שליחת מידע שגויה, הרשאות עודפות, שימוש בלתי מבוקר במערכות ענן, עבודה מרחוק ללא בקרה או שמירת מידע ללא הצדקה.

מפת דרכים אופרטיבית: כך תבנו חוסן דו-שכבתי בארגון

אם אתם נושאים באחריות ניהולית בארגון, יישום תוכנית חוסן מורכבת משלושה שלבים קריטיים המשלבים בין הטכנולוגיה למשפט:

שלב א' – מיפוי מאגרים משותף: מחלקת מערכות המידע ממפה היכן יושב כל נתון בארגון, בעוד שהייעוץ המשפטי בוחן מהי הסמכות החוקית להחזקתו, האם נאספה הסכמה כדין, ולכמה זמן מותר לשמור אותו.
שלב ב' – הסדרת שרשרת האספקה: חתימה על נספחי מעבדי מידע (DPA) קשיחים מול כל ספקי הענן והתוכנה (CRM, מערכות דיוור, שירותי סליקה) כדי לוודא שהם עומדים הן בתקני האבטחה והן בחובות הציות של תיקון 13 ו-GDPR.
שלב ג' – מינוי ממונה הגנת פרטיות (DPO): הגדרת פונקציה עצמאית (פנימית או חיצונית במיקור חוץ) המבצעת תסקירי השפעה על הפרטיות (DPIA) ומפקחת על מנגנון הטיפול באירועי אבטחה ופניות של נושאי מידע.

המשמעות המעשית ברורה: פרטיות ואבטחת מידע אינן עוד נושא טכנולוגי נקודתי, אלא חלק בלתי נפרד מניהול סיכונים ארגוני, ממשל תאגידי ועמידה בדרישות רגולטוריות.

ארגון שאינו מטפל בכך באופן יזום עלול למצוא עצמו מתמודד לא רק עם אירוע טכנולוגי, אלא גם עם חשיפה משפטית, פגיעה במוניטין ואובדן אמון מצד לקוחות, עובדים ושותפים עסקיים.

סיכום: פרטיות ואבטחת מידע כחלק מניהול סיכונים ארגוני

ההבחנה בין אבטחת מידע לבין הגנת הפרטיות איננה הבחנה תאורטית בלבד, אלא סוגיה מעשית בעלת משמעות משפטית, רגולטורית ועסקית רחבה. אבטחת מידע עוסקת בהגנה על מערכות, מאגרי מידע ותשתיות מפני חדירה, דליפה, שימוש בלתי מורשה או שיבוש מידע. הגנת הפרטיות, לעומת זאת, עוסקת בשאלה הרחבה יותר: האם הארגון אוסף מידע כדין, האם השימוש במידע נעשה למטרה לגיטימית, האם נשמר עקרון צמידות המטרה, והאם נשמרות זכויותיהם של נושאי המידע.

בפועל, ארגונים רבים משקיעים משאבים בטכנולוגיות סייבר, אך נותרים חשופים להפרות חוק בשל כשלים משפטיים, היעדר מדיניות פרטיות, איסוף מידע עודף, שימוש בלתי מורשה במידע אישי, התקשרויות לקויות עם ספקים, או אי-עמידה בדרישות חוק הגנת הפרטיות ותקנות אבטחת המידע. מנגד, גם מדיניות פרטיות מוקפדת אינה מספקת ללא מנגנוני אבטחה אפקטיביים, בקרות גישה, ניהול הרשאות, תיעוד אירועים ונהלי תגובה לאירועי אבטחת מידע.

הרגולציה בישראל ובעולם מטילה כיום אחריות מוגברת על הנהלות, דירקטוריונים, רשויות ציבוריות, חברות פרטיות, עמותות ועסקים המחזיקים מידע אישי. הפרת החובות עלולה להוביל לעיצומים כספיים, תביעות אזרחיות, פגיעה במוניטין, חשיפה רגולטורית ואף אחריות אישית של נושאי משרה.

משרד וולר ושות' מלווה ארגונים, חברות, רשויות ציבוריות ועסקים בתחום הגנת הפרטיות, אבטחת מידע ורגולציה טכנולוגית. הליווי כולל מיפוי סיכונים משפטיים, ניסוח מדיניות ונהלים, התאמה לדרישות הדין, טיפול באירועי אבטחת מידע, ליווי מול הרשות להגנת הפרטיות, עריכת הסכמי עיבוד מידע, ניהול סיכוני ספקים והטמעת מנגנוני ציות אפקטיביים המותאמים לפעילות הארגון.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 26/04/2023. עידכון אחרון: 11/06/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

אבטחת מידע לעומת הגנת פרטיות