top image

דיני הגנת הפרטיות בעמותות

הגנת הפרטיות בעמותות

חקיקת תיקון 13 לחוק הגנת הפרטיות, התשמ”א–1981, מביאה עמה שינוי רגולטורי מקיף המשפיע על כלל הארגונים בישראל, ובמיוחד על עמותות ומוסדות ללא כוונת רווח. התיקון קובע כללים חדשים באשר לאופן איסוף, עיבוד ושמירת מידע אישי, ומחייב את הגופים הללו להטמיע מנגנוני הגנה מחמירים יותר.

בעוד שחברות עסקיות גדולות נערכו מבעוד מועד ליישום החובות החדשות, המגזר השלישי מוצא את עצמו מתמודד עם האתגר לעיתים קרובות כשהוא מצויד במשאבים מוגבלים ונתון לרמת חשיפה גבוהה במיוחד. בנוסף, עמותות נבדלות בכך שהן נשענות בראש ובראשונה על אמון תורמים, של הנהנים משירותיהן ושל הציבור הרחב. כל פגיעה בפרטיות, אף אם נעשתה בתום לב, עלולה להביא לאובדן אמון עמוק ולפגוע בהמשך קיומן ובפעילותן. נקודה נוספת להרואיה לציון היא שהחלת חובות בתחום הגנת הפרטיות מצד הממשלה (המממנת והרוכשת שירותים רבים מהעמותות), צפויה להקשיח את הדרישות מהעמותות.

הבנת הוראות תיקון 13 והיערכות מוקדמת ליישומן אינן מסתכמות בחובה משפטית גרידא, אלא מהוות תנאי יסוד להמשך פעילותן התקינה של העמותות. במסגרת זו נדרש בחינה של עיקרי התיקון והשלכותיו המעשיות על פעילות המגזר, עמידה בחובות הוועד המנהל והנהלת העמותה, קביעת כללים ברורים לטיפול במידע רגיש, וכן גיבוש צעדים יישומיים שיאפשרו לעמותות לעמוד בדרישות החוק ולחזק את האמון הציבורי בהן. סקירה.

 

תיקון 13 לחוק הגנת הפרטיות: עיקרי השינויים והשלכות על עמותות

עיקרי השינויים המרכזיים בחוק, והשפעתם על עמותות:

  • חיזוק סמכויות האכיפה והפיקוח. לרשות להגנת הפרטיות ניתנו כלי אכיפה רחבים, ובתוכם הטלת עיצומים כספיים מנהליים משמעותיים על מפרי החוק ותקנותיו, במיוחד בתחום אבטחת המידע. בנוסף, החוק מסמיך את הרשות לפנות לבית משפט לקבלת צו שיפוטי להפסקת עיבוד מידע (ועד למחיקת מידע אישי), במקרים של הפרת החוק. התיקון מעניק לרשות להגנת הפרטיות סמכויות רחבות במיוחד, ובהן הטלת עיצומים כספיים מנהליים משמעותיים, מתן צווים להפסקת עיבוד מידע ואף מחיקתו, ובמקרים חמורים אף פתיחה בהליכים פליליים. המשמעות היא שעבור עמותה, אי עמידה בדרישות החוק אינה רק סיכון תיאורטי, אלא עלולה להביא להשבתה של פעילותה ולסנקציות כספיות כבדות.
  • הרחבת עילות לתביעות ופיצויים ללא הוכחת נזק. התיקון מרחיב את סמכות בתי המשפט להעניק פיצויים לדוגמה (עונשיים) ללא הוכחת נזק במקרים של הפרות מסוימות של חוק הגנת הפרטיות. למשל, הפרת עקרון צמידות המטרה, אי רישום מאגר מידע, אי מסירת הודעת פרטיות וקבלת הסכמה מפורשת בעת איסוף מידע, אי מימוש זכות עיון ותיקון, ועוד. שינוי זה צפוי להגדיל את חשיפתן של עמותות לתביעות אזרחיות, לרבות תובענות ייצוגיות מצד תורמים, מקבלי שירותים או עובדים שטוענים להפרת זכויותיהם לפי החוק.
  • אפשרות להטלת אחריות אישית על מנכ”ל וחברי ועד בגין הפרות פרטיות, לרבות אחריות פלילית.
  • חובת מינוי ממונה הגנת הפרטיות (DPO). לראשונה בישראל, החוק יחייב גופים מסוימים במינוי ממונה על הגנת הפרטיות. חובה זו חלה על גופים ציבוריים וכן על ארגונים שעיסוקם העיקרי כולל עיבוד מידע אישי רגיש במיוחד בהיקף ניכר, או ארגונים שפעילותם כרוכה בניטור שיטתי של אנשים בהיקף ניכר. עבור עמותות העוסקות במתן שירותי רווחה או בריאות בהיקף רחב, ייתכן שהחובה חלה עליהן.
  • שינויים בהגדרת מידע אישי ומידע רגיש. החוק המעודכן מרחיב מאוד את מושג “מידע אישי”. כעת כל נתון אודות אדם מזוהה או ניתן לזיהוי נחשב מידע אישי, לרבות מזהים מקוונים (כגון כתובת IP), בהתאם להגדרה המודרנית בדין האירופי. בנוסף, הגדרת “מידע רגיש” הישנה הוחלפה בהגדרה “מידע בעל רגישות מיוחדת”, אשר תואמת את קטגוריות המידע הרגיש המוכרות מה-GDPR. ההגדרה החדשה מונה שורה ארוכה של סוגי מידע הנחשבים רגישים במיוחד. לדוגמה, מידע על חיי המשפחה והצניעות של אדם ונטייתו המינית, מידע רפואי על מצבו הבריאותי או הגנטי, מידע על דעותיו הפוליטיות או אמונתו הדתית, הערכות פסיכולוגיות ומבחני אישיות, מידע על עברו הפלילי, נתוני מיקום ותקשורת, מזהים ביומטריים, מוצא אתני, נתוני שכר ופעילות פיננסית, וכן כל מידע שחלה עליו חובת סודיות בדין. עבור עמותות, משמעות הדבר היא שסוגי מידע רבים שבעבר לא נחשבו “רגישים” כעת יקבלו מעמד מחמיר יותר, ויחייבו הגנות ונהלים מיוחדים (כפי שיוסבר בהמשך בפרק על מידע רגיש).
  • ביטול חובת רישום מאגרי מידע. אחת ההקלות בתיקון היא ביטול הדרגתי של חובת רישום מאגר מידע. עם זאת, יש חריגים: גופים ציבוריים וכן גורמים העוסקים בסחר במידע עדיין יחויבו ברישום. בנוסף, החוק מטיל חובת הודעה לרשות במקרים מסוימים: למשל, בעל מאגר מידע המכיל מידע רגיש במיוחד על יותר מ-100,000 אנשים (גם אם המאגר עצמו לא חייב ברישום) יצטרך לדווח לרשות על קיום המאגר, פרטי הארגון וממונה הפרטיות (אם יש) ועוד. עמותות רבות נדרשו בעבר לרשום מאגרי מידע (כגון מאגר תורמים או מקבלי שירותים). השינוי מקל עליהן מבחינת רישום, אולם הקלת הרישום לא מפחיתה מחובת ניהול נאות של המידע.

השלכות מעשיות לעמותות

השינויים הנ”ל דורשים מעמותות לבצע עדכונים משמעותיים באופן ניהול המידע. כל עמותה צריכה לבחון האם עליה למנות DPO, להתאים את נהלי העבודה להגדרות החדשות (למשל, לזהות איזה מידע ברשותה נחשב “מידע בעל רגישות מיוחדת“), ולעמוד ברמת ציות גבוהה יותר לאור כלי האכיפה המוגברים. במילים פשוטות, רמת הסיכון באי-ציות לחוק עלתה, ולכן על עמותות לנקוט צעדים פרואקטיביים להבטיח עמידה בחוק ולהגן על פרטיות המידע שברשותן.

חובת מינוי ממונה על הגנת הפרטיות (DPO) בעמותות

אחד הנושאים המרכזיים בתיקון 13 הוא, כאמור, חיוב ארגונים מסוימים במינוי ממונה על הגנת הפרטיות (Data Protection Officer – DPO). מדובר בתפקיד חדש במרבית הארגונים בישראל, הדומה לתפקיד ה-DPO תחת רגולציית GDPR האירופית. חשוב להבהיר: לא כל עמותה חייבת במינוי ממונה. החובה חלה רק אם העמותה עונה על קריטריונים מסוימים שקבע המחוקק:

  1. העמותה הנה “גוף ציבורי”. אם העמותה נחשבת “גוף ציבורי”, היא חייבת במינוי ממונה הגנת הפרטיות. ברגיל, רוב העמותות הפרטיות אינן מוגדרות כגוף ציבורי, אך ייתכנו מקרים גבוליים (למשל, עמותה שפועלת מכוח דין מיוחד או ממומנת ברובה בידי הרשות המקומית או בידי המדינה). כלל האצבע: עמותות “רגילות” אינן גוף ציבורי, ולכן קריטריון זה לרוב לא יחייבן.
  2. גורם העוסק במסירת מידע לאחרים. אם עמותה מפעילה מאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לצורך מסירתו לאחר בתמורה (כלומר, סחר במידע), ובמאגר יש מידע על יותר מ-10,000 אנשים – היא תחויב במינוי ממונה. תרחיש זה פחות שכיח במגזר השלישי, שכן עמותות אינן נוטות לעסוק במסחר במידע לשם רווח.
  3. ארגון המעבד מידע אישי רגיש במיוחד בהיקף ניכר. אם העמותה מנהלת או מחזיקה מאגר מידע שיש בו מידע בעל רגישות מיוחדת בכמות משמעותית, והיא עושה זאת כחלק מפעילותה, עליה למנות ממונה. למשל, עמותת בריאות גדולה המטפלת בחולים (מידע רפואי), עמותת סיוע נפשי המחזיקה נתוני טיפול פסיכולוגי, ארגון סיוע לנפגעי עבירה עם מידע על רקע פלילי וטראומה, או עמותת צדקה המחזיקה מידע פיננסי רגיש על נתמכים. נציין שבקטגוריה זו החובה חלה גם אם העמותה רק מחזיקה את המאגר עבור גוף אחר (כקבלן עיבוד מידע), ולא רק אם היא הבעלים הישיר.

 

תפקידו וסמכויותיו של ממונה הגנת הפרטיות בעמותות

תפקיד ה-DPO, הנו לוודא שהארגון (בעל המאגר והמחזיקים בו) יקיים את הוראות החוק, ולפעול לשם קידום הגנת הפרטיות ואבטחת המידע בארגון. הממונה אמור לשמש מוקד ידע מקצועי בתחום הפרטיות, לייעץ להנהלה ולעובדים בנושא, לקדם תוכניות הדרכה והטמעת תרבות של פרטיות, ולוודא ביצוע ביקורות ועמידה במדיניות הפרטיות של הגוף.

כשירות ה-DPO עבור עמותות

לפי החוק, הממונה חייב להיות בעל ידע והכשרה בדיני הגנת הפרטיות, וכן הבנה טכנולוגית והיכרות עם אבטחת מידע והפעילות של הגוף. הוא יכול להיות עובד פנימי בעמותה או גורם חיצוני במיקור חוץ, ובלבד שאין ניגוד עניינים בין תפקידו זה לתפקידים אחרים שלו. על ה-DPO לדווח ישירות למנכ”ל העמותה.

DPO חיצוני

עד יום 14/8/2025, עמותות החייבות במינוי ממונה על הגנת הפרטיות (DPO) נדרשות לאתר ולמנות ממונה מתאים. מומלץ להתחיל כבר עתה בתהליך, שכן ההתקשרות עם גורם מקצועי אינה בהכרח פשוטה. גם עמותות שאינן חייבות במינוי DPO לפי חוק עשויות לשקול מינוי כזה בהתנדבות או לפחות להסמיך עובד בכיר כאחראי תחום פרטיות, במסגרת ניהול הסיכונים. משרד וולר מציע שירותי DPO חיצוני (במיקור חוץ), עבור ארגונים.

 

אחריות הוועד המנהל בעמותה להגנת הפרטיות: אחריות אישית, פיקוח וניהול סיכונים

מנכ”ל העמותה והוועד המנהל נושאים באחריות העליונה להתנהלות החוקית והתקינה של העמותה, בכלל זה גם לציות לחוקי הגנת הפרטיות ואבטחת המידע. החוק מטיל את החובות גם על נושאי המשרה ובעלי התפקידים בעמותה, ולא רק על העמותה כמוסד מופשט. משמעות הדבר: אם עמותה מפרה את חוקי הפרטיות, ייתכן וניתן יהיה לייחס אחריות אישית לחברי הוועד המנהל, למנכ”ל ולגורמים בכירים נוספים, במיוחד אם ההפרה נבעה מהתרשלותם בפיקוח וניהול.

אחריות הוועד המנהל של העמותה  

נכון להיום, הרשות להגנת הפרטיות קובעת את אחריותו של הדירקטוריון (כהגדרתו בחוק), בתחום הגנת הפרטיות, ורק עבור חברות שבליבת העיסוק שלהן מידע אישי או סיכון לפרטיות. דהיינו, הרשות להגנת הפרטיות איננה מטילה אחריות על חברי הוועד המנהל. עם זאת, צפוי כי הפסיקה תרחיב את ההגדרה שבחוק, ותשווה את המעמד לדירקטוריון, באופן שתחול אחריות גם של חברי הוועד המנהל.

כיצד הוועד המנהל יכול למלא חובתו?

ראשית, על חברי הוועד להכיר בכך שהגנת הפרטיות היא חלק מחובות הניהול והפיקוח שלהם. מומלץ שהנושא יעלה לדיון בישיבות הוועד באופן סדיר, למשל בדיווח תקופתי של ממונה הפרטיות (אם יש) או גורם מקצועי אחר. שנית, על הוועד לוודא שקיימת בעמותה תוכנית ציות פנימית לנושא פרטיות ואבטחת מידע, כולל נהלים כתובים, מדיניות והכשרות (ראו פרק צעדים פרקטיים). שלישית, בעת קבלת החלטות אסטרטגיות, הוועד צריך לקחת בחשבון את היבטי הפרטיות – למשל, בבחירת מערכת מחשוב חדשה המכילה מידע אישי, לוודא שיש תקציב לאבטחה; בשיתוף פעולה עם גורם חיצוני, לוודא שיש הסכם שמגן על הנתונים וכדומה. האחריות הסופית אמנם מוטלת על ההנהלה, אך אם הוועד המנהל ינקוט צעדי פיקוח ומניעה סבירים, הוא יקטין משמעותית את סיכון האחריות האישית ויגן גם על העמותה וגם על עצמו.

 

שימוש בספקי ענן וטכנולוגיות דיגיטליות

רבות מהעמותות נעזרות בכלי ענן ואפליקציות חינמיות לניהול מאגרי מידע, בשל מגבלות תקציב. שימוש זה עלול ליצור סיכון משפטי ממשי, אם לא נחתם הסכם מתאים עם הספק (DPA). לפיכך, יש לוודא כי כל ספק או נותן שירות לעמותה עומד בתקני אבטחת מידע מוכרים, וכי נחתם עמו הסכם עיבוד מידע, המגדיר חובות פרטיות ואבטחה לפי הוראות התקנות.

 

טיפול במידע רגיש בעמותות

עמותות עוסקות לרוב במידע אישי של מתנדבים, תורמים, מקבלי שירות, עובדים ועוד. חלק ממידע זה יכול להיחשב “מידע רגיש” או “מידע בעל רגישות מיוחדת” לפי החוק, ולכן דורש הקפדה יתרה.

סוגי המידע הרגיש (מידע בעל רגישות מיוחדת)

תיקון מס’ 13 לחוק הגנת הפרטיות מפרט רשימה רחבה של פריטי מידע הנחשבים רגישים במיוחד, ביניהם –

  • מידע על חייו האישיים והמשפחתיים של אדם (לדוגמה: מצבו המשפחתי, הרגלי חיים אינטימיים, נטייתו המינית).
  • מידע על בריאותו הפיזית או הנפשית של אדם, כולל מידע רפואי וגנטי.
  • מידע על דעותיו הפוליטיות, אמונותיו הדתיות או השקפת עולמו.
  • הערכות מקצועיות על אישיותו (כגון אבחונים פסיכולוגיים, מבחני מהימנות).
  • מידע על עבר פלילי (הרשעות, חקירות).
  • מזהים ביומטריים (טביעות אצבע, זיהוי פנים).
  • נתוני מיקום ותקשורת (כגון פלט שיחות, איכוני טלפון) שיכולים לחשוף הרגלים של אדם.
  • נתוני שכר ופעילות פיננסית של אדם.
  • וכל מידע שחלה עליו חובת סודיות בדין (למשל, מידע שהוגדר כסודי לפי חוק אחר, כמו תיק אימוץ או מידע פסיכולוגי לפי חוק הנוער).
  • פרטי זיהוי רשמיים (תעודת זהות, מספרי דרכון) ואמצעי תשלום (כרטיסי אשראי) לרוב נתפסים כמידע רגיש בשל הסכנה שבשימוש לרעה בהם, אף אם לא צוינו מפורשות ברשימה.

אילו חובות חלות על טיפול במידע רגיש בעמותה?

כאשר עמותה אוספת או מחזיקה מידע רגיש, החוק מטיל עליה כמה חובות עיקריות:

חובת אבטחת מידע מוגברת

סעיף 17 לחוק הגנת הפרטיות מחייב כל בעל מאגר מידע לקיים אבטחת מידע נאותה ולמנוע דליפות, חדירות או שימוש לא מורשה במידע. התקנות לאבטחת מידע מפרטות דרישות בהתאם לרמת האבטחה הנדרשת. מאגרים המכילים מידע רגיש בהיקף גדול יחויבו ברמת אבטחה בינונית או גבוהה, הכוללת אמצעים מחמירים: הגבלת גישה למידע רק לעובדים שהוסמכו לכך, שימוש באמצעי זיהוי ואימות חזקים, הצפנת מידע רגיש במאגר ובגיבויים, תיעוד וגיבוי לוגים של גישה למידע, ביצוע בקרות תקופתיות, ועוד. כמו כן, ברמות אבטחה אלה חובה למנות מנהל אבטחת מידע בארגון, ולערוך הדרכות ייעודיות לעובדים בעלי גישה למידע.

בפועל, עמותה המטפלת במידע רגיש צריכה להטמיע נהלי אבטחה פנימיים: לדוגמה, הגדרת סיסמאות חזקות, התקנת תוכנות אנטי-וירוס עדכניות, נעילת ארונות עם תיקים פיזיים רגישים, ושימוש בהרשאות מוגבלות במערכות מידע (כל משתמש רק לפי הצורך).

חובת סודיות

סעיף 16 לחוק מטיל חובת סודיות על כל אדם שבמסגרת תפקידו מקבל גישה למידע מתוך מאגר מידע (ובוודאי מידע רגיש). המשמעות היא שעובדי ומתנדבי העמותה בעלי גישה למידע אישי רגיש חייבים לשמור אותו בסוד ולא לגלותו או לעשות בו שימוש מעבר להרשאה שניתנה. על עמותה להחתים את עובדיה הרלוונטיים על התחייבות לסודיות ולהסביר להם את החובה הזו. הפרת סודיות עלולה להוות עבירה פלילית וגם עוולה אזרחית.

שימוש במידע רק למטרה שלשמה נמסר (עקרון צמידות המטרה)

אסור לגוף להשתמש במידע אישי שברשותו למטרה שונה מזו שלשמה המידע נאסף, אלא בהסכמת האדם או בהיתר מפורש בחוק. עיקרון זה הופך קריטי כשמדובר במידע רגיש. עמותה שאוספת למשל מידע רפואי מאדם לצורך מתן סיוע, אסור לה להשתמש באותו מידע לצורך אחר (נניח, העברתו לגוף מחקרי) בלי הסכמה. תיקון 13, כאמור, אף מאפשר תביעה של עד 10,000 ש”ח ללא הוכחת נזק אם הופר עיקרון צמידות המטרה. לכן על עמותה לנסח במדויק את מטרות איסוף המידע בהודעות הפרטיות שלה, ולוודא שלא נעשה שימוש החורג מהמטרות המוצהרות.

קבלת הסכמה מדעת

כאשר מידע רגיש נאסף ישירות מאדם, יש לקבל את הסכמתו המפורשת. כך, טופסי הרשמה של העמותה לשירותיה צריכים לכלול סעיף הסכמה לשמירת המידע הרגיש ושימוש בו למטרת השירות. אם יש כוונה לחלוק את המידע עם גורם חיצוני (למשל, להעביר דיווח לרשות ממשלתית, או להשתמש בשירותי ענן), יש לציין זאת במדיניות הפרטיות ולקבל הסכמה לכך, אלא אם ההעברה מתחייבת לפי דין.

מימוש זכויות נושאי המידע

עמותה שמחזיקה מידע על אדם מחויבת לאפשר לו לממש את זכויותיו על פי החוק. הזכויות המרכזיות הן זכות העיון (כל אדם רשאי לפנות ולדרוש לדעת איזה מידע מחזיקה עליו העמותה במאגריה), ו-זכות תיקון (הזכות לדרוש תיקון של מידע שגוי או בלתי רלוונטי). חובה זו חלה על כל מידע אישי, אך לגבי מידע רגיש יש לה חשיבות יתרה, כי אי-כיבוד הזכות עלול לפגוע בפרטיות באופן חמור יותר. תיקון 13 אף הוסיף אפשרות לפסוק פיצוי ללא נזק אם לא נמחק מידע בעקבות בקשת אדם. לכן על עמותות להגדיר נוהל פנימי לפניות עיון/תיקון, ולוודא שהן מסוגלות לאתר ולמחוק מידע רגיש במידת הצורך.

העברת מידע לחו”ל

אם עמותה שומרת מידע רגיש בענן או מעבירה אותו לספק בחו”ל, עליה לוודא שההעברה עומדת בדרישות התקנות (הדורשות רמת הגנה מספקת במדינת היעד או עמידה בתנאים חוזיים מאושרים).

כיצד מיישמים הגנות על מידע רגיש בעמותות?

  • זיהוי וסיווג המידע. ראשית, לבצע מיפוי של המידע הרגיש בעמותה: איזה מידע רגיש קיים, היכן הוא נשמר (קבצים, מערכת ממוחשבת, ניירת), מי ניגש אליו ולמה. לאחר המיפוי, לסמן באופן ברור אילו מאגרים או קבצים מכילים מידע רגיש, כדי שיופעלו עליהם נהלים מחמירים.
  • הגבלת גישה והרשאות. להגדיר במערכות המידע הרשאות כך שרק מי שחייב לצפות במידע הרגיש, יקבל גישה. למשל, ייתכן שרק עובד סוציאלי בעמותה יכול לראות את מלוא פרטי התיק של מקבל סיוע, בעוד למתנדבים יוצגו רק נתונים חלקיים. מומלץ גם להשתמש באמצעי זיהוי כפולים (דו-שלבי) למי שמנסה לגשת למאגר רגיש מרחוק.
  • אבטחה טכנולוגית. לוודא שמידע רגיש מאוחסן בצורה מאובטחת – אם במסד נתונים ממוחשב, אז עם הצפנת הנתונים הרגישים; אם בתיקיות, תחת סיסמה; אם בענן – שהספק עומד בתקני אבטחה מוכרים. כמובן, גיבויים תקינים ומאובטחים חיוניים כדי למנוע אובדן מידע. תקנות אבטחת מידע אף מחייבות התקנת מערכות למניעת חדירות (כגון Firewall) והצפנת מידע רגיש בהעברה (SSL וכו’) עבור מאגרים ברמות בינונית ומעלה.
  • צמצום מידע ושמירה מינימלית. עקרון צמצום המידע אומר שלא אוספים מידע רגיש שאינו חיוני. עמותה צריכה לשאול: האם אנו באמת צריכים את שדות המידע הרגישים הללו? אם לא – עדיף לוותר על איסופם. כמו כן, יש לשמור מידע רגיש רק כל עוד יש צורך חוקי או עסקי בו, ולאחר מכן למחוק באופן מאובטח.

 

השלכות משפטיות של הפרת חוק הגנת הפרטיות בעמותות

המחוקק הקנה לרשות להגנת הפרטיות כלים משמעותיים לאכיפת חוק הגנת הפרטיות, בעקבות תיקון 13, במספר מישורין: אחריות אזרחית, אכיפה מנהלית ואכיפה פלילית.

אחריות אזרחית (תביעות נזיקין ופיצויים)

חוק הגנת הפרטיות קובע כי פגיעה בפרטיות (כהגדרתה בחוק) מהווה עוולה אזרחית. אדם שנפגע מהפרת פרטיותו על ידי העמותה רשאי לתבוע פיצויים בבית משפט. בתי המשפט לאורך השנים פסקו פיצויים במקרים של חשיפת מידע אישי ללא רשות, דיוור פרסומי בניגוד לחוק, אי-אבטחת מידע וכדומה. התובע אינו חייב להוכיח שנגרם לו נזק ממוני ממשי – די בעצם הפגיעה בפרטיות. בנוסף, החוק מאפשר פסיקת פיצויים ללא הוכחת נזק עד סכום שנקבע (המכונה פיצויים לדוגמה). עד היום בתי משפט קבעו סכומים של עשרות אלפי שקלים לאדם כפיצוי לדוגמה במקרי פגיעה בפרטיות. תיקון 13, כאמור, הרחיב אפשרות זו: כעת ניתן לתבוע פיצויים לדוגמה (עד 10,000 ש”ח לאדם) גם על הפרות טכניות של החוק, כגון אי-מסירת הודעת פרטיות כנדרש, הפרת עקרון צמידות המטרה, או אי-מחיקת מידע לאחר שחלף זמן רב. המשמעות היא שעמותה יכולה להיתבע גם אם לא “פרסמה ברבים” מידע פרטי, אלא פשוט התרשלה בחובותיה על פי החוק.

אכיפה מנהלית (קנסות ועיצומים)

לרשות להגנת הפרטיות יש כיום (ובתיקון 13 אף ביתר שאת) סמכות להטיל קנסות מנהליים (עיצומים כספיים) על גוף שהפר את החוק. סכומי הקנסות תלויים בחומרת ההפרה, בכמות הנפגעים ובגודל הארגון. קנסות אלה אינם תלויים בתביעת נפגע – הרשות יכולה להטילם ביוזמתה, בעקבות חקירה או ביקורת. עבור עמותה, קנס מנהלי משמעותי עשוי להיות הרסני מבחינה כספית. לכן, מניעת הפרות מראש היא המפתח.

אכיפה פלילית

חלק מהוראות חוק הגנת הפרטיות מגובות בסנקציה פלילית. עוד לפני התיקון, דברים כמו שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה (ביודעין וללא סמכות) היו עבירה פלילית שעונשה עד 5 שנות מאסר (עבירת “פשע”). תיקון 13 הוסיף מספר עבירות, כגון איסור לעבד מידע שנאסף שלא כדין – כלומר, אם מידע התקבל מלכתחילה בהפרת חוק, גם שימוש בו לאחר מכן מהווה עבירה. הטעיה בקבלת מידע – מי שמציג מצג שווא לאדם כדי שיוציא ממנו מידע אישי, עובר עבירה.

תרחישים נפוצים עשויים להיות שימוש במאגר מידע שנדלף מגורם אחר (בידיעת העמותה); עמותה ששיתפה מידע עם ארגון אחר בניגוד לחוק. במקרים קיצוניים, רשויות האכיפה יכולות לפתוח בחקירה פלילית נגד המעורבים.

נזק תדמיתי

פרט לתביעות וקנסות, אירוע של הפרת פרטיות (למשל דליפת נתונים גדולה) עלול לגרום לנזק תדמיתי קשה לעמותה, אובדן אמון מצד תורמים וציבור, פגיעה במוטיבציית המתנדבים, וכמובן פגיעה במוטבים שהמידע עליהם דלף. נזקי המוניטין לעיתים חמורים יותר מהקנס הכספי. בנוסף, רגולטורים אחרים עשויים להתערב: למשל, רשם העמותות במקרה קיצון יכול לראות בהפרת חוק שיטתית משום ניהול לא תקין של העמותה. הדבר עשוי להוביל לסנקציות כמו אי-מתן אישור ניהול תקין, מה שישליך על יכולת קבלת תרומות ומענקים ממשלתיים. כך שהמשמעות של הפרת החוק חורגת מעבר לבית המשפט; היא נוגעת לעצם המשך תפקודה התקין של העמותה ולמעמדה הציבורי.

 

צעדים פרקטיים להיערכות עמותות לתיקון 13

מה יכולות וצריכות עמותות לעשות, כבר עכשיו, כדי להיערך לעמידה בדרישות החוק? להלן סט של צעדים מעשיים וישימים, צ’ק ליסט לבדיקת מוכנות בתחום הגנת הפרטיות.

מיפוי המידע והסיכונים

ראשית, על העמותה למפות את כל מאגרי המידע והנתונים האישיים שברשותה. יש לזהות אילו סוגי מידע מוחזקים (פרטי תורמים, נתוני מקבלי שירות, מידע רפואי, רשימות דיוור, פרטי עובדים וכו’), היכן המידע שמור (קובץ אקסל? מערכת CRM? תיקיות נייר?), מי ניגש אליו, והאם הוא מועבר לגורמים חיצוניים. במסגרת המיפוי, יש לסווג את המידע לפי רמת הרגישות (למשל, לסמן איזה מאגר מכיל “מידע רגיש במיוחד”). מיפוי זה מהווה בסיס להבנת הסיכונים: מאגר גדול עם מידע רגיש = סיכון גבוה, רשימת דיוור עם שם וטלפון בלבד = סיכון נמוך יותר, וכדומה.

לאחר המיפוי, יש לבצע הערכת סיכונים – לבחון מהם איומי האבטחה הרלוונטיים (פריצה למחשב, עובד סורר, טעות אנוש) ומה הנזק הפוטנציאלי בכל מקרה. רצוי לתעד תהליך זה כדי שישמש מאוחר יותר כראיה למאמץ הציות של העמותה.

עדכון מדיניות הפרטיות והודעות לנושאי מידע

כל עמותה צריכה לגבש או לעדכן מדיניות פרטיות ברורה. המדיניות היא מסמך (פנימי וחיצוני) שמתאר איזה מידע אוספת העמותה, מהן המטרות, כיצד המידע נשמר ומאובטח, למי הוא נמסר, ומה זכויות נושאי המידע. עבור עמותות רבות, מדיניות הפרטיות מתבטאת גם ב”הודעת פרטיות” שניתנת לתורמים, למשתתפים בתכניות, למשתמשי אתר האינטרנט וכו’ בעת איסוף המידע.

תיקון 13 הרחיב את חובת ההודעה. כעת, בעת איסוף המידע, יש לפרט גם את שם ומען בעל השליטה במאגר ודרכי ההתקשרות עמו. אם מינתה העמותה ממונה הגנת פרטיות (DPO) – גם את פרטיו. יש לוודא שהטפסים, אתרי האינטרנט ודפי ההרשמה של העמותה כוללים את מלוא המידע הנדרש. כמו כן, יש לוודא שהמדיניות תואמת את הדרישות החדשות בתיקון 13.

המדיניות צריכה להיות נגישה ושקופה כלפי הציבור. כך, בין היתר, יש לפרסם את המדיניות באתר האינטרנט של העמותה, במסמכי ההצטרפות, בקשת תשלומים, הצטרפות לדיוור, וכדומה.

בנוסף, על העמותה לקבוע נהלים פנימיים לעובדים לטיפול במידע, בהתאם למדיניות. למשל, נוהל מענה לבקשות עיון/ תיקון, נוהל דיווח על אירוע אבטחה, נוהל שמירת מידע במערכות, ועוד.

מינוי אחראי להגנת הפרטיות (DPO)

אם העמותה חייבת במינוי ממונה הגנת הפרטיות (DPO) על פי החוק, אנו ממליצים לפעול למינויו בהקדם. גם אם לא חלה חובה חוקית, אנו ממליצים למנות אחראי/ ממונה פרטיות פנימי (אפשר בהיקף חלקי, נוסף על תפקיד אחר) שיהיה איש הקשר לנושא. אותו אחראי יוביל את יישום כל הצעדים כאן, יוודא שהם מתבצעים ויתעדכן ברגולציה. גם לשיטת הרשות להגנת הפרטיות (גילוי דעת מיום 23/7/2025), עמותות שאינן חבות במינוי DPO, מומלץ לשקול מינוי זה.

חיזוק אבטחת המידע (טכנית וארגונית)

על סמך מיפוי הסיכונים, יש ליישם את כל אמצעי האבטחה הנדרשים, וככל שנמצאו פערים, לטפל בהם מיידית.

בדיקה ועדכון הסכמים עם ספקים חיצוניים

אם העמותה משתמשת בשירותי תוכנה או ענן, יש לוודא שהסכם השירות כולל סעיפי הגנת מידע, הסכם DPA באשר לעיבוד מידע על ידי הספק, דרישה מהספק לקביעת רמת אבטחה נאותה, זכות לבקרות, חובת דיווח על אירוע דלף מידע, וכיוצ”ב. יש לערב את יועץ הביטוח בהסכמים אלו.

הדרכת עובדים ומתנדבים

כאמור, הגורם האנושי הוא קריטי. מומלץ לארגן הדרכות וסדנאות לכל גורם שבא במגע עם מידע אישי בעמותה. תכני ההדרכה צריכים לכלול: עיקרי חוק הגנת הפרטיות (בהתאם לתפקיד המשתתפים), חובת הסודיות, זיהוי ניסיונות הונאה (phishing) באימייל או בטלפון, פרוצדורה לדיווח מיידי במקרה של אובדן מידע (למשל, מחשב נייד שנגנב עם מידע של העמותה), וקווים מנחים לשמירה על פרטיות היומיום (לא להשאיר מסמכים חשופים, לא לדון בפרטי מקרה רגיש בקול רם במקום ציבורי וכו’). כדאי להדגים אירועים שקרו, כדי להגביר מודעות.

עריכת תכנית אכיפה פנימית ובקרה מתמשכת

מומלץ להכין מסמך תכנית אכיפה בתחום הגנת הפרטיות. מדובר במסמך ניהולי שמסכם את כל הצעדים שהארגון נוקט כדי לציית לחוק: מדיניות, נהלים, ממונים, הדרכות, לוחות זמנים לביקורות וכד’. תכנית כזו (אשר יכולה להוות חלק מתכנית רחבה יותר של ציות רגולטורי בעמותה) משמשת כמצפן לפעולה שוטפת. יש לקבוע במסגרת התכנית גם מנגנון בקרה. התכנית והבקרות יהוו גם ראיה טובה שתעמוד לזכות העמותה, במקרה של אירוע אבטחת מידע/ פגיעה בפרטיות, תביעה, עיצום מינהלי וכיוצ”ב.

היערכות למקרי אירועי אבטחה

על אף כל אמצעי המנע, קיים סיכון שתתרחש פרצת אבטחה או תקלה, ולפיכך נמלית להכין תכנית תגובה לאירוע. בתכנית יצוין מי צוות הטיפול (מנמ”ר/ממונה אבטחה, יועמ”ש, יח”צ), למי מדווחים מיד (בראש ובראשונה לראשי העמותה, ובהמשך ייתכן שלרשות להגנת הפרטיות ולנושאי המידע, בהתאם לחומרת האירוע), אילו פעולות לנקוט (לבודד שרת, לתקן פרצה, לערוך תחקיר). תיקון 13 מחמיר את חובת הודעת דיווח על אירועי אבטחה. כבר כיום תקנות האבטחה דורשות לדווח לרשות על אירוע אבטחה חמור (לגבי מאגר ברמת אבטחה בינונית/גבוהה), והתיקון ככל הנראה ירחיב דרישה זו ואולי גם יחייב הודעה לנפגעים במקרים מסוימים (בדומה ל-GDPR). לכן, תכנית התגובה היא קריטית הן למזער את הנזק המיידי והן לעמידה בדרישות החוק למתן דיווח מהיר.

תיעוד

יש לשמור תיעוד של כל הפעולות שננקטו במסגרת ההיערכות: פרוטוקולי ישיבות הנהלה על הנושא, אישורי השתתפות בהדרכה, דוחות סקר הסיכונים, קבלות על רכישת מערכות אבטחה, וכן פניות ותגובות של העמותה בנושאי פרטיות. בעת ביקורת של הרשות להגנת הפרטיות, העמותה תצטרך להראות ראיות לציות. בנוסף, התיעוד מסייע ברציפות: כאשר מתחלף בעל תפקיד (נניח, ממונה הפרטיות), הוא יכול ללמוד מהנעשה עד כה.

צעדים אלה יסייעו לעמותות ליצור סביבת עבודה “Privacy by Design” – פרטיות משולבת כברירת מחדל בתהליכי העבודה. מעבר למילוי דרישות החוק, הקפדה על הגנת המידע היא גם האינטרס של העמותה: היא מחזקת אמון מול התורמים והציבור, מונעת מבוכות תקשורתיות, ומשפרת את היעילות (סדר בארגון המידע).

מנגנוני בקרה שוטפים ולא חד‑פעמיים

החוק מטיל חובה ברורה לבקרה מתמשכת. היינו, ביקורות תקופתיות, עדכון מדיניות ונהלים לאור שינויים טכנולוגיים, ודו”חות סדירים להנהלה.

 

צ’קליסט לעמידה בתיקון 13 לחוק הגנת הפרטיות: עמותות ומוסדות ללא כוונת רווח

תחום דרישה עיקרית פעולות יישומיות לעמותה הערות חשובות
מיפוי מידע זיהוי וסיווג כל מאגרי המידע לערוך רשימה מלאה של מאגרי מידע (תורמים, מקבלי שירותים, מתנדבים, עובדים), לציין סוג המידע, מיקומו ומי נגיש אליו חובה לכל עמותה; בסיס לכל שאר החובות
מדיניות פרטיות פרסום והנגשת הודעת פרטיות לעדכן טפסי הרשמה, אתר אינטרנט וחומרי פרסום כך שיכללו: מטרות העיבוד, פרטי בעל המאגר, פרטי ה‑DPO (אם מונה), זכויות נושאי המידע אי־מסירת הודעה היא עילה לפיצוי ללא הוכחת נזק
מינוי DPO חובה לעמותות עם מידע רגיש במיוחד בהיקף ניכר או גוף ציבורי למנות ממונה פנימי או חיצוני; להבטיח עצמאות מקצועית ודיווח ישיר להנהלה מומלץ גם לעמותות שאינן חייבות, לצורך ניהול סיכונים
הערכת סיכונים ו‑DPIA בחינת השפעת פרטיות במאגרים רגישים או מערכות חדשות לערוך DPIA עבור פרויקטים הכוללים מידע רגיש במיוחד (כגון מידע רפואי, פסיכולוגי או פיננסי) כלי מרכזי להפחתת חשיפות משפטיות
אבטחת מידע הטמעת אמצעי הגנה טכנולוגיים וארגוניים שימוש בהצפנה, אימות דו־שלבי, בקרת הרשאות, גיבויים מאובטחים, ניטור ותיעוד גישה חובה למאגרים עם רמת אבטחה בינונית ומעלה
הדרכות עובדים ומתנדבים העלאת מודעות והטמעת נהלים לערוך הדרכות קבועות על פרטיות, סודיות וזיהוי ניסיונות הונאה (Phishing) חובה להחתים על התחייבות לסודיות
ניהול ספקים חיצוניים עיגון הגנת פרטיות בהסכמים לחתום על הסכמי DPA עם ספקי ענן, מערכות CRM ושירותי מחשוב; לדרוש עמידה בתקני אבטחת מידע שימוש באפליקציות חינמיות ללא הגנות – סיכון מהותי
טיפול בזכויות נושאי מידע מתן מענה לבקשות עיון, תיקון ומחיקה לקבוע נוהל מענה מסודר, כולל לוחות זמנים; לוודא יכולת איתור ומחיקת מידע אי מענה לבקשה – עילה לפיצוי לדוגמה
אירועי אבטחת מידע חובת דיווח לרשות ולנפגעים להכין תוכנית תגובה לאירוע, למנות אחראי דיווח, לתעד את כל הפעולות תיקון 13 מחמיר את חובת הדיווח
תיעוד ובקרה שוטפים שמירה על ראיות לפעולות הציות לתעד סקרי סיכונים, הדרכות, ישיבות הנהלה, הסכמים עם ספקים ודוחות ביקורת התיעוד עשוי להגן על העמותה בפני הרשות או בית המשפט
ניהול תקין מול רשם העמותות שמירת אישור ניהול תקין להראות היערכות להגנת פרטיות כחלק מחובת ניהול תקין; לשלב הנושא בפרוטוקולי הוועד הפרות פרטיות חמורות עלולות להוביל לאי מתן אישור ניהול תקין

 

סיכום: הגנת הפרטיות בעמותות

חקיקת תיקון 13 לחוק הגנת הפרטיות מסמנת עידן חדש של הגברת הרגולציה והאכיפה בתחום הפרטיות בישראל. עמותות, כמו יתר הגופים, חייבות להקדיש תשומת לב מיוחדת להשלכות התיקון. הגנת הפרטיות אינה “מותרות”: היא חלק בלתי נפרד מניהול העמותה. על הנהלות העמותות להפנים אחריותן ולהוביל מדיניות אקטיבית ויוזמת של ציות, פיקוח וניהול סיכונים בתחום זה. פעולה מקדימה עכשיו עשויה לחסוך לעמותה תקלות עתידיות, קנסות ועוגמת נפש.

 

משרד עו”ד וולר ושות’ מתמחה בליווי משפטי לעמותות ולגופים ציבוריים, עם דגש על רגולציה, הגנת הפרטיות, כתיבת והטמעת נהלי עבודה, וניהול סיכוני פרטיות, תוך שילוב ידע משפטי, טכנולוגי, ניהולי וארגוני. המשרד משמש גם כ-DPO במיקור חוץ עבור עמותות, מלווה עמותות ביישום תיקון 13 לחוק הגנת הפרטיות, בסקר ציות וכיוצ”ב. מוזמנים ליצור קשר כבר כעת.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign