בדף זה ריכזנו שאלות ותשובות מרכזיות בנוגע לתיקון מס’ 13 לחוק הגנת הפרטיות בעמותות. המידע המובא כאן מהווה רקע כללי ואינו מהווה ייעוץ משפטי מחייב. לקבלת ייעוץ משפטי מותאם אישית והטמעת תיקון 13 בארגונכם, מומלץ לפנות למשרדנו – משרד עו”ד וולר ושות’, עורך דין מומחה לפרטיות, אבטחת מידע ורגולציה.
1. מהו תיקון 13 לחוק הגנת הפרטיות ומדוע הוא חשוב לעמותות?
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקפו ביום 14.8.2025, הוא מהפכה של ממש בעולם דיני הפרטיות בישראל. התיקון מעדכן את ההגדרות הקיימות, מצמצם חובות מיותרות ומוסיף מנגנוני פיקוח ואכיפה יעילים יותר. עבור עמותות, משמעות התיקון כפולה: ראשית, הוא מחייב אותן להטמיע מדיניות ונהלים ברורים לאיסוף, שימוש ושמירת מידע אישי של תורמים, מתנדבים, תלמידים או מטופלים. שנית, הוא חושף אותן לסנקציות כבדות במקרה של אי־ציות – לרבות עיצומים כספיים, צווים משפטיים ותביעות ייצוגיות. בכך, התיקון יוצר חובה נורמטיבית לראות בהגנת פרטיות לא רק חובה משפטית אלא גם חלק מהותי מאמון הציבור.
2. האם תיקון 13 חל גם על עמותות קטנות או רק על עמותות גדולות?
התיקון חל על כל גוף המחזיק או מעבד מידע אישי, ובכלל זה עמותות קטנות ביותר. אין פטור בשל גודל תקציב או מספר מתנדבים. יחד עם זאת, היקף החובות נגזר מהסיכון ומהיקף המידע. עמותה קטנה המחזיקה רק רשימת תורמים בסיסית תחויב במדיניות פרטיות, אבטחת מידע סבירה וניהול זכויות נושאי מידע. עמותה גדולה יותר, המחזיקה מידע רפואי או נתונים פסיכולוגיים, תהיה חייבת במנגנוני אבטחה מתקדמים, במינוי DPO ובהסדרי פיקוח פנימיים. המשמעות: גם עמותה קטנה חייבת להתארגן, אך החובות שלה מותאמות לנסיבותיה. אי־ציות עלול להוביל לסנקציות גם בעמותה קטנה.
3. אילו סוגי מידע נחשבים “מידע בעל רגישות מיוחדת”?
תיקון 13 הגדיר “מידע בעל רגישות מיוחדת” באופן רחב. הרשימה כוללת מידע רפואי ופסיכולוגי, עבר פלילי, אמונות דתיות או פוליטיות, נטייה מינית, פרטי שכר והכנסות, מידע פיננסי אישי, נתוני מיקום, נתוני תקשורת, וכן נתונים ביומטריים (טביעות אצבע, זיהוי פנים). גם מזהים מקוונים, כגון כתובות IP או מזהי עוגיות, עשויים להיחשב מידע רגיש אם הם משמשים לפרופילינג. עמותות המחזיקות מידע מסוג זה חייבות לנקוט באמצעי אבטחה מחמירים יותר, לבחון חובת מינוי DPO, ולעגן בהסכמי ספקים ובנהלים פנימיים את החובות הנדרשות. החזקת מידע רגיש כזה ללא מנגנוני אבטחה נאותים מהווה סיכון משפטי חמור.
4. מתי עמותה חייבת למנות ממונה על הגנת הפרטיות (DPO)?
החובה למנות DPO נובעת משלושה תנאים עיקריים: (א) כאשר מדובר בגוף ציבורי; (ב) כאשר העמותה מחזיקה או מעבדת מידע רגיש במיוחד בהיקף רחב; (ג) כאשר היא מבצעת ניטור שיטתי של אנשים – למשל איסוף נתוני מיקום, ניתוח פרופילים דיגיטליים או שימוש שוטף במערכות CRM. הממונה חייב להיות עצמאי, בעל ידע משפטי וטכנולוגי, ולדווח ישירות להנהלה. הרשות אף פרסמה מדיניות אי־אכיפה זמנית נקודתית, אך זו נועדה רק לאפשר היערכות הדרגתית. בפועל, גם אם אין חובה פורמלית, מומלץ למנות DPO כדי להפחית חשיפה משפטית ולהבטיח ניהול מקצועי של תחום הפרטיות.
5. האם ניתן למנות DPO במיקור חוץ או שחובה שיהיה עובד פנימי?
החוק מאפשר למנות DPO במיקור חוץ (אאוט-סורסינג), בתנאי שהוא עומד בדרישות החוק: ידע מקצועי מוכח בדיני פרטיות ואבטחת מידע, הבנה טכנולוגית ויכולת עצמאית לפעול ללא ניגוד עניינים. מינוי חיצוני מתאים במיוחד לעמותות קטנות ובינוניות שאין להן משאבים להעסיק ממונה פנימי במשרה מלאה. ההסכם מול DPO חיצוני חייב להבטיח גישה מלאה למידע, קשר ישיר עם ההנהלה, עצמאות בקבלת החלטות וזכות לבדיקה וביקורת. במודל זה, ניתן לקבל ליווי משפטי־טכנולוגי מותאם, תוך חסכון תקציבי. עמותות רבות בוחרות במודל החיצוני מתוך הבנה שהוא מאפשר להן עמידה בתיקון 13 לצד שליטה תקציבית.
6. מה ההבדל בין רישום מאגר מידע לבין חובת הודעה לרשות?
עד לתיקון 13 לחוק הגנת הפרטיות, כמעט כל מאגר מידע היה חייב ברישום. התיקון שינה זאת: כיום, רק מאגרים בעלי פרופיל סיכון גבוה (מאגרים הכוללים מידע רגיש במיוחד או כאלה שנעשה בהם שימוש מסחרי) חייבים ברישום מלא. לצד זאת, קיימת חובה חדשה של הודעה לרשות, גם במקרים שאין חובת רישום. חובת ההודעה כוללת דיווח על מטרות העיבוד, סוגי המידע, פרטי בעל השליטה, פרטי DPO אם מונה, ואמצעי אבטחה. ההבחנה בין רישום להודעה נועדה לצמצם בירוקרטיה, אך להבטיח שקיפות ופיקוח אפקטיבי. עמותות חייבות לבדוק בכל שלב אם הן חוסות תחת חובת הודעה או רישום.
7. מהו פרק הזמן למסירת הודעה לרשות כאשר חלה חובה כזו?
כאשר מתקיים תנאי המחייב הודעה, על העמותה למסור הודעה לרשות להגנת הפרטיות בתוך 30 ימים. ההודעה צריכה לכלול מסמך הגדרות מאגר ובו פירוט מטרות, סוגי מידע, אמצעי אבטחה ופרטי בעלי תפקידים. עמותה שאינה עומדת במועד זה עלולה להיחשב כמי שהפרה את החוק ולהיחשף לעיצומים כספיים. לכן, חשוב לשלב בדיקה זו כחלק בלתי נפרד מתהליך המיפוי השנתי. מומלץ להכין מראש טיוטות הודעה ולהחזיק מנגנון תיעוד פנימי שיאפשר מילוי מהיר של הדרישות אם תתעורר החובה.
8. אילו פרטים חייב לכלול מסמך הגדרות מאגר?
מסמך זה מהווה את “תעודת הזהות” של המאגר. הוא צריך לכלול: פרטי בעל השליטה, פרטי DPO אם מונה, מטרות העיבוד המדויקות, סוגי המידע הנאספים, המקורות שממנו נאסף המידע, נמענים אפשריים של המידע, בסיס חוקי לעיבוד, אמצעי אבטחה טכנולוגיים וארגוניים, תקופות שמירה ומחיקה, וכן פרטי יצירת קשר לנושאי מידע. בנוסף, חשוב לכלול התייחסות להעברת מידע לחו”ל אם קיימת כזו. המסמך אינו רק דרישה פורמלית – הוא מהווה כלי עבודה לניהול סיכונים, לתיאום עם הנהלה, ולהבטחת עמידה בדרישות החוק בעת ביקורת פנימית או חיצונית.
9. מהן הזכויות של נושא מידע לפי תיקון 13?
תיקון 13 חיזק והרחיב את זכויות נושאי המידע. כל אדם זכאי לעיין במידע שנשמר עליו, לדרוש תיקון מידע שגוי או לא מעודכן, לבקש מחיקה של מידע שאינו נחוץ עוד למטרותיו החוקיות, ולהתנגד לעיבוד במצבים שאין לו בסיס חוקי מוצק. העמותה מחויבת לאפשר מימוש זכויות אלה באמצעות מנגנון נגיש, ברור ומתועד – בין אם באמצעות טופס מקוון, דואר אלקטרוני או פנייה פיזית. זמן התגובה מוגדר בחוק – 30 ימים. הפרה של זכות כזו מהווה פגיעה ישירה בזכות יסוד ועלולה להביא לעיצומים ואף לתביעות.
10. תוך כמה זמן חייבת עמותה להשיב לבקשות עיון, תיקון או מחיקה?
החוק קובע פרק זמן של 30 ימים ממועד קבלת הבקשה. העמותה רשאית להאריך את התקופה בנסיבות מיוחדות, אך עליה לנמק זאת בכתב לפונה. אם קיימת חובה חוקית לשמור את המידע (כגון שמירת מסמכי שכר או תיעוד תרומות לצורכי מס), ניתן לסרב למחיקה אך חובה להסביר לפונה ולצמצם שימוש נוסף. ניהול נכון דורש הקמת מנגנון SLA פנימי, תיעוד כל בקשה והחלטה, ומינוי איש קשר ייעודי. אי־תגובה במועד נחשבת כהפרה בפני עצמה ועלולה להוביל לסנקציות גם אם לא נגרם נזק ישיר לנושא המידע.
11. האם טפסי תרומה, הרשמה או התנדבות נחשבים חלק ממאגר מידע?
כן. גם טפסי תרומה ידניים, טפסי הרשמה לפעילויות או טפסי התנדבות – מודפסים או דיגיטליים – נחשבים כחלק ממאגר מידע אם נאסף בהם מידע אישי מזוהה. אין חשיבות לכך שהטפסים אינם מנוהלים במערכת ממוחשבת מתקדמת; ברגע שהמידע נשמר ונעשה בו שימוש, החוק חל עליו. לפיכך, עמותה חייבת להציג הודעת פרטיות בעת מילוי הטפסים, להבהיר למי מיועד המידע, מה מטרות העיבוד ומהן זכויות הנרשמים. במידה והטפסים סורקים ונשמרים בקבצים, הם מחויבים לעמוד בתקני אבטחת מידע, לרבות הצפנה ושליטה בגישה. אי־התייחסות לטפסים אלו כמאגרים חושפת את העמותה לסיכון משפטי ממשי.
12. האם קובצי אקסל או Google Sheets נכללים בהגדרת מאגר מידע?
כן. אחת מהטעויות הנפוצות היא לחשוב שרק מערכות CRM ייחודיות או מסדי נתונים גדולים נחשבים “מאגר מידע”. בפועל, כל טבלה דיגיטלית – קובץ Excel, Google Sheets, או אפילו מסמך Word שבו נרשמים פרטי אנשים, נחשבת “מאגר מידע” אם היא מכילה מידע אישי. לכן, גם קובץ תרומות פשוט, רשימת חברי עמותה, או רשימת מתנדבים בגיליון אקסל – נכללים בהגדרה שבחוק. עמותות חייבות להגן על קבצים אלו באמצעי אבטחה בסיסיים לפחות: סיסמאות חזקות, הרשאות מוגבלות, הצפנה, גיבוי מאובטח ומעקב אחרי גישה. התעלמות מכך משאירה פרצות משמעותיות לניצול לרעה או דליפה.
13. מה נדרש בהסכמי עיבוד מידע עם ספקים (DPA)?
כאשר ספק חיצוני מקבל גישה למידע אישי – למשל רואה חשבון, עורך דין, חברת IT, ספק שירותי ענן או פלטפורמת דיוור – חובה לחתום על הסכם עיבוד מידע (DPA). ההסכם חייב לכלול פירוט של סוגי המידע המועברים, מטרות השימוש, התחייבות לאבטחה מתאימה, מגבלות על שימוש חורג, נוהל למחיקת מידע עם סיום ההתקשרות, ודרישה לדיווח מיידי במקרה של אירוע אבטחת מידע. בנוסף, על ההסכם להגדיר אחריות נושאת סנקציות במקרה של הפרה. אין להסתפק בתנאים כלליים שמציע הספק. עמותה שלא דאגה להסכמי DPA עם ספקיה עלולה להיחשב כמי שלא קיימה את חובותיה החוקיות.
14. כיצד יש לנהל הרשאות גישה למידע אישי בעמותה?
ניהול הרשאות הוא נדבך קריטי בהגנת פרטיות. על העמותה ליישם את עקרון “הגישה המינימלית”: כל עובד או מתנדב יקבל גישה רק למידע הנדרש לתפקידו. יש לקבוע סיווגי מידע, לקבוע הרשאות ברמת משתמש, להגדיר אימות רב־שלבי (כגון קוד חד־פעמי לנייד), לנהל רישום של כל גישה ולבצע בדיקות תקופתיות של הרשאות. עובדים שסיימו תפקידם חייבים להיות מוסרים מיידית מרשימות הגישה. בנוסף, יש ליישם בקרה לוגית – ניהול משתמשים, סיסמאות חזקות, ותיעוד לוגי של כל כניסה ופעולה במערכת. מערך הרשאות כושל הוא מקור עיקרי להפרות פרטיות ולדליפות מידע.
15. מהן הדרישות לניהול סיסמאות, גיבויים והצפנה?
תיקון 13 מחייב עמותות לא רק לקבוע מדיניות סיסמאות אלא גם להטמיע בפועל נהלים מחמירים: שימוש בסיסמאות חזקות, החלפה תקופתית, איסור שימוש חוזר ושילוב אימות דו־שלבי. גיבויים חייבים להיות מוצפנים ומאוחסנים בסביבה נפרדת, עם בדיקות שחזור תקופתיות. הצפנת מידע חייבת להתבצע הן במנוחה (במאגר) והן בעת העברתו (למשל בעת שליחת קבצים). הצפנה זו מגינה גם אם מידע נגנב או דלף. חובה להחזיק בנוהל מחיקה מאובטחת, הכולל תיעוד של מחיקת נתונים או השמדת חומר פיזי. כל אלה הם תנאים בסיסיים למילוי חובת אבטחת מידע.
16. האם קיימת חובה לקיים הדרכות לעובדים ולמתנדבים?
כן. עמותה חייבת להטמיע תרבות של פרטיות ואבטחת מידע בקרב כל מי שנחשף למידע אישי – עובדים, מתנדבים, ספקים. ההדרכות צריכות לכלול: הסבר על החוק והחובות, דוגמאות מעשיות, נוהלי אבטחת מידע פנימיים, והדרכה על זיהוי איומים כגון פישינג או שימוש לא מורשה. ההדרכות חייבות להיות מתועדות ולהיערך אחת לשנה לפחות. מטרתן אינה רק פורמלית אלא גם פרקטית – הקטנת טעויות אנוש, שהן גורם מרכזי להפרות. בהיעדר הדרכות מתועדות, הרשות עשויה לקבוע כי העמותה לא קיימה את חובת הציות, גם אם היא השקיעה באבטחת מידע טכנולוגית.
17. מהו פרק הזמן למענה לבקשות עיון או תיקון?
החוק קובע כי עמותה חייבת להשיב לכל בקשה של נושא מידע לעיון או תיקון בתוך 30 ימים ממועד קבלת הבקשה. ניתן להאריך את התקופה בנסיבות מיוחדות, אך חובה לנמק זאת. אי־תגובה בתוך פרק הזמן נחשבת כהודעת סירוב, ועלולה להיחשב כהפרה של החוק. על כן, עמותה צריכה להקים מנגנון מובנה לטיפול בבקשות: טופס פנייה נגיש באתר, איש קשר ייעודי, נהלים פנימיים לאימות זהות, ותיעוד של תהליך המענה. בכך, העמותה מבטיחה עמידה בהוראות החוק ושומרת על אמון נושאי המידע.
18. כיצד לנהוג כאשר קיימת חובת שמירה חוקית אך נושא המידע מבקש מחיקה?
לעיתים קיימת חובת שמירה בחוק – לדוגמה שמירת מסמכי שכר לעובדים למשך שבע שנים, או מסמכי תרומות לצורכי מס. במקרים אלה, העמותה אינה יכולה למחוק את המידע לפי בקשת נושא המידע. עם זאת, עליה להגביל את השימוש במידע למינימום, למנוע גישה שאינה נדרשת ולתעד את הסיבה לסירוב. חובה להשיב לנושא המידע בכתב, להסביר את החובה החוקית ולפרט מה נעשה לצמצום השימוש. כך מיישמת העמותה את האיזון בין חובת השמירה לבין זכות הפרטיות. שקיפות ותיעוד מלאים הם המפתח למניעת מחלוקות עתידיות. קראו כאן על צמצום מידע עודף.
19. כיצד על עמותה להתנהל במקרה של אירוע אבטחת מידע?
על העמותה להיות ערוכה עם נוהל תגובה ברור: איתור האירוע, ניתוק גישה למידע שנפגע, תיעוד מלא של ההתרחשות, ניתוח הגורם, והגדרת צעדי תיקון מיידיים. במידה והאירוע עומד בקריטריונים של “אירוע חמור”, קיימת חובת דיווח לרשות להגנת הפרטיות ואף לנושאי המידע עצמם. בנוסף, על העמותה לבצע תחקיר פנימי, להפיק לקחים ולתקן נהלים כדי למנוע הישנות. תיעוד מפורט של האירוע הוא קריטי, הן לצורכי ביקורת והן לצורך הגנה משפטית. עמותה שלא פועלת מיידית ובשקיפות במקרה של אירוע אבטחת מידע חשופה לעיצומים ולפגיעה חמורה במוניטין.
20. האם חובה להציב Cookie Banner באתר האינטרנט של העמותה?
כן, כאשר האתר משתמש בעוגיות שאינן חיוניות (למשל Google Analytics, פיקסלים, תוספי רשתות חברתיות או מנגנוני פרסום) – חובה להציב מנגנון Cookie Banner המאפשר למשתמש לבחור באופן מודע אם להסכים או לסרב. העמותה חייבת להסביר אילו נתונים נאספים, מה מטרות השימוש, ולאפשר שינוי החלטה בכל עת. אם מדובר בעוגיות טכניות בלבד, הנדרשות לתפעול האתר, ניתן להסתפק בהודעת פרטיות כללית. אולם כאשר נאסף מידע לצורכי ניתוח, פרסום או פרופילינג – נדרשת הסכמה אקטיבית. אי־הטמעת מנגנון כזה נחשבת כהפרה של חובת השקיפות וההסכמה.
21. כיצד ניתן לבצע העברת מידע לחו”ל באופן חוקי?
העברת מידע אישי מחוץ לישראל מותרת רק אם מתקיימות דרישות הדין. הדרך הפשוטה ביותר היא כאשר המידע מועבר למדינה שהוכרזה על ידי הרשות כמדינה המספקת “רמת הגנה נאותה” – למשל מדינות האיחוד האירופי. כאשר מדובר במדינה שלא קיבלה הכרה כזו, חובה להחתים את מקבל המידע על הסכמים חוזיים הכוללים התחייבויות לשמירה על רמת הגנה מקבילה לדין הישראלי, לרבות אבטחה, שקיפות, מחיקה וציות לזכויות נושאי המידע. במקרים רגישים, כגון העברת מידע רפואי או פיננסי, מומלץ לבצע הערכת סיכונים (DPIA) טרם ההעברה. אי־קיום הדרישות חושף את העמותה לעיצומים משמעותיים ולסנקציות.
22. מה המשמעות של שימוש בשירותי ענן מחו”ל?
עמותות רבות משתמשות בשירותי ענן זרים לניהול תרומות, מתנדבים או מסמכים. שימוש זה נחשב העברה לחו”ל לכל דבר, גם אם השרתים אינם בישראל. לכן, חובה לוודא שהספק מספק רמת אבטחה גבוהה, לעגן בהסכם עיבוד מידע (DPA) את חובותיו, ולבדוק שהוא לא מעביר את המידע למדינות שאינן מספקות הגנה נאותה ללא הסכמה מתאימה. מומלץ לדרוש מהספק אישור תקני אבטחה (כגון ISO 27001), מנגנוני הצפנה ואחריות לדיווח על אירועי אבטחת מידע. אי־הסדרה משפטית של שימוש בענן היא מהטעויות הנפוצות ביותר בקרב עמותות ומהווה סיכון רגולטורי ברור.
23. כיצד נבדל “מחזיק במאגר מידע” מ”בעל שליטה במאגר מידע”?
תיקון 13 הגדיר “בעל שליטה במאגר מידע” כמי שקובע את מטרות העיבוד ואופן ניהול המידע. בעמותה, זה בדרך כלל המנכ”ל או הוועד המנהל. “מחזיק במאגר מידע” הוא גורם חיצוני שמבצע פעולות עיבוד עבור בעל השליטה, למשל חברת המיחשוב, רואה חשבון או ספק שירותי ענן. גם המחזיק חייב לפעול לפי דרישות החוק, אך האחריות העיקרית נותרת בידי בעל השליטה. לפיכך, עמותה חייבת להבטיח שהמחזיקים חתומים על הסכמי עיבוד (DPA) ושיש להם אמצעי אבטחה נאותים. כל כשל מצד מחזיק עלול להיחשב כהפרה גם מצד העמותה, ולכן נדרש פיקוח הדוק ותיעוד מלא של ההתקשרויות.
24. מהי חובת הוועד המנהל בעמותה בנושא פרטיות?
נכון להיום, אין דרישה לאחריות חוקית של חברי הוועד (בניגוד לחברי דירקטוריון), נראה כי המגמה היא לדרוש מחברי ועד לפעול ולהכווין את פעילות העמותה, גם בתחום הגנת הפרטיות. לכן, נמליץ כי הוועד המנהל יעסוק בנושא, יאשר מדיניות פרטיות ואבטחת מידע, יקבע תקציב ומשאבים לנושא, יפקח על מינוי ממונה על פרטיות (DPO) אם נדרש, וידרוש לקבל דיווחים שוטפים על אירועי אבטחה, סקרי סיכונים ובקשות נושאי מידע. בנוסף, על הוועד להבטיח שהעמותה מתעדכנת בשינויים רגולטוריים ושקיימת תוכנית עבודה שנתית בתחום.
25. מהן הסנקציות האפשריות במקרה של הפרת החוק?
תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות אכיפה נרחבות. ניתן להטיל עיצומים כספיים מדורגים בהתאם לחומרת ההפרה, סוג המידע שנפגע והיקף הנפגעים. במקרים חמורים העיצומים יכולים להגיע למאות אלפי שקלים ואף להצטבר לסכומים של מיליונים כאשר מדובר בהפרות נרחבות. בנוסף, ניתן להוציא צווי מניעה להפסקת עיבוד, לדרוש מחיקה מיידית של מידע ולעתים אף להטיל אחריות אישית על חברי הנהלה. לצד האכיפה המנהלית, קיימת גם אפשרות לתביעות אזרחיות, כולל תביעות ייצוגיות, וכן פיצויים ללא הוכחת נזק במקרים מוגדרים. מדובר במערך סנקציות מחמיר שמטרתו לעודד ציות ולמנוע זלזול בזכויות הפרט.
26. האם החוק מאפשר פיצויים ללא הוכחת נזק?
כן. אחד החידושים המשמעותיים בתיקון 13 הוא האפשרות להגיש תביעה לפיצוי גם ללא צורך בהוכחת נזק ממוני. הדבר חל במקרים של הפרות יסוד, כגון איסוף מידע ללא הסכמה מודעת, שימוש החורג מהמטרה שלשמה נאסף המידע, אי־מתן הודעת פרטיות, או סירוב למתן זכות עיון ותיקון. מטרת הפיצוי ללא הוכחת נזק היא להרתיע גופים מהתנהלות רשלנית ולחזק את ההגנה על הזכות החוקתית לפרטיות. עבור עמותות, המשמעות היא חשיפה ממשית לתביעות גם כאשר לא נגרם נזק כספי ישיר, אלא רק פגיעה עקרונית בזכות לפרטיות.
27. מהי חובת התיעוד הפנימי בעמותה?
תיקון 13 מדגיש את חשיבות היכולת להוכיח עמידה בדרישות החוק. לכן, עמותה מחויבת לתעד את כל פעילותה הקשורה למידע אישי: מסמכי מדיניות, נהלים, מיפוי מאגרים, הסכמי DPA עם ספקים, פרוטוקולי הדרכות, דוחות סקרי סיכונים, בקשות עיון ותשובות שניתנו, תיעוד אירועי אבטחת מידע והטיפול בהם. התיעוד נדרש לא רק לצורך ביקורת עתידית מצד הרשות, אלא גם כהגנה משפטית בפני תביעות. ללא תיעוד מסודר, עמותה תתקשה להוכיח שפעלה בתום לב ובצורה סבירה. ניהול תיעוד שיטתי הוא אפוא חלק בלתי נפרד מממשל פרטיות תקין.
28. כיצד ניתן ליישם את עקרון “Privacy by Design” בעמותה?
“Privacy by Design” פירושו הטמעת הגנת פרטיות כבר בשלב התכנון של כל מערכת או פרויקט. עבור עמותות, המשמעות היא שיש לבחון מראש אילו נתונים נאספים, האם ניתן לצמצם את היקפם, כיצד ניתן לאחסן אותם באופן בטוח, ואילו מנגנונים מאפשרים מחיקה אוטומטית לאחר סיום הצורך. לדוגמה, בעת פיתוח טופס הרשמה לאירוע, יש לאסוף רק את המידע ההכרחי (שם ופרטי קשר), ולא לבקש נתונים עודפים. יש לקבוע תקופת שמירה ברורה ולהגדיר הרשאות גישה מצומצמות. עקרון זה מצמצם סיכונים משפטיים, מייעל תהליכים, ומשדר רצינות כלפי תורמים ומתנדבים.
29. כיצד יש לנהל בקשות מחיקה כאשר קיימות חובות שמירה?
כאשר נושא מידע מבקש מחיקה, אך החוק מחייב שמירת נתונים מסוימים (למשל חובת שמירת מסמכים לצורכי מס, תשלומי שכר), על העמותה לסרב למחוק, אך להבהיר זאת בכתב לנושא המידע. במקרה כזה, יש להגביל את השימוש במידע לצורכי הציות בלבד, למנוע גישה של גורמים אחרים, ולצמצם את תקופת השמירה למינימום הנדרש. על ההחלטה להיות מתועדת ומנומקת, כדי להבטיח שקיפות והגנה משפטית במקרה של מחלוקת. ניהול נכון של בקשות כאלה מצמצם את הסיכון לתביעות, וממחיש כי העמותה פועלת מתוך איזון ראוי בין חובותיה החוקיות לזכויות הפרט.
30. מה החשיבות של ביקורת פנימית או חיצונית בנושא פרטיות?
ביקורת פרטיות תקופתית מאפשרת לעמותה לבחון את עמידתה בדרישות החוק ולאתר פערים מבעוד מועד. מומלץ לערוך ביקורת כזו אחת לשנה לפחות, באמצעות גורם פנימי או חיצוני, בהתאם לגודל העמותה והיקף עיבוד המידע. הביקורת כוללת בחינת נהלים, בדיקת הרשאות גישה, סקירת הסכמים עם ספקים, בדיקות אבטחת מידע והערכת תרבות פרטיות בקרב העובדים. דו”ח הביקורת מוגש להנהלה וכולל המלצות לתיקון ליקויים. ביצוע ביקורת והצגת תיקון ליקויים מוכיחים רצינות מול הרשות להגנת הפרטיות ויכולים לשמש כהגנה משפטית במקרה של אירוע אבטחת מידע או תביעה.
31. כיצד ניתן להטמיע תרבות של פרטיות בארגון?
תרבות פרטיות אינה נבנית רק באמצעות חקיקה, אלא באמצעות ניהול ארגוני נכון. עמותה המעוניינת להטמיע תרבות פרטיות צריכה לקבוע “שגרות פרטיות”: הדרכות תקופתיות, נוהלי עבודה ברורים, מנגנוני פיקוח ובקרה, ודיווח שוטף להנהלה. כמו כן, מומלץ למנות “שגרירי פרטיות” בתוך המחלקות – עובדים או מתנדבים המהווים נקודת קשר לייעוץ ולשאלות. יש לשלב את נושא הפרטיות כחלק מהערכים הארגוניים, להציגו באתר ובדוחות השנתיים, ולהסביר לתורמים ולמתנדבים את חשיבותו. תרבות זו אינה רק דרישה משפטית, אלא אמצעי לשמירה על אמון הציבור.
32. כיצד על עמותה לנהוג במקרה של העברת מידע לגורמים שלישיים?
כאשר עמותה מעבירה מידע אישי לגורמים שלישיים (שותפים, גופי מימון, רשויות מקומיות או רשויות המדינה), עליה לוודא שההעברה נעשית על בסיס חוקי ברור (הסכמה, חובה משפטית או אינטרס לגיטימי). יש לתעד את מטרת ההעברה, סוגי המידע, ולוודא שהצד המקבל מחויב לעמוד בהוראות החוק. במקרים רגישים, יש לדרוש מהצד המקבל לחתום על הסכם לשמירה על פרטיות, אבטחת מידע ומחיקה עם סיום הצורך. כל העברה שאינה מוסדרת בחוק או בחוזה מהווה סיכון ממשי לחשיפת מידע ולהפרה רגולטורית.
אנחנו ממליצים כי האפשרות להעביר את המידע תופיע במדיניות הפרטיות המפורסמת לציבור, וכי תתקבל הסכמה לכך.
33. האם קיימת חובה לרענן הסכמות היסטוריות שניתנו בעבר על ידי נושאי מידע?
כן. תיקון 13 לחוק הגנת הפרטיות מחייב כי כל עיבוד מידע אישי יתבסס על הסכמה מדעת, מפורשת ושקופה. המשמעות היא שהסכמות שניתנו בעבר, בטרם כניסת התיקון לתוקף, אינן בהכרח עומדות בדרישות העדכניות. אם ההסכמה ההיסטורית נוסחה באופן כללי מדי, לא הבהירה את מטרות העיבוד, לא פירטה את סוגי המידע הרגיש שנאסף או לא ציינה את זהות הגורמים אליהם יועבר המידע – הרי שהיא איננה מספקת. במקרים כאלה יש חובה לרענן את ההסכמה, ולעיתים אף לבקש הסכמה מחודשת, במיוחד כאשר מדובר בעיבוד מידע רגיש במיוחד כגון מידע רפואי, פסיכולוגי או פיננסי. מעבר לכך, עמותות וגופים ציבוריים נדרשים להציג בפני נושאי המידע מנגנון הסכמה ברור, מבוסס Opt-in ולא Opt-out, ובשפה נגישה שתבטיח כי הנושא מודע במלואו לזכויותיו. ריענון הסכמות אינו רק חובה משפטית, אלא גם צעד מהותי לחיזוק האמון הציבורי, להפחתת חשיפות לתביעות, ולהיערכות לביקורות עתידיות של הרשות להגנת הפרטיות.
34. מה אומר החוק לגבי איסוף נתונים ומידע על קטינים?
עמותות הפועלות בתחומי חינוך, רפואה, רווחה, תרבות או פנאי נדרשות לנהוג במשנה זהירות כאשר הן אוספות ומעבדות מידע אישי הנוגע לקטינים. הדין בישראל מכיר ברגישות המוגברת של מידע זה, וקובע כי איסוף מידע מקטינים או על אודותיהם מחייב שקיפות מלאה, לרבות מתן הסבר בהיר ומפורט להורים או לאפוטרופוסים לגבי מטרות העיבוד, סוגי המידע הנאספים, משך השמירה והגורמים להם המידע עלול להימסר. ברוב המקרים, ובעיקר כאשר מדובר במידע רגיש במיוחד (כגון נתונים רפואיים, פסיכולוגיים או חברתיים), נדרשת קבלת הסכמה מפורשת ומדעת מההורים, כאשר לקטינים עצמם יש להציג את המידע בשפה פשוטה, מותאמת לגילם, כדי להבטיח הבנה אמיתית של המשמעות.
עמותות מחויבות גם להימנע מאיסוף עודף או לא נחוץ, ולעמוד בעיקרון “צמידות המטרה”. קרי, שימוש במידע אך ורק לצורך שהובהר מראש בעת איסופו. חובתן כוללת הקפדה על אמצעי אבטחת מידע מחמירים, כגון הרשאות גישה מוגבלות, הצפנה, ניהול לוגים, ובדיקות תקופתיות למניעת דליפות או שימוש בלתי מורשה. תקופת השמירה על המידע צריכה להיות קצרה ומוגבלת למינימום ההכרחי. יתרה מכך, מומלץ מאוד לשקול מינוי ממונה על הגנת פרטיות (DPO), גם כאשר לא קיימת חובה פורמלית על פי החוק. עצם קיומו של DPO מאפשר לעמותה להתמודד כראוי עם האתגרים המורכבים הכרוכים בהגנת פרטיות קטינים, לחזק את מערך הציות והפיקוח הפנימי, ולהגן הן על זכויות הילדים והוריהם והן על העמותה מפני חשיפות משפטיות, רגולטוריות ומוניטין שליליים.
35. כיצד יש להיערך למינוי DPO מבחינה ארגונית?
מינוי DPO מחייב היערכות פנימית: קביעת מבנה דיווח ישיר להנהלה, מתן סמכויות מלאות, הקצאת תקציב ומשאבים, והבטחת עצמאות בתפקיד. אנחנו ממליצים להגדיר תוכנית עבודה שנתית ל-DPO, לדווח להנהלה לפחות אחת לרבעון, ולהציג דו”חות מסכמים. ללא תמיכה ניהולית ומשאבים, מינוי DPO הופך לפורמלי בלבד ואינו ממלא את ייעודו.
36. מה חשיבותו של נוהל מחיקה מאובטחת?
נוהל מחיקה מאובטחת מבטיח שהמידע שנשמר יימחק או יושמד באופן שלא ניתן לשחזור. הנוהל חייב לכלול הוראות ברורות לגבי מחיקת קבצים דיגיטליים (באמצעות תוכנות ייעודיות), השמדת מסמכים פיזיים (גריסה או שריפה מבוקרת), ותיעוד של כל פעולת מחיקה. חובת המחיקה אינה רק עניין טכני, אלא דרישה משפטית שמונעת שימוש עתידי לא מורשה. בעמותות רבות נשאר מידע ישן ללא צורך, דבר המהווה סיכון לדליפה ולתביעות. נוהל מחיקה מסודר מפחית סיכונים, מצמצם עלויות אחסון, ומשדר מקצועיות. קראו כאן הרחבה בנושא “אישור מחיקת מידע“.
37. כיצד יש לנהוג במקרה של בקשה להסרה מדיוור ישיר?
נושא מידע רשאי לדרוש את הסרת פרטיו מרשימות דיוור ישיר בכל עת. עמותה חייבת להיענות לבקשה זו בתוך 30 ימים ולהפסיק את הדיוור. מומלץ ליצור קישור (Link) להסרה בכל דיוור דיגיטלי או כתובת מייל ייעודית. גם כאשר ההסרה עשויה לפגוע במערך גיוס התרומות, החוק מחייב כיבוד זכות זו. אי־ציות עלול להוביל לעיצומים ותביעות.
38. מהי חובת שקיפות מול נושאי מידע?
שקיפות היא לא רק דרישה רגולטורית פורמלית – אלא עקרון יסוד מהותי בתיקון 13 לחוק הגנת הפרטיות, המשקף את תפיסת המחוקק כי כל עיבוד מידע אישי מחייב מערכת יחסים הוגנת וברורה בין העמותה לבין נושאי המידע. חובת השקיפות מחייבת את העמותה להבהיר לנושאי המידע, בצורה ברורה ומפורטת, מהם סוגי הנתונים שנאספים, מהן מטרות השימוש המדויקות, מיהם הגורמים שיקבלו גישה למידע, מהו משך שמירתו, ומהן זכויותיהם על פי החוק.
החובה כוללת לא רק פרסום מדיניות פרטיות באתר האינטרנט, אלא גם שילוב הודעות פרטיות בכל טופס איסוף (טפסי תרומה, הרשמה לפעילות, הצטרפות כחבר עמותה, טופסי מתנדבים וכיוצ”ב). בנוסף, יש להנגיש את פרטי הקשר של הגורם הממונה על פרטיות בעמותה או כתובת ייעודית למימוש זכויות, כדי שנושאי המידע יוכלו לממש בפועל את זכותם לעיון, תיקון, מחיקה או התנגדות לעיבוד.
39. כיצד ניתן להיערך לביקורת פתע של הרשות להגנת הפרטיות?
הרשות מוסמכת לבצע ביקורות יזומות או בעקבות תלונות. עמותה המוכנה לביקורת חייבת להחזיק תיעוד מלא של מדיניות, נהלים, הסכמים, הדרכות ותיעוד בקשות נושאי מידע. מומלץ לקיים “ביקורת פנימית” אחת לשנה, כדי לאתר פערים ולתקנם מראש. נזכיר כי בחודש פברואר 2024, ערכה הרשות להגנת הפרטיות הליך פיקוח רוחב בעמותות (כאן קישור לממצאי הסקר). במילים אחרות – הרשות להגנת הפרטיות מכירה ו”שמה על הכוונת” את המגזר השלישי, בכל הקשור להפרת דיני הגנת הפרטיות.
בעת ביקורת, שקיפות ושיתוף פעולה מלא עם הרשות עשויים להפחית את הסנקציות. מנגד, חוסר שיתוף פעולה או תיעוד חסר מחמירים את המצב. הכנה מראש מאפשרת לעמותה להציג יכולת ציות מקצועית, גם אם התגלו ליקויים נקודתיים, ולהפחית סיכונים משפטיים ותדמיתיים.
40. מה כדאי לעמותה לעשות כבר עכשיו כדי לעמוד בדרישות תיקון 13?
עמותה שמבינה את חובותיה בחוק, ובפרט לאור תיקון מס’ 13 לחוק הגנת הפרטיות, צריכה להתחיל בשלושה צעדים מרכזיים. ראשית, מיפוי מלא של כלל מאגרי המידע והספקים החיצוניים המעורבים. שנית, גיבוש והטמעה של מדיניות פרטיות עדכנית ושקופה באתר האינטרנט, ובטפסים. שלישית, בחינת הצורך במינוי DPO וביצוע סקר סיכונים. לאחר מכן, יש להתקדם להסכמי DPA עם ספקים, לקביעת נהלים פנימיים, להדרכות ולתיעוד. הכנה מוקדמת מצמצמת סיכונים, מאפשרת עבודה מסודרת, ומשדרת לתורמים ולמתנדבים שהעמותה מתנהלת במקצועיות ובשקיפות.
עורכי דין הגנת הפרטיות בעמותות
משרד עו”ד וולר ושות’ הנו בין המשרדים המובילים בישראל בתחום דיני הגנת הפרטיות ואבטחת המידע. אנו מלווים עמותות, גופים ציבוריים, תאגידים עירוניים וחברות פרטיות בהטמעת תיקון 13 לחוק הגנת הפרטיות וביישום ההנחיות הנלוות של הרשות להגנת הפרטיות. צוות המשרד מעניק ליווי משפטי, רגולטורי וטכנולוגי מקצה לקצה – החל ממיפוי מאגרי מידע וכתיבת מדיניות פרטיות, דרך ניסוח והטמעת הסכמי עיבוד מידע (DPA), ביצוע סקרי סיכונים והדרכות לעובדים, ועד לייצוג בפני הרשות ובבתי המשפט במקרים של אכיפה או תביעות. הניסיון הרב שצברנו בליווי עמותות וגופים ציבוריים מאפשר לנו לספק פתרונות ישימים, מקצועיים ומותאמים לכל ארגון. משרדנו רואה בהגנת הפרטיות לא רק חובה חוקית ומשפטית, אלא גם ערך אתי וחברתי, ומתחייב להעניק ללקוחותיו את הכלים המשפטיים והניהוליים הדרושים בדין. צרו קשר עכשיו.
