תיקון 13 לחוק הגנת הפרטיות – מדריך מקיף לבעלי אתרים ועסקים

ביום 5 באוגוסט 2024 אושר במליאת הכנסת בקריאה שנייה ושלישית תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א–1981 (להלן: "התיקון" ו-"החוק"). מדובר ברפורמה המקיפה ביותר בדיני הפרטיות מאז חקיקת החוק בשנת 1981, והיא צפויה להיכנס לתוקף במהלך השנה הקרובה. תיקון 13 לחוק הגנת הפרטיות נחשב לאחד מהעדכונים החשובים ביותר בשנים האחרונות, שכן מטרתו היא להגן על המידע האישי של כל אדם בישראל, להבטיח שבעלי אתרים, עסקים וארגונים ינהלו אותו באופן שקוף, מאובטח ואחראי – וליישר קו עם תקנים בינלאומיים מחמירים ובראשם ה־GDPR האירופי.

מה כולל תיקון 13 לחוק הגנת הפרטיות לבעלי אתרי אינטרנט?

תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2024) נחשב לרפורמה המקיפה ביותר בתחום מאז שנחקק החוק המקורי בשנת 1981. מטרתו להתאים את דיני הפרטיות לעידן הדיגיטלי שבו כמעט כל אתר אוסף, שומר ומשתמש במידע אישי של גולשים.

עיקרי השינויים הרלוונטיים לאתרי אינטרנט:

1. שקיפות מלאה במדיניות פרטיות – כל אתר חייב להציג מדיניות פרטיות ברורה, פשוטה ונגישה לגולשים, שבה מפורט:

   • אילו פרטי מידע נאספים (טפסי יצירת קשר, קובצי Cookies, רישום לניוזלטר וכו').

   • למטרות מה נאסף המידע (שיווק, ניתוח שימוש באתר, שירות לקוחות).

   • האם המידע מועבר לצדדים שלישיים (כגון Google, פייסבוק או ספקי שירות חיצוניים).

2. אבטחת מידע מחמירה – חובה לנקוט באמצעים טכנולוגיים וארגוניים מתקדמים כדי להגן על מאגרי המידע של האתר מפני דליפות, פריצות או שימוש לא מורשה.

3. זכויות המשתמשים – בעלי אתרים מחויבים לאפשר לגולשים:

   • לעיין במידע שנשמר עליהם.

   • לבקש תיקון או מחיקה של מידע.

   • להתנגד לשימוש מסוים במידע (כמו קבלת דיוור פרסומי).

4. חובת דיווח על אירועי אבטחה – במקרה של דליפת מידע, בעל האתר עשוי להיות מחויב לדווח לרשות להגנת הפרטיות ואף ללקוחות שנפגעו.

5. אחריות ניהולית ומשפטית – החוק מחייב בעלי עסקים ואתרים לפקח באופן אקטיבי על עמידה בהוראות. בארגונים גדולים או כאלה שמנהלים מידע רגיש, ייתכן שתידרש מינוי של ממונה פרטיות (DPO).

ומה המשמעות בפועל?

• בעל אתר שלא יעמוד בדרישות מסתכן בקנסות מנהליים גבוהים, תביעות ייצוגיות ואף בפיצויים של עד 10,000 ₪ לכל משתמש, גם בלי הוכחת נזק.

• מעבר לסנקציות – פגיעה באמון הגולשים עלולה להיות הרסנית לעסק

איך להתכונן נכון לתיקון 13?

1. לבצע ביקורת פנימית על הדרך בה נאסף ונשמר המידע.

2. לעדכן את מדיניות הפרטיות בהתאם לחוק.

3. להשקיע באבטחת מידע – גם ברמת האתר וגם ברמת השרת.

4. להטמיע נהלים ברורים לעובדים.

למה זה חשוב לבעלי אתרים ועסקים?

בעידן שבו כמעט כל אינטראקציה עסקית מתבצעת אונליין, המידע האישי של הלקוחות הוא אחד הנכסים היקרים ביותר. תיקון 13 מדגיש כי שמירה על פרטיות אינה עוד "המלצה" – אלא חובה חוקית שבלעדיה בעל האתר חשוף לקנסות, תביעות ייצוגיות ופגיעה קשה במוניטין העסק.

מעבר להיבט המשפטי, מדיניות פרטיות ברורה ומעודכנת היא כלי מרכזי ליצירת אמון מול הגולשים. לקוחות רוצים לדעת שהמידע שלהם מנוהל בצורה אחראית, ושיש להם שליטה מלאה בזכויותיהם.

מה חייבת לכלול מדיניות פרטיות?

כדי לעמוד בדרישות החוק, מדיניות פרטיות באתר אינטרנט צריכה לכלול:

• פירוט סוגי המידע שנאסף (פרטים שמוזנים בטפסים, נתוני גלישה, עוגיות וכו').

• המטרות שלשמן נאסף המידע (שיווק, מתן שירות, ניתוח פעילות).

• אבטחת מידע – הצפנה, שימוש ב־SSL, גיבויים.

• האם המידע מועבר לצדדים שלישיים.

• זכויות המשתמשים – עיון, תיקון, מחיקה.

• פרטי יצירת קשר עם בעל האתר או ממונה אבטחת מידע.

השלכות משפטיות לאי־עמידה בתיקון

המשמעות של אי־עמידה בדרישות התיקון היא חמורה:

• קנסות מנהליים ועיצומים כספיים.

• פסיקת פיצויים לנפגעים גם ללא צורך בהוכחת נזק.

• תביעות ייצוגיות מצד לקוחות.

• פגיעה ישירה במוניטין ובאמון הציבורי.

איך להתכונן נכון?

1. לערוך ביקורת פנימית על ניהול המידע בעסק.

2. לעדכן את מדיניות הפרטיות באתר כך שתהיה שקופה וברורה.

3. להשקיע באמצעי אבטחת מידע טכנולוגיים.

4. לשקול מינוי ממונה פרטיות (DPO) במידת הצורך.

5. להכשיר עובדים בכל הקשור לשמירה על מידע אישי.

צ’קבוקס לאישור מדיניות הפרטיות

להוסיף צ’קבוקס לאישור מדיניות הפרטיות בצורה פשוטה ב־HTML. הנה דוגמה איך אפשר לשלב אותו בטופס שלך, כך שהמשתמש לא יוכל לשלוח את הטופס בלי לסמן את הצ’קבוקס:

לסיכום

תיקון 13 לחוק הגנת הפרטיות משנה את כללי המשחק. הוא לא רק מחייב בעלי אתרים להקפיד על שקיפות ואבטחה, אלא גם מחבר את ישראל לעולם הרגולציה הבינלאומי. בעלי עסקים ואתרים שלא ייערכו בהתאם עלולים לשלם מחיר כבד – בעוד אלו שכן יתאימו את עצמם ייהנו מיתרון תחרותי, אמון גבוה מצד לקוחות ושקט משפטי.

שאלות ותשובות על תיקון 13 לחוק הגנת הפרטיות

מהו תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 הוא רפורמה מקיפה שנכנסה לחוק הגנת הפרטיות משנת 1981. התיקון נועד להתאים את החוק לעידן הדיגיטלי, לחזק את סמכויות האכיפה של הרשות להגנת הפרטיות, ולהגן על מידע אישי במאגרי מידע בדומה לסטנדרטים בינלאומיים כמו ה־GDPR האירופי.

ממתי נכנס תיקון 13 לתוקף?

התיקון אושר במליאת הכנסת ביום 5.8.2024 וצפוי להיכנס לתוקף באוגוסט 2025. עד אז בעלי אתרים ועסקים נדרשים להיערך ליישום ההוראות החדשות.

מי חייב לעמוד בדרישות החוק?

כל עסק, חברה או בעל אתר אינטרנט שמחזיק או מנהל מאגר מידע אישי – גם אם מדובר במידע בסיסי כמו שם, טלפון או כתובת אימייל – חייב לעמוד בהוראות החוק.

מה זה DPO ומתי צריך למנות אותו?

DPO (Data Protection Officer) או ממונה הגנת פרטיות, הוא תפקיד חדש שהחוק מחייב בארגונים המחזיקים מידע אישי של יותר מ־10,000 אנשים. הממונה אחראי על פיקוח, עמידה בדרישות החוק, ודיווח לרשות להגנת הפרטיות.

מה חייבת לכלול מדיניות פרטיות באתר אינטרנט?

מדיניות פרטיות היא מסמך משפטי־טכנולוגי שמטרתו להסביר לגולשים בצורה שקופה וברורה כיצד האתר אוסף ומשתמש במידע אישי. החוק מחייב לציין באילו סוגי מידע מדובר – למשל שם, מספר טלפון או כתובת אימייל – ולפרט מהן המטרות שלשמן נאסף המידע, בין אם לצרכי שיווק, שיפור השירות או ניהול חשבונות משתמש.

בנוסף, המדיניות צריכה להבהיר כיצד נשמר המידע, מהן רמות האבטחה שננקטות לשמירה עליו, והאם הוא מועבר לצדדים שלישיים כמו חברות שיווק או ספקי שירותים חיצוניים. נקודה מרכזית נוספת היא פירוט זכויות המשתמשים – הזכות לעיין במידע, לתקן טעויות או לבקש את מחיקתו.

אילו סנקציות צפויות על הפרת החוק?

המשמעות של אי־עמידה בתיקון 13 לחוק הגנת הפרטיות היא לא רק עניין תדמיתי, אלא גם חשיפה לסנקציות כבדות. החוק מאפשר לרשות להגנת הפרטיות להטיל קנסות מנהליים משמעותיים על עסקים ואתרים שמפרים את הוראותיו. מעבר לכך, לקוחות שנפגעו יכולים להגיש תביעות פרטניות ואף תביעות ייצוגיות.

כמו כן, החוק מאפשר פסיקת פיצויים של עד 10,000 ₪ לכל אדם – גם מבלי שהניזוק יידרש להוכיח נזק בפועל. מעבר להיבטים המשפטיים, כל הפרה של הוראות החוק עלולה לגרום לפגיעה קשה באמון הציבור ובמוניטין העסקי, דבר שעשוי להיות הרסני בטווח הארוך.

מה בעלי אתרים צריכים לעשות כבר עכשיו?

כדי להיערך לכניסתו של תיקון 13 לתוקף, מומלץ לכל בעל אתר או עסק להתחיל לפעול כבר היום. הצעד הראשון הוא לעדכן את מדיניות הפרטיות כך שתהיה ברורה, מלאה ותואמת את דרישות החוק. במקביל יש ליישם אמצעי אבטחת מידע טכנולוגיים מתקדמים שימנעו דליפות או פרצות אבטחה.

בארגונים המחזיקים מאגרי מידע גדולים או רגישים ייתכן שתידרש מינוי של DPO – ממונה הגנת פרטיות – שתפקידו לפקח על יישום ההוראות ולדווח לרשויות. בנוסף, חשוב להדריך את העובדים בארגון בנושאי פרטיות, ולהכין נוהל פנימי מסודר לדיווח ולטיפול באירועי אבטחה אם יתרחשו.