מאת: ; ;
14/4/2025

המשטר החדש של סנקציות בתחום הגנת הפרטיות - משמעויות לארגונים

המהפך במנגנוני האכיפה
תיקון 13 לחוק הגנת הפרטיות מסמן שינוי דרמטי באופן שבו מדינת ישראל מתמודדת עם הפרות של כללי הגנת הפרטיות. עד כה, הרשות להגנת הפרטיות פעלה עם ארגז כלים מצומצם יחסית, ויכולת הענישה הייתה מוגבלת. כעת, בדומה למגמה הגלובלית, ובפרט למודל האירופי, התיקון מעניק לרשות מגוון אמצעי אכיפה אפקטיביים.
 

העיצום הכספי כמנגנון מרכזי

העיצום הכספי מהווה כלי אכיפה מנהלי (להבדיל מפלילי) המאפשר לרשות להטיל תשלומי חובה משמעותיים בגין הפרות של הוראות החוק, תקנות אבטחת המידע, ותקנות העברת מידע מהאזור הכלכלי האירופי.
 

מדרג הסכומים לפי חומרת ההפרה

התיקון קובע מדרג של סכומים בהתאם לאופי ההפרה, חומרתה, והיקף המידע הכלול במאגר:
  • הפרות ברף החומרה הגבוה (למשל: עיבוד נתונים למטרות בלתי חוקיות או ללא הרשאה נדרשת) - תשלום בסיס של 200,000 ש"ח, או לחלופין 4-8 ש"ח עבור כל רשומה אישית במאגר (בהתאם לרגישות הנתונים)
  • אי-עמידה בחובות רישום (כאשר קיימת דרישה כזו) - 150,000 ש"ח, והסכום מוכפל ל-300,000 ש"ח במאגרים המכילים מעל מיליון רשומות
  • הפרות של תקנות אבטחת מידע - עד 320,000 ש"ח במאגרים בדרגת האבטחה הגבוהה, ובמקרים מסוימים הסכום עשוי להגיע ל-640,000 ש"ח
 

קטגוריות הפרה מיוחדות

החוק מזהה "הפרה מתמשכת" (המחייבת תוספת של אחוז מסוים מסכום העיצום לכל יום המשך) ו"הפרה חוזרת" (המחייבת הכפלת הסכום המקורי). קיימות אפשרויות להפחתת הסכום הבסיסי בנסיבות מוגדרות (עד 70% במצטבר) וישנן הקלות ספציפיות לעסקים קטנים ולעסקים זעירים.


כלי אכיפה משלימים

מלבד העיצומים הכספיים, התיקון מרחיב את סל הכלים הרגולטורי:

  • צווי הפסקה מנהליים  - בהפרות מסוימות, הרשות תידרש תחילה להורות על הפסקת הפעילות המפרה לפני הטלת עיצום
  • מנגנון התראה -  במקום עיצום, הרשות רשאית להסתפק בהתראה רשמית ובדרישה לחדול מההפרה
  • מסלול התחייבות  - אפשרות לדרוש התחייבות בכתב להפסקת ההפרה והפקדת סכום ערבות
  • התערבות שיפוטית -  במקרים קיצוניים, ניתן לפנות לבית המשפט בבקשה להפסיק עיבוד או למחוק נתונים
 

תקנות אבטחת מידע כבסיס לפעולות אכיפה

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, משמשות כבסיס מרכזי למהלכי אכיפה. התקנות מגדירות שלושה רבדים של אבטחה (בסיסית, בינונית וגבוהה) וקובעות דרישות ספציפיות לכל רובד.
דרישות מרכזיות במסגרת התקנות
  • מסמך אפיון מאגר  - תיעוד היעדים של המאגר, סוגי המידע השמור בו, מקורותיו, ואופני השימוש
  • נוהל אבטחה  - הגדרת תהליכי הגנה על המידע, הרשאות גישה, אמצעי אבטחה ותגובה לאירועים חריגים
  • מערך הרשאות וזיהוי  - מנגנוני ניהול גישה, זיהוי ואימות של משתמשים
  • תיעוד אירועים חריגים -  רישום מקרים של פגיעה בשלמות המידע או גישה לא מורשית
  • בקרה ובדיקות -  ביקורות תקופתיות, ניתוחי סיכונים ובדיקות חוסן
 

תפקידו של הדירקטוריון

לאחרונה פרסמה הרשות להגנת הפרטיות הנחיה המבהירה את אחריות הדירקטוריון בתאגידים לפיקוח על יישום תקנות אבטחת מידע. ההנחיה חלה בעיקר על חברות שעיבוד מידע מהווה חלק מרכזי בפעילותן או שפעילותן יוצרת סיכון מוגבר לפרטיות.

האחריות כוללת, בין השאר:
  • וידוא קיומה של מדיניות פרטיות פנימית מקיפה
  • דיון מעמיק במסמך אפיון המאגר ובעקרונות נוהל האבטחה
  • קבלת דיווחים תקופתיים על מצב הציות לתקנות
 

ההיערכות הארגונית הנדרשת

לאור הסיכון המשמעותי של סנקציות והרחבת יכולות האכיפה, נדרשת היערכות ארגונית מתאימה:

  1. ביצוע בדיקת ציות מקיפה  - מיפוי עדכני של כלל תהליכי עיבוד המידע בארגון ואיתור פערים אל מול דרישות החוק
  2. עדכון התיעוד הרגולטורי  - מסמך אפיון המאגר, נהלי אבטחה ומדיניות פרטיות
  3. מינוי בעלי תפקידים נדרשים -  ממונה על אבטחת מידע ואחראי הגנת פרטיות (DPO)
  4. הטמעת תוכנית ציות -  יישום פרוטוקולים ותהליכים להבטחת עמידה בכל דרישות החוק
  5. תוכניות הדרכה  - העלאת המודעות בקרב עובדים וההנהלה לחשיבות הציות להוראות החוק
 
שיתוף פעולה יזום עם הרשות להגנת הפרטיות, כולל שימוש במנגנון חוות הדעת המקדמית שנקבע בתיקון, עשוי לסייע בהפחתת סיכונים. כאשר הבנה מעמיקה של מערך האכיפה והסנקציות, לצד היערכות מתאימה, יכולות למנוע מארגונים חשיפה משפטית, כספית ותדמיתית משמעותית בעידן שבו הגנת הפרטיות תופסת מקום מרכזי בשיח הציבורי והרגולטורי.
 
 

שאלות ותשובות בנושא סנקציות בתחום הגנת הפרטיות - משמעויות לארגונים 

מהו גובה הקנס בגין הפרת חוק הגנת הפרטיות בישראל?

Plus Mins

הקנס יכול להגיע עד 640,000 ש"ח, בהתאם לחומרת ההפרה, רמת האבטחה של המאגר והיקף המידע שנפגע.

מהן תקנות אבטחת מידע לפי חוק הגנת הפרטיות?

Plus Mins

התקנות קובעות דרישות ברמות אבטחה שונות וכוללות חובת ניהול הרשאות, תיעוד אירועים חריגים, ונהלי הגנה על המידע

מתי נדרש למנות DPO (ממונה על הגנת פרטיות)?

Plus Mins

מינוי DPO נדרש בארגונים המעבדים מידע רגיש בהיקף נרחב, בגופים ציבוריים או בארגונים המבצעים ניטור שיטתי.

מהן המשמעויות של "הפרה חוזרת" לפי תיקון 13?

Plus Mins

הפרה חוזרת של הוראות החוק עשויה להכפיל את סכום העיצום הכספי, גם אם ההפרה דומה להפרה קודמת שכבר טופלה

כיצד משרדנו יכול לסייע בהיערכות למשטר האכיפה החדש בתחום הגנת הפרטיות?

Plus Mins

משרדנו מלווה חברות בהטמעת תקנות אבטחת מידע, בניית תוכניות ציות והדרכת הנהלות – במטרה לצמצם חשיפה לעיצומים, להבטיח עמידה בדרישות הרגולציה ולשמור על מוניטין הארגון בעידן של אכיפה מתקדמת.

לשיחת ייעוץ
חייגו 03-6109100

או השלימו את הפרטים הבאים

הדפסת המאמר

דירוג המאמר

מדורג

 

5 ע"י 1 גולשים

הוסף תגובה

זקוקים לעורך דין?

חייגו: 03-6109100 או השאירו פרטים
אני מאשר/ת בזאת לדורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות' לשלוח לי ניוזלטרים/דיוור של מאמרים, מידע, חידושים, עדכונים מקצועיים והודעות, במייל ו/או בהודעה לנייד. הרשמה לקבלת הדיוור כאמור תאפשר קבלת דיוור שבועי ללא תשלום. ניתן בכל עת לבטל את ההרשמה לקבלת הדיוור ע"י לחיצה על מקש "הסרה" בכל דיוור שיישלח.