X

קיבלתם מכתב אזהרה מרשות הגנת הפרטיות? השעון כבר התחיל לתקתק

תיקון 13 לחוק הגנת הפרטיות הכניס מנגנון אכיפה חדש וקריטי לתחום החשוב הזה • ההודעות שנשלחות לארגונים נראות אמנם מרוככות, אבל המשמעות שלהן ברורה: מי שלא יפעל עכשיו ישלם מחיר כבד בהמשך

שחר רומנו
, עודכן
0השמעה
המידע הפרטי שלכם מוגן? (אילוסטרציה), צילום: gettyimages

כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות באוגוסט 2025 סימנה שינוי מהותי במשטר האכיפה בישראל של נושא חשוב זה. לצד הרחבת סמכויות האכיפה והגדלת היקפי הקנסות, בחרה הרשות להגנת הפרטיות בשלב הראשון בגישה הדרגתית, שליחת מכתבי אזהרה והנחיות לתיקון ליקויים, טרם הפעלת סנקציות כספיות.

על פניו, מדובר בגישה מרוככת. בפועל, זהו מסר רגולטורי חד וברור. האכיפה החלה, מנגנון הבקרה פועל, והשעון כבר מתקתק. ארגונים שיבחרו לפרש מכתב אזהרה כאירוע שולי או כ"אין קנס אז אין סכנה", עלולים לגלות מהר מאוד שטעו בהבנת המציאות החדשה.

מה המשמעות של מכתב אזהרה?

מכתב אזהרה מהרשות אינו התראה כללית או מסמך אינפורמטיבי. מדובר במסמך רשמי שמבסס תשתית אכפתית כלפי הארגון. למעשה, מרגע קבלת המכתב, הרשות כבר ביצעה בחינה, זיהתה חריגות, וגיבשה עמדה ראשונית לגבי רמת הציות של הארגון להוראות החוק והתקנות.

המשמעות המעשית היא שהארגון נכנס לסטטוס של "מעקב רגולטורי" - וכל העדר תגובה, תיקון חלקי או דחייה בלתי מוסברת, עלולים להיחשב להחמרת ההפרה.

הסיכונים כוללים: הסלמה להליכי אכיפה מנהליים וקנסות משמעותיים, שיכולים להגיע עד מיליוני שקלים; פרסום פומבי של ממצאים והפרות, עם פגיעה תדמיתית משמעותית מול לקוחות, ספקים ומשקיעים; וחשיפה לתביעות אזרחיות וייצוגיות, לרבות אפשרות לפיצוי ללא הוכחת נזק.

במובן זה, מכתב אזהרה אינו “מחווה רגולטורית”, אלא שלב ראשון בהליך אכיפה מלא.

למעשה, מרגע קבלת המכתב, הרשות כבר ביצעה בחינה, זיהתה חריגות, וגיבשה עמדה ראשונית לגבי רמת הציות של הארגון להוראות החוק והתקנות

מה עומד במוקד מכתבי האזהרה?

מבדיקות שנערכו לאחרונה עולה עקביות ברורה בנושאים שבהם הרשות מתמקדת:

מינוי ממונה על הגנת הפרטיות (DPO) - גופים ציבוריים וחברות גדולות מחויבים במינוי ממונה פרטיות. גם כאשר אין חובת מינוי מפורשת, העדר פונקציה מקצועית שמנהלת את תחום הפרטיות נתפס כחולשה תפעולית וארגונית.

אבטחת מידע וציות רגולטורי - הרשות בוחנת קיומם של נהלים כתובים, בקרות אבטחת מידע, מיפוי מאגרי מידע, תהליכי ניהול גישה, הדרכות עובדים, ותיעוד פעולות. לא די בפתרונות טכנולוגיים, נדרש מערך ניהולי ומתועד.

שקיפות וזכויות נושאי מידע - מדיניות פרטיות מעודכנת, מנגנוני הסכמה תקפים, מענה לפניות נושאי מידע, ויכולת להוכיח כיצד נאספה ההסכמה וכיצד נעשה שימוש במידע.

בביקורות האחרונות אותרו ליקויים חוזרים, כגון: מאגרי מידע שלא נרשמו כדין; מדיניות פרטיות כללית, מיושנת או לא מותאמת לפעילות בפועל; העדר הסכמי עיבוד נתונים (DPA) עם ספקים ונותני שירות; חוסר תיעוד של הסכמות, העברות מידע ושיתופים עם צדדים שלישיים.

שמירה על מידע (אילוסטרציה), צילום: gettyimages

הארגונים לא באמת מוכנים

בפועל, רוב הארגונים שמקבלים מכתב אזהרה מגלים פער עמוק בין הדרישות החוקיות לבין המציאות היומיומית. אין מיפוי מסודר של המידע האישי, לא ברור היכן הוא נשמר, מי ניגש אליו, ולאיזה צורך. הנהלים קיימים, אם בכלל, בצורה חלקית או תיאורטית, ואינם מיושמים בפועל.

החוק החדש מחייב מעבר מתפיסה של אבטחת מידע כ-IT לתפיסה כוללת של ניהול סיכונים, תיעוד, בקרה שוטפת ואחריות ניהולית.

איך נכון להתמודד עם מכתב אזהרה?

הטעות הנפוצה היא לפעול בלחץ רק לאחר קבלת המכתב. התמודדות נכונה כוללת כמה צעדים מובנים:

  • ביצוע מיפוי מידע מקיף: סוגי מידע, מטרות עיבוד, מערכות, ספקים וגישה
  • מינוי ממונה פרטיות (DPO) או גורם ייעודי אחראי, שבאמת יודע מה הוא עושה ורואה את כל התהליך
  • עדכון מדיניות פרטיות והטמעת עקרונות שקיפות
  • חתימה והסדרה של הסכמי עיבוד נתונים עם ספקים
  • הדרכות עובדים והטמעת נהלים בפועל, לא רק על הנייר

מכתבי האזהרה של הרשות להגנת הפרטיות אינם, אפוא, איום תיאורטי, אלא הזדמנות אחרונה לפעול לפני שהאכיפה הופכת כלכלית, משפטית ופומבית. ארגונים שיבחרו לנצל את חלון הזמן הזה יפחיתו סיכונים, יעמדו בדרישות החוק, ויחזקו את האמון של לקוחותיהם.

ומי שיתעלם? הוא עלול לשלם מחיר כבד הרבה יותר בהמשך.

הכותב הוא מנהל תחום ה-DPO בחברת MadSec ,מקבוצת SQlink

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

שחר רומנו

אבטחת מידעהפרת פרטיותהרשות להגנת הפרטיות

כדאי להכיר