כך תיערכו לתיקון 13 לחוק הגנת הפרטיות: המדריך המלא לעצמאים ולעסקים קטנים ובינוניים

חוק הגנת הפרטיות, החוק הוותיק משנת 1981, עומד בפני עדכון המשמעותי והמקיף ביותר שלו זה עשרות שנים. תיקון מס' 13, שאושר בכנסת ב-5 באוגוסט 2024, מהווה אבן דרך הכרחית להתאמת הדין הישראלי למציאות הטכנולוגית של ימינו, לאתגרי עידן הבינה המלאכותית ולצורך לחזק את ההגנה על המידע האישי.

התיקון החדש, אשר ניכנס לתוקפו המלא ב-14 באוגוסט 2025, אינו רק שינוי טכני; הוא משנה את כללי המשחק עבור כל עסק, עצמאי, וחברה קטנה ובינונית המחזיקים במידע אישי. אם עד היום הציות לחוק נתפס במקרים רבים כדרישה בירוקרטית, הרי שהתיקון הופך את הדרישה הזו למהותית וממוקדת. הדבר מחייב הערכה מחודשת של אופן ניהול המידע בארגון, מתוך דגש על פתרונות חסכוניים כמו dpo as a service ושיטות הגנה בסיסיות יעילות.

דווקא בעבור עצמאים ועסקים קטנים, אשר משאביהם מוגבלים, ההיערכות לתיקון 13 היא קריטית, שכן העיצומים הכספיים והפגיעה במוניטין בעקבות הפרה עלולים להיות מכת מוות לעסק.

חוק הגנת הפרטיות 2025: השלב הבא באבטחת מידע

השינוי הגדול ביותר שמביא עמו תיקון 13 לחוק הגנת הפרטיות הוא המעבר מציות פסיבי לציות אקטיבי ומנוהל. עקרון האחריות, המעוגן בתיקון, מחייב ארגונים לא רק ליישם את הוראות הדין הנוגעות לשימוש במידע אישי, אלא גם להציג ולהוכיח עמידה בדרישות אלה.

עקרון זה מחייב תהליכי אסדרה פנימיים ממוסדים ואינו משאיר מקום לספק או התעלמות. כתוצאה מכך, הרשות להגנת הפרטיות מחזקת את כלי האכיפה שלה, הכוללים סמכויות להטלת עיצומים כספיים בגין הפרות שונות, החל מאי-מסירת הודעה לאדם על איסוף מידע ועד להפרות הנוגעות לאבטחת המידע עצמה.

מה באמת משתנה בתיקון 13? הדגש על התיעוד הפנימי

Q&A: למה הרגולטור פחות מתמקד ברישום מאגרים?

אחת התמורות הבולטות בתיקון 13 היא צמצום משמעותי בחובת רישום מאגרי המידע עבור רוב הגופים במשק (למעט גופים ציבוריים ומאגרים המשמשים לסחר במידע). אולם, רבים מפרשים את הוויתור הזה כהקלה, בעוד שלמעשה הנטל הועבר למקום אחר – לניהול המידע הפנימי.

המשמעות היא שהדגש עובר לתיעוד עצמי יסודי. על בעל השליטה במידע מוטלת החובה לנהל באופן עצמאי "מסמכי הגדרות מאגר" (או תיעוד תהליכי עיבוד המידע), הנדרשים כבר שנים מתוקף תקנות אבטחת המידע, אך חשיבותם עולה כעת בצורה משמעותית.

מה יש לכלול בתיעוד?

על העסק לנהל תיעוד מפורט עבור כל מאגר מידע (מאגרי עובדים, לקוחות, ספקים וכו'). זהו הבסיס לעמידה בעקרון האחריות:

1. זיהוי ומיפוי: הגדרת סוג המידע, מקורותיו ומטרות איסופו ושמירתו.

2. ממשקים: תיעוד הגורמים המשתתפים בעיבוד המידע (לרוב ספקים חיצוניים), תוך וידוא כי הם חתומים על הסכמי סודיות ואבטחת מידע.

3. מדיניות מחיקה: הגדרת תקופות ומדיניות מחיקה של המידע.

4. סיכון: זיהוי סיכוני האבטחה העיקריים למידע.

יתרה מכך, ניהול התיעוד הופך לאחד ממוקדי האכיפה המרכזיים של הרשות. עסק קטן שיימצא מבצע ביקורת פנימית ופועל בהתאם לנוהלי מחיקה מסודרים, יוכל להוכיח כי הוא עומד בחוק, וזאת בניגוד לעסק שאין לו כלל תיעוד, אשר ייחשב כמפר חוק גם אם טרם חווה אירוע אבטחה.

מינוי ממונה על הגנת הפרטיות: האם זה חובה? ואיך עושים את זה נכון ובזול

בעקבות תיקון 13, חובת מינוי ממונה על הגנת הפרטיות (DPO – Data Protection Officer) מורחבת לגופים ציבוריים ולשורה ארוכה של ארגונים פרטיים שפעילותם כרוכה בסיכון גבוה לפרטיות.

Q&A: האם העסק הקטן שלי חייב למנות ממונה על הגנת הפרטיות (DPO)?

החובה למינוי DPO חלה על ארגונים פרטיים הממלאים אחד מהקריטריונים הבאים:

1. סחר במידע: בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים כחלק מהפעילות העסקית (לרבות שירותי דיוור ישיר), כאשר במאגר יש יותר מ-10,000 איש.

2. ניטור שיטתי ושוטף: בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כרוכים בביצוע ניטור שוטף ושיטתי של בני אדם (למשל, מעקב או התחקות שיטתית אחר התנהגות או מיקום של אדם, בהיקף ניכר).

למרות זאת, רוב העסקים הקטנים והבינוניים לא יחויבו במינוי DPO מלא. עם זאת, הדרישות המהותיות של הציות — ניהול סיכונים, מיפוי מאגרים, והבטחת קיומם של מנגנוני בקרה נאותים, נותרות על כנן. זהו המקום שבו נכנס לתמונה הפתרון הגמיש.

ממונה על הפרטיות במיקור חוץ: הפתרון המודולרי בהתאמה לצרכי הארגון ובתקציב שפוי

dpo as a service הוא מודל בו גורם חיצוני מקצועי מספק את כל פונקציות הממונה על הגנת הפרטיות כחלק משירות מנוהל. זהו הפתרון האידיאלי עבור SMEs: הוא מאפשר להם לעמוד בדרישות האחריות של תיקון 13, תוך חיסכון משמעותי במשאבי זמן וכסף, שכן אין צורך בהעסקת עובד פנימי במשרה מלאה או בהשקעה מתמדת בהכשרה.

שירות DPOaaS מקיף כולל לרוב: מיפוי מאגרי מידע, ניהול סיכוני פרטיות, פיתוח נהלים ומדיניות ארגונית, ליווי בהתאמה לרגולציות (כמו GDPR), ובקרה ומעקב שוטף.

היתרונות הכלכליים של DPO חיצוני: מנוף לזכייה במכרזים

השקעה ב-DPO (גם כשירות חיצוני) היא למעשה השקעה עסקית לכל דבר. היא אינה רק "כיבוי שריפות" רגולטורי:

• מגן מפני קנסות ופגיעה במוניטין: תפקידו המרכזי של DPO הוא להפחית את הסיכון לפרצות ואת הסיכון לקנסות. עבור עסקים קטנים, פגיעה במוניטין בעקבות אירוע אבטחה קריטי יכולה להשפיע באופן ישיר על הכנסות החברה ועל יכולתה להשיג מימון.

• אות אמון במכרזים: עבור עסקים קטנים ובינוניים הפועלים במודל B2B, נוכחות DPO נחשבת לאות אמון חשוב בהליכי מכרזים. הדבר מדגים ללקוח הפוטנציאלי שהחברה מטפלת בנושאי ציות בצורה יסודית. חברות שהטמיעו אסטרטגיית ציות ממוקדת דיווחו על עלייה של עד 50% בסיכויים לזכות במכרזים רלוונטיים, מה שהופך את DPOaaS למנוף כלכלי משמעותי.

• חיסכון תפעולי: יישום עקרונות פרטיות כמו מזעור נתונים, שאותם מבטיח DPO, מעודד זהירות באיסוף ואחזקת מידע. הדבר מביא לחיסכון תפעולי בעלויות אחסון שרתים.

האתגר: למה עסקים קטנים פגיעים יותר וכיצד ניתן להיערך?

עסקים קטנים ובינוניים הופכים ליעד מועדף למתקפות סייבר. לא רק שהם נתפסים כמטרה קלה יחסית בגלל פערי משאבים, אלא שהמידע שהם מחזיקים (כרטיסי אשראי, מידע אישי על עובדים ולקוחות) בעל ערך גבוה עבור תוקפים.

פער המשאבים והידע: דוגמאות מהשטח

למה זה בעייתי לעסקים קטנים ובינוניים?

לעסקים קטנים יש קושי משמעותי להקצות כוח אדם ייעודי, ידע טכני ומשאבים כספיים לצורך הקמה ותחזוקה של בקרות אבטחה מתוחכמות, כפי שמקובל בארגוני ענק. פער זה הופך אותם לפגיעים במיוחד.

נתונים שנאספו בישראל על ידי הסוכנות לעסקים קטנים ובינוניים מצביעים על כך שרוב המתקפות מנצלות חולשות פשוטות יחסית. מערך הסייבר הלאומי הדגיש כי 90% מהמתקפות שזוהו בשנה מסוימת עשו שימוש בחולשת אבטחה של תוכנה שלא עודכנה. מכאן, שרוב הפגיעות נובעות מכשלים בהיגיינת ה-IT הבסיסית.

הפתרון – התאמת האבטחה לסטנדרטים בסיסיים:

תקנות הגנת הפרטיות מגדירות מספר רמות אבטחה. עבור עצמאים ועסקים קטנים המנוהלים על ידי יחיד (או לכל היותר שלושה בעלי הרשאה), חלה בדרך כלל רמת האבטחה הבסיסית. דרישות אלו מהוות למעשה את ליבת ההגנה הפרקטית הנדרשת, והן ניתנות ליישום מהיר וחסכוני.

המלצות יישומיות וכלים פרקטיים: כך תיישמו הגנה בסיסית (Cybertis ומערך הסייבר)

היערכות לתיקון 13 מתחילה באימוץ מהיר של עקרונות בינלאומיים מוכחים, המייצרים מקסימום הגנה במינימום עלות. אלו הכלים והמתודולוגיות המרכזיות.

עקרונות אבטחת מידע ושמירה על הפרטיות: ניהול סיכונים חכם

• תיעוד: קביעת מדיניות ונהלים ברורים לשימוש במידע אישי ואבטחתו

• אמצעי הגנה טכניים בסיסיים.

• פונקציית התאוששות היא קריטית, היכולת לשחזר נתונים לאחר מתקפת כופר תלויה בתהליך מוסדר ואחסון חיצוני מוץ למערכת המותקפת, כמו כן גם עוזר בטעויות אנוש מתוך החברה.

טיפים לחסכון זמן ומשאבים: 7 כללי הברזל ליישום מיידי

מערך הסייבר הלאומי פרסם את "7 כללי הברזל", המהווים את הדרך הישירה והיעילה ביותר ליישום רמת האבטחה הבסיסית הנדרשת רגולטורית והגנה מפני רוב הסיכונים הנפוצים.

יישום כללים אלו מחייב פתרונות טכנולוגיים מתקדמים. לדוגמה, הגנה על המחשבים הניידים, גם כשלכאורה נדרשת רק רמה בסיסית, מחייבת שימוש במוצרים מנוהלים (כגון אלו המוצעים על ידי חברות כמו Check Point, CyberArk, Radware, Imperva, SentinelOne, Snyk, Orca Security, ו-Wiz). לכן, במקום לנסות לנהל זאת באופן עצמאי, יש לפנות לספק שירותי IT ואבטחת מידע מנוהלים.

שירותי אבטחת המידע והמחשוב של Cybertis – הפתרון המקיף לעסק שלך

כדי להתמודד עם אתגרי תיקון 13 וליישם את כללי הברזל של מערך הסייבר בצורה מיטבית, עסקים קטנים ובינוניים נדרשים למעטפת שירותים המשלבת בין דרישות ציות לטכנולוגיית הגנה מתקדמת. Cybertis מספקת שירותי IT מנוהלים ואבטחת מידע מתקדמים המאפשרים לעסקים קטנים להשיג ציות חסכוני ואבטחה מקיפה:

1. אבטחת מידע: מתן מענה מלא לדרישות תקנות אבטחת המידע החדשות. השירות כולל מיפוי מאגרים, כתיבת נהלים, והטמעת בקרות טכנולוגיות כדי לעמוד בעקרון של תיקון 13. פתרונות אלו חיוניים למיזעור הסיכון לפרצות ולנזקי מוניטין. (לפרטים נוספים: אבטחת מידע).

2. שירותי מחשוב לעסקים: שירותי IT מנוהלים המבטיחים שכל 7 כללי הברזל ייושמו באופן שוטף, כולל עדכוני תוכנה אוטומטיים (Patching), ניהול הרשאות (כנדרש בנהלי ה-DPO) ותחזוקה מונעת. זהו המפתח לחיסכון במשאבי זמן וכסף. (לפרטים נוספים: שירותי מחשוב לעסקים).

3. פתרונות תקשורת ותשתיות: תכנון והקמת רשתות מאובטחות, כולל הגדרות נכונות של Firewall והצפנת רשתות Wi-Fi, כצעד בסיסי הנדרש גם בתקנות אבטחת המידע. (לפרטים נוספים: פתרונות תקשורת ותשתיות).

4. שירותי ענן: ליווי מקצועי במעבר לאחסון בטוח ויעיל בענן, כולל פתרונות גיבוי מנוהלים ושירותי Microsoft 365 ו-Azure מאובטחים. (לפרטים נוספים: שירותי ענן).

5. הגנה על המיילים (MailGuard): הגנה קריטית מפני פישינג, הונאות והתחזות, המהוות את נקודת התורפה הנפוצה ביותר בארגונים קטנים. (לפרטים נוספים: הגנה על המיילים).

6. הגנה על האתרים (WebGuard): הגנה מקיפה על אתרי אינטרנט מפני מתקפות, פריצות ונוזקות – חיוני במיוחד לעסקים המבצעים סחר אלקטרוני ואוספים מידע אישי. (לפרטים נוספים: הגנה על האתרים).

מסקנות והמלצות להמשך: הפיכת ציות ליתרון עסקי

תיקון 13 לחוק הגנת הפרטיות מציב דרישות חדשות ומשמעותיות, אך הוא גם מספק הזדמנות לשדרג את התשתית העסקית. האתגר הופך לפתרון כאשר מבינים כי ציות משפטי ורמת אבטחה טכנית אינם דרישות נפרדות, אלא שלובות זו בזו.

המלצות מרכזיות לעצמאים ולעסקים קטנים ובינוניים:

1. התמקדו בתיעוד: ליבת התיקון היא היכולת להוכיח עמידה בו. יש להשקיע באופן מיידי במיפוי מאגרי המידע ובכתיבת "מסמכי הגדרות מאגר" כנדרש.

2. אמצו DPOaaS כמנוף עסקי: ממונה על הגנת הפרטיות במיקור חוץ היא הדרך החסכונית והיעילה ביותר לרכוש מומחיות נדרשת ברמה המשפטית והרגולטורית, תוך שימוש בציות ככלי לשיווק ולזכייה במכרזים.

3. הטמיעו את 7 כללי הברזל: יישום 7 כללי הברזל של מערך הסייבר הלאומי (אימות דו שלבי, עדכוני תוכנה שוטפים, וגיבוי קבוע) הוא המענה המיידי והבסיסי ביותר לדרישות אבטחת המידע ברמה הבסיסית הנדרשת רגולטורית. יישום עקבי של כללים אלו ימנע את רוב אירועי הסייבר הנפוצים ויחסוך משאבים רבים בטווח הארוך.

בסופו של דבר, עסק קטן שמבצע את ההיערכות הזו בצורה מקצועית, תוך שימוש בשירותי IT מנוהלים ומומחיות DPO חיצונית, יוכל לא רק להימנע מקנסות אלא גם למצב את עצמו כשותף אמין ומאובטח מול לקוחותיו וספקים חיצוניים .www.cybertis.co.il/mailguard