מאגרי מידע ותיקון 13 לחוק הגנת הפרטיות

בעידן הדיגיטלי של 2025, המידע הפך להיות הנכס החשוב ביותר של עסקים. רשימות לקוחות, נתוני עובדים, פרטי ספקים או אפילו טפסי "צור קשר" פשוטים – כולם נחשבים למידע אישי שמוגן על פי חוק. אם בעבר עסקים יכלו להתנהל במידה מסוימת של חופש, הרי שלאחר תיקון 13 לחוק הגנת הפרטיות – כל עסק בישראל נדרש להיערך מחדש: להבין מהו מאגר מידע, מהן החובות המשפטיות החלות עליו, ומהם הסיכונים באי-עמידה בדרישות החוק.

מהו מאגר מידע לפי החוק?

תיקון 13 הגדיר מחדש את המושג "מאגר מידע". כיום מדובר באוסף פרטי מידע אישי המעובד באמצעי דיגיטלי, כאשר המונח "מידע אישי" הורחב וכולל כמעט כל נתון שניתן לקשר לאדם – שם, כתובת, מספר טלפון, כתובת מייל, נתוני מיקום, מידע בריאותי, פיננסי, חברתי ועוד.

בנוסף, נוצרה קטגוריה חדשה – "מידע בעל רגישות מיוחדת" – הכוללת בין היתר נתונים רפואיים, גנטיים, ביומטריים, עבר פלילי, דעות פוליטיות, נתוני שכר ונתוני מיקום. עבור מידע זה החוק קובע רמת הגנה מוגברת.

המשמעות לעסקים היא ברורה: גם אם אתם מנהלים רק רשימות תפוצה לצורך שיווק, או מחזיקים פרטי לקוחות בסיסיים, ייתכן שאתם מפעילים בפועל "מאגר מידע" הכפוף לחוק.

רישום והודעה – מה השתנה?

אחת המהפכות הגדולות של התיקון היא ביטול חובת הרישום הכללית של מאגרי מידע. במקום זאת, נקבעו שתי חובות ייחודיות:

• חובת רישום – תחול רק על סוגי מאגרים מסוימים:

מאגרי מידע של גופים ציבוריים (למעט מאגר על עובדי הגוף בלבד).

• חובת הודעה לרשות להגנת הפרטיות – תחול על מאגרים גדולים שבהם מידע בעל רגישות מיוחדת של מעל 100,000 איש, גם אם אין עליהם חובת רישום. ההודעה חייבת להימסר תוך 30 יום, ולכלול בין היתר פרטי בעל השליטה, פרטי ממונה הגנת הפרטיות (DPO) אם נדרש, והעתק מסמך הגדרות המאגר.

אחריות העסק – לאן היא הולכת?

בעבר הייתה חובה למנות "מנהל מאגר". כיום, לאחר תיקון 13, האחריות כולה עוברת לבעל השליטה במאגר – כלומר הארגון עצמו. לצדו פועל "המחזיק במאגר" – גורם חיצוני המעבד מידע עבור העסק (כגון ספק טכנולוגי).

המשמעות היא שכל עסק לא יכול להטיל את האחריות על ספקים חיצוניים בלבד – האחריות נותרת עליו, והחוק דורש לנסח הסכמי עיבוד מפורטים מול כל ספק חיצוני שמעבד מידע אישי.

בנוסף, ארגונים מסוימים – בהם גופים ציבוריים, בנקים, חברות ביטוח, קופות חולים, וכן חברות פרטיות העוסקות במסחר במידע או במעקב שיטתי – חייבים למנות ממונה על הגנת הפרטיות (DPO) שתפקידו להבטיח עמידה בחוק.

שקיפות, אבטחת מידע וסנקציות

החוק החדש הרחיב את חובת השקיפות כלפי הציבור: בכל טופס איסוף נתונים – בין אם באתר אינטרנט ובין אם במערכת פנימית – יש להסביר למשתמש מדוע נאסף המידע, מה מטרות השימוש בו, ואילו זכויות עומדות לו.

במקביל, ממשיכות לחול במלואן תקנות אבטחת המידע משנת 2017, המחייבות קיומם של נהלי אבטחה, הרשאות גישה מוגבלות, סקרי סיכונים, הצפנות, תיעוד וביקורות פנימיות.

ומה קורה אם לא עומדים בדרישות?

• עיצומים כספיים – בין עשרות אלפי שקלים ועד למעלה מ־3 מיליון ₪, בהתאם לחומרת ההפרה והיקף המידע שנפגע.

• פיצוי ללא הוכחת נזק – בתי המשפט רשאים לפסוק עד 10,000 ₪ לכל אדם שנפגע, גם בלי הוכחת נזק בפועל.

• עבירות פליליות – שימוש במידע ללא הרשאה, מסירת מידע אסורה או הפרת חובת היידוע – עלולים להיחשב עבירות פליליות עם עונשי מאסר.

איך אנחנו בגולדשטיין ושות' יכולים לעזור?

המציאות החדשה מחייבת כל עסק – קטן כגדול – להבין שהוא מחזיק בנכס רגיש שעליו לשמור עליו בקפידה. אי-עמידה בדרישות החוק אינה רק חשיפה לקנס – היא חשיפה לפגיעה במוניטין, לאובדן לקוחות, ואף לתביעות ייצוגיות.

במשרד גולדשטיין ושות' אנו מתמחים בליווי משפטי לעסקים בעידן הדיגיטלי:

• נבצע מיפוי מדויק של מאגרי המידע בעסק שלכם.

• נבחן האם קיימת חובת רישום או הודעה ונלווה אתכם מול הרשות להגנת הפרטיות.

• ננסח נהלי עבודה מותאמים ונבצע הדרכות לעובדים.

• נבנה עבורכם אסטרטגיה משפטית-עסקית שתגן עליכם מהפרות ותאפשר לעסק להמשיך לצמוח.