תיקון 13 לחוק הגנת הפרטיות הוא עדכון חקיקה המחייב עסקים בישראל לאמץ סטנדרטים קפדניים של אבטחת מידע, שקיפות וניהול הרשאות, אך בשונה מהרגולציה באירופה הוא אינו מחייב תמיד הצגת חלונית קופצת להסכמה פעילה לכל עוגייה, אלא מתמקד בחובת יידוע ברורה, ביכולת למחוק נתונים לפי דרישה, ובמינוי ממונה פרטיות בארגונים רלוונטיים.
ניהול עסק בעידן הדיגיטלי מרגיש לפעמים כמו ניווט בספינה קטנה בלב סערה של חוקים, תקנות וטכנולוגיות משתנות. בדיוק כשחשבתם שהבנתם את חוקי המשחק, מגיע גל חדש של רגולציה ומאיים לבלבל את כל מה שבניתם בעמל רב. התחושה הזו של תסכול מול דרישות משפטיות מורכבות היא טבעית לחלוטין. כולנו רוצים להגן על המידע של הלקוחות שלנו ולשמור על אמונם, אבל השפה המשפטית המסורבלת של רשויות החוק משאירה אותנו לא פעם עם יותר שאלות מתשובות. במיוחד עבורכם הכנו את המדריך המקיף שיעזור לכם להבין את הים הסוער של חקיקת הפרטיות הישראלית החדשה. המטרה היא לצלוח את האתגר הזה בצורה חלקה, מקצועית ונטולת חרדות.
כיצד משפיע החוק החדש על כלי שיווק ומעקב דיגיטליים?
ניהול עוגיות ברשת, או מה שמוכר באנגלית בתור קוקיז, מקבל משמעות שונה לחלוטין בעקבות עדכוני החקיקה. בעבר הלא רחוק בעלי אתרים יכלו לשתול קוד מעקב ללא כל בקרה.
כיום, תיקון 13 לחוק הגנת הפרטיות דורש שקיפות מלאה לגבי סוג המידע שנאסף. עם זאת, בשונה מהתקנות המחמירות באירופה, המחוקק הישראלי טרם חייב באופן גורף שימוש במערכת ניהול הסכמות קופצת פעילה עבור כל אתר תדמיתי או חנות קטנה.
החובה המרכזית היא חובת היידוע. הגולש חייב לדעת בדיוק איזה מידע נאסף עליו, למשך כמה זמן הוא נשמר, ולאיזו מטרה. אם אתם אוספים נתונים רק לצורך סטטיסטיקה אנונימית, הדרישות יהיו מקלות יותר מאשר איסוף נתונים לצורך בניית פרופיל שיווקי אישי.
תבנית לבאנרים של הסכמת "עוגיות" >> בלחיצה כאן, תוכלו לבחור את מה שהכי נכון לכם וכמובן לעשות שינויים בהתאם לסוג העסק וסוג המידע שנאסף.
כיצד נטמיע פיקסלים ומערכות דיוור באופן חוקי?
התקנת פיקסלים של פייסבוק, מערכות של גוגל אקסצ'יינג' או פלטפורמות דיוור צריכה להיעשות בזהירות. פיקסל הוא למעשה סוכן סמוי שאתם שותלים בדפדפן של הלקוח.
כאשר הסוכן הזה אוסף מידע ומעביר אותו לצד שלישי, עליכם להצהיר על כך במפורש במדיניות הפרטיות שלכם. הלקוח חייב להבין שמידע אודות הרגלי הגלישה שלו עשוי לעבור לפלטפורמות פרסום בינלאומיות.
בנוגע למערכות ניוזלטר וניהול קשרי לקוחות, הכלל המנחה הוא מזעור נתונים. אין לאסוף מידע שאינו נדרש ישירות למתן השירות. בנוסף, חובה להעניק ללקוח דרך פשוטה, מהירה וברורה להסיר את עצמו מרשימת התפוצה בכל עת.
צ'ק ליסט יישום תיקון 13 לעסק
הכנו עבורכם רשימת פעולות מובנית שתעשה סדר בבלאגן. ביצוע נכון של השלבים הללו יבטיח שהעסק שלכם יישאר מוגן מפני קנסות וסנקציות משפטיות.
-
שלב 1: מיפוי נתונים. זהו השלב הקריטי ביותר. עליכם למפות בדיוק אילו נתונים העסק אוסף, היכן הם נשמרים, מי נחשף אליהם ומהי מטרת האיסוף. מיפוי זה כולל גם מידע פיזי וגם מידע דיגיטלי השמור בשרתי ענן או במערכות צד שלישי.
-
שלב 2: עדכון תקנון האתר ומדיניות הפרטיות. לאחר שהבנתם איזה מידע ברשותכם, עליכם לנסח מסמך מדיניות פרטיות ברור ושקוף. מסמך זה צריך להסביר לגולשים בשפה פשוטה, ולא רק בעגה משפטית עמומה, מה נעשה בנתונים שלהם.
-
שלב 3: בדיקת הצורך במינוי ממונה פרטיות. החוק החדש מגדיר קריטריונים ספציפיים לארגונים החייבים למנות מומחה שיהיה אחראי על תחום הפרטיות בארגון. גופים ציבוריים, חברות המחזיקות מידע רפואי רגיש, או ארגונים שעיקר פעילותם היא עיבוד מידע אישי בקנה מידה גדול, חייבים למלא דרישה זו.
-
שלב 4: יישום מנגנון מחיקת משתמש לפי דרישה. לקוחות היום מודעים לזכויותיהם יותר מתמיד. עליכם לוודא שיש לכם נוהל טכנולוגי ושירותי המאפשר לאתר את כל המידע הקיים על לקוח מסוים ולמחוק אותו לחלוטין ממערכות החברה, כולל מגיבויים, במידה והוא דורש זאת.
שאלון הערכה עצמית: האם העסק שלכם צריך DPO >> להורדת PDF השאלון
מהי המשמעות הטכנולוגית עבור מחלקות פיתוח ומערכות מידע?
חקיקת הפרטיות אינה מסתכמת רק במסמכים של עורכי דין. היא משנה מן היסוד את הדרך שבה כותבים קוד ובונים תשתיות תוכנה. אנשי פיתוח ומנהלי תשתיות צריכים כעת לאמץ חשיבה של פרטיות כבר משלב התכנון הראשוני של כל מערכת.
ניהול הרשאות הופך להיות המוקד המרכזי של אבטחת המידע בארגון. גישת פיתוח נכונה מחייבת מתן הרשאות מינימליות הכרחיות בלבד. מתכנת או נציג שירות לקוחות לא אמור לקבל גישה חופשית למסד הנתונים המלא של החברה אם תפקידו אינו דורש זאת.
יש ליישם מנגנוני הצפנה מחמירים, הן במידע הנמצא במנוחה בשרתים והן במידע העובר בתעבורת הרשת. ההצפנה מבטיחה שגם במקרה של פריצת סייבר, הפצחנים יקבלו רצף אותיות חסר משמעות ולא נתונים רגישים של לקוחות.
כיצד מנהלים לוגים ותקופות שמירת מידע?
שמירת לוגים של גישה למסד הנתונים היא כעת דרישה טכנולוגית בסיסית. כל פעולה של שליפה, עריכה או מחיקה ממסד הנתונים חייבת להיות מתועדת. תיעוד זה, שניתן להקביל אותו לקופסה שחורה של מטוס, מאפשר לחקור בדיעבד דליפות מידע ולזהות בדיוק מי ניגש לאיזה מידע ובאיזה תאריך.
נושא שמירת המידע מקבל גם הוא תשומת לב מיוחדת. חלף העידן שבו חברות אגרו נתונים לנצח רק כי אחסון בענן הפך לזול. מחלקות הייטק נדרשות לבנות תהליכים אוטומטיים להשמדת נתונים.
מערכת התוכנה צריכה לדעת לזהות לקוחות לא פעילים או נתונים שפג תוקפם, ולמחוק אותם באופן יזום ואוטומטי ללא צורך בהתערבות אנושית. מהלך זה מקטין משמעותית את שטח התקיפה של הארגון ומונע צבירת סיכונים מיותרים.
אילו שאלות נפוצות עולות סביב החוק החדש?
מתי תיקון 13 נכנס לתוקף?
התיקון אושר סופית וקובע תקופת מעבר הדרגתית של מספר חודשים כדי לאפשר לעסקים וארגונים להיערך לשינויים המשמעותיים. חשוב להתעדכן בתאריכים המדויקים המפורסמים על ידי משרד המשפטים ולהתחיל את תהליך ההתאמה מוקדם ככל האפשר כדי למנוע חשיפה לקנסות.
מי פטור מרישום מאגר מידע?
התיקון מקל בצורה משמעותית על חובת הרישום המיושנת של מאגרי מידע רגילים. עסקים קטנים שמנהלים רשימות לקוחות שגרתיות ללא מידע רגיש במיוחד יהיו פטורים מרישום פנקסני אצל הרשם, ובמקום זאת החוק מתמקד באחריות המהותית שלהם לאבטח את המידע בפועל.
האם אתר סחר אלקטרוני חייב למנות ממונה פרטיות?
רוב חנויות המסחר האלקטרוני הרגילות אינן חייבות במינוי ממונה פרטיות במשרה מלאה. עם זאת, אם אתר הסחר עוסק באיסוף מאסיבי של מידע בריאותי או מנהל פעילות ליבה המבוססת על פרופיילינג אגרסיבי של מאות אלפי משתמשים, עליו לבחון את מעמדו המשפטי מול דרישות החוק.
מה קורה אם גולש מבקש שכל המידע עליו יימחק?
על העסק להיות מסוגל להיענות לבקשה זו בזמן סביר. המשמעות הטכנית היא חובה לאתר את המייל, היסטוריית הרכישות והנתונים האישיים של הגולש, ולמחוק אותם באופן שלא יאפשר שחזור. יחד עם זאת, חשבוניות ונתוני הנהלת חשבונות נשארים במערכת לפי דרישות חוקי המס בישראל אשר גוברים במקרה זה.
האם אני מחויב להצפין את כל בסיס הנתונים שלי?
החוק אינו קובע תמיד טכנולוגיה ספציפית אך הוא מחייב רמת אבטחה התואמת את רגישות המידע. אם אתם שומרים מספרי כרטיסי אשראי או מידע רפואי, הצפנה ברמה גבוהה היא חובה מוחלטת. עבור מידע בסיסי יותר, יש ליישם מנגנוני הגנה סבירים ומקובלים בתעשייה, אם כי תמיד מומלץ להחמיר ולהצפין נתונים אישיים מזהים.