מדריך ראשוני להיערכות טכנולוגית וניהול סיכונים במסגרת תיקון 13 לחוק הגנת הפרטיות

מאת:  שי אהרון, Head of GRC Risk & Privacy

1. מבוא: עידן ה-Accountability מגיע לישראל

באוגוסט 2024 אישרה כנסת ישראל את תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. אין מדובר בעוד עדכון חקיקתי זניח, אלא ברפורמה המקיפה ביותר בשלושת העשורים האחרונים. התיקון מעביר את מרכז הכובד של הרגולציה בישראל ממודל של "רישום מאגרים" בירוקרטי למודל של "אחריותיות" (Accountability) אופרטיבית. ארגונים נדרשים כעת לא רק להצהיר על קיום מאגר, אלא להוכיח באופן אקטיבי וטכנולוגי כי הם מגנים על המידע האישי שברשותם.

2. הגדרת המידע מחדש: האתגר הטכנולוגי

התיקון מרחיב את הגדרת "מידע" לכל נתון הנוגע לאדם מזוהה או כזה הניתן לזיהוי "במאמץ סביר". עבור מנהלי מערכות מידע (CIOs), המשמעות היא שתחולת החוק מתפרסת כעת על דאטה-סטים שנחשבו בעבר לאנונימיים:

• מזהים מקוונים: כתובות IP, מזהי מכשיר (Device ID) וקובצי עוגיות (Cookies).
• נתונים ביומטריים ומיקום: הוגדרו באופן מפורש כ"מידע ברגישות מיוחדת".
• פרופיילינג ( דיוור ישיר ): מסקנות המופקות באמצעות אלגוריתמים על אישיותו של אדם או מצבו הכלכלי.

3. הנחיות טכנולוגיות מחייבות: עמוד השדרה של הציות

ההיערכות לתיקון 13 מחייבת יישום של בקרות טכנולוגיות מתקדמות, המהוות את קו ההגנה הראשון מפני עיצומים כספיים:

3.1 ניהול זהויות וגישה (IAM & MFA)

ארגונים מחויבים ליישם אימות רב-גורמי (MFA) כסטנדרט מחייב.

• גישה מרחוק: חובה מוחלטת לכל התחברות מרחוק למערכות הארגוניות.
• הרשאות פריבילגיות: יישום MFA לכל גישה של מנהלי מערכת (Admins) לבסיסי נתונים המכילים מידע רגיש.
• בקרת גישה: הטמעת מודל של "מינימום הרשאות הכרחיות" (Least Privilege).

3.2 הצפנה ומשילות נתונים (Encryption & Governance)

הצפנה אינה עוד המלצה בלבד. כדי לעמוד בדרישות התיקון ולצמצם חשיפה במקרה של אירוע אבטחה, על הארגון ליישם:

• הצפנה במנוחה (At Rest): הצפנת בסיסי הנתונים והגיבויים.
• הצפנה בתנועה (In Transit): שימוש בפרוטוקולים מאובטחים (כגון TLS 1.3) בכל העברת מידע פנים-ארגונית וחוץ-ארגונית.

3.3 מנגנוני מזעור מידע (Data Minimization)

החוק דורש כי מידע לא יישמר מעבר לזמן הדרוש למטרה שלשמה נאסף. ברמה הטכנית, על הארגון להטמיע:

• מדיניות שימור (Retention Policy): מנגנונים אוטומטיים למחיקת נתונים או אנונימיזציה לאחר תקופה מוגדרת.
• ניקוי דאטה (Purging): תהליכי ניקוי תקופתיים של סביבות בדיקה ופיתוח ממידע מזוהה.

4. ניטור, לוגים ודיווח על אירועים

תיקון 13 מחזק את חובת הדיווח על "אירוע אבטחה חמור". היכולת לזהות אירוע כזה תלויה במערך ניטור תקין:

• שמירת רשומות (Logs): חובה לשמור לוגים של גישה ושינוי מידע למשך 24 חודשים לפחות.
• זיהוי חריגות: שימוש בכלי SIEM/SOC לזיהוי גישות בלתי מורשות או ייצוא נתונים (Data Exfiltration) בנפח חריג.
• תיעוד אירועים: ניהול יומן אירועי אבטחה מפורט שישמש ראיה בביקורת רגולטורית.

5. אחריות נושאי משרה: היבט הפיקוח

סעיף 14ב החדש מטיל אחריות אישית על נושאי משרה (מנכ"ל, דירקטוריון) לפקח על קיום הוראות החוק. המלצת הציות המרכזית היא הקמת "מערך דיווח רבעוני":

1. הצגת KPI טכנולוגיים של מצב אבטחת המידע והפרטיות.
2. אישור תוכנית הדרכה שנתית לעובדים.
3. בחינת ממצאי מבדקי חדירה (PT) וסקר סיכונים תקופתי.

ביצוע פעולות אלו מהווה "חומת מגן" משפטית לנושא המשרה במקרה של כשל מערכתי.

6. סיכום והמלצות להיערכות

החוק כבר נכנס לתוקף באוגוסט 2025 וארגונים חייבים להיערך רגולטורית וטכנולוגית על מנת לעמוד בדרישות החוק והתקנות , להימנע מפני עיצומים כספיים של מיליוני שקלים, ולהיות בעלי יתרון תחרותי מובהק בשוק המבוסס על אמון הלקוח.

למידע נוסף, עדכוני רגולציה והנחיות מקצועיות:

sales@spd.co.il

הצהרת סיום: מאמר זה מספק המלצות כלליות ואינו מהווה ייעוץ משפטי או חוות דעת מקצועית מחייבת. יש לבחון כל מקרה לגופו אל מול הוראות החוק והתקנות המעודכנות.