אילוסטרציה: Shutterstock, BestForBest
הכותב הוא ראש המרכז לחקר מידע DPI Group ומומחה לחוק הגנת הפרטיות, המידע האישי וסייבר
השבוע ייכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות - אחת הרפורמות המרכזיות ביותר שבוצעו בדין הישראלי ב-30 השנים האחרונות בתחום ההגנה על מידע אישי. מדובר בצעד מבורך וחשוב, המעדכן סוף-סוף את הדין הישראלי למציאות דיגיטלית משתנה, ומקרב את ישראל לסטנדרטים הבינלאומיים הנהוגים במדינות המפותחות (ה-OECD) ובייחוד באיחוד האירופי (GDPR).
● חובת מינוי ממונה הגנת הפרטיות: מה צריך לדעת על תיקון החוק שנכנס לתוקף
● הרפורמה החדשה והקנסות הכבדים: מי חשוף ואיך נערכים?
עם כניסתו לתוקף, התיקון מחזק את מעמדה של הרשות להגנת הפרטיות, מרחיב את סמכויות האכיפה שלה ומחדד את החובות של עסקים, ארגונים ומחזיקי מאגרי מידע. זאת תוך קביעת מדרג של רמות חומרה לעבירות על החוק, סמכויות אכיפה חדשות לרשות ובכלל זה על שורה של חובות בחוק ובתקנות מכוחו, כגון על חובת דיווח על אירועי אבטחת מידע או החובה למחוק מידע עודף - כל אלה מייצרים משטר אכיפה אפקטיבי יותר ומסמנים עידן חדש של אחריות והרתעה.
אך בתוך כל ההישג הזה, אסור לנו להתעלם מהמציאות הכלכלית והעסקית המורכבת בישראל של שנת 2025. נכון להיום, עסקים רבים בישראל, בעיקר עסקים קטנים ובינוניים, טרם הספיקו להיערך באופן מלא לדרישות התיקון לחוק. חלקם כלל אינם מודעים להשלכות התיקון, אחרים מבינים את הדרישות אך מתקשים לעמוד בהן מבחינת משאבים (כלכליים ו/או כוח-אדם), ידע מקצועי או תשתיות טכנולוגיות.
לעכב את תחילת האכיפה
לפני כחודש פניתי באופן רשמי במכתב לרשות להגנת הפרטיות בבקשה לעכב את תחילת אכיפה החוק על-ידה בחצי שנה, כך שסמכויות אכיפת החוק ייושמו רק מאמצע חודש פברואר 2026. הבקשה נבעה מתוך הבנה עמוקה של שדה המציאות ולא מתוך התנגדות עקרונית לתיקון, אלא להפך - דווקא מתוך הרצון שהחוק ייושם באופן ראוי ומקיף ולא יהפוך למלכודת מסוכנת לעסקים שאינם ערוכים.
חשוב לזכור שבמהלך החודשים האחרונים עמדה מדינת ישראל בפני אתגרים ביטחוניים וחברתיים לא פשוטים, כולל מבצע משמעותי באיראן אשר דרש גיוס מילואים מקיף, שפגע בשגרת הפעילות של עשרות אלפי עסקים. מעבר לכך, נוספו לתיקון היבטים מהותיים רק בחודשים האחרונים, תולדה של פרסומים שונים של הרשות להגנת הפרטיות, מה שהקשה עוד יותר על היערכות אפקטיבית של גופים בשטח.
יותר נזק מתועלת
אכיפה רגולטורית היא כלי חשוב במדינת חוק, אך היא גם מחייבת אחריות והדרגתיות. כאשר החשש הוא שמאות ואולי אלפי עסקים קטנים עלולים להיחשף לקנסות ועיצומים כספיים, חשוב לבחון את האיזון הנכון בין שמירה על פרטיות הציבור לבין שימור יכולת ההישרדות של המגזר העסקי.
תיקון 13 לחוק הגנת הפרטיות הוא שינוי חיוני, אך יישומו חייב להיעשות תוך רגישות, ליווי מקצועי והבנה של תמונת השטח. אחרת הוא עלול לייצר יותר נזק מתועלת.
אני קורא לרשות להגנת הפרטיות לבחון מחדש את עמדתה ולשקול תקופת הסתגלות נוספת, לצד קמפיין הכשרה והסברה רחב בתקשורת, כדי להבטיח שהחוק ישרת את מטרותיו, ולא יהפוך למלכודת בירוקרטית עבור אלה שכבר כורעים תחת עומס הקיים.