תיקון מספר 13 לחוק הגנת הפרטיות שיכנס לתוקף כבר ב- 2025 משנה את כללי המשחק עבור עסקים וארגונים בישראל. עם בקשה להגנה מחודשת על מידע אישי ואכיפה מחמירה של תקנות פרטיות, חשוב שעסקים יתאימו את עצמם לדרישות החדשות כדי לשמור על אמון לקוחותיהם ולהימנע מקנסות והפרות.
כדאי שתכירו: חוק הגנת הפרטיות בישראל
חוק הגנת הפרטיות בישראל נחקק לראשונה בשנת 1981, חוקק במטרה להבטיח זכויות פרטיות בכל הנוגע לאיסוף, עיבוד ושימוש במידע אישי. בעידן הדיגיטלי והטכנולוגיות המתקדמות, הצורך בעדכון החוק הפך לקריטי. התקדמות זו הביאה לתיקון משמעותי בחוק, הידוע כתיקון מספר 13, שנועד להתאים את הגנות הפרטיות לתקנות האירופאיות (GDPR) ובעצם להקשיח את הרגולציה ולדרוש מהעסקים צעדים מחמירים יותר בנוגע להגנה על מידע אישי.
החוק מדבר על מידע אישי, כלכלי ורפואי שזה בעצם הין היתר כולל רשימת לקוחות שבוודאי יש לכם. במילים אחרות: כל מאגר מידע אישי של אדם אחר – משהו שיש כמעט לכל ארגון היום.
אז מה בעצם השתנה?
תיקון מספר 13, שאושר באוגוסט 2024 מבצע מספר שינויים מרכזיים שמטרתם לשפר את ההגנה על מידע אישי ולהתאים את החוק למציאות הדיגיטלית המודרנית:
- חובת דיווח על הפרת פרטיות
כל גוף עסקי או ממשלתי מחויב להודיע במקרה של דליפת מידע או גישה בלתי מורשית למידע אישי של לקוחותיהם.
- דרישות לניהול אבטחת מידע
תיקון 13 מחמיר את הדרישות באשר לאבטחת מידע אישי. עסקים נדרשים ליישם מערך אבטחת מידע מתקדם הכולל בקרות גישה, הצפנה, ניהול סיכונים וביצוע סקרי סיכונים תקופתיים.
מכאן בעצם נגזרת החובה שלנו לעשות פעולות יזומות להגן על המידע.
- זכויות הפרט
התיקון מעניק לאזרחים זכויות מחודשות על המידע האישי שלהם, כולל הזכות לעיין במידע, לתקן מידע שגוי ולהימחק ממסד נתונים במקרים מסוימים.
מה זה אומר לגבי הארגון שלך?
התיקון החדש מציב בפני עסקים וארגונים אתגרים משמעותיים:
- נדרשים לציית לחוק
עסקים בישראל נדרשים להתאים את מערכות ניהול המידע שלהם לדרישות החדשות. מדובר בהשקעות לא מבוטלות במערכות אבטחת מידע, בהדרכת צוותים ובשינוי תהליכי עבודה יומיומיים כדי למנוע הפרות ולמזער סיכונים.
- עונשים
הפרת החוק עשויה לגרור קנסות משמעותיים ואף סנקציות. תיקון 13 מחמיר את הענישה ומעניק לרשות להגנת הפרטיות את היכולת לקנוס ללא הוכחת נזק. בנוסף יהיו לרשות את הכלים הנדרשים לאכוף את החוק בצורה אפקטיבית.
אז מה עושים עכשיו?
כדי לעמוד בדרישות החדשות, ארגונים וחברות צריכים למנות איש מקצוע ייעודי לניהול סוגיות פרטיות ואבטחת מידע בארגון, שיבצע ביקורות תקופתיות ויפקח על מערכות המידע. לבצע סקרי סיכונים ובדיקות תקופתיות לאבטחת המידע, כדי לזהות סיכונים פוטנציאליים ולמנוע פרצות.
ולשמור על שקיפות מול לקוחותיהם בנוגע לאיסוף המידע ולוודא שכל מידע נאסף בהסכמה מפורשת.
אז מה זה בעצם DLP ואיך הוא נכנס לתמונה?
DLP או "מניעת דליפת מידע", הוא תחום באבטחת מידע המתמקד בהגנה על נתונים רגישים מפני גישה, שימוש, העברה או חשיפה ללא מורשים. DLP הוא כלי בתוך סטנדרט איכות של אבטחת מידע בעולם. החוק מחייב אותנו לנהל נכון את מאגרי המידע שלנו ומערכת למניעת זליגת נתונים היא בדיוק מה שיעזור לנו בניהול נכון.
מערכות DLP משמשות ארגונים לזיהוי, ניטור וחסימת פעילויות העלולות להוביל לדליפת מידע. בעידן הדיגיטלי, ארגונים מתמודדים עם איומים ואתגרים רבים בנוגע להגנה על נתונים רגישים. מערכות מידע פתוחות, שימוש הולך וגובר בענן וניידות עובדים, גורמים לכך שנתונים רגישים חשופים יותר מאי פעם לאיומים פנימיים וחיצוניים.
הקשחת הרגולציה בעצם דורשת מאיתנו שמירה טובה יותר על המידע שקיים אצלנו ומערכות של מניעת זליגת נתונים (DLP) נותנות לכך מענה מצוין.
ידעתם ש- 80% מהחברות סובלות מאובדן נתונים ומידע רגיש עקב טעויות של עובדים או פעולות זדוניות מתוך החברה?
הנה כמה מהסיבות לכך שארגונים זקוקים ל-DLP
- הגנה על נתונים רגישים: ארגונים רבים מחזיקים בנתונים רגישים, כגון מספרי תעודת זהות, פרטי כרטיסי אשראי, מידע רפואי וסודות מסחריים. נתונים אלה יכולים להיות יקרי ערך עבור פושעים, ולכן חשוב להגן עליהם מפני גישה לא מורשית.
- הפחתת סיכון הדליפה: דליפת מידע יכולה להוביל לפגיעה בתדמית הארגון, קנסות כספיים ואף הליכים משפטיים. DLP יכול לסייע בהפחתת הסיכון לדליפה.
- עמידה בתקנות: ארגונים רבים נדרשים לעמוד בתקנות אבטחת מידע, כגון GDPR. DLP יכול לסייע לארגונים לעמוד בתקנות אלה.
האם גם החברה שלך נדרשת לעמוד ברגולציה?
תאמו פגישת זום חינמית עם עו"ד ליאור חיים, GRC Team Leader, CISO & DPO ותבדקו את זה.