Skip to content

המסמכים והנהלים הנדרשים לעמידה בתיקון 13

בישראל, תיקון 13 לחוק הגנת הפרטיות מציב רף חדש של דרישות בכל הנוגע לתיעוד ולרישומים, במטרה להגביר את שקיפות ניהול המידע האישי ולעודד עמידה בתקנות מחמירות בתחום הפרטיות. עסקים מכל הסוגים נדרשים כעת לתעד את תהליכי עיבוד המידע שלהם באופן ברור ומלא, לשמור רישומים מפורטים, ולתחזק נהלים שיעמדו לביקורת רשות הגנת הפרטיות בעת הצורך. מסמך זה יספק מדריך מפורט על המסמכים והנהלים הנדרשים לצורך עמידה מלאה בחוק.

מסמך מדיניות פרטיות מותאם לתיקון 13

דרישות חדשות למדיניות פרטיות: מסמך מדיניות פרטיות היה דרישה בסיסית לאתרים רבים עוד לפני תיקון 13, אך כעת יש צורך בעדכונים והוספות המבהירים כיצד נאסף המידע ומהן מטרות העיבוד המדויקות. המדיניות צריכה לכלול הסבר ברור על סוגי המידע שנאסף, בסיסים משפטיים לעיבוד הנתונים, תקופת שמירתם, ופרטים על הזכויות של משתמשים לשנות או למחוק מידע אישי.

  • נקודות מפתח:
    • איסוף מידע אישי: לדוגמה, אתרי מסחר מקוון נדרשים להוסיף סעיף המפרט כיצד ומתי נאסף מידע הקשור לרכישות מקוונות ופרטי תשלום.
    • שימוש במידע לצורכי שיווק: על עסקים המבוססים על יצירת תוכן לשקול את האופן בו הם אוספים ומנתחים דפוסי גלישה והעדפות תוכן, ולוודא שכל מידע זה מתועד בצורה שקופה.
    • דוגמה: בעסק קטן למכירת תכשיטים באינטרנט, יש להוסיף למדיניות סעיף המפרט את השימוש במידע לצורכי קמפיינים שיווקיים ואוטומציות, ולוודא שהלקוח מבין את זכותו לבקש הסרה מהרשימות האלו.

מדיניות לציבור בינלאומי: עבור עסקים המשרתים גם קהלים מחוץ לישראל, חשוב לכלול סעיף במדיניות הפרטיות המסביר כיצד עומדים בתקנים בינלאומיים כמו GDPR, תוך שמירה על עמידה מלאה בתיקון 13.

רישומי עיבוד נתונים – להבטחת שקיפות ומעקב

מה כולל רישום תהליכי עיבוד המידע? רישום זה הוא אחד מעמודי התווך של תיקון 13. על עסקים לתעד בצורה מפורטת כל פעולה שנעשית עם המידע שנאסף, כולל סוגי המידע, סיבות העיבוד, ובסיסים משפטיים.

  • דוגמאות לפריטים שיש לתעד:
    • סוג המידע הנאסף: לדוגמה, רישום שם מלא, כתובת אימייל, כתובת פיזית, ותוכן של התקשרות.
    • סיבות לעיבוד: במקרים רבים, עסקים ידרשו לציין את מטרות העיבוד, כגון עיבוד לצורכי ניהול לקוחות או לשיפור חוויית המשתמש.
    • קהל יעד: חשוב לרשום האם יש גורמים נוספים להם מועבר המידע (לדוגמה, ספקים חיצוניים או חברות פרסום).

דוגמה לעסק תוכן: אתר חדשות המפיק תכנים יומיים נדרש לתעד עיבוד מידע הקשור להעדפות קריאה ולתנועות באתר, כדי לנתח את התנהגות המשתמשים. יש לציין את הסיבה לעיבוד המידע וכן כיצד ניתן למשתמשים שליטה בהגדרות הפרטיות שלהם.

יומן אירועים ותיעוד של פרצות מידע

חובה ברישום פרצות מידע: תיקון 13 מחייב את כל הארגונים לתעד כל מקרה של פרצת מידע, כדי להבטיח מעקב שוטף ויכולת תגובה מהירה. תיעוד זה כולל את תאריך הפרצה, מהות ההפרה, ופעולות שננקטו לשיקום המצב.

  • פרטים שיש לכלול ביומן האירועים:
    • תאריך וזמן הפרצה: לכל פרצה יש לתעד את התאריך והשעה בהם זוהתה.
    • השלכות הפרצה: האם מדובר בפרטים אישיים שנחשפו? או שמדובר במידע רגיש כלכלי?
    • דוגמה: בעסק מכירות, פרצת מידע הקשורה לדליפת פרטי כרטיסי אשראי מחייבת דיווח מיידי לרשויות ותיעוד הפעולות שבוצעו לשיקום הפרצה.

יומן לטיפול במקרי חירום: בנוסף לרישום פרצות, עסקים יכולים להוסיף לוג ייעודי המוקדש לאירועים פחות קריטיים, אך שדורשים תשומת לב מיידית, כמו שינוי פתאומי בהרשאות גישה.

מינוי ותיעוד של ממונה על הגנת הפרטיות (DPO)

מתי ממונה על הגנת הפרטיות נדרש לפי תיקון 13? לא כל עסק מחויב במינוי DPO, אך עסקים שמבצעים עיבוד מסיבי של מידע אישי כן מחויבים בכך. ה-DPO אמור לפקח על עמידת הארגון בדרישות תיקון 13 ולהבטיח שכל המידע נשמר ומנוהל בהתאם לדרישות החוק.

  • פרטי התיעוד:
    • תחומי אחריות: תיאור תחומי אחריותו של ה-DPO, כולל נהלי טיפול במידע ובקרה על עיבוד נתונים.
    • הכשרה ורקע מקצועי: חשוב לתעד את הכשרתו של ה-DPO ואת ניסיונו המקצועי בתחומים כמו אבטחת מידע וניהול נתונים.
    • דוגמה בעסק קטן: אפילו עסק קטן יכול למנות DPO חיצוני במקרה של עיבוד מסיבי, כמו אתר מסחר מקוון עם מאות אלפי לקוחות. תיעוד התחייבויות ה-DPO ופרטי קשר הם קריטיים במקרה של ביקורת.


למידע נוסף על מינוי ממונה על הגנת הפרטיות (DPO) והדרישות הספציפיות לתפקיד, קראו את המדריך המלא בנושא DPO.

הדרכות שוטפות ותחזוקת ביקורות תאימות

ביקורות תאימות שוטפות: על הארגון לבצע בדיקות תקופתיות כדי לוודא שהעסק עומד בדרישות, ולבצע עדכונים על בסיס הממצאים. תיקון 13 מחייב ביצוע ביקורות אלה ותחזוקת יומנים המתעדים את תוצאותיהן.

  • פריטים שיש לתעד:
    • הדרכות והשתלמויות תקופתיות: תיעוד נושאי הדרכה על פרטיות המידע ותכני הכשרה לעובדים, בעיקר עבור מחלקות רגישות כמו מחלקת שיווק או מחלקת טכנולוגיה.
    • דוגמה לעסק תוכן: אתר חדשות שמעדכן את צוות העובדים שלו פעם ברבעון על תקנות פרטיות חדשות ומספק להם כלים להערכת הסיכונים יכול לתעד את מועד ההדרכה, החומרים שחולקו, ואת הנוכחות.

שקיפות אל מול הלקוחות: חשוב ליידע את הלקוחות על המדיניות החדשה לאבטחת המידע, למשל באמצעות פרסום מסמך מדיניות מחודש המפרט את הצעדים שננקטים.

לסיכום

שמירה על תיעוד מדויק ושקוף חיונית לעמידה בתיקון 13 ולמניעת סיכונים עתידיים. המסמכים והרישומים שהוזכרו כאן מאפשרים לכל עסק להבטיח שהוא פועל לפי הדרישות, משפרים את יכולת הארגון להגיב בצורה יעילה לפרצות מידע ומחזקים את אמון הלקוחות.

אם יש לכם שאלות נוספות או שאתם זקוקים לייעוץ בהתאמת העסק לדרישות תיקון 13, פנו אלינו לקבלת הדרכה מקצועית.

חשוב לזכור כי אי-עמידה בדרישות תיעוד אלה עלולה להוביל לעיצומים כספיים וסנקציות חמורות. קראו עוד על הקנסות והעונשים בתיקון 13.

כתיבת תגובה