הקנסות בתיקון 13 – כמה זה יעלה לכם אם לא תעמדו בחוק?

תיקון 13 לחוק הגנת הפרטיות מביא איתו שינויים משמעותיים באכיפה על עסקים בישראל. מי שלא יעמוד בדרישות החוק עלול להתמודד עם קנסות כבדים ועונשים נוספים. עם הרחבת סמכויות הרשות להגנת הפרטיות, עסקים צריכים להיות מודעים למורכבות של תיקון זה ולנקוט צעדים כדי להימנע מהשלכות כלכליות חמורות.

ההחמרה בקנסות על הפרות פרטיות מידע דורשת מהעסקים התמקדות מוגברת בציות לחוק. פוסט זה מסביר את סוגי הקנסות, כיצד הם נקבעים, ומה ניתן לעשות כדי להימנע מהם.

סוגי קנסות ועונשים תחת תיקון 13

הקנסות המרכזיים בחוק

תחת תיקון 13, הקנסות על הפרות חוק הגנת הפרטיות הוחמרו משמעותית. קיימים שני סוגים עיקריים של קנסות המוטלים על עסקים:

עיצומים כספיים

העיצומים הכספיים הם הקנסות הישירים שניתן להטיל על עסק המפר את החוק. גובה הקנס נקבע בהתאם להיקף ההפרה, רמת הפגיעה במידע האישי, והאם מדובר בהפרה מכוונת או בטעות בתום לב.

לדוגמה:

• אי-רישום מאגר מידע המחויב ברישום יכול להוביל לקנס של ₪150,000. במקרים בהם המאגר כולל מידע על יותר ממיליון אנשים, הקנס יכול להכפיל את עצמו ולהגיע ל-₪300,000.
• הפרת זכות גישה למידע אישי שבמאגר תגרור קנס של ₪15,000.
• חשיפת מידע אישי ללא אישור עלולה לגרור קנס של ₪50 לאדם עבור מידע אישי כללי ו-₪100 לאדם עבור מידע רגיש.

סנקציות מנהליות

מעבר לעיצומים הכספיים, ניתן להטיל על עסקים גם סנקציות מנהליות. סנקציות אלו כוללות הוראות לעצור עיבוד נתונים, דרישות לתיקון מיידי של הפרות, ואף הגבלות על המשך פעילות העסק בתחום עיבוד המידע.

כיצד נקבעים הקנסות בתיקון 13

פרמטרים לקביעת גובה הקנס

גובה הקנס או העונש שמוטל על העסק נקבע לפי מספר פרמטרים עיקריים:

1. חומרת ההפרה: ככל שהפגיעה במידע האישי חמורה יותר, כך יגדל גובה הקנס. הפרות שכוללות חשיפת מידע רגיש נחשבות חמורות יותר.
2. היקף המידע המושפע: ככל שהיקף הנתונים שנפגע גדול יותר, כך יגדל הקנס. הפרה שמשפיעה על מידע של מאות או אלפי לקוחות תגרור קנס גבוה יותר.
3. מטרת ההפרה: אם מדובר בהפרה מכוונת או נובעת מחוסר ידע והכנה מספקת, הדבר ישפיע על העונש. הפרות מכוונות נחשבות חמורות יותר.

לדוגמה: הפרת תקנות אבטחת מידע, כמו אי-הכנת מסמך אבטחת מידע, עלולה לגרור קנס בהתאם לרמת אבטחת המאגר:

• ₪2,000 למאגר שמנוהל על ידי אדם פרטי
• ₪40,000 למאגר עם רמת אבטחה בסיסית
• ₪160,000 למאגר עם רמת אבטחה בינונית
• ₪640,000 למאגר עם רמת אבטחה גבוהה​

כיצד להימנע מקנסות ועונשים

צעדים פרואקטיביים לציות

מינוי ממונה על הגנת הפרטיות (DPO)

אחד הצעדים החשובים לעמידה בחוק הוא מינוי ממונה על הגנת הפרטיות (DPO). תפקיד זה נועד לפקח על עמידת הארגון בדרישות תיקון 13, להבטיח שמידע אישי מעובד בצורה חוקית ומאובטחת, ולמנוע הפרות.

חשוב לציין שלא כל הארגונים מחויבים למנות DPO. חובת המינוי תלויה בסוג הנתונים שמעבדים ובגודל הארגון. למשל, ארגונים המעבדים כמויות גדולות של מידע רגיש או אישי מחויבים במינוי DPO.
למידע נוסף על הדרישות הספציפיות, עיינו בפוסט: מינוי ממונה על הגנת הפרטיות (DPO): כל מה שעסקים צריכים לדעת.

הדרכות פנים-ארגוניות

חשוב לבצע הדרכות סדירות לכלל העובדים בארגון, כדי להבטיח שהם מודעים לחובותיהם בנוגע לשמירה על פרטיות מידע אישי. הדרכות אלו יסייעו לצמצם סיכון להפרות חוק הנובעות מחוסר ידע או חוסר תשומת לב.

עדכון נהלי פרטיות

יש לוודא שנהלי הפרטיות בארגון מתעדכנים באופן קבוע, בהתאם לשינויים בחוק. כל עסק חייב לוודא שמדיניות הפרטיות שלו ברורה, מפורטת, ועומדת בדרישות החוק.

דוגמאות לקנסות תחת תיקון 13

מקרים לדוגמה והשלכות

הנה כמה דוגמאות לסוגי ההפרות שעלולות להוביל לקנסות:

• חשיפת מידע רגיש של לקוחות: עסק שהדליף מידע רפואי של לקוחות עלול להיקנס בעשרות אלפי שקלים ואף מעבר לכך.
• אי-מינוי DPO: עסק שחייב למנות DPO ולא עשה זאת עלול להיקנס, בנוסף לסנקציות מנהליות.
• איחור בדיווח על פרצת אבטחה: איחור בדיווח על פרצת אבטחה לרשות להגנת הפרטיות עשוי להוביל לקנס נוסף.

השוואה לעונשים בינלאומיים

העונשים בישראל דומים במידה רבה לעונשים שמוטלים באיחוד האירופי תחת תקנות ה-GDPR, שם קנסות יכולים להגיע עד לאחוזים מהמחזור השנתי של העסק. בישראל, תיקון 13 מתקרב לסטנדרטים דומים במטרה להחמיר את הענישה.

סיכום והמלצות לציות לתיקון 13 לחוק הגנת הפרטיות

עמידה בדרישות תיקון 13 היא חיונית למניעת קנסות ועונשים חמורים. עסקים צריכים לפעול בהקדם כדי לבדוק את תהליכי עיבוד המידע שלהם ולוודא שהם עומדים בתקנות החדשות.
מינוי DPO, הדרכות עובדים ועדכון נהלי הפרטיות הם בין הצעדים המרכזיים שיש לנקוט כדי להימנע מקנסות כבדים. הקפדה על עמידה בחוק תשמור לא רק על העסק שלכם, אלא גם על המוניטין שלכם.