היי כאן המצפן- אני יודע כמה כל העניין של אבטחת מידע והחוק הישראלי עלול להיות מסובך. עסקים רבים מעדיפים לטאטא את העניין מתחת לשטיח ושפוט להמשיך הלאה.
כתבתי במיוחד לכם שאלון קצר שיגיד לכם במדוייק אם אתם צריכים לעשות שינויים בעסק ואיזה שינויים.
העולם העסקי השתנה. אם בעבר "פרטיות" הייתה מילה ששמורה לחברות ענק או לאתרים בינלאומיים, היום היא נמצאת בלב העסק של כל אחד מאיתנו. המידע של הלקוחות שלכם הוא לא רק נכס – הוא אחריות משפטית כבדת משקל.
צריכים עזרה לעשות סדר בעסק מול דרישות החוק?
אנחנו עוזרים לבעלי עסקים לנסח מדיניות פרטיות, למפות מאגרי מידע, לבנות נהלים מסודרים ולהתאים את ההתנהלות השוטפת לדרישות החוק בצורה ברורה ומעשית.
לתיאום שיחת ייעוץאם אתם לא בטוחים אם אתם צריכים לשנות משהו בעסק, המאמר הזה נכתב עבורכם.
מה זה חוק הגנת הפרטיות?
חוק הגנת הפרטיות, התשמ"א-1981, הוא ה"חוקה" של המידע האישי בישראל. החוק קובע שזכותו של כל אדם לפרטיות היא זכות יסוד. עבור בעל עסק, המשמעות היא פשוטה: המידע של הלקוח לא שייך לכם – הוא רק מופקד אצלכם.
החוק מגדיר מה מותר ומה אסור לעשות עם מידע אישי (שם, טלפון, כתובת, הרגלי קניה, מידע רפואי וכו'), ומטיל חובות מחמירות על מי שמנהל את המידע הזה. ב-2026, כשהדאטה הוא הדלק של השוק, החוק הזה הפך להיות הכלי המרכזי שבאמצעותו המדינה מפקחת על האופן שבו אתם מתנהלים מול הלקוחות שלכם.
מה זה תיקון 13?
אם חוק הגנת הפרטיות היה "כלב נובח", תיקון 13 הוא הרגע שבו הוא קיבל שיניים חדות מאוד. תיקון 13 (שעבר ב-2024 ונכנס לתוקף מלא) הוא המהפכה הגדולה ביותר בחוק מאז חקיקתו.
מה השתנה?
- קנסות ענק: הרשות להגנת הפרטיות יכולה כעת להטיל קנסות מנהליים של מאות אלפי ואף מיליוני שקלים על עסקים שלא עומדים בהוראות.
- סמכויות פיקוח: למפקחי הרשות יש סמכויות כמעט כמו לשוטרים – להיכנס לעסק, לדרוש מסמכים ולחקור.
- אחריות מנהלים: התיקון מבהיר שמנהל בעסק לא יכול "לעצום עיניים". ישנה אחריות ישירה לוודא שהארגון עומד בחוק.
- צמצום חובת הרישום: התיקון אמנם הקל על רישום מאגרים קטנים, אך החמיר מאוד את הדרישות המהותיות לאבטחת המידע בכל מאגר ומאגר.
חוק הגנת הפרטיות מאגרי מידע
כמעט כל עסק בישראל מחזיק "מאגר מידע". בין אם זו רשימת אקסל של לקוחות, מערכת CRM מתוחכמת או אפילו קבוצת וואטסאפ עסקית – ברגע שיש לכם אוסף נתונים על אנשים טבעיים, אתם מנהלים מאגר מידע.
החוק מחייב אתכם:
- לאבטח את המאגר: לפי תקנות אבטחת מידע (הגדרת רמת האבטחה לפי רמת הרגישות של המידע).
- להשתמש במידע רק למטרה לשמה נאסף: אסור לאסוף טלפון לצורך משלוח מוצר ולהשתמש בו למכירת קורס אחר בלי הסכמה.
- זכות העיון: לאפשר לכל אדם לבדוק מה המידע ששמור עליו ולבקש לתקנו או למחקו במקרים מסוימים.
שאלון המוכנות: איפה אתם מול ה"תקן"?
כדי לדעת אם אתם פועלים לפי החוק, ענו על השאלות הבאות. אם התשובה שלכם שונה מהתשובה המוצגת כאן – אתם צריכים לבצע שינוי בעסק.
| הנושא | השאלה | התשובה הנכונה (הסטנדרט החוקי) |
|---|---|---|
| שליטה | אם לקוח ישאל מחר איפה המידע שלו, תדעו לענות מיד? | כן. יש לנו מיפוי מלא של כל המערכות שבהן נשמר מידע. |
| אחריות | האם יש אדם אחד שאחראי על נושא הפרטיות? | כן. יש גורם מוגדר שמוודא שהנהלים מיושמים בשטח. |
| גישה | אם עובד עוזב היום, אפשר לסגור לו את כל הגישות מיד? | בוודאי. יש נוהל עזיבת עובד שמוודא שלא נשארת גישה מרחוק. |
| אבטחה | האם יש מערכות שנכנסים אליהן בלי אימות דו-שלבי (MFA)? | ממש לא. כל כניסה למייל, CRM או ענן מוגנת ב-MFA. |
| חירום | אם לפטופ נגנב, אתם יודעים מה עושים בשעה הראשונה? | כן. יש נוהל אירוע אבטחה שכולל נעילה מרחוק ודיווח לרשות. |
| שקיפות | הלקוחות יודעים למה אתם אוספים מידע? | כן. הם חותמים על הסכמה מפורשת לאחר שקראו מדיניות פרטיות. |
| ספקים | האם הספקים החיצוניים שלכם (IT, רו"ח) חתומים על נספח סודיות? | חיובי. כל ספק שעשוי להיחשף למידע מחויב בחוזה להגן עליו. |
איך לכתוב מדיניות פרטיות באתר
מדיניות הפרטיות היא לא "קישוט" בתחתית האתר – היא חוזה משפטי לכל דבר. כדי שהיא תהיה תקפה ותגן עליכם, היא חייבת לכלול:
- מה אתם אוספים? (שם, מייל, עוגיות/Cookies, כתובת IP).
- למה אתם אוספים? (לצורך מתן שירות, לדיוור שיווקי, לשיפור חווית המשתמש).
- למי אתם מעבירים את המידע? (לחברת השילוח, לשרתי הענן בחו"ל, לפייסבוק לצורכי פרסום).
- איך הלקוח יכול לממש את זכויותיו? (כתובת מייל לפנייה לצורך עיון או מחיקה).
טיפ חשוב: הימנעו מ"העתק-הדבק" מאתרים אחרים. מדיניות צריכה לשקף את מה שקורה בעסק שלכם באמת. אם כתוב שאתם לא מעבירים מידע לצד ג' אבל אתם משתמשים בפיקסל של גוגל – אתם מצהירים הצהרה כוזבת.
חוק הגנת הפרטיות פיצוי ללא הוכחת נזק
זהו הסעיף שגורם להרבה בעלי עסקים נדודי שינה. בחוקים מסוימים המשיקים לפרטיות (כמו חוק הספאם) ובתיקוני חקיקה בתחום הפרטיות, קיימת אפשרות לתבוע פיצוי כספי מבלי שהתובע יצטרך להוכיח שנגרם לו נזק כספי ממשי.
מספיק שהוכח שהפרתם את החוק – למשל, שלחתם דיוור ללא הסכמה או לא אפשרתם עיון במידע – כדי שבית המשפט יוכל לפסוק פיצויים של אלפי שקלים לכל הפרה. בראייה של תביעות ייצוגיות, הסכומים הללו יכולים להגיע למיליונים ולמוטט עסקים קטנים ובינוניים.
הגיע הזמן לעבור למצב "מוגן"
תיקון 13 וחוק הגנת הפרטיות הם לא גזירת גורל, אלא הזדמנות לעשות סדר בעסק. עסק שמכבד את פרטיות לקוחותיו הוא עסק שבונים אליו אמון לטווח ארוך.
האם אתם מרגישים שהתשובות שלכם לשאלון עדיין לא שם? אל תחכו לביקורת מהרשות או למכתב מעורך דין.
תרצו שאעזור לכם לנסח את הנקודות המרכזיות למדיניות הפרטיות שלכם או אכין עבורכם צ'ק-ליסט מותאם אישית לאבטחת המידע בעסק?
איפה לאחסן את המידע של הלקוחות שלי?
בעידן הדיגיטלי, התשובה לשאלה הזו היא כבר לא רק "על המחשב במשרד". המידע שלכם נמצא בכל מקום, וחשוב להבין שמיקומו קובע איזו רמת אבטחה אתם חייבים להחיל עליו ואיך החוק מתייחס אליכם במקרה של פריצה.
1. ענן מול אחסון מקומי (On-Premise)
רוב העסקים היום עוברים לענן (Google Drive, OneDrive, Dropbox, CRM חיצוני). זה נוח, אבל זה לא פוטר אתכם מאחריות.
הסטנדרט הנכון: אם אתם מאחסנים בענן, עליכם לוודא שהספק שלכם עומד בתקני אבטחה בינלאומיים (כמו ISO 27001 או SOC2).
שימו לב: אם המידע נשמר על שרתים פיזיים אצלכם בעסק, האחריות על הגיבויים, ההצפנה וההגנה הפיזית על השרת נופלת עליכם ב-100%. פריצה לשרת מקומי לא מאובטח היא "כרטיס כניסה" בטוח לקנסות מהרשות.
2. סוגיית "העברת מידע לחו"ל"
חוק הגנת הפרטיות הישראלי כולל תקנות ספציפיות לגבי העברת מידע אל מחוץ לגבולות המדינה. אם אתם משתמשים בשירותי ענן אמריקאיים או אירופאיים, אתם למעשה "מעבירים מידע לחו"ל".
התשובה הנכונה: עליכם לוודא שהמדינה בה המידע מאוחסן מעניקה הגנה לא פחותה מזו שבישראל (מדינות האיחוד האירופי שעומדות ב-GDPR נחשבות בטוחות). תיקון 13 מחייב אתכם לוודא שההסכמים עם הספקים האלו כוללים התחייבויות לשמירה על הפרטיות.
3. הטאבו הגדול: וואטסאפ ומיילים פרטיים
כאן נופלים רוב בעלי העסקים הקטנים. מידע לקוחות (מספרי טלפון, צילומי תעודת זהות, פרטי תשלום) שעובר בוואטסאפ האישי של העובדים או נשמר ב-Gmail הפרטי שלהם הוא עבירה חמורה על החוק.
הסטנדרט הנכון: מידע עסקי חייב להישאר בתוך "מערכות מנוהלות". וואטסאפ ביזנס (על טלפון עסקי), תיבות מייל ארגוניות ו-CRM הם המקומות היחידים שבהם המידע צריך לחיות. מידע שזולג למכשירים פרטיים הוא מידע שאין לכם שליטה עליו, וביום שהעובד יעזוב או שהטלפון שלו ייגנב – אתם תהיו בבעיה משפטית.
4. גיבויים: לא רק "שיהיה"
החוק מחייב אתכם להבטיח את שרידות המידע.
התשובה הנכונה: הגיבוי חייב להיות מוצפן, נפרד מהמערכת הראשית (כדי שווירוס כופר לא ימחק גם אותו), וחשוב מכל – אתם חייבים לבצע "ניסוי שחזור" פעם בכמה חודשים כדי לוודא שהגיבוי באמת עובד.
איפה אתם עומדים?
אם המידע שלכם מפוזר בדרייב האישי של המזכירה, בוואטסאפ של איש המכירות ובאקסל שיושב על שולחן העבודה במחשב הישן – אתם לא עומדים בדרישות תיקון 13.
הסדרת נושא האחסון היא הצעד הראשון והחשוב ביותר במעבר מעסק חשוף לעסק מוגן. זה לא רק עניין של "חוק", זה עניין של סדר ניהולי ושקט נפשי.
רוצים שאעזור לכם למפות את המקומות שבהם המידע שלכם מאוחסן כרגע ולבדוק אם הם עומדים בתקן?
שאלון: לפניכם השאלון שכל רגולטור או עורך דין היה שואל אתכם, יחד עם התשובות הנכונות שכל עסק מוגן חייב לענות:
חלק א' — שליטה במידע: מי נגד מי?
השאלה: אם לקוח ישאל מחר איזה מידע שמרתם עליו ואיפה — תדעו לענות מיד? האם ברור לכם איפה נשמרים פרטי לקוחות (מייל, CRM, אקסלים)?
התשובה הנכונה: כן, בוודאי. בעסק מוסדר קיים "מיפוי מאגרי מידע". אנחנו יודעים בדיוק איזה מידע נשמר בכל מערכת. החוק מחייב אותנו לאפשר ללקוח "זכות עיון", ואם אנחנו לא יודעים איפה המידע שלו נמצא, אנחנו עוברים על החוק טכנית כבר בדקה הראשונה.
השאלה: האם יש אדם אחד שאחראי על נושא הפרטיות? האם אתם בטוחים שאין מידע שמפוזר בטלפונים פרטיים של עובדים?
התשובה הנכונה: כן, יש כתובת אחת. ישנו גורם אחראי (או ממונה הגנת פרטיות, בהתאם לגודל המאגר) שמוודא שמידע עסקי נשאר במערכות העסקיות בלבד. חל איסור מוחלט על שמירת פרטי לקוחות בטלפונים פרטיים או במיילים אישיים של עובדים – זהו פרצת אבטחה ופרצת חוקית חמורה.
חלק ב' — הרשאות וגישה: מי נכנס לממלכה?
השאלה: אם עובד עוזב היום — אפשר לסגור לו את כל הגישות עוד היום? האם אתם יודעים מי יכול לראות מידע רגיש ומי לא אמור?
התשובה הנכונה: כן, יש לנו תהליך 'אוף-בורדינג' מסודר. ברגע שעובד מסיים, הגישה שלו נחסמת לכלל המערכות באופן רוחבי. בנוסף, אנחנו פועלים לפי עקרון "צורך לדעת" – איש המכירות לא צריך לראות את התיק הרפואי או הפיננסי המלא, ומי שלא מוסמך, פשוט לא יכול להיכנס.
השאלה: האם יש מערכות שנכנסים אליהן בלי אימות דו-שלבי (MFA)?
התשובה הנכונה: בשום פנים ואופן לא. כל מערכת שמכילה מידע על לקוחות (CRM, ענן, מייל עסקי) חייבת להיות מוגנת ב-MFA. סיסמה היא כבר מזמן לא הגנה מספקת לפי תקנות אבטחת המידע בישראל.
חלק ג' — מוכנות לתקלה: מה קורה כשהכל משתבש?
השאלה: אם לפטופ נגנב או שיש פריצה — מה עושים בשעה הראשונה?
התשובה הנכונה: יש לנו נוהל אירוע אבטחה. אנחנו יודעים למי לדווח (לרשות להגנת הפרטיות במקרה הצורך), איך לנעול את המכשיר מרחוק ואיך לבודד את הנזק. תיקון 13 מחמיר מאוד את חובת הדיווח – חוסר ידיעה מה לעשות בזמן אמת יעלה ביוקר.
השאלה: האם יש לכם גיבוי אמיתי שניתן לשחזר? האם יש דרך לדעת מה נחשף בפריצה?
התשובה הנכונה: כן. אנחנו מבצעים בדיקות שחזור תקופתיות. גיבוי שלא נבדק הוא לא גיבוי. בנוסף, אנחנו שומרים "לוגים" (תיעוד גישה) שמאפשרים לנו לדעת בדיוק מי צפה במידע ומתי. בלי זה, אי אפשר לנהל אירוע פריצה לפי דרישות החוק.
חלק ד' — התנהלות חוקית: השקיפות היא חובה
השאלה: האם הלקוחות יודעים למה אתם אוספים מידע? האם אתם שומרים מידע "ליתר ביטחון"?
התשובה הנכונה: כן, יש לנו מדיניות פרטיות ברורה. אנחנו אוספים רק את מה שצריך למטרה מוגדרת. המושג "שומרים הכל ליתר ביטחון" הוא עבירה על עקרון "צמצום הנתונים". מידע מיותר הוא נטל וסיכון, ואנחנו מוחקים מידע שאין בו צורך יותר.
השאלה: האם בדקתם אם החוק מחייב אתכם במסמכים או נוהל מסודר?
התשובה הנכונה: כן, כל המסמכים קיימים. יש לנו נוהל אבטחת מידע כתוב, אנחנו יודעים אם המאגר שלנו חייב ברישום, ואנחנו ערוכים לטפל בבקשת לקוח לתיקון או מחיקת מידע תוך זמן קצר וללא סרבול.
חלק ה' — ספקים חיצוניים: החוליה החלשה
השאלה: אילו ספקים מקבלים גישה למידע שלכם? האם יש לכם שליטה על מה שהם רואים?
התשובה הנכונה: הכל מעוגן בחוזים. כל ספק (מ-IT ועד רואה חשבון) שנוגע במידע שלנו חתום על "נספח אבטחת מידע" (DPA). אנחנו מוודאים שהם עומדים בסטנדרטים שלנו. האחריות על המידע היא שלנו כבעלי העסק, גם אם נתנו אותו לספק חיצוני.
השורה התחתונה: איפה אתם על המפה?
אם התשובות שלכם היו שונות מהתשובות ה"נכונות" כאן למעלה – העסק שלכם נמצא בחשיפה. תיקון 13 הפך את הגנת הפרטיות מ"נושא טכני של מחשבים" לחובה חוקית של המנכ"ל והבעלים.
הפער בין מה שאתם עושים היום לבין התשובות כאן הוא מרחב הסיכון שלכם. ככל שתקדימו לצמצם אותו, כך תגנו על העסק שלכם טוב יותר מתביעות, קנסות ופגיעה במוניטין.
0 comments