הסיוט של הארגונים: קנסות של מיליונים בגלל בעיות פרטיות - מה אפשר לעשות?
תיקון 13 הוא הוא פצצה מתקתקת לארגונים; בעולם שבו כל לקוח הוא תובע ייצוגי פוטנציאלי 2026 הולכת להיות השנה שבה ארגונים ישראלים ישלמו ביוקר על הזנחת הדאטה - הנה מה שאתם יכולים לעשות
הגנת הפרטיות בשבוע שעבר הוטל על דיסני קנס של 10 מיליון דולר בגין הפרת פרטיות של ילדים. אפשר לראות בזה עוד כותרת מעבר לים, אבל עבור מי שמנהל סיכונים זה איתות ברור - רגולטורים כבר לא מסתפקים במסרים כלליים על חשיבות הפרטיות. הם אוכפים, ובתחומים רגישים כמו מידע על ילדים עושים זאת בנחישות. בעולם שבו כמעט כל ארגון בנוי ותלוי בדאטה, פרטיות היא לא רק עניין משפטי או טכנולוגי אלא מרכיב יסודי בניהול סיכונים, במוניטין וביכולת להמשיך לעבוד עם לקוחות ושותפים שמצפים לעמידה בסטנדרטים של ציות.
אבל השינוי הזה לא התחיל שבוע שעבר. חקיקת פרטיות מתרחבת בכל העולם, ובמקביל מתרבים כללים שמסדירים שימוש ב-AI - בעיקר סביב שקיפות, אבטחה והוגנות בשימוש במידע. המסר לשוק ברור - סטנדרט הפרטיות נעשה קשיח יותר, תדיר יותר ובעל השפעה חוצה גבולות. גם חברות ישראליות שאינן "גלובליות" מרגישות זאת דרך ספקי ענן, מערכות אנליטיקה ושיווק, שותפים עסקיים, דרישות חוזיות של לקוחות והציפייה ההולכת ומתקבעת לתרבות ציות אמיתית.
וכעת, גם ישראל נכנסת לשלב חדש. תיקון 13 לחוק הגנת הפרטיות שנכנס לתוקף באוגוסט האחרון מסמן מעבר מגישה שמסתפקת בעקרונות כלליים לגישה שמצפה לאחריות ארגונית גבוהה יותר ולעמידה מוכחת בדרישות - לא רק "על הנייר". בפועל, המשמעות עבור חברות היא מעבר מתפיסה של "יש לנו מדיניות" לתפיסה של "יש לנו ניהול פרטיות", מיפוי מאגרי מידע ותהליכי עיבוד, תחזוקת נהלים פנימיים, ניהול מעבדי מידע, הטמעת בקרות אבטחת מידע ומדיניות הרשאות, והכנת תכנית להתמודדות עם אירועי אבטחת מידע.
לצד תיקון 13, חשוב לזכור שהסטנדרט בשוק הישראלי נקבע גם באמצעות הנחיות וגילויי דעת של הרשות להגנת הפרטיות. אלה נועדו להבהיר כיצד הרשות מפרשת את הוראות החוק - גם כאשר הפרשנות אינה זהה לחלוטין ללשון החוק - ולכן הם רלוונטיים במיוחד להבנת ציפיות האכיפה והביקורת.
- ישראל מהדקת פיקוח על מידע אישי: מה המשמעות לעסקים?
- צילם גבר עירום בחוף והפיץ ברשת - האם זו פגיעה בפרטיות?
- המלצת המערכת: כל הכותרות 24/7
כך למשל, פרסמה הרשות במהלך השנה האחרונה טיוטת גילוי דעת לעניין פרשנות המונח "הסכמה" וכן טיוטת הנחיות לעניין תחולת חוק הגנת הפרטיות על מערכות AI. אף שמדובר בשלב זה בטיוטות (אשר הוגשו בעניינן הערות וביקורת בהיקף משמעותי), הן משקפות את "רוח" הרגולטור ואת הסטנדרט שהוא צפוי לדרוש במסגרת פיקוח ואכיפה.
ואכן, האכיפה כבר כאן. בשבועות האחרונים הרשות החלה בפיקוחי רוחב במגזרים מסוימים - מדובר בבדיקות יזומות שנעשות במקביל אצל גופים רבים באותו ענף, כדי לייצר סטנדרט ענפי ולהבהיר מהי מבחינתה עמידה בדרישות החוק. אמנם מדובר בגל הראשון של צעדי האכיפה האקטיביים של הרשות, אך אלו מצביעים על הכיוון ויש להניח כי יורחבו בהמשך למגזרים נוספים.
לכן, 2026 מסתמנת כשנת מפנה ביחסים בין עולם העסקים לבין הרגולטור הישראלי בתחום הפרטיות. פחות "הצהרות" ויותר בדיקות.
במקביל, המודעות הציבורית לפרטיות - שמתחזקת עם כל פרסום על קנס, אירוע סייבר או דליפה של מידע - הופכת לפקטור עסקי. לקוחות שואלים שאלות, שותפים דורשים התחייבויות, ומכרזים ועסקאות כוללים יותר ויותר נספחי פרטיות ואבטחה. גם תביעות ייצוגיות כבר אינן תרחיש תיאורטי. הארגונים בישראל אינם יכולים להרשות לעצמם להמתין. מי שיתייחס לפרטיות כאל סעיף שוליים, יגלה שהיא עלולה להפוך לסיכון מרכזי - רגולטורי, חוזי ותדמיתי. מי שיתייחס אליה כחלק מליבת ניהול הסיכונים, יגלה שהיא גם הזדמנות לבנות אמון, להקטין חשיפה ולשפר תהליכי עבודה.
- פחד מנחיתה לא רכה: לאן האלפיון העליון מנתב את הכסף?
- מה מסתתר מאחורי ההודעה שקיבלו מילואימניקים רבים?
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- קצבאות ביטוח לאומי - מה הסכום שתקבלו בעקבות ההצמדה?
הכותבת היא טלי יבין סורסקי שותפה במשרד מיתר במחלקת הטכנולוגיה וקניין רוחני
