פיקוח רוחב הרשות להגנת הפרטיות – מדריך למתחילים

בשבוע שעבר הודיעה הרשות להגנת הפרטיות על יציאה לדרך של פיקוח רוחב ראשון לאחר כניסתו של תיקון 13 לחוק הגנת הפרטיות לתוקף. זה אירוע חשוב, כי הוא מסמן התחלה של גל בדיקות רחב שבו הרשות רוצה להבין איך מגזרים שונים במשק מיישמים בפועל את דרישות החוק והתקנות.

תיקון 13 לחוק הגנת הפרטיות חיזק משמעותית את סמכויות האכיפה של הרשות: הוא הרחיב את היכולת להטיל עיצומים כספיים, לדרוש מידע מגופים מפוקחים, ולהוביל הליכי פיקוח יזומים ורחבים יותר. בפועל, זה אומר שהפיקוח כבר לא רק ״ברקע״, אלא הופך לכלי מרכזי בניהול סיכוני פרטיות ואבטחת מידע בארגונים.

במסגרת הפיקוח הקרוב, במהלך השנה הקרובה ייבדקו כמה מגזרים מרכזיים:

• רשויות מקומיות
• חברות סחר אונליין
• אפליקציות בשימוש נפוץ
• מכוני סקר גנטי
• צהרונים

הרעיון הוא לא לבחור ״חברה אחת בעייתית״, אלא לבדוק מגזר שלם כדי לראות האם יש בו דפוסים חוזרים של כשלים או פערים בהגנה על פרטיות.

אז מה זה בעצם פיקוח רוחב?

פיקוח רוחב הוא כלי אכיפה יזום של הרשות. בניגוד לבדיקה שנפתחת בעקבות תלונה או אירוע נקודתי, כאן הרשות מתכננת מראש הליך רחב שמטרתו לבדוק מגזר שלם או נושא רוחבי במשק. הסיבה לכך פשוטה: כשבודקים הרבה גופים מאותו תחום, אפשר לזהות בעיות שחוזרות על עצמן בענף ולא רק אצל גוף בודד.

הפיקוחים האלה נועדו:

• לאתר הפרות של החוק וכשלים ענפיים שמצריכים התערבות.
• להגביר מודעות במגזר לדרישות החוק והתקנות.
• לקבל תמונת מצב רחבה על רמת העמידה של המגזר בדין.
• ובעיקר למנוע מראש תקלות ואירועי פרטיות לפני שהם מתפוצצים.

איך התהליך עובד בפועל?

בפיקוח רוחב הרשות לא מחכה לתלונה ספציפית אלא יוזמת מהלך מסודר: קודם כול היא בוחרת מגזר או תחום שבו יש היקפי עיבוד גדולים של מידע אישי או רגישות מיוחדת. לאחר מכן נשלחים לגופים במגזר שאלוני ביקורת מפורטים, שמבקשים מהם לתאר איך הם עומדים בחוק הגנת הפרטיות ובתקנות אבטחת המידע החל מאופן איסוף המידע וההסכמה לשימוש בו, דרך מי ניגש אליו ואיך מנהלים מאגרים, ועד לרמת האבטחה, נהלי מיקור-חוץ ובקרות פנימיות. השאלונים הללו הם כלי רשמי של הרשות והיא גם מפרסמת אותם באתר כדי שארגונים יוכלו להיערך מראש אחרי שהמענים חוזרים, הרשות מנתחת את המצב הענפי: אם היא מזהה ליקויים שחוזרים אצל הרבה גופים, היא נוטה לפרסם הנחיות רוחביות למגזר כולו ולדרוש תיקון. אם מתגלים כשלים מהותיים אצל גוף מסוים היא יכולה להעביר אותו למסלול המשך אכיפה או בדיקה מעמיקה יותר.

מה אפשר ללמוד מפיקוחי עבר?

ממערך פיקוחי הרוחב של הרשות פעיל מאז 2018, וניתן לזהות בו מגמה כללית של התרחבות. בשנת 2018 בוצעו 235 הליכי פיקוח, וב־2019 המספר עלה ל־244 (עלייה מתונה של כ־4%). בשנת 2020 נרשמה ירידה ל־224 הליכים (ירידה של כ־8% לעומת 2019).לאחר מכן ניכרת תאוצה ברורה: בשנת 2022 הורחבה הפעילות והרשות ביצעה כ־400 הליכי פיקוח עלייה של כ־78.6% לעומת 2020 (וכ־64% לעומת 2019). בשנת 2023 לא התקיימו פיקוחי רוחב חדשים, בעקבות המלחמה, הרשות לא קיימה פיקוחי רוחב חדשים, והוחלט לשלב ולאחד את הפעילות הזו במסגרת תוכניות 2024. מגמת העלייה הזו מתחברת היטב להבנה ההולכת ומעמיקה במשק לגבי חשיבות הפרטיות, במיוחד על רקע העלייה בתקיפות הסייבר נגד המשק הישראלי וביתר שאת בתקופת הלחימה, כניסת תיקון 13 לתוקף והרחבת סמכויות הרשות בעקבותיו, וגם חיזוק היכולות הפנימיות של הרשות באמצעות גיוסים רבים בחודשים האחרונים. כל אלה מצביעים על מעבר לאכיפה יוזמת ורחבה יותר, ולכן סביר שנמשיך לראות עלייה בכמות הליכי הפיקוח גם בהמשך.

איך נערכים?

אם אתם משתייכים לאחד המגזרים שנבחרו, או שאתם עוסקים במידע אישי באופן שוטף, זה זמן טוב לוודא שהארגון מוכן לפני קבלת שאלונים וטפסי שאלה.

• מיפוי מאגרי המידע והזרימות בארגון– לזהות אילו סוגי מידע אישי נאספים, היכן הם נשמרים, מי ניגש אליהם ולאילו מטרות.
• בדיקת נהלים ומדיניות פרטיות- לעדכן מדיניות פרטיות (פנימית וחיצונית) כך שתשקף את המצב בפועל ותעמוד בדרישות החוק.
• אבטחת מידע ובקרות גישה- לבדוק הרשאות גישה למערכות ולמאגרים, ולוודא שהגישה מוגבלת לפי תפקיד. ולבחון את אמצעי האבטחה הטכנולוגיים
• ניהול ספקים ומיקור-חוץ- לעבור על ההסכמים עם ספקים שמקבלים גישה למידע אישי.
• הדרכות עובדים והעלאת מודעות- לוודא שעובדים שמטפלים במידע אישי מכירים את הכללים הבסיסיים והנהלים הרלוונטיים.

חשוב גם לזכור שבסופו של דבר פיקוח רוחב הוא לא רק איום רגולטורי הוא גם הזדמנות לעשות סדר, לחזק תהליכים, ולהראות עמידה טובה בתקופה שבה פרטיות כבר מזמן נמצאת בלב העשייה של כל ארגון.

המאמר נכתב ע״י עו״ד אור אוליבר: עו״ד מומחה בדיני הגנת הפרטיות וממונה על הגנת הפרטיות מוסמך.