בעשור האחרון הפך נושא הגנה על פרטיות המידע מנושא משפטי-טכני לסוגיה ניהולית מהמעלה הראשונה. ארגונים מחזיקים כיום כמויות אדירות של מידע אישי: לקוחות, עובדים, ספקים, משתמשים, ועוד. מידע זה הוא נכס, אך גם מקור סיכון.
דליפת מידע, שימוש לא מבוקר או אי-עמידה בדרישות החוק אינם פוגעים רק באמון הלקוחות, אלא עלולים לגרור פגיעה ממשית במוניטין, באיתנות העסקית וביכולת הארגון לפעול.
בעידן של מתקפות סייבר, עבודה בענן, שימוש במערכות SaaS ושילוב גובר של בינה מלאכותית – האחריות על שמירת הפרטיות אינה יכולה להישאר “בעיה של היועץ המשפטי”. זוהי אחריות של ההנהלה.
מדובר בתיקון חקיקה מהותי שמרחיב באופן משמעותי את סמכויות האכיפה של הרשות להגנת הפרטיות, מאפשר הטלת קנסות מנהליים גבוהים ומחזק את האחריות הישירה של הנהלות ארגונים על ניהול המידע האישי.
ארגונים שלא נערכים, חשופים לקנסות של עשרות ומאות אלפי ₪. ארגונים שנערכים נכון – מוגנים וגם מרוויחים.
התיקון הינו איתות חד וברור מהרגולטור להנהלות הארגונים. האכיפה מתהדקת, הביקורות מתרבות, והקנסות כבדים עד כדי סיכון עסקי ממשי. ארגונים שאינם ערוכים מגלים זאת לעיתים רק עם קבלת מכתב דרישה או פתיחת ביקורת. מנגד, ארגונים שבוחרים להיערך מראש מגלים שתיקון 13 אינו רק חובה רגולטורית אלא הזדמנות לבנות שליטה, סדר ותשתית ניהולית שמגינה על הארגון ואף מחזקת אותו לאורך זמן.
תיקון 13 מסמן שינוי תפיסתי עמוק בגישת המדינה להגנת הפרטיות. אם בעבר החוק נתפס ככזה שנאכף לעיתים רחוקות, הרי שכיום מדובר במסגרת רגולטורית מחייבת, עם שיניים חדות.
בין החידושים המרכזיים:
המסר ברור: ארגון שאוסף או מעבד מידע אישי נדרש להוכיח שליטה, בקרה וניהול סיכונים בתחום הפרטיות.
אחד ההיבטים המשמעותיים ביותר בתיקון 13 הוא מנגנון הקנסות. לראשונה, הרשות להגנת הפרטיות מוסמכת להטיל קנסות כספיים גבוהים, בהתאם לחומרת ההפרה, סוג המידע והיקף החשיפה.
המשמעות הניהולית:
מניסיוננו, ארגונים שלא נערכים מראש, נאלצים לפעול תחת לחץ, בעלות גבוהה ובסיכון תדמיתי.
תיקון 13 אינו עומד בפני עצמו. הוא משתלב באופן טבעי בעולמות אבטחת המידע, ניהול סיכונים ואיכות.
ארגונים שכבר פועלים לפי תקנים כמו ISO 9001 או ISO 27001 מגלים שתיקון 13 משתלב היטב בתפיסה הקיימת, אך מחייב הרחבה, דיוק והטמעה מעשית.
משמעות הכותרת – לפעמים אנו עושים מהלך לא מפני שאנו מעוניינים בו אלא מתוך חשש מהתוצאה שתקרה אם לא נעשה את המהלך. בסופו של דבר עצם השינוי מביא לתוצאה הרצויה.
מתוך מניסיוננו עד כה, כל הפניות בנושא הגנת הפרטיות נעשות כתוצאה מפחד מקנסות. אולם בסופו של תהליך לארגון תשתית ניהולית נכונה, שמחזקת את האמון מול לקוחות ושותפים, ומקטינה סיכונים עסקיים אמיתיים.
הגנה על מידע אישי רלוונטית לכל ארגון שמחזיק מידע על לקוחות, עובדים ו/או ספקים – כלומר, לכל ארגון פעיל במשק. בעידן של אכיפה מוגברת וקנסות משמעותיים, השאלה אינה האם הנושא רלוונטי, אלא עד כמה הארגון ערוך אליו בפועל.
אם אתם רוצים להבין את רמת החשיפה שלכם, את הפערים הקיימים ואת הדרך להיערכות נכונה ומידתית – אשמח לשוחח.
מוזמנים לפנות אלי אישית לנייד או לדוא"ל ונדבר בשמחה על הנושא:
אורנה קמין, 0537739018, orna.kamin@gmail.com
