הרשות להגנת הפרטיות - סמכויות אכיפה וביקורות

הרשות להגנת הפרטיות - מדריך מלא

הכירו את הרגולטור שמפקח על עמידה בחוק הגנת הפרטיות.

מי זו הרשות להגנת הפרטיות?

הרשות להגנת הפרטיות (לשעבר: רשם מאגרי מידע) היא הגוף האחראי על:

• פיקוח על עמידה בחוק
• רישום מאגרי מידע
• אכיפה וקנסות
• הנחיות והדרכה

סמכויות הרשות לפי תיקון 13

סמכויות חקירה

• לדרוש מסמכים ומידע
• להיכנס למתקנים (בצו)
• לחקור עובדים
• לתפוס מחשבים וציוד

סמכויות אכיפה

• צו הפסקת עיבוד
• צו תיקון/מחיקה
• עיצומים כספיים
• פרסום ההפרה
• העברה לחקירה פלילית

עיצומים כספיים

הסעיף המהותי שהוכנס בתיקון 13 הוא עד 5% מהמחזור השנתי של התאגיד בהפרות החמורות ביותר. מתרגלים נוהגים לצטט את התקרות הבאות (לפי דרגות חומרה שמפרסמת הרשות), כשהסכומים הם הערכת תרגומה של התקרה ולא תחליף לבדיקת הסעיף הספציפי:

| סוג הפרה | עיצום ליחיד (סדר גודל) | עיצום לתאגיד (סדר גודל) | |----------|-------------|---------------| | הפרה טכנית | עד ~₪80,000 | עד ~₪400,000 | | הפרה מהותית | עד ~₪160,000 | עד ~₪1,600,000 | | הפרה חמורה | עד ~₪320,000 | עד 5% מהמחזור השנתי (תקרה הנפוצה בציטוטים: ~₪3.2M) |

גורמים להחמרה:

• הפרה מתמשכת
• פגיעה במספר רב של אנשים
• מידע רגיש
• רווח כלכלי מההפרה
• הפרות קודמות

גורמים להקלה:

• שיתוף פעולה
• תיקון מהיר
• גילוי עצמי
• תום לב

תהליך ביקורת הרשות

1. הודעה מוקדמת (לרוב)

הרשות שולחת הודעה על ביקורת מתוכננת. לפעמים - ביקורת הפתעה.

2. הכנה (אם יש הודעה)

• איסוף מסמכים
• תדרוך צוות
• זימון DPO/יועצים

3. הביקורת עצמה

מה בודקים:

• מיפוי מאגרים
• נהלי אבטחה
• הסכמות וזכויות
• הדרכות
• אירועים ותגובה
• ספקים

מה לצפות:

• ראיונות עם אחראים
• בדיקת מערכות
• דגימת מסמכים
• סקירת לוגים

4. דוח ממצאים

הרשות מפרסמת דוח עם:

• ממצאים
• הפרות (אם נמצאו)
• המלצות
• דרישות לתיקון

5. אפשרות תגובה

זכות להגיב לממצאים לפני החלטה סופית.

6. החלטה והשלכות

• סגירה ללא ממצאים
• דרישת תיקון
• עיצום כספי
• צווים

איך להתכונן לביקורת

שוטף - לא רק לפני ביקורת:

☐ מיפוי מאגרים עדכני ☐ נהלים כתובים וזמינים ☐ תיעוד הדרכות ☐ תיעוד אירועים ☐ הסכמי ספקים מסודרים ☐ רישומי הסכמות

כשמקבלים הודעה על ביקורת:

1. אל תיבהלו - זה תהליך רגיל
2. הודיעו ל-DPO - מיידית
3. אספו מסמכים - לפי רשימת הבדיקה
4. תדרכו צוות - מה לומר ומה לא
5. זמנו יועץ - אם צריך

במהלך הביקורת:

• ענו בכנות
• אל תעלימו בעיות
• אל תזדרזו להתחייב
• תעדו הכל
• שתפו פעולה

הגנה מפני עיצומים

הגנות מוכרות:

1. פעלנו בתום לב
2. נקטנו כל האמצעים הסבירים
3. לא ידענו ולא יכולנו לדעת

איך להוכיח:

• תיעוד של מאמצים
• עדות של יועצים
• הדרכות שבוצעו
• ביקורות פנימיות

ערעור על החלטות

על עיצום כספי:

• 30 יום להגיש ערעור
• לוועדת ערר
• משם - לבית משפט

על צו:

• פנייה לרשות
• פנייה לבג"ץ

מגמות אכיפה 2025-2026

• תחילת אכיפה פעילה (סוף 2025 / ינואר 2026): לאחר תום תקופות החסד שפרסמה הרשות (לרבות תקופת החסד למינוי DPO שהסתיימה ב-31 באוקטובר 2025), החלה הרשות בפתיחת תיקי אכיפה והטלת עיצומים כספיים על-פי הסמכויות החדשות שניתנו בתיקון 13.
• עדיפויות מוצהרות של הרשות: הרשות סימנה אכיפה מוגברת בענפים המטפלים במידע רגיש — בריאות, פיננסים וביטוח — לצד דגש על אבטחת מידע, הסכמות מדעת ועמידה בזכויות נושאי מידע.
• חומרת הסנקציות תלוית-נסיבות: הפרות חוזרות, אי-שיתוף פעולה עם הרשות, פגיעה בהיקף גדול של נושאי מידע ושימוש לרעה במידע רגיש הם נסיבות מחמירות שגוררות עיצומים גבוהים יותר.
• שיתוף פעולה ותיקון מהיר מהווים נסיבות מקלות מהותיות בקביעת גובה העיצום.
• תיקים ראשונים: מאז תחילת 2026 מתפרסמים תיקי אכיפה ראשונים. נכון למועד עדכון מאמר זה, אין מספרי-אכיפה כמותיים מצרפיים שפורסמו רשמית על-ידי הרשות.

סיכום

הרשות להגנת הפרטיות היא רגולטור רציני עם סמכויות רחבות. עמידה בחוק היא הדרך הטובה ביותר להימנע מבעיות.

צריכים עזרה בהכנה לביקורת? LLUMINATE מבצעת ביקורות פנימיות ומכינה ארגונים לביקורת הרשות.