1. Home
  2. כתבות מהרשת
  3. תקנה 13: כל מה שצריך לדעת על הגנת הפרטיות
כתבות מהרשת

תקנה 13: כל מה שצריך לדעת על הגנת הפרטיות

Posted on 8 ביוני 2026 at 8 ביוני 2026 by mekomon
0 0

חוק הגנת הפרטיות בישראל עבר בשנים האחרונות שורה של עדכונים ושינויים, אך אחד המשמעותיים ביותר עבור ארגונים, עסקים וגופים המנהלים מאגרי מידע הוא תקנה 13. מדובר בתקנה שמגדירה את חובות אבטחת המידע של בעלי מאגרי מידע, וקובעת דרישות ברורות לגבי האופן שבו יש להגן על מידע אישי הנשמר במערכות הארגון. כל ארגון שמחזיק במידע על לקוחות, עובדים או ספקים מחויב להכיר את הדרישות, ליישם אותן בפועל ולהיות מוכן לביקורות אכיפה.

המשמעות של תקנה 13 חורגת הרבה מעבר להיבט המשפטי בלבד. מדובר במסגרת רגולטורית שמחייבת ארגונים לבחון מחדש את כל המערך הטכנולוגי, התהליכי והאנושי שלהם בכל הקשור לטיפול במידע. ארגונים שיתעלמו מהדרישות חושפים את עצמם לסיכונים משפטיים, לקנסות כבדים ולפגיעה תדמיתית קשה במקרה של אירוע אבטחת מידע שיתפרסם.

הרקע לחקיקה ולמה היא קיימת

עידן הדיגיטל הפך את המידע לנכס יקר ערך, אך גם להפך אותו ליעד מרכזי עבור תוקפים. מתקפות סייבר על ארגונים הפכו לאירוע יומיומי, ודליפות מידע משפיעות על מיליוני אזרחים בכל שנה. הרגולטור הישראלי הבין שיש צורך במסגרת ברורה שתחייב את כל הגופים המחזיקים במידע אישי לנקוט בצעדים מינימליים של הגנה. הדרישות מקיפות הן את הרובד הטכנולוגי והן את הרובד הניהולי, ומחייבות גישה הוליסטית לאבטחת מידע.

הרגולציה מבוססת על הכרה בכך שאבטחת מידע אינה רק עניין טכני אלא תהליך מתמשך שמשלב מדיניות, נהלים, טכנולוגיה ומודעות עובדים. כל אחד מהמרכיבים הללו זוכה להתייחסות נפרדת במסגרת התקנות, וכולם יחד יוצרים מערך הגנה מבוסס.

רמות אבטחה שונות לפי סוג המאגר

אחד העקרונות המרכזיים של הרגולציה הוא חלוקה של מאגרי המידע לרמות אבטחה שונות: בסיסית, בינונית וגבוהה. החלוקה מבוססת על כמות המידע, סוג המידע ומספר האנשים בעלי הגישה אליו. ככל שהמאגר מכיל מידע רגיש יותר, או מספק שירות לקהל רחב יותר, כך הדרישות מחמירות. ארגון שמטפל למשל במידע רפואי, פיננסי או ביומטרי יידרש לעמוד בסטנדרטים גבוהים בהרבה מאשר בית עסק קטן עם מאגר לקוחות מצומצם.

הדרישות המעשיות שעולות מהרגולציה

כדי לעמוד בדרישות תקנה 13 על ארגון לבצע מספר פעולות מרכזיות. ראשית, יש לערוך מיפוי מלא של מאגרי המידע הקיימים בארגון, להבין איזה מידע נשמר, היכן הוא נשמר ומי בעל הגישה אליו. רק לאחר מיפוי מקיף ניתן להתחיל בבניית תוכנית אבטחה רלוונטית.

שנית, יש לכתוב מסמך הגדרות מאגר שמתאר את כל מאפייני המאגר, את מטרות השימוש במידע ואת אופן הטיפול בו. מסמך זה מהווה את הבסיס לכל תהליכי האבטחה שיבנו סביבו. בנוסף, נדרשת כתיבה של נוהל אבטחת מידע מפורט שמסדיר את כללי העבודה עם המאגר, את ההרשאות, את תהליכי הגיבוי ואת אופן הטיפול באירועי אבטחה.

סקר סיכונים ומבדקי חדירות

אחד הסעיפים החשובים ביותר הוא הדרישה לסקר סיכונים תקופתי. סקר סיכונים מקיף מאפשר לארגון לזהות את נקודות התורפה במערך האבטחה שלו, ולתעדף את הטיפול בהן בהתאם לרמת הסיכון. עבור מאגרים ברמת אבטחה גבוהה נדרשים גם מבדקי חדירה תקופתיים, שמטרתם לבחון בפועל את עמידות המערכות בפני תקיפה.

מבדק חדירות מבוצע על ידי גורם מקצועי שמנסה לחדור למערכות הארגון בדומה לתוקף אמיתי. התוצאות מסייעות לארגון להבין באילו תחומים נדרש שיפור, ולבצע את ההתאמות הנדרשות לפני שתוקף אמיתי ינצל את הפרצות.

האחריות הניהולית ומינוי בעלי תפקידים

הרגולציה דורשת לא רק אמצעים טכנולוגיים אלא גם הסדרה ארגונית ברורה. ארגונים גדולים מחויבים למנות ממונה אבטחת מידע שיוביל את הנושא, ידאג ליישום המדיניות וישמש כתובת מקצועית בכל הנוגע להגנת המידע. במקרים מסוימים נדרש גם מינוי של ממונה הגנת פרטיות, שתפקידו שונה ומתמקד יותר בהיבטים המשפטיים והרגולטוריים של הטיפול במידע.

המנהלים הבכירים בארגון נושאים באחריות אישית לעמידה בדרישות, ולא ניתן להאציל את האחריות הזו לחלוטין לדרגים נמוכים יותר. הדבר מחייב את ההנהלה להיות מעורבת באופן פעיל בקבלת ההחלטות הקשורות לאבטחת מידע, ולהקצות תקציבים ומשאבים מתאימים לנושא.

חובת דיווח על אירועי אבטחה

חידוש משמעותי שמופיע ברגולציה הוא חובת דיווח על אירועי אבטחת מידע חמורים לרשות להגנת הפרטיות. אם בארגון התרחש אירוע שעלול לפגוע בפרטיות של מושאי המידע, יש לדווח על כך במהירות ולפעול להפחתת הנזק. החובה הזו דומה לרגולציות מקבילות בעולם, ומטרתה להבטיח שקיפות ולאפשר לרשויות לעקוב אחר היקף הפגיעות בפרטיות הציבור.

ההיבט האנושי: מודעות עובדים והדרכות

אחד הגורמים המרכזיים לדליפות מידע ולחדירות מוצלחות לארגונים הוא הגורם האנושי. עובדים שלא מודעים לסיכונים, או שלא יודעים לזהות ניסיון פישינג, עלולים לפתוח דלת לתוקפים גם כשמערך האבטחה הטכנולוגי איתן. מסיבה זו, הרגולציה מחייבת ארגונים להעביר הדרכות תקופתיות לעובדים בנושאי אבטחת מידע ופרטיות.

הדרכות אלו צריכות לכלול תכנים מותאמים לסוג העבודה של כל עובד, וצריכות להתעדכן בהתאם לאיומים החדשים שצצים בשטח. עובד שעובר הדרכה איכותית יהפוך לחלק מקו ההגנה של הארגון, במקום להוות חולשה. ארגונים שמשקיעים בהדרכות מקצועיות מצליחים להפחית באופן משמעותי את כמות האירועים שמקורם בטעויות אנוש.

גיבויים ויכולת התאוששות

נושא נוסף שמקבל התייחסות הוא היכולת של הארגון להתאושש מאירוע אבטחה או כשל טכני. נדרשת תוכנית גיבוי סדורה שמבטיחה שניתן יהיה לשחזר את המידע במקרה הצורך. הגיבויים עצמם חייבים להישמר באופן מאובטח, ולעבור בדיקות תקופתיות שיוודאו שניתן באמת לשחזר מהם את המידע. תוכנית התאוששות מאסון היא חלק בלתי נפרד ממערך ההגנה הכולל.

האכיפה והעתיד הצפוי

בשנים האחרונות ניכרת מגמה של החמרה באכיפת תקנה 13 מצד הרשות להגנת הפרטיות. הרשות מבצעת ביקורות בארגונים, מפרסמת ממצאים, ובמקרים של הפרות חמורות אף נוקטת בצעדים משפטיים. הסנקציות יכולות לכלול קנסות כספיים משמעותיים, וכן פרסום ציבורי של ההפרות, מה שגורם נזק תדמיתי כבד.

ארגונים שמתחילים בתהליך עמידה בדרישות כבר היום, נמצאים בעמדה טובה בהרבה מאלו שדוחים את הטיפול בנושא. מדובר בתהליך שלוקח זמן, מצריך תקציב ודורש מעורבות של גורמים רבים בארגון. מי שמתחיל מוקדם יכול לפרוס את העלויות, לבצע את ההתאמות בקצב סביר ולהיות מוכן לאתגרים העתידיים.

לסיכום, תקנה 13 מהווה אבן יסוד במערך הגנת הפרטיות בישראל. היא מחייבת ארגונים לאמץ גישה מקיפה לאבטחת מידע, שמשלבת טכנולוגיה, תהליכים ואנשים. עמידה בדרישות תקנה 13 אינה רק חובה משפטית אלא גם הזדמנות לארגון לחזק את עמידותו מול איומי הסייבר, לבנות אמון מול לקוחותיו ולהבטיח את המשך פעילותו התקינה גם בעידן שבו איומי המידע מתעצמים מדי יום.

תמונה: magnific

Related Post