אם העסק שלכם שומר בדרך כלשהי על מידע של לקוחות, עובדים או משתמשים, גם אם מדובר במידע גנרי ופשוט למדי כרשימת מיילים או יוזרים באתר, הרי שהחל מאוגוסט, 2025, תיקון 13 לחוק הגנת הפרטיות הישראלי אמנם יוצר הקלות על חובת רישום מאגר מידע אך גם דורש עמידה בכללים המחמירים את הדרישות בנוגע לשמירה על מידע והגנה על פרטיות, מחייב מינוי ממונה ראוי על הגנת הפרטיות וגם מטיל קנסות במקרה של הפרות.
התיקון מדגיש בראש ובראשונה את הצורך לשמור על שני עקרונות יסוד מהותיים - הקפדה על צמידות המטרה וחובת גילוי מוגברת. המחזיק מידע פרטי נדרש ליידע את בעל המידע ולקבל הסכמתו המודעת לאיסוף ושימוש במידע תוך גילוי המטרה שלשמה נאסף המידע והשימושים הנעשים בהם. בנוסף, עקרון צמידות המטרה מחייב כי לאחר קבלת הסכמת בעלי המידע לאיסופו, לא ייעשה שימוש במידע שלא למטרה שלשמה נאסף המידע מלכתחילה ללא הרשאה מפורשת מבעל המידע.
התיקון גם מרחיב משמעותית את סמכויות רשות הגנת הפרטיות הישראלית, כמו הסמכות לנהל חקירות והליכים מנהליים וביצוע ביקורות יזומות, ומקנה לבית המשפט את הסמכות להטיל קנסות (שאינם תלויים בנזק) על מפרים בסך של עד 10,000 ש"ח, למשל במקרים בהם הופר עיקרון צמידות המטרה, לא מומשה זכות העיון במידע, או שלא נמחק מידע בעקבות בקשת אדם. בנוסף, התיקון כולל רשימה ארוכה של קנסות בגין הפרות שונות אשר נעים בין סכום של 15,000 ש"ח בגין הפרת זכות מהותית של נשוא מידע (למשל, ארגון אשר סירב להתיר לבעל מידע זכות עיון במידע עליו) ועד ל 320,000 ש"ח בגין הפרות אבטחת מידע במאגר הנדרש לרמת אבטחת מידע גבוהה. בנוסף, נתווספו קנסות אישיים אשר ניתן להטיל על בעלי תפקידים בארגון, בסכומים של עד 150,000 ש"ח לפי העניין.
בתיקון בוטלה הדרישה הגורפת לרישום מאגר מידע ונקבעו כללים חדשים. כך, למשל, גופים ציבוריים או גופים שלהם מאגר של יותר מ 10,000 איש ואשר מטרתם העיקרית היא איסוף מידע אישי לשם העברתו לצד שלישי כדרך עיסוק או כנגד תמורה עדיין נדרשים לרישום המאגר, בעוד שאחרים נדרשים אך להודיע על קיום המאגר לרשות הפרטיות ולמסור את פרטי ההתקשרות של ממונה הגנת הפרטיות בארגון.
לצד ההקלה בדרישות רישום המאגר, נוספה הדרישה, בדומה לחקיקה האירופאית, למינוי אחראי הגנת הפרטיות בארגונים, אשר הורחבה באופן משמעותי וחלה על כל ארגון המעבד מידע פרטי בהיקף משמעותי, כאשר קיימות גם דרישות לגבי זהות הממונה, שנדרש להיות בעל ידע מעמיק בדיני הגנת הפרטיות, בעל היכרות עם פעילות הארגון, הבנה בטכנולוגיות אבטחת מידע נדרשות וללא ניגוד עניינים לכל תפקיד אחר שלו בארגון.
לאור האמור, חשוב מאוד להיות מלווה במשרד עורכי דין בעל ידע טכנולוגי, ידע תאגידי ומסחרי והכרה של דיני הגנת הפרטיות. בדומה למשרד אפיק ושות', משרד כזה גם עשוי להיות מסוגל לספק שירותי אחראי הגנת פרטיות חיצוניים ולחסוך קנסות והליכים מנהליים מיותרים, כמו גם להימנע מאחריות אישית של מנהלים ונושאי משרה.