מנכ"ל חברה נדהם לקבל דרישת אבחון רשמית מרשות הגנת הפרטיות. הבעיה לא הייתה השאלון עצמו, אלא העובדה המדאיגה שמעולם לא בוצע בארגון אבחון מקדים של צרכים וסיכונים, הפערים לא מופו והתיקונים הטכנולוגיים והמשפטיים הנדרשים בחוק לא הוטמעו מבעוד מועד. האם ניתן בכלל לגשר על פערים של שנים ולהפוך מערכת נתונים פרוצה למבצר של ציות ופרטיות, כששעון החול של הרשות כבר התהפך ?
תיקון 13 לחוק הגנת הפרטיות מהווה כיום נדבך מרכזי בחיזוק יכולת ההרתעה והאכיפה של הרשות הישראלית להגנת הפרטיות. מדובר בשינוי פרדיגמה: מעבר ממודל של "המלצות" למודל של אכיפה מנהלית תקיפה, הכולל עיצומים כספיים כבדים, גם על דירקטורים ונושאי משרה, ומתן הנחיות מקצועיות מחייבות לבעלי שליטה במאגרי מידע. בעידן זה, הרשות אינה מסתפקת רק בבדיקת אירועי פריצה, אלא פועלת באופן יזום כדי לוודא שארגונים פרטיים וממשלתיים כאחד עומדים בסטנדרטים המחמירים של חוק הגנת הפרטיות, כאשר קיימת לרשות גם האפשרות להטיל קנסות אישיים על בעלי תפקידים בארגון, בסכומים של עד 150,000 ש"ח.
אחד השינויים הגדולים בתיקון 13 הוא חובת מינוי ממונה הגנה על הפרטיות (DPO), אשר אינה חלה רק על גופים ציבוריים אלא גם על קבלנים העובדים מטעמם, גופים שעיסוקם העיקרי הוא סחר במידע אישי, גופים העוסקים בניטור שיטתי ומתמשך של התנהגות בני אדם כחלק מעיסוקם המרכזי, ועל גופים המעבדים בהיקף משמעותי מידע ברגישות מיוחדת, כגון נתונים רפואיים, ביומטריים, פליליים, נתוני אשראי או נטייה מינית. ה-DPO פועל כפונקציה מקצועית ועצמאית המדווחת למנכ"ל ולדירקטוריון, והוא מבצע את הפיקוח על אבטחת המידע בארגון.
גם ללא חובת מינוי DPO על הדירקטוריון מוטלת חובה אקטיבית לוודא את אבטחת המידע בארגון ולכן עליו לאשר הגדרות ונהלים, לבחון סיכונים ולוודא יישום מדיניות ציות הכוללת מנגנוני בקרה וחובת דיווח מידי על אירועי אבטחה. כך, גם כאשר לא קיימת חובה, מומלץ למנות DPO כדי לוודא עמידת הגוף בדרישות החוק באופן שוטף ולהקטין את החשיפה של דירקטורים ונושאי משרה במקרה שקרה אירוע של דלף מידע. התעלמות מהמלצות ה DPO או כשל בפיקוח השוטף (לרבות אי-הקצאת משאבים מתאימים) עשויים להיתפס כהפרה של חובת הזהירות. בין בעת ביקורת רגולטורית ובין אם קרה אירוע של דלף מידע או אירוע אחר, מחדלים אלו עשויים לגרום לאחריות אישית של דירקטורים ונושאי משרה, ללא תלות באחריות החברה.
טעות נפוצה של מנהלים היא התפיסה שפרטיות היא "פרויקט" זמני לקראת ביקורת. תיקון 13 מבהיר כי האחריות הסופית מוטלת על הדירקטוריון, תוך חשיפת נושאי משרה לעיצומים כספיים אישיים כבדים, שלא לדבר על היתכנות לחקירה פלילית. לפיכך, מומלץ לנושאי המשרה לפעול ללא דיחוי להבטחת ציות מלא וגיבוש נוהלי אבטחה כתובים להגנה על המידע. לאור הסיכון המשפטי והאישי, מומלץ שלא להסתפק בספק שירותי DPO חיצוני רגיל (ולאחר תיקון 13 צצו שרלטנים כפטריות אחרי הגשם והרשת מלאה בפרסומות שלהם), אלא להשתמש בשירותי משרד עורכי דין בעל מומחיות בתחום הגנת הפרטיות לליווי מקצועי שוטף ואספקת שירותי DPO חיצוניים.