- אהוד שם טוב
- 26 באוג׳
- זמן קריאה 6 דקות
עודכן: לפני 6 ימים
מנכ"לים, מנכ"ליות, חברות וחברי ועד מנהל,
ב־15 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות - תיקון שמשפיע באופן ישיר כמעט על כל עמותה, מוסד ציבורי או ארגון חברתי בישראל. התיקון מעדכן את החוק למציאות דיגיטלית בת־זמננו: הוא מחייב ארגונים לנהל מידע אישי בצורה שקופה, אחראית ומאובטחת - כולל מיפוי מאגרים, הגבלת גישה, תיעוד פעולות, וקביעת נהלים ברורים לשימוש, שמירה ומחיקה של מידע רגיש.
מעבר לכך, הוא מטיל אחריות אישית על הדרג הניהולי - מנכ"ליות, חברי וחברות ועד מנהל - להבטיח שהארגון עומד בדרישות. הפרות מהותיות עלולות להוביל לא רק לפגיעה באמון הציבור, אלא גם לתביעות אזרחיות ולקנסות כספיים משמעותיים.
הנה לינק למאמר נוסף בו בחנתי 10 ארגונים חברתיים ידועים, לגבי רמת הסיכון שלהם מפני התיקון לחוק. מומלץ גם לקרוא אותו (המאמר שאתם.ן קוראים.ות עכשיו מתמקד דווקא בהזדמנויות שהחוק מזמין).
מדוע דווקא הארגונים החברתיים צריכים לשים לב לנושא? כי הם מחזיקים לא פעם, במידע רגיש כגון: פרטי תורמות ותורמים והעדפותיהם האידיאולוגית, נתונים על עובדים ומתנדבות, תיקי מוטבים ומקבלות שירות, מידע על קטינים, העדפות מיניות, נטייה פוליטית, מצב סוציו־אקונומי, פרטים על נשים במקלטים, ולא פעם גם מסמכים רפואיים או חוות דעת פסיכולוגיות.
התיקון החדש מסמן מעבר חשוב: מ"ציות פורמלי" ל-Accountability - אחריותיות מלאה. לא מספיק לעמוד בדרישות - צריך לדעת להסביר למה אנו שומרים את המידע שאנו שומרים, למי יש גישה אליו, לתעד ולהגן על כל שימוש בו. זוהי קריאת השכמה ובעיקר, הזדמנות אדירה. אל תראו בזה רק עול, ראו בכך זרז עוצמתי להאצת הטרנספורמציה הדיגיטלית, לייעול תהליכי העבודה, ולחיזוק מעמד הארגון שלכם.
בואו נצלול פנימה, ונגלה את ההזדמנויות הניהוליות והארגוניות שתיקון 13 מניח לפתחכם.
🔊 אבל קודם כל - האזינו לפודקאסט המעמיק שנמצא כאן
את הפודקאסט יצרתי על בסיס כל קבצי החוקים והתקנות, ומיטב הפרשנויות וסרטוני הווידאו הקיימים ברשת בנושא, ובדגש מרכזי על ההזדמנויות שהתיקון מזמן לארגונים חברתיים.
✨ בסוף המאמר תמצאו לינקים לחוקים ולתקנות וכן אפליקציה עם צ'ק ליסט שתוכל לעזור לכם להתארגן לקראת יישום החוק.

1 - דילמת הדיגיטל: מאקסל לענן - לא רק חובה, אלא מקפצה לניהול חכם!
"עד עכשיו הסתדרנו יפה עם אקסלים וקבצים מקומיים. האם העמותה שלנו באמת צריכה מערכת CRM חדשה עכשיו?"
התשובה חד משמעית: כן! והרבה מעבר לכך!
תיקון 13 "מכריח" אתכם לעשות את מה שאולי דחיתם: לאמץ כלים טכנולוגיים מתקדמים ומאובטחים יותר. תהליך מיפוי הנתונים שחובה לבצע יחשוף, קרוב לוודאי, שאתם מנהלים רשימות תורמים ומקבלי שירותים בקבצי אקסל מפוזרים, בתיקיות נייר ואפילו במערכות לא מסונכרנות. זה המצב שמוביל לכשלים ארגוניים וסיכוני אבטחה.
הנה מה שאתם מרוויחים מהאצת הטרנספורמציה הדיגיטלית:
מערכות CRM (ניהול קשרי מוטבים ובעלי עניין) ייעודיות בענן: במקום לנהל רשימות באקסל, תטמיעו מערכת CRM מודרנית וייעודית בענן (לדוגמה: Monday CRM). מערכות אלו לא רק יסייעו בניהול נתוני תורמים, מקבלי שירות, מתנדבים ועובדים בצורה מסודרת ומאובטחת. הן מגיעות עם הפרדת הרשאות משתמשים מובחנות ומנגנוני אבטחה מובנים.
ייעול ופילוח נתונים מתקדם: מערכות CRM טובות יאפשרו לכם פילוח מתקדם של תורמים / מוטבים / פעילויות, אוטומציה של תהליכים כמו שליחת אישורי תרומה, ויכולות ניתוח נתונים מרהיבות. כל אלו ישפרו את יכולת גיוס המשאבים, הניהול והתפעול ויאפשרו לכם לנצל את המידע באופן מושכל ויעיל יותר.
ניהול ספקים חכם: התיקון מחייב אתכם לנהל בקפידה ספקים חיצוניים שמעבדים מידע (כמו ספקי CRM, דיוור, שירותי ענן) באמצעות הסכמי עיבוד מידע (DPA) ודרישות אבטחה ברורות. כלי ניהול פרויקטים כמו Monday יכולים לשמש לכם כמרכז בקרה לניהול סיכוני ספקים ולתיעוד עמידתם בדרישות.
2 - בין אמון להגנה: איך בונים תשתית דיגיטלית יציבה ובטוחה.
"אבטחת מידע - עוד סעיף בהוצאות או השקעה קריטית?"
הוצאה? ממש לא! זו השקעה אסטרטגית בחוסן וביציבות הארגון שלכם!
חובת אבטחת המידע המוגברת בתיקון 13 דורשת מכם לנקוט בצעדים ממשיים למניעת דליפות מידע וחדירות. אבל ההזדמנות כאן היא לבנות מערך הגנה חזק שישמור עליכם גם מפני תרחישי אסון שאינם בהכרח מתקפות סייבר, כמו שריפה במשרד או קריסת מערכות.
הצפנת מידע וגיבויים שוטפים: התיקון דורש מכם להצפין מידע רגיש ולבצע גיבויים שוטפים במקום מוגן. זה יוביל לשדרוג משמעותי של מאגרי המידע ותשתיות המחשוב שלכם. חשבו על זה כעל פוליסת ביטוח יקרה מפז לנכס הכי חשוב שלכם - המידע!
תוכניות התאוששות מאסון (Disaster Recovery Plan - DRP): הצורך בשמירה על שרידות דיגיטלית ידחוף אתכם לפתח ולתרגל תוכניות התאוששות מאסון. זהו צעד קריטי להבטחת המשכיות עסקית של העמותה בכל תרחיש.
הגבלת גישה וניטור: יש לוודא שרק עובדים/מתנדבים מורשים ניגשים למידע, תוך תיעוד פעילות במאגרים ורישום מלא של כל פעולה. זהו יישום של עיקרון ה-Need to Know - גישה למידע ניתנת רק למי שצריך אותה לצורך ביצוע עבודתו, ולא מעבר לכך – גם אם יש לו תפקיד בכיר. זה אומר שלא "כל עובד" הוא Admin במערכת או ה-Owner של לוחות ב-Monday (מה שמאפשר את יצוא הנתונים לאקסל וכך לנתק אותם מכל מערכת ההרשאות).
שימוש בבינה מלאכותית (AI) לייעול האבטחה: התיקון והנחיות הרשות להגנת הפרטיות פותחים לכם דלת לשימוש בטוח ב-AI. ניתן למנף כלי AI לניתוח נתונים מתקדם, לחיזוי פוטנציאל תרומה, להתאמה אישית של פניות וגם לבקרת איכות ואבטחה. לדוגמה, AI יכולה לסייע באוטומציה של Workflows עבור בקשות עיון/מחיקה, תיוג מידע רגיש, ובקרות הרשאה מדורגות.

3. מנהלי/ות מערכות מידע וממוני פרטיות: הגיבורות והגיבורים החדשים בארגון שלכם!
"אנחנו עמותה קטנה עם תקציב מוגבל. האם אנחנו קטנים מדי כדי להקצות תקן לאיש מערכות מידע או DPO?"
הפוך! תיקון 13 הוא ההזדמנות שלכם להתמקצע ולשדרג את רמת הניהול!
התיקון החדש מציף את החשיבות של ניהול מערכות מידע וניהול סיכוני פרטיות - תחומים שבעמותות רבות לא טופלו באופן מקצועי עד כה. זהו הרגע שלכם להקצות תקנים או אחריות לאנשי מקצוע בתחומים אלה:
מנהל מערכות מידע (מנמ"ר): גם אם במשרה חלקית, מנמ"ר יכול להיות אחראי לא רק על תחזוקת המחשבים, אלא על תכנון אסטרטגיית ה-IT של העמותה, שיפור אבטחת הסייבר ושילוב כלים דיגיטליים בעבודה היומיומית. זה יביא לשימוש יעיל יותר בתקציב הטכנולוגי ויציע פתרונות חדשניים.
ממונה על הגנת הפרטיות (DPO - Data Protection Officer): התיקון מטיל חובה למנות DPO על עמותות מסוימות (למשל, כאלו שמעבדות מידע רגיש במיוחד בהיקף ניכר). אבל גם אם אינכם חייבים חוקית, הרשות להגנת הפרטיות ממליצה בחום לשקול מינוי וולונטרי של אחראי פרטיות פנימי. DPO יביא ידע מקצועי משפטי-טכנולוגי, יטפח מודעות לאחריות אתית ויהווה נציג פנים-ארגוני לזכויות הנהנים והתורמים.
שדרוג רמת הממשל התאגידי: עצם המינוי של בעלי תפקיד מקצועיים אלה מאותת לתורמים, לרגולטורים ולציבור שהעמותה שלכם מתבגרת, מתמקצעת ומחויבת לממשל תאגידי תקין. זהו יתרון עצום בגיוס מענקים ותמיכות, שכן קרנות רבות בודקות היום היבטי שקיפות ושמירת חוקים לפני שהן משקיעות.
4. הזדמנויות ניהוליות רחבות: בונים אמון, מייעלים וזוכים ביתרון תחרותי.
מעבר לכל היתרונות הטכנולוגיים והתפעוליים הספציפיים, תיקון 13 הוא הזדמנות פז לשורה של יתרונות ניהוליים וארגוניים רחבים שיחזקו אתכם לטווח הארוך:
חיזוק אמון הציבור והתורמים: עמותה שמנהלת מידע בצורה שקופה, מאובטחת ואחראית בונה אמון עמוק מול תורמים, מתנדבים ומקבלי שירותים. זהו יתרון תחרותי מובהק שיכול לשמש כנרטיב חיובי ולחזק את יכולת גיוס המשאבים שלכם.
ייעול ושיפור תהליכי עבודה פנימיים: הדרישה למיפוי מידע ומדיניות מזעור מידע תוביל ל"סדר פנימי" בניהול הנתונים. היא תחשוף כשלים ארגוניים, תאפשר הסדרת נהלים לטיפול במידע ותשפר את היעילות ותפחית שגיאות.
התאמה לסטנדרטים בינלאומיים ופתיחת שיתופי פעולה: מכיוון שהתיקון מותאם ל-GDPR האירופי (General Data Protection Regulation), עמידה בדרישותיו מסירה חסמים רגולטוריים ומקלה על שיתופי פעולה עם ארגונים וקרנות מחו"ל. עמותה ערוכה תהיה בעמדה טובה יותר לזכות במכרזים ובקבלת מענקים.
יתרון תחרותי במכרזים ובשיתופי פעולה: עמותה שתהיה ערוכה לתיקון 13 עם נהלי פרטיות סדורים ומערכות תואמות, תהנה מיתרון משמעותי במכרזים מול גופים ציבוריים ובשיתופי פעולה עסקיים.

📝 לסיכום,
תיקון 13 הוא הרבה יותר מאשר דרישה רגולטורית - זוהי הזדמנות פז לשדרוג משמעותי של הארגון שלכם. ראו בכך השקעה אסטרטגית בעתיד, שתחזק אתכם, תייעל את פעילותכם ותבסס את מעמדכם ואת אמון הציבור בכם לטווח הארוך.
אל תחכו לרגע האחרון! התחילו לפעול עכשיו: מפו את המידע שלכם, העריכו את הסיכונים, עדכנו נהלים, ובחנו את הצורך באנשי מקצוע כמו מנמ"ר או DPO. הטמיעו תרבות של הגנת פרטיות בארגון כולו. מי שייערך בזמן, יהנה מיתרון ברור של אמון מוגבר, יעילות תפעולית ושקט נפשי.
זה הזמן להפוך אתגר להזדמנות, ולהוביל את העמותה שלכם לעידן דיגיטלי בטוח, יעיל ומוצלח יותר!
מקורות:
מדריך מעשי עם צ'ק ליסט שיוכל לסייע ביישום החוק
הערה לסיום:
לגבי חובת מינוי ממונה על הגנת הפרטיות (DPO), אף שהתיקון לחוק נכנס לתוקף ב-14 באוגוסט 2025, הרשות להגנת הפרטיות הודיעה על מתן אורכה לאכיפה בנושא זה עד ל-31 באוקטובר 2025. המשמעות היא שהאכיפה על הדרישה למינוי DPO לא תחל לפני תום תקופת ההתארגנות שנקבעה, כדי לאפשר לארגונים במשק ולמגזר השלישי להיערך.
האכיפה הקשורה להיבטים אחרים בתיקון (כמו תקנות אבטחת מידע) תחל בפועל מייד, שכן הייתה למשק תקופת היערכות ארוכה, אך במינוי DPO נקבעה אורכה בגלל המורכבות הארגונית והצורך בגיוס בעלי מקצוע מתאימים.
רשות הפרטיות הבהירה כי בתקופה הזו מומלץ לארגונים להשלים הכשרות, למפות מאגרי מידע רגישים ולהיערך לגיוס או מינוי בעל תפקיד מתאים - שכן לאחר ה-31.10.2025 יחל תהליך האכיפה הרשמי.