תוכן עמוד זה נוצר ע"י כלי בינה מלאכותית ולאחר תחקיר שנעשה ע"י כלי בינה מלאכותית.

החלק הראשון בעמוד כולל מעין מיני-אתר שמציג את המצב לאור התיקון לחוק כולל ביטוי להשלכות על 10 ארגונים חברתיים ידועים. החלק השני כולל מאמר טקסטואלי מעמיק יותר.

מאמר שמציג את ההזדמנויות שתיקון 13 לחוק הגנת הפרטיות מביא עימו - כאן.

תקציר מנהלים

דוח זה מציג ניתוח מעמיק של השלכות תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, על המגזר השלישי בישראל, בדגש על עמותות ומוסדות ללא כוונת רווח. התיקון, שנכנס לתוקף באמצע אוגוסט 2025, מיישר קו עם סטנדרטים בינלאומיים מתקדמים ומעצים משמעותית את כלי האכיפה של הרשות להגנת הפרטיות. בניגוד לתפיסה נפוצה, הדרישות החדשות אינן חלות רק על חברות טכנולוגיה או גופים עסקיים גדולים, אלא מטילות אחריות משמעותית על כל ארגון המחזיק או מעבד מידע אישי.

הניתוח הנוכחי מזהה את שלושת הקריטריונים המרכזיים שקובע התיקון, אשר מחייבים עמותה לנקוט פעולה באופן חד-משמעי: היותה "גוף ציבורי", עיבוד "מידע בעל רגישות מיוחדת בהיקף ניכר", או ביצוע "ניטור שוטף ושיטתי של בני אדם". הדוח בוחן מקרוב עשר עמותות מובילות בישראל ומספק הצדקה מנומקת, המבוססת על נתונים, מדוע כל אחת מהן נופלת תחת קריטריונים אלה ומחויבת לעמוד בדרישות החוק.

רשימת עשר העמותות שנותחו בדוח (נבחרו באמצעות ניתוח AI):

• יד שרה

• האגודה למלחמה בסרטן

• עזר מציון

• אלו"ט (האגודה הלאומית לילדים ובוגרים עם אוטיזם)

• נט"ל

• לב בטוח

• איגוד מרכזי הסיוע לנפגעות תקיפה מינית

• פתחון לב

• העמותות לקידום מקצועי של עובדי המדינה

• גיידסטאר ישראל

הדוח מדגיש כי היערכות לתיקון אינה רק עניין של ציות משפטי, אלא מהווה צורך קיומי ויתרון תחרותי. אי-עמידה בדרישות עלולה להוביל לסנקציות כספיות חמורות, תביעות אזרחיות, ונזק תדמיתי בלתי הפיך, שעלול לערער את אמון הציבור והתורמים. עמידה בחוק, לעומת זאת, מחזקת את המוניטין, משפרת את תהליכי הניהול ומבססת את הארגון כמוביל ומקצועי בעידן הדיגיטלי.

1. ניתוח רגולטורי: תיקון 13 לחוק הגנת הפרטיות והשלכותיו על עמותות

1.1. הרציונל שמאחורי התיקון

תיקון 13 לחוק הגנת הפרטיות, שהתקבל באוגוסט 2024 ונכנס לתוקף באוגוסט 2025, מהווה את אחד השינויים המשמעותיים ביותר בחוק מאז חקיקתו בשנת 1981. מטרתו העיקרית היא להתאים את הדין הישראלי למציאות הטכנולוגית המשתנה במהירות וליישר קו עם סטנדרטים בינלאומיים מתקדמים, ובראשם ה-GDPR האירופי. התיקון מציב כללים מחמירים יותר לאיסוף, עיבוד ושמירה של מידע אישי. הוא מרחיב באופן ניכר את ההגדרות של "מידע אישי" ו"מידע בעל רגישות מיוחדת", כך שכעת הן כוללות כל נתון המזהה או ניתן לזיהוי, לרבות מזהים מקוונים כמו כתובות IP ועוגיות (Cookies). ההגדרות החדשות של "מידע בעל רגישות מיוחדת" כוללות כעת מגוון רחב של פרטים, כמו מידע רפואי, נתונים גנטיים, עבר פלילי, מידע על נטייה מינית, דעות פוליטיות ונתונים פיננסיים.   

מעבר לעדכון ההגדרות, התיקון מחזק משמעותית את סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות. לרשות ניתנה היכולת להטיל קנסות כספיים משמעותיים, להורות על הפסקת עיבוד מידע, ובמקרים חמורים אף לפתוח בהליכים פליליים נגד מפרי החוק. בנוסף, הורחבה סמכות בתי המשפט לפסוק פיצויים כספיים ללא הוכחת נזק (עד 10,000 ש"ח) בגין הפרות מסוימות. הרחבת עילות התביעה והגדלת הסנקציות מגדילה משמעותית את החשיפה של ארגונים, לרבות עמותות, לתביעות אזרחיות ותובענות ייצוגיות מצד מקבלי שירותים או תורמים. התיקון מטיל גם אחריות אישית על מנכ"לים וחברי ועד מנהל, לרבות אחריות פלילית, על הפרות פרטיות.   

1.2. המנופים הרגולטוריים המחייבים פעולה חד-משמעית

התיקון החדש מטיל חובות רגולטוריות, ובראשן החובה למנות ממונה על הגנת הפרטיות (DPO), על ארגונים העומדים באחד משלושה קריטריונים עיקריים. עמותות רבות, בשל אופי פעילותן, נופלות באופן מובהק תחת אחד או יותר מקריטריונים אלה.

1.2.1. קריטריון "גוף ציבורי"

החוק מחייב באופן מפורש כל "גוף ציבורי" למנות ממונה על הגנת הפרטיות ולרשום את מאגרי המידע שלו. ההגדרה המשפטית של "גוף ציבורי" רחבה, וכוללת לא רק משרדי ממשלה ורשויות מקומיות, אלא גם "גופים אחרים הממלאים תפקיד ציבורי על פי דין" או כאלה שנכללים בצו הגנת הפרטיות.   

עמותה "רגילה" אינה מוגדרת כגוף ציבורי, אולם עמותות מסוימות, שפועלות מכוח חוק או ממומנות באופן נרחב על ידי המדינה או רשויותיה, עשויות להיחשב כ"גוף ציבורי". ההבנה הניואנסית של הקריטריון הזה היא קריטית: גוף ציבורי אינו מוגדר רק לפי מעמדו המשפטי הפורמלי, אלא גם לפי מהות פעילותו והקשרים המהותיים שלו למערכת הציבורית. עמותות שמספקות שירותים חברתיים או מקדמות מטרות ציבוריות מכוח הסכמים או מימון ממשלתי, עשויות להיכלל בהגדרה זו, ובכך לחול עליהן חובת מינוי DPO ורישום מאגריהן, וכן חובות נוספות הרלוונטיות לגופים ציבוריים.   

1.2.2. קריטריון "עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר"

קריטריון זה מהווה את הטריגר המשמעותי ביותר עבור רוב העמותות הגדולות בישראל. הוא חל על כל ארגון שעיסוקו העיקרי כרוך בעיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. "מידע בעל רגישות מיוחדת" כולל, בין היתר, מידע רפואי, גנטי, נתוני מצב נפשי, דעות פוליטיות, עבר פלילי ונתונים פיננסיים. התיקון מחייב ארגונים שעוסקים בכך, כמו בתי חולים וקופות חולים, למנות DPO.   

המונח "היקף ניכר" אינו מוגדר על פי סף כמותי קבוע, אלא נבחן על פי מכלול נסיבות, לרבות מספר נושאי המידע, כמות וגיוון המידע, משך ודחיפות העיבוד, והתחום הגיאוגרפי. מסיבה זו, עמותות חברתיות רבות, שמעצם מהותן מטפלות באוכלוסיות במצוקה ומחזיקות מידע רגיש, נמצאות בסיכון רגולטורי מובהק. עבור עמותות אלה, עיבוד המידע הרגיש אינו רק פעולת לוואי, אלא מרכיב מרכזי בליבת הפעילות המקצועית שלהן.   

1.2.3. קריטריון "ניטור שוטף ושיטתי של בני אדם"

קריטריון זה חל על בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כרוכים ב"ניטור שוטף ושיטתי של בני אדם". ההגדרה כוללת, בין היתר, מעקב שיטתי אחר התנהגות, מיקום או פעולות של אדם בהיקף ניכר. קריטריון זה רלוונטי במיוחד לעמותות שמשתמשות בטכנולוגיות מתקדמות ופלטפורמות דיגיטליות, כגון אפליקציות או אתרי אינטרנט המייצרים פרופילים של אנשים, אוספים נתוני מיקום או מנהלים מידע בריאותי באמצעות מכשירים מחוברים. גם אם העמותה אינה מוגדרת כחברת טכנולוגיה, עצם השימוש בכלים אלה באופן המקיים את הקריטריון, מחייב אותה בנקיטת פעולה.   

1.3. חובות משפטיות מחייבות

עמותה העומדת באחד מהקריטריונים לעיל נדרשת לבצע מספר פעולות מחייבות:

• מינוי ממונה על הגנת הפרטיות (DPO): ה-DPO הוא תפקיד חדש בחוק הישראלי, שבאחריותו להבטיח את השמירה על המידע האישי בארגון. תפקיד זה כולל ייעוץ להנהלה ולעובדים, הכנת תוכניות הדרכה ובקרה שוטפת, וכן טיפול בפניות של נושאי מידע. המינוי מהווה ביטוי לעיקרון "האחריותיות" (Accountability) המטיל על הארגון את האחריות להוכיח את עמידתו בדרישות החוק.   

  
  

• חובת רישום או הודעה לרשות: התיקון צמצם משמעותית את חובת הרישום של מאגרי מידע, אולם הוא עדיין חל על גופים ציבוריים ועל גורמים העוסקים בסחר במידע אישי של למעלה מ-10,000 איש. בנוסף, כל בעל שליטה במאגר מידע המכיל מידע בעל רגישות מיוחדת על יותר מ-100,000 נושאי מידע, חייב למסור הודעה על כך לרשות להגנת הפרטיות.

• חובות נוספות: גם אם עמותה אינה עומדת בקריטריונים המחייבים, עדיין חלות עליה חובות רבות מכוח החוק, כגון עדכון מדיניות פרטיות, חיזוק אבטחת המידע ויידוע נושאי המידע אודות אופן השימוש בנתונים שלהם. התיקון מרחיב את חובת היידוע ודורש מפורשות ציון האם מסירת המידע היא חובה חוקית או וולונטרית, את מטרת האיסוף, פרטי בעל השליטה במאגר, ואת הזכויות של נושאי המידע.   

  
  

2. ניתוח מקרי בוחן: 10 עמותות בסיכון רגולטורי גבוה

על בסיס הניתוח הרגולטורי, להלן עשר עמותות אשר נדרשות לפעול באופן חד-משמעי כדי להיערך לתיקון 13, בהתאם לקריטריונים המפורטים לעיל.

2.1. יד שרה

• פרופיל העמותה: יד שרה היא הארגון ההתנדבותי הגדול ביותר בישראל, המשרת למעלה מ-350,000 לקוחות בשנה. היא מספקת מגוון רחב של שירותים, לרבות השאלת ציוד רפואי ושיקומי, שירותי טיפול סיעודי ומרכזי טיפול לילדים עם צרכים מיוחדים.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: כחלק מפעילותה, העמותה אוספת ומעבדת מידע רפואי רגיש על אלפי בני אדם מדי שנה, הכולל מצב בריאותי, נתוני נכות וצרכים רפואיים.   

  
  

• הוכחה לקיום הקריטיונים: פעילותה של יד שרה עונה באופן מובהק על הקריטריון של עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. מידע רפואי הוא מטבעו "מידע בעל רגישות מיוחדת". היקף הפעילות של העמותה, המשרתת מאות אלפי אנשים מדי שנה , מקיים ללא ספק את הדרישה של "היקף ניכר".   

  
  

• החובות המחייבות: העמותה מחויבת במינוי DPO. בנוסף, היא נדרשת לבצע מיפוי נתונים, לעדכן את מדיניות הפרטיות שלה, להטמיע נהלי אבטחת מידע ולעדכן הסכמים עם ספקים חיצוניים.   

  
  

2.2. האגודה למלחמה בסרטן

• פרופיל העמותה: ארגון מוביל במאבק במחלות הסרטן בישראל. מספק מידע לחולים, מנהל מוקדי תמיכה ומרכזי סיוע.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: האגודה מנהלת מאגר נרחב של מחקרים קליניים המיועדים לחולי סרטן. מאגר זה מכיל מידע רפואי מורכב, כולל אבחנות, נתוני מחלה ופרטי טיפולים. כמו כן, מוקדי הסיוע של האגודה, המטפלים באלפי פניות בשנה, אוספים מידע רפואי ואישי רגיש.   

  
  

• הוכחה לקיום הקריטיונים: בדומה ליד שרה, האגודה למלחמה בסרטן עומדת בקריטריון של עיבוד מידע בעל רגישות מיוחדת (רפואי) בהיקף ניכר. עיסוקה בליבת המידע הרפואי של חולים, המהווה את המטרה העיקרית של פעילותה, מקיים את הקריטריון באופן חד-משמעי.   

  
  

• החובות המחייבות: מינוי DPO, עדכון מדיניות פרטיות והטמעת נהלי אבטחה מחמירים, במיוחד בשל רגישות המידע הגבוהה שברשותה.

2.3. עזר מציון

• פרופיל העמותה: עזר מציון היא עמותה מובילה בישראל המעניקה סיוע רפואי ונפשי לאוכלוסיות שונות, עם יותר מ-720,000 נעזרים בשנה.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: העמותה מנהלת מאגרי מידע הכוללים מידע רפואי על אלפי מטופלים ונעזרים. בנוסף, היא מפעילה את המאגר הלאומי לתורמי מח עצם, המכיל מידע גנטי רגיש במיוחד על למעלה מ-5,000 תורמים. העמותה גם מספקת שירותי ייעוץ נפשי , פעילות הכרוכה בעיבוד מידע רגיש על מצבם הנפשי של הפונים.   

  
  

• הוכחה לקיום הקריטיונים: עזר מציון עומדת בצורה ברורה בקריטריון של עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. המידע הגנטי והרפואי שהיא מעבדת הוא בעל רגישות מיוחדת, והיקף הפעילות העצום שלה מקבע את עמידתה בקריטריון זה.

• החובות המחייבות: מינוי DPO הוא בגדר חובה. בנוסף, על העמותה לוודא כי הנהלים שלה עומדים בדרישות המחמירות של החוק בנוגע למידע רגיש, במיוחד במאגר תורמי מח העצם.

2.4. אלו"ט (האגודה הלאומית לילדים ובוגרים עם אוטיזם)

• פרופיל העמותה: אלו"ט היא עמותת הורים המקדמת את זכויותיהם של כ-20,000 ילדים ובוגרים על הרצף האוטיסטי ומלווה את בני משפחותיהם.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: העמותה אוספת ומטפלת במידע רפואי, התפתחותי, חינוכי ופרא-רפואי על המאובחנים וכן בפרטים פיננסיים על המשפחות, לצורך סיוע במימוש זכויות מול גופים ממשלתיים.   

  
  

• הוכחה לקיום הקריטריונים: פעילותה של אלו"ט מתרכזת בעיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. מצב רפואי, אבחונים התפתחותיים ונתונים כלכליים נחשבים למידע רגיש, והטיפול בכ-20,000 אנשים מקיים את דרישת "היקף ניכר".   

  
  

• החובות המחייבות: מינוי DPO, הטמעת נהלים פנימיים וחיצוניים ועדכון הסכמים מול גורמי חוץ.

2.5. נט"ל (Natal)

• פרופיל העמותה: נט"ל היא עמותה המסייעת נפשית לנפגעי טראומה על רקע לאומי, טרור ומלחמה. היא מפעילה קו סיוע 24/7 ומרכז טיפולי רב-מקצועי.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: כחלק מפעילותה, העמותה אוספת מידע על מצב נפשי, מצוקה, טראומה ורקע אישי של הפונים. מידע זה נחשב ל"מידע בעל רגישות מיוחדת".   

  
  

• הוכחה לקיום הקריטריונים: עצם קיומו של קו סיוע הפועל 24 שעות ביממה  ושל צוות קליני ומקצועי גדול  מעיד על היקף פעילות נרחב ומקיים את הדרישה של    

  
  

  עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר.   

  
  

• החובות המחייבות: מינוי DPO הוא הכרחי. בנוסף, העמותה נדרשת להקפיד על נהלי סודיות ואבטחה מחמירים במיוחד ולהכשיר את כלל המתנדבים והעובדים לשמירה על סודיות המידע הרגיש.

2.6. לב בטוח (SafeHeart)

• פרופיל העמותה: עמותה שהוקמה בעקבות אירועי 7 באוקטובר במטרה לספק תמיכה נפשית לשורדי המסיבות בעוטף עזה. היא מעניקה טיפולים קבוצתיים ופרטניים, ומקיימת גם מחקר על השפעות טראומה.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: העמותה מטפלת במידע רפואי ונפשי רגיש, כולל נתוני טראומה, שימוש בחומרים משני תודעה, ופרטים אישיים של ניצולים. היא מלווה כ-1,000 שורדים ומשתפת פעולה עם 400 מטפלים.   

  
  

• הוכחה לקיום הקריטריונים: פעילותה עומדת באופן חד-משמעי בקריטריון של עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. סוג המידע הוא מהרגישים ביותר, שכן הוא כולל נתונים על קורבנות עבירה, טראומה ומצב נפשי.   

  
  

• החובות המחייבות: מינוי DPO, הטמעת נהלי אבטחה קפדניים ביותר ועדכון הסכמים מול מטפלים, חוקרים ושותפי מחקר כדי לוודא עמידה בחוק.

2.7. איגוד מרכזי הסיוע לנפגעות תקיפה מינית

• פרופיל העמותה: ארגון גג לתשעה מרכזי סיוע אזוריים לנפגעות תקיפה מינית. הארגונים מספקים סיוע אנונימי ופועלים בטלפון ובכתב, 24/7.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: המרכזים אוספים מידע אישי על נפגעי תקיפה מינית, מצבם הנפשי, עברם הפלילי (כנפגעי עבירה) ופרטי המקרה. המידע הזה נחשב למידע בעל רגישות מיוחדת מהרמה הגבוהה ביותר.   

  
  

• הוכחה לקיום הקריטריונים: עצם אופי הפעילות של איגוד המרכזים מקיים באופן חד-משמעי את הקריטריון של עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר.

• החובות המחייבות: מינוי DPO, יישום אמצעי אבטחת מידע טכנולוגיים וארגוניים ברמה הגבוהה ביותר, וכן הכשרה מקיפה וקפדנית של מתנדבים ועובדים על שמירת סודיות מוחלטת.   

  
  

2.8. פתחון לב

• פרופיל העמותה: עמותה הפועלת לשבירת מעגל העוני ומסייעת למעל 250,000 נפשות בשנה. היא מספקת סיוע הומניטרי, חינוכי ומשפטי למשפחות נזקקות.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: הארגון מטפל במידע פיננסי רגיש על משפחות ויחידים, כולל הכנסות, חובות ומצב כלכלי. בנוסף, פתחון לב נבחר כספק שירותים של משרד הרווחה , מה שמקשר אותו באופן הדוק למערכת הציבורית.   

  
  

• הוכחה לקיום הקריטיונים: פתחון לב עומד בקריטריון של עיבוד מידע בעל רגישות מיוחדת (פיננסי) בהיקף ניכר. יתר על כן, היותה ספקית שירות של משרד הרווחה עלולה למקם אותה בקטגוריה של גוף המבצע תפקיד ציבורי.   

  
  

• החובות המחייבות: מינוי DPO והודעה לרשות על מאגר המידע. כמו כן, חובה עליה לעדכן נהלי אבטחת מידע והסכמים עם ספקים חיצוניים כדי לעמוד בדרישות.

2.9. העמותות לקידום מקצועי של עובדי המדינה

• פרופיל העמותה: קבוצת עמותות הפועלות מבית הסתדרות עובדי המדינה. ייעודן הוא לפתח את ההון האנושי בשירות המדינה באמצעות סמינרים והכשרות.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: העמותות מנהלות מאגרי מידע על עובדי מדינה, כולל פרטי חברות, נתונים פיננסיים (דמי חבר), ומידע מקצועי.   

  
  

• הוכחה לקיום הקריטיונים: בשל הקשר המהותי והסינרגטי שלהן עם המדינה (שכן הן "מבית הסתדרות עובדי המדינה" והממשלה משתתפת בדמי החבר) , עמותות אלה עשויות להיחשב כ   

  
  

  גוף ציבורי כהגדרתו בחוק.   

  
  

• החובות המחייבות: ככל הנראה הן מחויבות במינוי DPO וברישום מאגרי המידע.   

  
  

2.10. גיידסטאר ישראל

• פרופיל העמותה: גיידסטאר ישראל הוא אתר ממשלתי המרכז ומנגיש מידע על כלל העמותות בישראל. הוא מופעל כפרויקט משותף של משרד המשפטים וג'וינט ישראל.   

  
  

• ניתוח מאגרי המידע וסוגי הפעילות: האתר מהווה "מאגר מידע ובסיס נתונים משמעותי" המרכז מידע על עמותות ממאגרים ממשלתיים, לרבות נתונים פיננסיים, שמות בעלי תפקידים, מספר עובדים ומתנדבים ועוד.   

  
  

• הוכחה לקיום הקריטיונים: עצם היותו "פרויקט ממשלתי משותף למשרד המשפטים"  הופך אותו באופן חד-משמעי ל   

  
  

  גוף ציבורי. על פי החוק, מאגר מידע שבעל השליטה בו הוא גוף ציבורי חייב ברישום.   

  
  

• החובות המחייבות: גיידסטאר מחויב במינוי DPO, ברישום מאגר המידע שלו במרשם, ובעמידה בכל יתר החובות החלות על גוף ציבורי.

3. סיכום, השלכות והמלצות אופרטיביות

3.1. סיכום טבלאי: הצטלבות הקריטריונים והחובות

ייצוא אל Sheets

3.2. מעבר מחובה ליתרון: המלצות למגזר השלישי

הטבלה מסכמת את הדפוסים שהתגלו בניתוח, וממחישה כיצד העמותות הגדולות והמשמעותיות ביותר בישראל עומדות באופן חד-משמעי בקריטריונים המחייבים של התיקון. העמידה בקריטריון של "מידע בעל רגישות מיוחדת" היא המכנה המשותף הבולט ביותר, שכן הוא משקף את ליבת הפעילות של עמותות סיוע ורווחה. במקביל, הקריטריון של "גוף ציבורי" רלוונטי לעמותות המקושרות באופן הדוק למערכת הממשלתית, וקריטריון ה"ניטור" רלוונטי לעמותות שאינן בהכרח טכנולוגיות אך מפעילות פלטפורמות דיגיטליות מתקדמות.

הבנת הדרישות אינה רק עניין תיאורטי; אי-היערכות עלולה לגרור סיכונים משפטיים וכלכליים כבדים, לרבות קנסות מנהליים משמעותיים של מיליוני שקלים וכן תביעות אזרחיות עם פיצויים ללא הוכחת נזק. מעבר לסנקציות המשפטיות, אירוע של דליפת מידע עלול לגרום לנזק תדמיתי חמור שעלול להוביל לאובדן אמון הציבור והתורמים, ובכך לערער את עצם המשך קיומה ופעילותה של העמותה.   

לכן, ההיערכות לתיקון 13 היא צורך קיומי עבור כלל המגזר. היא אינה מסתכמת רק במילוי חובה רגולטורית, אלא מהווה הזדמנות ניהולית ועסקית של ממש. עמידה בדרישות מאפשרת לארגון לשפר את תהליכי ניהול ואבטחת המידע שלו, להפחית סיכוני סייבר, לחזק את האמון מול הציבור והרגולטורים, ולהתאים את עצמו לסטנדרטים בינלאומיים מתקדמים.   

3.3. מבט לעתיד: מצב העשייה החברתית בישראל בעידן תיקון 13

כדי להתמודד עם האתגרים וההזדמנויות של התיקון, על המגזר השלישי לאמץ גישה הוליסטית לנושא. הצעדים המומלצים כוללים:

• מיפוי נתונים וזיהוי סיכונים: יש לבצע סקירה מקיפה של כל מאגרי המידע בעמותה כדי לזהות אילו נתונים אישיים מוחזקים, היכן הם מאוחסנים ומהי רמת הסיכון הנלווית אליהם.   

  
  

• בדיקת חובת מינוי DPO והטמעת נהלים: יש לבחון את חובת מינוי הממונה בהתאם לקריטריונים שנותחו בדוח. גם אם אין חובה חוקית, מומלץ למנות אחראי פנימי שיוביל את הטיפול בנושא.   

  
  

• עדכון מסמכים משפטיים וארגוניים: יש לעדכן את מדיניות הפרטיות, הסכמי העבודה, וההסכמים עם ספקים חיצוניים כך שיעמדו בדרישות החדשות של התיקון.   

  
  

• הדרכת עובדים ומתנדבים: יש להכשיר את כלל הצוות, כולל מתנדבים, בנוגע לחוק, לנוהלי העבודה החדשים, לזיהוי סיכונים, ולחובת הסודיות והדיווח על אירועי אבטחה.   

  
  

• חיזוק אבטחת המידע: על בסיס מיפוי הסיכונים, יש להטמיע אמצעי אבטחה טכניים וארגוניים מתאימים ולטפל בפערים מיידית.   

  
  

התיקון החדש לחוק הגנת הפרטיות הוא מנוף לשינוי משמעותי במגזר השלישי. הוא דורש מהעמותות לנקוט בגישה פרואקטיבית ומקצועית לניהול מידע, המהווה תנאי יסוד להמשך תפקודן התקין ולחיזוק מעמדן בקרב הציבור. היערכות נכונה היא לא רק הגנה מפני סיכונים, אלא השקעה בבניית חוסן ארגוני וביסוס אמון, שהם הנכסים היקרים ביותר של כל ארגון חברתי.

הערה לסיום:

לגבי חובת מינוי ממונה על הגנת הפרטיות (DPO), אף שהתיקון לחוק נכנס לתוקף ב-14 באוגוסט 2025, הרשות להגנת הפרטיות הודיעה על מתן אורכה לאכיפה בנושא זה עד ל-31 באוקטובר 2025. המשמעות היא שהאכיפה על הדרישה למינוי DPO לא תחל לפני תום תקופת ההתארגנות שנקבעה, כדי לאפשר לארגונים במשק ולמגזר השלישי להיערך.

האכיפה הקשורה להיבטים אחרים בתיקון (כמו תקנות אבטחת מידע) תחל בפועל מייד, שכן הייתה למשק תקופת היערכות ארוכה, אך במינוי DPO נקבעה אורכה בגלל המורכבות הארגונית והצורך בגיוס בעלי מקצוע מתאימים.

רשות הפרטיות הבהירה כי בתקופה הזו מומלץ לארגונים להשלים הכשרות, למפות מאגרי מידע רגישים ולהיערך לגיוס או מינוי בעל תפקיד מתאים - שכן לאחר ה-31.10.2025 יחל תהליך האכיפה הרשמי.