מידע רגיש, בלי רווח: האתגר של המגזר השלישי תחת רגולציית הפרטיות החדשה
דווקא גופים שפועלים ללא מטרת רווח מחזיקים במידע הרגיש ביותר - אך נדרשים לעמוד באותן חובות כמו חברות עסקיות, בלי שיש להם את המשאבים או התמריץ הכלכלי לעשות זאת
מה תיקון 13 לחוק הגנת הפרטיות מלמד אותנו על האחריות של המגזר השלישי
15,000 ש"ח זהו הסכום שבו עשויים להתחיל העיצומים הכספיים שתטיל הרשות להגנת הפרטיות על עמותות וחל"צים בגין הפרות החוק, עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות. במקרים חמורים, הסכום עשוי להגיע גם ל- 300,000 ש"ח ואף יותר. וזה עוד לפני שדיברנו על הפגיעה באמון הציבור, הנזק התדמיתי או האחריות האישית שיכולה להיגזר מהפרות חמורות. ובכל זאת, מרבית הארגונים החברתיים עדיין אינם ערוכים לרגולציה, ובוודאי שלא לאכיפה.
"עמותה זה לא עסק" - זה אחד המשפטים השגורים ביותר כשמדברים על אחריות, ניהול או רגולציה במגזר השלישי. בין אם מדובר בעמותה ובין אם בחברה לתועלת הציבור (חל"צ) – התחושה הרווחת היא שמדובר בגופים שפועלים למען טובת הכלל, לא מתוך מניע רווח, ולכן לעיתים קרובות קיימת ההנחה שיחולו עליהם כללים שונים, מקלים יותר.
אלא שתיקון 13 לחוק הגנת הפרטיות מפריך את ההנחה הזו ומבהיר: גם על גופים חברתיים חלים אותם סטנדרטים, אותן דרישות, ואותן סנקציות – ממש כמו על תאגידים עסקיים ופרטיים.
אותה רגולציה, אכיפה שונה לגמרי
תיקון 13 לחוק הגנת הפרטיות, שייכנס לתוקפו באוגוסט 2025, לא משנה את עצם תחולתו של החוק שכבר היום חל באופן זהה על עסקים, חברות, עמותות וחברות לתועלת הציבור. אבל הוא מרחיב את תחולת החוק באופן שבו הוא מגדיר מחדש מושגים מרכזיים, מחיל חובות ברורות על כל מי שמחזיק או מעבד מידע אישי, ומקנה לרשות להגנת הפרטיות סמכויות אכיפה משמעותיות יותר, לרבות עיצומים כספיים, חובת דיווח ויכולת פעולה יזומה.
כך שגם אם חלק מהחובות התקיימו בעבר, כעת הן מוגדרות, מנוסחות ונאכפות באופן שיטתי – ללא הבחנה בין גוף עסקי לבין גוף חברתי. במילים אחרות, גם עמותה וגם חל"צ נחשבות לגופים המנהלים או מחזיקים במאגרי מידע. גם הן חשופות לעיצומים וגם הן מחויבות ליישם מדיניות פרטיות ארגונית לפי החוק ועל פי אותם סטנדרטים.
עמותות וחל"צים נדרשות לעמוד באותם כללים ובלי אותם הכלים
במצב הנוכחי, הדרישות של תיקון 13 לחוק הגנת הפרטיות חלות באופן שווה על כולם, אבל היכולת לעמוד בהן רחוקה מלהיות שווה. גופים שפועלים עם צוות מצומצם, מתנדבים, תקציבי תרומות ומשאבים מוגבלים – נדרשים לעמוד באותם סטנדרטים כמו תאגידים שמחזיקים מערכים משפטיים, טכנולוגיים ותקציביים רחבים בהרבה.
וכשאין הבחנה כזו, המשמעות בפועל היא שהרגולציה מכבידה יותר דווקא על מי שפועל בשם מטרות ציבוריות, באחריות ובמסירות אבל בלי הכלים שמקבלים אלה שפועלים למטרות רווח.
דווקא לארגונים החברתיים – יש יותר מידע רגיש ובלי תמריץ כלכלי
אחת הסיבות לכך שעמותות וחברות לתועלת הציבור נוטות להירתע מהחלת רגולציה כזו נעוצה בציפייה טבעית, ולעיתים שגויה, לכך שיחולו עליהן הקלות, מתוך הנחה שהרגולציה תתחשב באופי הציבורי והחברתי של פעילותן. אלא שכאמור תיקון 13 לחוק קובע סטנדרטים אחידים לכלל הגופים שמחזיקים או מעבדים מידע אישי, מבלי להבחין בין תאגיד עסקי לבין גוף שפועל שלא למטרת רווח.
פה נמצא גם ההיפוך המעניין: דווקא גופים חברתיים, בשל אופי פעילותם, מחזיקים מידע רגיש הרבה יותר מזה שנמצא בידי עסקים. קבצי סיוע למשפחות נזקקות ונתמכות, פרטי תרומות, מסמכים רפואיים, תיעוד של התערבויות רגשיות, מידע פסיכולוגי, בקשות תמיכה או תצהירים אישיים – אלו לא מקרים חריגים. זה המידע היומיומי שמטופל בכל עמותה או חל"צ שפועלות בתחומי רווחה, חינוך, בריאות, תעסוקה, קהילה או יזמות חברתית.
בשונה מהעולם העסקי, לרוב לגופים הללו אין תמריץ כלכלי ישיר שנובע מהיקף המידע ורגישותו. בעוד שבחברה עסקית קיים לרוב קשר מובהק בין כמות המידע לבין ההכנסות שלה בפועל – במגזר השלישי, המידע אינו מקור להכנסות אלא אחריות בלבד. לעיתים הוא אף משקף הוצאה, כיוון שהמידע נאסף לצורך הענקת שירותים, לא כדי להפיק מהם תמורה.
פחות שליטה, יותר אחריות – האתגר המבני של המגזר השלישי
במציאות, לעמותות ולחל"צים יש לעיתים פחות כלים מעשיים ליישם את הדרישות החדשות של החוק - דווקא בגלל האופי הגמיש, הקהילתי ולעיתים הלא פורמלי של פעילותן.
למשל, מערך ההתנדבות של ארגון חברתי – שהוא נכס עצום בגופים אלה – הופך לעיתים לנקודת תורפה רגולטורית. בעוד שעסק פרטי יכול להחתים כל עובד על מסמך סודיות, לפקח על שימוש במכשירי עבודה ולהגביל גישה למידע לפי היררכיה ברורה, ארגונים חברתיים רבים פועלים עם מתנדבים שפועלים מהנייד האישי, מהבית או מהשטח – לרוב בלי פיקוח שוטף, בלי הכשרות פורמליות, ובלי מערך משמעתי.
כשהרשות להגנת הפרטיות תבקש לבדוק כיצד נשמר המידע, לא יהיה לה משנה אם ההפרה בוצעה על ידי עובד, ספק או מתנדבת. החוק לא מבחין והאחריות נותרת על כתפי הארגון.
מכאן שהמגזר החברתי נדרש לבנות תרבות של פרטיות, ולא רק סט של נהלים כתובים. זה דורש יותר הסברה, יותר תחזוקה, ולעיתים גם ויתור על פתרונות טכנולוגיים נוחים שלא עומדים בסטנדרטים הנדרשים.
כדי לאזן בין אחריות ציבורית לבין מגבלות המציאות, נדרש מתווה שיתחשב במבנה הייחודי של ארגוני המגזר השלישי. הכשרה הדרגתית, קרן תמיכה ליישום אבטחת מידע, או הנחיות ממוקדות לעמותות קטנות – כל אלו יכולים להוות בסיס למדיניות מותאמת שמכירה הן בחשיבות ההגנה על פרטיות והן בצרכים ובקשיים שבשטח.
גישה כזו לא מבטלת את הדרישות – אלא מאפשרת לעמוד בהן באופן ישים, אחראי ומבוסס מציאות.
לסיכום: רגולציה בלי הבחנה עלולה לפגוע דווקא באלה שפועלים לטובת הציבור
תיקון 13 לחוק לא נועד להפוך עמותות וחל"צים לגופים עסקיים. הוא נועד להבטיח שמי שמחזיק מידע רגיש יפעל באחריות. אבל בלי הבחנה מעשית בין היכולות של גופים עסקיים לאלה של המגזר החברתי, החוק עלול להכביד במיוחד דווקא על הגופים שנועדו לשרת את הציבור.
עבור המגזר השלישי, זו לא רק חובת ציות. זו הזדמנות לבנות תשתית של אמון, שקיפות וביטחון מול הציבור. אבל זו גם קריאה לרגולטור, למקבלי ההחלטות ולנו כציבור להבין - רגולציה שוויונית על הנייר, יכולה לייצר פערים לא שוויוניים מאוד בשטח.
מאת עו״ד מעיין קוסלבסקי, בעלת משרד מדורג כמוביל בתחום המלכ"רים בישראל, מלווה עמותות, חברות לתועלת הציבור וקרנות פילנתרופיות בהיבטי רגולציה מורכבים, ובפרט בתחומי הגנת הפרטיות ואבטחת מידע במגזר החברתי.
d&b – לדעת להחליט
