פרטיות חשובה: למה צוותי תאימות יכולים לצפות בשנת 2026

מאת פיל מונקסטר • 27 ינואר 2026

28 בינואר הוא יום הפרטיות העולמי - אירוע לחגוג את הזכות לפרטיות והגנה על מידע שרבים מאיתנו מקבלים כמובנת מאליה כיום. זה לא תמיד היה כך, כמובן. רק בתאריך זה בשנת 1981 חתמה מועצת אירופה סוף סוף על אמנה 108, "להגנה על אנשים בנוגע לעיבוד אוטומטי של נתונים אישיים."

אף על פי שלעיתים חוק פרטיות המידע יכול להיות איטי, הוא לעיתים רחוקות עומד במקום. השנה, לאנשי מקצוע בתחום הציות יהיה הרבה על מה לחשוב, כאשר סעיפים שונים של חוק הנתונים (שימוש וגישה) של בריטניה (DUAA) ייכנסו לתוקף. ייתכן שהם ישקלו לפנות לתקן ISO 27701 כדי לייעל את מאמציהם.

למה פרטיות חשובה

אבטחה ופרטיות הן שני צדדים של אותו מטבע. ללא ההגנות שמאפשרים אנשים, תהליכים וטכנולוגיה, אף ארגון לא יוכל למלא את חובותיו לשמור על זכויות הפרטיות של לקוחות ועובדים. זה חשוב לחברות בריטיות בהקשר של ה-GDPR, אשר מסמיך את הרגולטורים לגבות קנסות פוטנציאליים גבוהים (עד 17 מיליון ליש"ט או 4% מהמחזור העולמי) בגין אי ציות חמור. אך ישנן סיבות עסקיות משכנעות נוספות מדוע פרטיות צריכה להיות בראש סדר העדיפויות האסטרטגי:

הימנעות מעלויות תפעול הקשורות לפריצות חמורות. אלה יכולות לכלול מזומנים נוספים הדרושים לתשלום שעות נוספות עבור צוותי IT, מומחי זיהוי פלילי חיצוניים, צוותים משפטיים והודעה ללקוחות ולרגולטורים
הימנעות מתביעות ייצוגיות שעלולות להיות יקרות בעקבות פרצת נתונים משמעותית
חיזוק אמון ונאמנות לקוחות. פרצה משמעותית עלולה לפגוע קשות במוניטין לטווח ארוך. אך לעומת זאת, לארגונים שמעדיפים פרטיות ושקיפות לקוחות על פני טיפול בנתונים יש הזדמנות מצוינת לבנות קשרים קרובים יותר עם לקוחותיהם.
קידום יתרון תחרותי והתרחבות באמצעות אימוץ תקני פרטיות מומלצים כמו ISO 27701, שיכולים לסייע בהרגעת הרגולטורים, השותפים והלקוחות בשווקים חדשים, ולייעל את הציות לתקנות.

מה חדש ב-DUAA בשנת 2026?

לפי מחקר של IO (לשעבר ISMS.online), דוח מצב אבטחת המידע לשנת 2025, חלקן של חברות אמריקאיות ובריטניה שדורשות מספקים לעמוד בדרישות ה-GDPR זינק מ-9% ל-34% בין 2024 ל-2025. עובדה זו ממחישה הן את המניעים העסקיים העומדים מאחורי תאימות, והן את העובדה שעדיין יש הרבה עבודה לעשות לפני שהרגולציה תאומצת במלואה על ידי הקהילה העסקית.

ה-DUAA החדש תוכנן בחלקו כתגובה לחששות כי עמידה בתקנות ה-GDPR כרוכה בירוקרטיה רבה מדי עבור חברות. מחקר אחד טוען שפחות מ-2% מהארגונים מוכנים לחוק החדש. רבים (47%) מציינים עדכונים בממשל, בהכשרה ובניהול ספקים כאתגרים הגדולים ביותר שלהם. זה יצטרך להשתנות. בין השינויים הצפויים בחוק הפרטיות שהוא יביא לתוקפה השנה נמנים:

כללים מתירים יותר בנוגע לקבלת החלטות אוטומטיות (ADM). אלה יאפשרו לארגונים להסתמך על מגוון רחב יותר של בסיסים חוקיים כדי לקבל החלטות לגבי אנשים פרטיים, כל עוד קיימים אמצעי הגנה.
חוקים מקלים אשר ירחיבו את הנסיבות בהן ניתן להשתמש בעוגיות בעלות סיכון נמוך ללא הסכמה מפורשת.
הצגת "אינטרסים לגיטימיים מוכרים" - בסיס משפטי חדש לעיבוד נתונים למטרות האינטרס הציבורי (למשל, מניעת פשיעה)
דרישות חדשות לטיפול בתלונות של נושאי נתונים, כולל טפסי תלונה אלקטרוניים ואישור קבלת תלונות תוך 30 יום
העלאה בקנסות הפוטנציאליים במסגרת תקנות הפרטיות והתקשורת האלקטרונית (המסדירות קובצי Cookie) כדי להתאים את עצמם לתקנת ה-GDPR (17.5 מיליון ליש"ט או 4% מהמחזור)
דרישה חדשה לפעול לפי קוד הילדים של ה-ICO אם סביר להניח שילדים ייגשו לשירותים מקוונים

כל אלה ידרשו עדכונים בתהליכים העסקיים לטיפול בתלונות, והערכת חובות לשמירה על זכויות הפרטיות של ילדים. בהתחשב בקנסות הגבוהים הפוטנציאליים הכרוכים בכך, ארגונים עם נוהלי עוגיות ושיווק אלקטרוני שאינם תואמים צריכים גם הם לתעדף את עמידה בתקנות PECR.

אדוארד מאצ'ין, יועץ משפטי בקבוצת הנתונים, הפרטיות והסייבר בחברת Ropes & Gray, משתף את שני התאריכים הבאים ליומן בשנת 2026:

ינואר 2026 (כשישה חודשים לאחר אישור מלכותי)השינויים העיקריים בחקיקת הגנת המידע, המפורטים בחלק 5 של חוק הגנת המידע (DUAA), נכנסים לתוקף, למעט שינויים בהליך הגשת תלונות עבור נושאי מידע.

ייקבע בהמשך לשנת 2026הוראות המסתמכות על תשתית טכנית או דורשות זמן אספקה נוסף ייכנסו לתוקף, כולל אמצעים התלויים בטכנולוגיה חדשה (למשל, מרשמים או שירותים מסוימים) והליך הגשת תלונות של נושאי נתונים.

"ארגונים צריכים לפצל את הכנות ה-DUAA שלהם בין הוראות המחייבות אותם לנקוט בפעולות ספציפיות, כגון יישום הליך תלונות של נושאי נתונים, לבין הוראות המאפשרות גמישות רבה יותר ביחס לנהלים הנוכחיים, כגון הכללים סביב בקשות גישה לנושא, קבלת החלטות אוטומטיות ועוגיות", הוא אומר ל-IO.

"בכל מקרה, DUAA ברוב המקרים ידרוש התפתחות בתוכניות התאימות של הארגונים ולא שינויים מקיפים. אבל ארגונים צריכים בפרט להיות בעלי תוכנית לטיפול בדרישות חלק 5 כדי להבטיח שלא יאבדו בשינויי השנה החדשה."

ISO 27701 התבגרות

עבור צוותי ציות שכבר תוהים כיצד יתמודדו עם מבול רגולטורי נוסף השנה, ישנן חדשות טובות. ISO 27701 הוא כעת תקן נפרד, ולא הרחבה של ISO 27001. משמעות הדבר היא שלארגונים יש דרך זולה יותר, מהירה וגמישה יותר להשיג שיטות עבודה מומלצות לטיפול ועיבוד נתונים.

תקן ISO 27701 מציע מסגרת מובנית להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול מידע פרטיות (PIMS). הוא כולל בקרות מעשיות עבור:

הגנה על מידע המאפשר זיהוי אישי (PII) מהסוג המוסדר על ידי ה-GDPR (וה-DUAA)
תאימות לחוק, שקיפות וזכויות נושאי נתונים (עבור בקרי מידע מזהה אישי)
ציות חוזי ועיבוד (עבור מעבדי מידע אישי)

רוב ראכוולד, סמנכ"ל שיווק מותג ומוצר ב-Zero Networks, מתאר את תקן ISO 27701 כ"ספר הבישול האולטימטיבי" להתמודדות עם דרישות DUAA.

"בעוד ש-DUAA הופכת את ה-GDPR של בריטניה לפרגמטי יותר, היא דורשת אחריות חזקה יותר והוכחת ממשל, במיוחד בכל הנוגע לניהול בקשות גישה לנושא ויישום אמצעי הגנה עבור ADM", הוא אומר ל-IO.

"ISO 27701 מספק תוכנית PIMS מוכרת ברחבי העולם, שכבר מפרטת את התהליכים הנדרשים לזכויות נושאי נתונים, מיפוי נתונים ופרטיות מובנית, ומאפשרת לארגונים להדגים תאימות "סבירה ומידתית" באופן מיידי, ובכך להפוך נטל רגולטורי למשהו שניתן לביקורת."

לכן, התקן מייצג עמוד תווך חשוב יותר ויותר בכל גישת ניהול סיכונים יעילה, לצד ISO 27001 ו-42001. מאמצי הפרטיות מקושרים יותר ויותר לאלו בתחום אבטחת המידע וניהול הבינה המלאכותית. ארגונים המסתכלים על שלושתם בצורה הוליסטית יהיו בעמדה הטובה ביותר להשתמש בתאימות כקרש קפיצה להצלחה עסקית בשנת 2026.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.