التعديل الجديد يفرض على أي جهة تدير أو تحتفظ ببيانات شخصية، سواء كانت مصالح تجارية، مجالس محلية، مؤسسات حكومية، جمعيات، مؤسسات تعليمية وغيرها، أن تتعامل مع الخصوصية باعتبارها أمراً يتطلب الانصياع للقوانين والرقابة ويلزمها باتخاذ خطوات عملية وموثقة لإثبات امتثالها لتعليمات القانون.
في شهر آب 2025، سيدخل حيّز التنفيذ التعديل رقم 13 لقانون حماية الخصوصية الإسرائيلي، وهو التعديل الأهم والأكثر تأثيرًا الذي شهده هذا القانون منذ سنّه في عام 1981. يهدف هذا التعديل، بشكل أساسي، إلى تعزيز آليات الرقابة والإنفاذ (אכיפה) في مجال حماية البيانات من خلال توسيع صلاحيات “سلطة حماية الخصوصية” (רשות הגנת הפרטיות) ومنحها أدوات رقابية فعلية، وتحميل الجهات التي تقوم بإدارة أو معالجة بيانات شخصية مسؤوليات تنظيمية عديدة، تشمل التوثيق، تعيين مسؤول حماية الخصوصية، الرقابة الداخلية والامتثال المستمر.
على مدار سنوات طويلة، كان يُنظر إلى قانون حماية الخصوصية في البلاد كإطار نظري، لا سيما في ظل ضعف أدوات الرقابة. ومع أن اللوائح التنظيمية للعام 2017 قد وضعت أسسًا تقنية لأمن المعلومات، إلا أنها لم تُترجم فعليًا إلى التزام عملي لدى كثير من الجهات. التعديل رقم 13 جاء ليغيّر هذه المعادلة، من خلال تحويل سلطة حماية الخصوصية من جهة إرشادية إلى جهة رقابية لديها صلاحيات إجراء التفتيش والتدقيق، طلب مستندات، فرض التعليمات، واتخاذ إجراءات إدارية ضد مؤسسات لا تمتثل للمعايير السارية.
هذا الواقع الجديد يفرض على أي جهة تدير/تحتفظ ببيانات شخصية، سواء كانت مصالح تجارية، شركات تكنولوجيا، مزوّدي خدمات رقمية، مجالس محلية، مؤسسات حكومية، مؤسسات طبية، جهات مالية، الجمعيات، مؤسسات تعليمية وغيرها، أن تتعامل مع الخصوصية باعتبارها بُعدًا تنظيميًا أساسيًا. فالتعديل يلزم هذه الجهات باتخاذ خطوات عملية وموثقة، ويُتوقع من كل مؤسسة أن تكون قادرة على إثبات امتثالها ليس فقط على المستوي النظري، بل أيضاً عبر وثائق وإجراءات ملموسة.
من قانون صامت الى رقابة وغرامات مرتفعة
ومن الجوانب الجوهرية في التعديل 13 هو تعزيز صلاحيات سلطة حماية الخصوصية في مجال الإنفاذ، وانتقالها إلى جهة رقابية فاعلة تمتلك أدوات تدخل حقيقية. فبموجب التعديل، تصبح السلطة مخوّلة بفرض غرامات مالية كبيرة على أي جهة ترتكب انتهاكات لمتطلبات القانون، حيث تشمل هذه الانتهاكات، على سبيل المثال لا الحصر: عدم اتخاذ تدابير أمن معلومات ملائمة؛ عدم اعتماد السياسات الداخلية؛ معالجة بيانات بشكل مخالف للقانون؛ عدم تزويد أصحاب البيانات بحقوقهم، عدم الامتثال لمتطلبات تعيين “مسؤول حماية الخصوصية” عند انطباقها وغيرها.
مهم الإشارة إلى أن الغرامات (في حال عدم الامتثال) قد تصل إلى مئات آلاف الشواقل، ما يشكل أداة ردع حقيقية تعكس جدية المشرّع لتغيير قواعد اللعبة، وتدفع بالمؤسسات إلى امتثال فعلي، لا شكلي كما كان عليه الحال قبل التعديل الجديد. ومن المتوقع أن تبدأ سلطة حماية الخصوصية، بشكل تدريجي اعتبارًا من الـ 14 من شهر آب 2025، بتعزيز ممارسة صلاحياتها في مجال الإنفاذ وفرض الغرامات تجاه الجهات التي لم لا تمتثل لمتطلبات القانون.
فيما يلي أمثلة توضيحية: مركز طبي يحتفظ بقاعدة بيانات تحتوي على معلومات حساسة لأكثر من 100,000 مريض، ولم يجري تقييمًا لمخاطر الخصوصية بموجب القانون، قد يكون عرضة لفرض غرامة مالية قد تصل في بعض الحالات إلى 320,000 شيقل. وكالة تأمين لا تحتفظ بوثيقة لتعريفات قاعدة البيانات وفقًا لمتطلبات القانون، قد تواجه غرامة تصل إلى 160,000 شيقل في بعض الحالات (حسب حجم الانتهاك)، ومؤسسة أو جمعية لم تستجب لطلب شخص للاطلاع على بياناته الشخصية قد تُغرّم بمبلغ يصل إلى 15,000 شيقل بموجب التعديل 13.
تعيين “مسؤول حماية الخصوصية”
ومن بين المتطلبات البارزة التي جاء بها التعديل 13 هو تعيين مسؤول لحماية الخصوصية (DPO) في مؤسسات معينة. مسؤول حماية الخصوصية هو الشخص المكلّف بالإشراف على التزام المؤسسة بقواعد حماية البيانات، حيث تشمل مهامه بناء السياسات الداخلية، مراقبة الامتثال للقوانين والتنظيمات، تقديم التوصيات والمشورة للإدارة والموظفين، وتوثيق الأنشطة ذات الصلة، إلى جانب كونه نقطة الاتصال مع الجهات الرقابية.
مهم الإشارة الى ان التعديل يفرض تعيين “مسؤول حماية الخصوصية” على فئات محددة فقط، كالمؤسسات العامة (גופים ציבוריים) غير الأمنية؛ الجهات التي تجمع معلومات شخصية بهدف بيعها أو تزويد أطراف أخرى بها (إذا كانت تحتوي على معلومات عن أكثر من 10,000 شخص)؛ الجهات التي تعتمد في نشاطها الأساسي على معالجة معلومات شخصية، أو مراقبة أو تتبّع الأشخاص؛ والجهات التي تتعامل بشكل أساسي مع “معلومات حساسة” على نطاق واسع.
التعديل 13: ضرورة، لا خيار
من واقع تجربتنا المهنية، فإن التعديل رقم 13 يُعد خطوة ضرورية في الاتجاه الصحيح، ويتماشى مع ما نشهده من تحوّلات عالمية في مجال حماية الخصوصية، وعلى رأسها الـGDPR الأوروبي (اللائحة العامة لحماية البيانات). في عالم تتسارع فيه التكنولوجيا وتتوسع فيه قدرة المؤسسات والشركات على جمع وتحليل البيانات، لا يكفي الاكتفاء بمبادئ عامة أو التزامات شكلية، بل هناك حاجة واضحة لقواعد رقابية وآليات تنفيذ فعالة. التعديل للقانون يُعيد التوازن بين حقوق الأفراد والمصالح التنظيمية، ويخلق بيئة قانونية تساهم في تعزيز الثقة، رفع مستوى الحوكمة، ودفع المؤسسات والشركات إلى التصرف بمسؤولية حقيقية تجاه البيانات التي تحتفظ بها
من الناحية التنظيمية، يُتوقع أن يُساهم التعديل رقم 13 في إحداث نقلة نوعية في طريقة تعامل المؤسسات والشركات مع البيانات الشخصية، من خلال فرض التوثيق، والامتثال، والرقابة الداخلية كجزء من المنظومة الإدارية اليومية، ولا كجهد موسمي. هذا من شأنه أن يعزز من حماية حقوق الأفراد ويزيد من ثقة الجمهور في المؤسسات والشركات، خاصة في القطاعات التي تتعامل مع معلومات حساسة مثل الصحة، التعليم والخدمات المالية.
في المقابل، لا يخلو التعديل من تحديات محتملة، أبرزها الخشية من تعقيد الإجراءات الإدارية وخلق أعباء بيروقراطية جديدة، خاصة لدى المؤسسات الصغيرة التي تفتقر إلى الموارد أو المعرفة في هذا المجال، وحتى لدى شركات التكنولوجيا الناشئة في مراحلها الأولى. كما قد يثير التعديل نقاشًا حول مدى تدخل الدولة في إدارة الشؤون التنظيمية للمؤسسات، وما إذا كانت الصلاحيات الجديدة لسلطة حماية الخصوصية قد تُستخدم بشكل مفرط أو غير متناسب.
ومع ذلك، فإن الموازنة بين حماية الخصوصية وفعالية الأداء التنظيمي تبقى ممكنة وضرورية، وتعتمد بالأساس على آليات تطبيق التعديل ووضوح الإرشادات المرافقة له والتي تصدر من حين الى آخر من قبل سلطة حماية الخصوصية.
ورغم أن التعديل رقم 13 كان مرتقباً، إلا أن الصورة على الأرض تشير إلى أن الاستعداد له لا يزال متفاوت. ففي حين بدأت بعض المؤسسات، المصالح التجارية والشركات بخطوات أولية باتجاه التنظيم الداخلي وتعيين مسؤولين لحماية الخصوصية، الا أن جزءًا كبيرًا منها لا يزال في طور الاستيعاب الأولي لمتطلبات التعديل، أو يتعامل مع الأمر كتحسين إداري يمكن تأجيله. من المهم أن ندرك أن هذا التعديل لا يمكن إدارته على أنه أفضل الممارسات (best practice)، بل كواقع قانوني مُلزم، مدعوم بصلاحيات رقابية فعلية سيتم تفعيلها قريباً بنطاق أكثر صارمٍ مما اعتدنا عليه حتى الآن.
المجتمع العربي والتعديل 13: فجوة تنظيمية تزداد عمقًا أم فرصة لإعادة البناء؟
عند النظر في تبعات التعديل رقم 13 على المؤسسات العاملة داخل المجتمع العربي في إسرائيل، تبرز تحديات عميقة لا يمكن تجاهلها. فمن واقع تجربتنا المهنية، نرى أن جزءاً من التحديات يعود الى فجوات ناتجة عن تراكم تاريخي لغياب البنى التحتية الإدارية في بعض المؤسسات والشركات، ونقص الاستثمار في المعرفة والحوكمة.
المجالس المحلية العربية، على سبيل المثال، تعاني في بعض الأحيان من نقص في الكوادر المتخصصة في مجالات الابتكار، القانون والتكنولوجيا، ما يصعّب عليها بناء أنظمة امتثال متكاملة. بعض المؤسسات الطبية والتعليمية في البلدات العربية في البلاد تُدار دون اشراك وحدات تنظيمية واضحة تُعنى بالسياسات والإجراءات، وهو أمر جوهري في التعديل الجديد.
أما الجمعيات والمؤسسات غير الربحية، فهي تواجه واقعًا أصعب: ميزانيات محدودة، اعتماد على التمويل الخارجي، وعدم استقرار تنظيمي. وفي ظل غياب وعي كافٍ لدى البعض منها حول مسؤولياتها القانونية في مجال حماية البيانات، فإن الجزء الأكبر منها قد يجد نفسه مهددًا بتعرضه للمساءلة.
فيما يتعلق بالمصالح التجارية، فبشكل عام، هناك فجوة معرفية واضحة فيما يخص قوانين الخصوصية، الأمر الذي قد يؤدي إلى تأخر في الامتثال أو إلى سوء فهم للمتطلبات. هذا التحدي لا يقتصر على المجتمع العربي، بل يشمل شريحة واسعة من المصالح الصغيرة في البلاد. ولكن المصالح التجارية العربية، على وجه الخصوص، بحاجة إلى دعم إرشادي عملي ومبسط لفهم التعديل الجديد والتأقلم معه.
لكن، ورغم كل ما سبق، هناك فرصة حقيقية كامنة. التعديل يمكن أن يكون دافعًا لبناء بنية تنظيمية جديدة داخل المؤسسات العربية، تعتمد على التوثيق، الامتثال، والشفافية، وهي قيم يمكن أن ترفع من جودة الخدمات وتعزز ثقة الجمهور والعملاء. وهنا تبرز الحاجة لتدخّل منظم: شراكات مع أخصائيين قانونيين وتقنيين، ومبادرات تدريب وتمكين باللغة العربية، تتيح للمؤسسات المشاركة الواعية، لا أن تبقى على الهامش.
باختصار، تأثير التعديل 13 على المؤسسات، الشركات والمصالح التجارية في المجتمع العربي سيكون بقدر وعي هذه المؤسسات لحجم المسؤولية القادمة. الخيار ليس بين الامتثال أو الغرامة فقط، بل بين البقاء في الهامش التنظيمي أو الانتقال إلى مشهد مؤسساتي حديث ومسؤول.
خطوات عملية للامتثال: ماذا على المؤسسات والشركات أن تفعل الآن؟
في هذه المرحلة، مع اقتراب موعد دخول التعديل رقم 13 حيّز التنفيذ، من المهم أن تدرك المؤسسات والشركات أن الانتقال إلى الامتثال لقوانين حماية الخصوصية الجديدة لا ينحصر بخطوة واحدة فقط، بل هو بمثابة تغيير دائم للتوجه والممارسات. التوصية في هذه المرحلة واضحة: على كل جهة تدير أو تتحكم في بيانات شخصية أو بيانات ذات طابع حساس، سواء الشركات، الجمعيات، المؤسسات الحكومية أو الخاصة، المصالح التجارية، أو حتى الأفراد، أن تبدأ فورًا بتقييم موقعها من ناحية امتثالها للقانون، بما في ذلك تحديث بنيتها القانونية والتنظيمية بما يتماشى مع التعديل الجديد للقانون.
كحد أدنى وكخطوة أولى، يُوصى باتخاذ الخطوات التالية (بمرافقة المستشارين أصحاب الاختصاص):
- إجراء تقييم فجوات (Gap Analysis) – فحص وتقييم الوضع الحالي مقابل متطلبات القانون.
- النظر في تعيين مسؤول عن حماية الخصوصية – ساري فقط على فئات محددة.
- صياغة/تحديث السياسات والإجراءات الداخلية – مثل وثيقة تعريف تعريفات قاعدة البيانات، سياسات التعامل مع الحوادث الأمنية (security incidents)، وغيرها.
- الاستعداد لإجراءات التدقيق – من خلال إنشاء آليات رقابة، وتوثيق الامتثال للمتطلبات الجديدة.
- تدريب الموظفين – لضمان التزامهم وتعزيز وعيهم بأهمية التعامل الآمن والمسؤول مع البيانات.
لا شك أن التعامل مع الواقع الجديد الذي يفرضه التعديل رقم 13 يتطلب تبنّي رؤية مؤسساتية طويلة المدى تستوعب التغيير وتُحسن التعامل مع متطلبات القانون. فحماية الخصوصية لم تعُد ترفًا تنظيميًا، بل أصبحت التزامًا قانونيًا فعليًا، والامتثال لقوانين حماية الخصوصية اليوم هو استثمار في الحماية المستقبلية وضمان لتعزيز الثقة مع الجهات الرقابية المختلفة والجمهور على حد سواء.
ملاحظة: لا يعتبر هذا المقال استشارة قانونية، ولا يُغني عن استشارة متخصصة تراعي خصوصية كل حالة على حدة. للحصول على تقييم دقيق وملاءمة قانونية كاملة، يُنصح بالتوجّه إلى مستشار قانوني مختص في مجال حماية الخصوصية.
