תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14 באוגוסט 2025, מהווה את הרפורמה המשמעותית ביותר בתחום הגנת הנתונים האישיים בישראל מאז חקיקת החוק המקורי לפני 44 שנים. התיקון מביא עמו שינויים דרמטיים החל מהגדרות מורחבות של מידע אישי, דרך חובת מינוי ממונה הגנת פרטיות, ועד לקנסות עצומים שיכולים להגיע למיליוני שקלים. עם חלוף כמעט שלושה חודשים מכניסת התיקון לתוקף, הגיע הזמן להבין לעומק את ההשלכות המעשיות על עסקים בישראל ואת הצעדים הנדרשים להבטחת ציות מלא.
רקע היסטורי ומשמעות תיקון 13
מהמציאות הטכנולוגית של 1981 לעידן הדיגיטלי
כעיתונאי המתמחה בנושאי חברה ותקשורת, ראיתי מקרוב כיצד החוק המקורי מ-1981 נאבק להתמודד עם המציאות הדיגיטלית המודרנית. בעת חקיקת החוק המקורי, עולם הטכנולוגיה היה שונה לחלוטין מהמציאות הנוכחית. אז לא היו אתרי אינטרנט, רשתות חברתיות, או מערכות בינה מלאכותית שמעבדות מיליוני נתונים בשנייה.
הפער בין החוק המקורי למציאות הטכנולוגית הנוכחית יצר חללים משפטיים שאפשרו לארגונים לפעול ללא פיקוח מספק. טכנולוגיות כמו ניתוח ביג דאטה, מכשירי ניטור סיסטמטי, וערוצי תקשורת מתקדמים יצרו סיכונים חדשים שהחוק המקורי לא יכול היה להתמודד איתם.
מטרות התיקון והשפעתו על הנוף הרגולטורי
תהליך החקיקה של תיקון 13 היה מקיף וכלל התייעצות נרחבת עם חוקרים משפטיים, ארגונים חברתיים ונציגי תעשייה. הכנסת אישרה את התיקון בקריאה שנייה ושלישית ב-5 באוגוסט 2024, וקבעה שיכנס לתוקף תוך שנה.
הרפורמה משקפת את הכוונה של ישראל להתיישר עם סטנדרטים בינלאומיים, בייחוד כפי שמתבטאים בתקנת ההגנה על הנתונים הכללית של האיחוד האירופי (GDPR), תוך שמירה על זהות רגולטורית ייחודית עם דגש חזק על אבטחת סייבר. מחקרים של החקיקה הראו כי ישראל “חורטת את דרכה שלה” בשילוב של עקרונות אירופיים עם דגש חזק על אבטחת סייבר. (מקור רשמי: האתר הרשמי של הרשות להגנת הפרטיות)
הגדרות מורחבות של מידע אישי ומידע רגיש
מה נחשב כעת למידע אישי
אחד השינויים הקריטיים ביותר בתיקון 13 הוא הרחבת הגדרת “מידע אישי”. כעת, המונח כולל כל נתון הנוגע לאדם מזוהה או ניתן לזיהוי בעזרת “מאמץ סביר”. הגדרה זו רחבה במיוחד וכוללת כעת באופן מפורש כתובות IP, מזהים מקוונים וגיאולוקציה.
מהניסיון שלי בעבודה עם חברות טכנולוגיה, אני רואה שהרחבה זו מחייבת חברות למפות בזהירות איפה קטגוריות אלה של נתונים מופיעות במערכות שלהן. לדוגמה, כתובות IP יכולות להופיע בלוגים של שרתים, נתוני גיאולוקציה יכולים להופיע בנתוני ניטור נהגים בחברות לוגיסטיקה, ומזהים מקוונים יכולים להופיע בקובצי cookies ובמעקבים של אתרים.
קטגוריות המידע הרגיש והטיפול המחמיר בהן
תיקון 13 קובע 12 קטגוריות מפורשות של “מידע בעל רגישות מיוחדת”, שכוללות:
- מידע ביומטרי ונתונים גנטיים
- רשומות פליליות ונתונים על עבירות
- מידע רפואי ובריאותי
- נתונים פיננסיים ודוחות אשראי
- חברות בארגוני זכויות אדם
- נתונים על נטיות מיניות וזהות מגדרית
- מידע על השקפות פוליטיות ודתיות
הטיפול במידע בעל רגישות מיוחדת כפוף לדרישות מחמירות בהרבה מאשר מידע אישי סטנדרטי. זה כולל דרישות הצפנה מתקדמות, הגבלות גישה נוקשות, ובמקרים מסוימים גם חובת רישום או התייעצות עם הרגולטור.
חובת מינוי ממונה הגנת פרטיות (DPO)
איזה ארגונים חייבים למנות DPO
אחד השינויים המשמעותיים ביותר שהביא תיקון 13 הוא הטלת חובה משפטית על סוגים מסוימים של ארגונים למנות ממונה הגנת פרטיות. הארגונים המחויבים כוללים:
- גופים ציבוריים (למעט ביטחוניים)
- גופים המעבדים מידע של מעל 10,000 אנשים למטרות מסחריות או דיוור ישיר
- גופים שעיקר פעילותם כרוכה בניטור שוטף וסיסטמטי
- גופים המטפלים בהיקף משמעותי במידע רגיש כחלק מעיסוקם העיקרי
רשות הגנת הפרטיות הבהירה בהנחיותיה שפורסמו בקיץ 2025 כי ההוראה עשויה להיות ישימה גם לגופים שביניהם לא הייתה ברורה בתחילה, כגון חברות שעוסקות בניתוח נתונים, סיווג, דירוג והערכה.
מאפיינים נדרשים וניגודי עניינים
הממונה על הגנת הפרטיות חייב להיות בעל מאפיינים ספציפיים. ראשית, עליו להיות בעל ידע מקיף בדיני פרטיות והגנת נתונים בישראל. שנית, עליו להיות בעל הבנה מעמיקה בתחום אבטחת מידע. שלישית, עליו להכיר את תחומי הפעילות של הארגון. רביעית, על ה-DPO לפעול בעצמאות מלאה, ללא ניגוד עניינים.
הרשות הבהירה כי אנשים בעלי סמכות קבלת החלטות בדבר עיבוד מידע לא יכולים לשמש כ-DPO. תפקידים כמו ראש המחלקה לשיווק, מנהל מכירות, CFO, מנהל תקשוב או CTO אינם יכולים להכיל בו זמנית את תפקיד ה-DPO.
מערכת הקנסות והעיצומים החדשה
מדרג הקנסות לפי סוג ההפרה
מערכת הקנסות שנקבעה בתיקון 13 היא אחד הנדבכים החזקים ביותר של הרפורמה. העיצומים הכספיים יכולים לנוע בטווח רחב בהתאם לחומרת ההפרה. עיצומים בסיסיים מתחילים מ-15,000 שקל, אך יכולים לעלות בצורה משמעותית.
בהפרות חמורות, הקנסות יכולים להגיע לעד מיליוני שקלים, במיוחד במקרים של מאגרי נתונים בקנה מידה גדול או עיבוד מידע רגיש. מודל הקנסות מדרג את הסכומים לפי סוג ההפרה והיקפה.
עבירות פליליות חדשות ועונשיהן
תיקון 13 הוסיף עבירות פליליות חדשות בנושא הפרת הפרטיות. אלה כוללות שימוש לא מורשה במידע אישי, עיבוד מידע ללא הרשאה מתאימה, והטעיית הרגולטור. עבירות אלה יכולות להיות כרוכות בעונש מאסר של עד שלוש שנים בהתאם לחומרת העבירה.
בנוסף, תיקון 13 מרחיב את סמכויות בית המשפט להטיל פיצויים ללא הוכחת נזק. אדם שזכויותיו הופרו יכול לתבוע ולקבל פיצוי כספי של עד 10,000 שקל גם אם לא יוכיח שנגרם לו נזק ממשי.
דרישות שקיפות והסכמה מחודשות
מה צריך לגלות בעת איסוף מידע
תיקון 13 הגדיל משמעותיות את חובות השקיפות והגילוי. כאשר ארגון אוסף מידע אישי, עליו לספק לנושא המידע מידע ברור וקל להבנה אודות:
- זהות הארגון האוסף את המידע
- המטרה לשם איסוף הנתונים
- האם מסירת הנתונים חיונית או התנדבותית
- מי יקבל גישה לנתונים
- זכויות נושא המידע
כאשר מעובדים סוגים מסוימים של מידע רגיש, דרישות גילוי נוספות חלות. לדוגמה, כאשר מעובדים נתונים ביומטריים או מידע המשמש למערכות בינה מלאכותית, דרישות גילוי מחמירות חלות כדי לוודא שהאנשים מבינים כיצד הנתונים שלהם משמשים.
יישום נכון של באנר עוגיות
בנושא הסכמה, התיקון שינה את הגדרת ודרישות ההסכמה לעיבוד מידע אישי. בעבר, ארגונים יכלו להסתמך על “הסכמה משוערת”. תיקון 13 מבטל זאת ודורש הסכמה “אקטיבית” ו”מפורשת” לעיבוד מידע.
באנר עוגיות תקני לפי תיקון 13 צריך לכלול:
- תיאור ברור של העוגיות ומטרתן
- יכולת לבחור קטגוריות בנפרד
- אפשרויות “מקבל הכל” ו”דוחה הכל”
- אפשרות לשנות בחירות בעתיד
חשוב לזכור: בברירת מחדל כל העוגיות הלא-חיוניות צריכות להיות מכבויות עד לקבלת הסכמה מפורשת.
דרישות אבטחת מידע והערכות סיכון
מתי נדרשת הערכת השפעה על פרטיות
תיקון 13 דורש מארגונים לערוך הערכות השפעה על פרטיות (DPIA) עבור סוגים מסוימים של עיבוד מידע. בפרט, כאשר ארגון מתכנן להשתמש בטכנולוגיות מתקדמות כמו בינה מלאכותית, ניתוח נתונים למטרות חיזוי או סיווג, ניטור שוטף, או עיבוד אחר שעלול להיות טומן סכנות לפרטיות.
הערכה זו צריכה לזהות סיכונים פוטנציאליים להגנה על הפרטיות, להעריך את רמת הסיכונים, ולהציע אמצעים להקטנת הסיכונים. זהו תהליך מקצועי שדורש הבנה מעמיקה הן של הטכנולוגיה והן של החוק.
תקנות אבטחת מידע ויישומן
תיקון 13 מחזק את דרישות אבטחת המידע ויוצר חובות מפורשות לביצוע בדיקות חדירה. תקנות אבטחת המידע משנת 2017 קובעות דרישות מפורשות:
- יישום בקרת גישה מבוססת תפקיד
- ביצוע ביקורות אבטחה קבועות
- הצפנת מידע רגיש
- הדרכת עובדים בנושא אבטחת מידע
כעת, תיקון 13 הוסיף דרישות ספציפיות לביצוע בדיקות חדירה בתהליך קבוע. ארגונים המנהלים מאגרי נתונים גדולים רגישים צריכים לערוך בדיקות חדירה לפחות כל 18 חודשים.
השלכות על תחומים עסקיים ספציפיים
אתגרים בתחום הביטוח והפיננסים
תחום הביטוח זוהה כתחום הנתון לסיכונים גבוהים מחדלות ציות בתיקון 13. בשנים 2019-2022, רשות הגנת הפרטיות ערכה פיקוח רחב על סוכנויות הביטוח בישראל, וביקרה 28 סוכנויות ביטוח. הממצאים הראו פערים משמעותיים בעמידה בדרישות, במיוחד בתחום עיבוד מידע במיקור חוץ.
חברות ביטוח עשויות להיות חשופות לקנסות של עד 2.3 מיליון שקל בגין הפרות של חוק הגנת הפרטיות. זה יוצר השלכות משמעותיות לענף: יש תמריץ כלכלי ברור להתאמה, חברות יצטרכו להעסיק מומחים בנושא פרטיות, ויהיה צורך בהשקעה משמעותית בתחום פרטיות ואבטחת המידע.
טכנולוגיה ובינה מלאכותית
חברות פינטק המשתמשות בבינה מלאכותית לניקוד אשראי, גילוי הונאה, או כלים להשקעה צריכות להסביר כיצד החלטות מתקבלות ולתעד סיכוני פרטיות דרך הערכות DPIA. נתוני האימון לא יכולים להיות נאספים ללא הסכמה, והלקוחות חייבים לקבל גילויים ברורים לפני שמודל AI מעבד את המידע שלהם. (הקשר בינלאומי: תקנת GDPR של האיחוד האירופי)
בתחום הבריאות, בתי חולים וקליניקות מטפלות בקטגוריות הרגישות ביותר של נתונים: רשומות רפואיות, מידע גנטי וביומטרי. תיקון 13 דורש הצפנה, יומני גישה, וביצוע בדיקות חדירה על מאגרי נתונים גדולים.
השוואת דרישות ציות לפי סוג ארגון
הטבלה הבאה מציגה את הדרישות העיקריות של תיקון 13 בהתאם לסוג הארגון והיקף עיבוד המידע:
| סוג ארגון | חובת מינוי DPO | דרישות אבטחה מיוחדות |
|---|---|---|
| גופים ציבוריים | חובה | בדיקות חדירה + הצפנה |
| עיבוד מעל 10,000 אנשים | חובה | DPIA + ביקורות שנתיות |
| ניטור שוטף וסיסטמטי | חובה | יומני גישה + בקרות נוקשות |
| מידע רגיש בהיקף גדול | חובה | הצפנה מתקדמת + הגבלות גישה |
| אתרים עם עוגיות | לא חובה | באנר הסכמה + מדיניות פרטיות |
| עסקים קטנים רגילים | לא חובה | אמצעי אבטחה בסיסיים |
שאלות נפוצות על תיקון 13
מתי בדיוק נכנס תיקון 13 לתוקף ומה המשמעות המעשית?
תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025. המשמעות המעשית היא שכל הדרישות החדשות חלות כעת על ארגונים בישראל, כולל חובת מינוי DPO, דרישות הסכמה מפורשת, ומערכת הקנסות החדשה. ארגונים שטרם התאימו עצמם חשופים לסיכוני אכיפה.
איך אני יודע אם הארגון שלי חייב למנות ממונה הגנת פרטיות?
חובת מינוי DPO חלה על: גופים ציבוריים (למעט ביטחוניים), גופים המעבדים מידע של מעל 10,000 אנשים למטרות מסחריות או דיוור ישיר, גופים שעיקר פעילותם כרוכה בניטור שוטף וסיסטמטי, וגופים המטפלים בהיקף משמעותי במידע רגיש כחלק מעיסוקם העיקרי.
מה הקנס המקסימלי שניתן להטיל על פי תיקון 13?
הקנסות יכולים להגיע למיליוני שקלים בהפרות חמורות, במיוחד במקרים של מאגרי נתונים בקנה מידה גדול או עיבוד מידע רגיש. הקנסות הבסיסיים מתחילים מ-15,000 שקל ועולים בהתאם לחומרת ההפרה והיקף הנזק.
מה ההבדל בין מידע אישי למידע בעל רגישות מיוחדת?
מידע אישי כולל כל נתון הנוגע לאדם מזוהה או ניתן לזיהוי, כמו כתובות IP ונתוני גיאולוקציה. מידע בעל רגישות מיוחדת כולל 12 קטגוריות ספציפיות כמו מידע ביומטרי, נתונים גנטיים, רשומות פליליות, מידע רפואי ונתונים פיננסיים, הדורשים הגנה מחמירה יותר.
איך צריך להיראות באנר עוגיות תקני לפי תיקון 13?
באנר עוגיות חייב לכלול: תיאור ברור של העוגיות ומטרתן, יכולת לבחור קטגוריות בנפרד, אפשרויות “מקבל הכל” ו”דוחה הכל”, ואפשרות לשנות בחירות בעתיד. חשוב: בברירת מחדל כל העוגיות הלא-חיוניות צריכות להיות מכבויות עד לקבלת הסכמה מפורשת.
מה קורה אם אדם תובע אותי על הפרת פרטיות?
תיקון 13 מאפשר לאנשים לתבוע פיצוי של עד 10,000 שקל גם ללא הוכחת נזק ממשי. זה מנמיך משמעותית את הסף לתביעה ומקל על נושאי מידע להגן על זכויותיהם. בנוסף לפיצוי, ייתכנו גם הוצאות משפט ועלויות נוספות.
טיפים מעשיים להבטחת ציות לתיקון 13
מהניסיון שלי בעבודה עם ארגונים שונים, אני ממליץ על הצעדים הבאים:
- ערכו סקר ציות מקיף למיפוי כל תהליכי עיבוד המידע בארגון
- בדקו אם אתם עומדים בקריטריונים למינוי DPO ופעלו למינוי מתאים
- עדכנו את מדיניות הפרטיות ויישמו באנר עוגיות תקני באתר
- הקימו תהליכים לטיפול בבקשות עיון ותיקון מידע מצד לקוחות
- ערכו הדרכות עובדים בנושא הגנת פרטיות ודרישות החוק החדש
- תעדו את כל פעילויות עיבוד המידע ושמרו רישומים מפורטים
- בחנו את הצורך בביצוע הערכת השפעה על פרטיות (DPIA) לפעילויות מסוכנות
- וודאו שמערכות המידע שלכם כוללות אמצעי אבטחה נאותים והצפנה
הזדמנות לחיזוק האמון הדיגיטלי
כעיתונאי שעוקב אחר התפתחויות טכנולוגיות וחברתיות, אני רואה בתיקון 13 הזדמנות היסטורית לחזק את האמון הדיגיטלי בישראל. הרפורמה הזו אינה רק עדכון טכני של החוק, אלא שינוי תרבותי שמעמיד את זכויות הפרט במרכז.
בעידן שבו נתונים אישיים הפכו לנכס יקר ערך, ובו סיכונים לפרטיות גדלים מיום ליום, החוק החדש מספק מסגרת חיונית להגנה על הציבור. החברות שיצליחו להתאים עצמן לדרישות החדשות לא רק יימנעו מקנסות כבדים, אלא גם יזכו באמון הלקוחות ויבנו יתרון תחרותי ארוך טווח.
בתחום בניית האתרים, למשל, חברות כמו INFINES שמתמחות בבניית אתר wordpress מקצועיים צריכות כעת לוודא שכל אתר שהן בונות עומד בדרישות החדשות. זה כולל יישום באנר עוגיות תקני, מדיניות פרטיות מעודכנת, ומערכות אבטחה מתאימות. החברות שיובילו בתחום זה יהפכו לשותפות מועדפות עבור עסקים המחפשים פתרונות דיגיטליים תקניים.
הדרך קדימה ברורה: ארגונים שיפעלו בדחיפות להתאמה יהיו אלו שיצליחו לנווט בבטחה בנוף הרגולטורי החדש. אלו שיחכו עלולים למצוא עצמם מול קנסות כבדים ופגיעה במוניטין. הזמן לפעולה הוא עכשיו.
המאמר נכתב בעזרת AI
