ב-14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, המהווה את הרפורמה המקיפה ביותר בדיני הפרטיות בישראל מאז 1981. התיקון מטיל דרישות חדשות וקפדניות על כל ארגון המעבד מידע אישי, עם קנסות שיכולים להגיע למיליוני שקלים. (קישור לנוסח הרשמי של החוק: נוסח חוק הגנת הפרטיות תיקון 13) אני רוני ברק, ובמאמר זה אני אציג לכם מדריך מעשי וצעד אחר צעד ליישום התיקון בחברה שלכם, תוך הסתמכות על הניסיון שצברתי בליווי עסקים בתהליך ההתאמה המורכב הזה.
הבנת היסודות: מה זה תיקון 13 ומדוע הוא קריטי לעסק שלכם
מהעבודה שלי עם עשרות חברות בתהליך ההתאמה, הגעתי למסקנה שהבנת היסודות היא הצעד הראשון והחשוב ביותר. תיקון 13 אינו רק עדכון טכני קטן, אלא מהפכה רגולטורית שמשנה לחלוטין את הדרך שבה עסקים מתייחסים למידע אישי.
השינויים המרכזיים שהתיקון מביא כוללים דרישה להסכמה מפורשת במקום ברירת מחדל, זכויות חדשות לאזרחים כמו הזכות להישכח, וחובות אבטחה מוגברות. הקנסות החדשים יכולים להגיע לעד 5% מההכנסות השנתיות או מיליוני שקלים, בנוסף לאפשרות של אזרחים להגיש תביעות עם פיצויים של עד 100,000 שקלים ללא צורך להוכיח נזק.
השינויים המרכזיים בחוק
התיקון מביא שינויים מהותיים בכמה תחומים עיקריים. ראשית, עקרון ההסכמה המפורשת-כל checkbox בטפסים חייב להיות לא מסומן מראש, והמשתמש חייב לסמן אותו בפעולה מודעת. שנית, זכויות חדשות לאזרחים כולל זכות גישה למידע, זכות תיקון, זכות מחיקה, זכות ניידות מידע וזכות הסרה מדיוור.
שלישית, חובות אבטחה מוגברות הכוללות הצפנה, ניהול סיסמאות, בקרת גישה ותיעוד מלא של כל הפעולות. רביעית, דרישות תיעוד מפורטות של כל מאגר מידע ומטרת השימוש בו.
על מי חל החוק
אני רוצה להדגיש נקודה שחשובה מאוד מהניסיון שלי: החוק חל על כל ארגון שמחזיק במאגר מידע אישי, ללא קשר לגודלו. זה כולל עסקים קטנים עם 3 עובדים, משרדי עורכי דין, רופאים, חברות הייטק, עמותות וכמובן תאגידים גדולים.
ההבחנה היחידה היא ברמת הדרישות-עסק קטן לא יצטרך למנות ממונה על הגנת הפרטיות אלא אם הוא עוסק במידע רגיש מיוחד, אבל הוא עדיין חייב לעמוד בכל שאר הדרישות.
שלב ראשון: ביצוע הערכת מצב מקיפה בארגון
הצעד הראשון שאני ממליץ לכל חברה הוא ביצוע מיפוי מלא של כל מאגרי המידע. מהניסיון שלי, חברות מגלות לעתים קרובות שיש להן הרבה יותר מאגרי מידע ממה שהן חשבו בהתחלה.
מיפוי מאגרי מידע
התהליך צריך לכלול זיהוי של כל מקום שבו מאוחסן מידע אישי-מערכות CRM, גיליונות אקסל, מאגרי עובדים, רשימות דיוור, מערכות גיבוי, ואפילו מאגרים “נסתרים” בשרתי legacy או במחשבים אישיים של עובדים.
לכל מאגר יש לתעד: איזה סוג מידע מאוחסן בו, מי יכול לגשת אליו, למה מטרה המידע נאסף, כמה זמן הוא נשמר, ואיזה אמצעי אבטחה קיימים. זה תהליך שיכול לקחת מספר שבועות בחברות גדולות.
סיווג רמות הרגישות
חלק חשוב מהתהליך הוא הבחנה בין מידע רגיל למידע בעל רגישות מיוחדת. מידע רגיש מיוחד כולל מידע רפואי, דעות פוליטיות, אמונות דתיות, מידע ביומטרי, נתוני מיקום ופרטי שכר.
המאגרים המכילים מידע רגיש מיוחד דורשים רמת אבטחה גבוהה יותר, כולל סקרי סיכונים ובדיקות חדירה תקופתיות.
שלב שני: מינוי ממונה על הגנת הפרטיות (DPO)
לא כל חברה חייבת למנות סוכנות דיגיטל ממונה על הגנת הפרטיות, אבל הקריטריונים רחבים יותר ממה שרבים חושבים. מהעבודה שלי עם לקוחות, אני רואה שחברות רבות מגלות שהן כן חייבות במינוי.
מתי חובה למנות DPO
החובה חלה על גופים ציבוריים, ספקי שירותים לגופים ציבוריים, חברות המסחרות במידע עם מעל 10,000 רשומות, וארגונים שעיסוקם העיקרי כרוך בעיבוד מידע רגיש או ניטור שיטתי.
בנקים, חברות ביטוח, בתי חולים וקופות חולים חייבים במינוי DPO ללא ספק. גם אם החברה שלכם לא מחויבת פורמלית, מינוי DPO הוא best practice מומלץ.
דרישות מהממונה
ה-DPO חייב להיות עצמאי לחלוטין ולא יכול להיות תחת פיקוח של אדם בעל ניגוד עניינים. לכן, ממונה אבטחת מידע לא יכול להתמנות כ-DPO.
ל-DPO חייבת להיות גישה ישירה להנהלה העליונה, ידע מעמיק בחוקי הגנת הפרטיות, והוא צריך לשמש כאיש קשר עם הרשות להגנת הפרטיות.
שלב שלישי: ניהול מאגרי מידע ורמות אבטחה
אחד הדברים המורכבים ביותר בתיקון 13 הוא סיווג המאגרים לפי רמות אבטחה. מהניסיון שלי, זה התחום שבו חברות עושות הכי הרבה טעויות.
שלוש רמות האבטחה
רמת אבטחה בסיסית חלה על מאגרים המנוהלים על ידי יחיד עם עד 3 הרשאות גישה. הדרישות כוללות הצפנה בסיסית, סיסמאות חזקות וגיבויים.
רמת אבטחה בינונית חלה על מאגרים עם יותר מ-3 הרשאות גישה, ללא מידע רגיש מיוחד. כאן נדרש ניהול הרשאות מתקדם בנוסף לדרישות הבסיסיות.
רמת אבטחה גבוהה חלה על מאגרים עם מידע רגיש מיוחד או ניטור שיטתי. כאן נדרשים סקרי סיכונים ובדיקות חדירה תקופתיות.
תיעוד מאגרי המידע
לכל מאגר מידע חייב להיות מסמך הגדרות מאגר מפורט. המסמך צריך לכלול את מטרת האיסוף, סוגי המידע, זמני שמירה, אמצעי אבטחה ורשימת בעלי הגישה.
זה תהליך שדורש שיתוף פעולה בין מחלקות שונות בחברה-IT, משפטי, שיווק ומשאבי אנוש.
שלב רביעי: עדכון מדיניות הפרטיות
מדיניות הפרטיות היא החוזה בינכם לבין הלקוחות. אני רואה הרבה חברות שמעתיקות מדיניות גנרית מהאינטרנט, אבל זה כבר לא עובד תחת תיקון 13.
רכיבי מדיניות פרטיות חוקית
המדיניות חייבת להיות ספציפית לפעילות שלכם ולכלול מידע ברור על סוגי המידע שנאסף, מטרות האיסוף, מי הוא בעל השליטה במאגר, ומי הם המעבדים החיצוניים.
חשוב לכתוב בשפה פשוטה ובהירה, לא בז’רגון משפטי מסובך. הלקוח הרגיל צריך להבין מה קורה עם המידע שלו.
זכויות נושאי המידע
המדיניות חייבת לפרט את חמש הזכויות העיקריות: זכות גישה למידע, זכות תיקון מידע שגוי, זכות מחיקה, זכות ניידות מידע וזכות הסרה מדיוור.
לכל זכות יש להסביר איך הלקוח יכול לממש אותה, תוך כמה זמן תטופל הבקשה, ומה התהליך המדויק.
שלב חמישי: הטמעת הסכמות חוקיות בטפסים
זה אחד השינויים הגדולים ביותר שתיקון 13 מביא. מהעבודה שלי עם לקוחות, אני רואה שזה התחום שדורש הכי הרבה עבודה טכנית.
עקרון ההסכמה המפורשת
כל checkbox בטפסים חייב להיות לא מסומן מראש. המשתמש חייב לסמן אותו בפעולה מודעת ומכוונת. זה נקרא opt-in מפורש, ולא opt-out.
אם יש לכם טופס שמשמש למספר מטרות-למשל יצירת קשר והרשמה לניוזלטר-צריכים להיות שני checkboxes נפרדים.
ניהול תיעוד הסכמות
כל הסכמה שקיבלתם חייבת להישמר בתיעוד דיגיטלי. אם מישהו יבקש בעתיד לדעת מתי הוא נתן הסכמה, או אם הרשות תשאל, אתם חייבים להיות מסוגלים להפיק הוכחה.
אני ממליץ לשמור את התאריך, השעה, כתובת ה-IP ותוכן ההסכמה המדויק שהמשתמש ראה.
שלב שישי: חיזוק אבטחת המידע והגנה טכנולוגית
אבטחת המידע היא הרכיב הטכנולוגי הקריטי של תיקון 13. מהניסיון שלי, זה התחום שבו חברות רבות מגלות שהן צריכות להשקיע משמעותית.
דרישות אבטחה בסיסיות
כל אתר או מערכת שמטפלת במידע אישי חייבת להיות מוצפנת עם HTTPS. כל סיסמה צריכה להיות חזקה-לפחות 9 תווים עם שילוב של אותיות גדולות וקטנות, מספרים וסמלים.
כשעובד עוזב את החברה, יש צורך מיידי למחוק את הרשאות הגישה שלו. כל תוסף או כלי שמשתמשים בו צריך להיות עדכני ומאובטח.
אבטחה מתקדמת לארגונים גדולים
ארגונים המטפלים במידע רגיש מיוחד חייבים לערוך סקרי סיכונים שנתיים ובדיקות חדירה תקופתיות. זה כולל שכירת “האקר אתי” שינסה לפרוץ למערכות כדי לזהות נקודות חולשה.
גיבויים חייבים להיות מאוחסנים במיקום נפרד מהמערכות הראשיות, כך שאם קורה אסון במיקום אחד, הנתונים לא אובדים.
שלב שביעי: הכשרת עובדים והטמעת תרבות פרטיות
אחת הטעויות הנפוצות שאני רואה היא להניח שתיקון 13 הוא רק עניין של IT ומשפטים. בפועל, כל עובד שנוגע במידע אישי חייב להיות מודע לאחריות שלו.
תוכן ההכשרה הנדרש
כל עובד צריך להבין מהם נתונים רגישים, איך לטפל בהם בצורה בטוחה, מה לעשות אם הוא מגלה בעיה, ואיך לזהות ניסיונות פישינג או התקפות סייבר.
ההכשרה צריכה להיות מותאמת לתפקיד-עובד שיווק צריך להבין דברים אחרים מעובד IT או מנהל כספים.
בניית תרבות ציות
חשוב ליצור סביבה שבה עובדים לא חוששים לדווח על בעיות. אם עובד מגלה שמישהו שלח מידע רגיש לכתובת מייל שגויה, הוא צריך לדעת שיכול לדווח על זה בלי לחשוש מביקורת.
אני ממליץ על הכשרות חוזרות לפחות פעם בשנה, כי הנושא מתפתח ומשתנה כל הזמן.
שלב שמיני: הקמת מערך טיפול בבקשות אזרחים
עם הזכויות החדשות שתיקון 13 נותן לאזרחים, אתם הולכים לקבל בקשות. מהניסיון שלי, הכי נפוצות הן בקשות למחיקת מידע.
סוגי הבקשות השכיחות
הבקשה הכי נפוצה היא “מחקו אותי מהמערכת”. לקוח שלא רוצה יותר לקבל דיוור או שפשוט רוצה שהמידע שלו לא יהיה אצלכם.
בקשות אחרות כוללות תיקון מידע שגוי, קבלת עותק של כל המידע שיש עליו, או העברת המידע לחברה אחרת.
תהליך המחיקה המלא
מחיקה חייבת להיות מלאה-מכל המערכות, כולל CRM, רשימות דיוור, גיבויים ואפילו פיקסלי מעקב. זה לא מספיק למחוק רק מרשימת הדיוור.
יש לתעד את כל תהליך המחיקה-מתי בוצע, מאילו מערכות, כמה רשומות נמחקו. זה חשוב למקרה של ביקורת עתידית.
שלב תשיעי: הכנה לאירועי אבטחה ודיווח לרשות
אירועי אבטחה יכולים לקרות לכל חברה, ותיקון 13 מחייב היערכות מראש. אני ממליץ לכל חברה להכין תכנית תגובה ברורה.
זיהוי אירועי אבטחה חמורים
לא כל תקלה טכנית דורשת דיווח, אבל פריצה למערכת עם גישה לנתונים רגישים כן. אירוע שבו נתונים של יותר מ-100,000 אנשים נחשפים חייב להיות מדווח לרשות.
חשוב להגדיר מראש מה נחשב אירוע חמור, מי אחראי על הטיפול, ומה השלבים שצריך לבצע.
לוחות זמנים לדיווח
אם קורה אירוע חמור, יש חובה לדווח לרשות תוך 72 שעות מגילוי האירוע. אם האירוע עלול לפגוע באנשים, יש גם חובה להודיע להם בזמן סביר.
זה אומר שצריך להיות מוכנים מראש עם נהלים ברורים ואנשי קשר זמינים.
שלב עשירי: ביקורות תקופתיות ושמירה על עמידה מתמשכת
תיקון 13 הוא לא פרויקט חד-פעמי. זה תהליך מתמשך שדורש מעקב ועדכון שוטף.
תדירות הביקורות הנדרשת
אני ממליץ על ביקורת מלאה לפחות פעם בשנה לחברות קטנות, ורבעונית לחברות גדולות. הביקורת צריכה לכלול בדיקה של מדיניות הפרטיות, טפסים, הרשאות גישה ומערכות אבטחה.
כל שינוי משמעותי בפעילות החברה-מוצר חדש, מערכת חדשה, שיתוף פעולה עם ספק חדש-דורש בדיקה נוספת.
מעקב אחר עדכוני רגולציה
הרשות להגנת הפרטיות מפרסמת מדי פעם הנחיות חדשות ופרשנויות של החוק. חשוב להישאר מעודכנים, במיוחד בשנים הראשונות של יישום החוק. (מקור רשמי לעדכונים: הנחיות הרשות להגנת הפרטיות)
אני ממליץ להירשם לעדכונים מהרשות ולעקוב אחר פסיקות משפטיות רלוונטיות.
השוואת רמות אבטחת מאגרי מידע
הטבלה הבאה מסכמת את שלוש רמות האבטחה השונות ואת הדרישות הספציפיות לכל רמה, כדי לעזור לכם לקבוע איזו רמה חלה על המאגרים שלכם.
| רמת אבטחה | קריטריונים | דרישות עיקריות |
|---|---|---|
| בסיסית | מאגר המנוהל על ידי יחיד עם עד 3 הרשאות גישה | הצפנה בסיסית, סיסמאות חזקות, גיבויים |
| בינונית | מאגר עם יותר מ-3 הרשאות גישה, ללא מידע רגיש מיוחד | כל הדרישות הבסיסיות + ניהול הרשאות מתקדם |
| גבוהה | מאגר עם מידע רגיש מיוחד או ניטור שיטתי | כל הדרישות הקודמות + סקר סיכונים + בדיקות חדירה |
שאלות נפוצות על יישום תיקון 13
האם עסק קטן עם פחות מ-10 עובדים חייב לעמוד בכל דרישות תיקון 13?
כן, תיקון 13 חל על כל ארגון המחזיק במאגר מידע אישי, ללא קשר לגודלו. עם זאת, הדרישות מותאמות לגודל הארגון-עסק קטן לא יצטרך למנות DPO אלא אם הוא עוסק במידע רגיש מיוחד או בניטור שיטתי.
מה קורה אם לא אעמוד בדרישות החוק עד התאריך הנדרש?
הרשות להגנת הפרטיות יכולה להטיל קנסות של עד 5% מההכנסות השנתיות או עד מיליוני שקלים, בנוסף לצווי הפסקת עיבוד מידע. כמו כן, אזרחים יכולים להגיש תביעות אזרחיות עם פיצויים של עד 100,000 שקלים ללא צורך להוכיח נזק.
האם אני חייב למחוק מידע של לקוח שביקש זאת גם אם יש לי צורך חוקי לשמור אותו?
לא תמיד. יש חריגים למחיקה כאשר קיימת חובה חוקית לשמור את המידע, כמו דרישות רשויות המס, אך יש לבחון כל מקרה בנפרד ולהסביר ללקוח מדוע לא ניתן למחוק את המידע במלואו. מומלץ להתייעץ עם יועץ משפטי במקרים כאלה.
איך אני יודע אם אני צריך למנות ממונה על הגנת הפרטיות?
חובת מינוי DPO חלה על גופים ציבוריים, ספקי שירותים לגופים ציבוריים, חברות המסחרות במידע עם מעל 10,000 רשומות, וארגונים שעיסוקם העיקרי כרוך בעיבוד מידע רגיש או ניטור שיטתי.
מה ההבדל בין תיקון 13 לבין GDPR האירופי?
תיקון 13 מבוסס על GDPR אך מותאם למציאות הישראלית. ההבדלים העיקריים כוללים דגש מוגבר על אבטחת סייבר, הגדרות שונות למידע רגיש, ומבנה קנסות שונה. בנוסף, יש הבדלים בדרישות DPO ובהגדרת זכויות נושאי המידע.
כמה זמן לוקח בממוצע להתאים ארגון לדרישות תיקון 13?
התהליך משתנה בהתאם לגודל הארגון ומורכבותו. עסק קטן יכול להשלים את ההתאמה תוך 2-3 חודשים, בעוד שארגון גדול עם מאגרי מידע מורכבים עלול להזדקק ל-6-12 חודשים. החשוב הוא להתחיל בהקדם ולהתקדם בשלבים.
טיפים מעשיים ליישום מוצלח
מהניסיון שלי בליווי עשרות חברות בתהליך ההתאמה, אני רוצה לחלוק איתכם כמה טיפים שיכולים לחסוך לכם זמן וכסף:
- התחילו מהמאגרים הגדולים והחשובים ביותר-אל תנסו לטפל בהכל בבת אחת
- תעדו כל שלב בתהליך ההתאמה-התיעוד יעזור לכם בביקורות עתידיות ובמקרה של פנייה מהרשות
- השקיעו בהכשרת עובדים-רוב ההפרות נגרמות מטעויות אנוש, לא מכשלים טכניים
- בדקו את כל הטפסים באתר שלכם ווודאו שיש בהם checkbox לא מסומן מראש עבור כל שימוש במידע
- הקימו תהליך ברור לטיפול בבקשות מחיקה-זה אחד הנושאים הכי נפוצים שתתמודדו איתם
- עדכנו את מדיניות הפרטיות לפחות פעם בשנה או כאשר משנים תהליכים עסקיים
- שמרו גיבויים מוצפנים במיקום נפרד מהמערכות הראשיות
- צרו קשר עם יועץ משפטי מומחה בתחום הגנת הפרטיות לפחות לבדיקה ראשונית
סיכום: הדרך קדימה בעידן הפרטיות החדש
תיקון 13 לחוק הגנת הפרטיות מהווה שינוי פרדיגמה בדרך שבה עסקים בישראל מתייחסים למידע אישי. מהניסיון שלי בליווי חברות בתהליך ההתאמה, אני יכול לומר שזהו אתגר משמעותי, אבל גם הזדמנות ליצור יתרון תחרותי.
חברות שמבינות את החשיבות של הגנת הפרטיות כערך אסטרטגי, ולא רק כדרישה חוקית, יוכלו לבנות אמון עמוק עם לקוחותיהן. בעידן שבו צרכנים מודעים יותר מתמיד לחשיבות הפרטיות, עמידה בתיקון 13 יכולה להפוך למקור יתרון משמעותי.
הדרך קדימה דורשת מחויבות ארוכת טווח, השקעה בטכנולוגיה ובהכשרת עובדים, ומעקב שוטף אחר שינויים ברגולציה. אבל החברות שיעשו זאת נכון יגלו שהן לא רק עומדות בחוק, אלא גם בונות בסיס חזק לצמיחה עתידית בעולם דיגיטלי מאובטח ואחראי.
אני ממליץ לכל חברה להתחיל בתהליך ההתאמה בהקדם, לא לחכות עד הרגע האחרון. ככל שתתחילו מוקדם יותר, כך תוכלו לבצע את השינויים בצורה מדורגת ומבוקרת, במקום בלחץ ובחיפזון.
זכרו-תיקון 13 הוא לא רק חוק שצריך לעמוד בו, אלא הזדמנות לבנות עסק טוב יותר, אמין יותר ומוכן יותר לעתיד.
המאמר נכתב בעזרת AI
