תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, מהווה מהפכה אמיתית בעולם הגנת הפרטיות בישראל. אחרי יותר מ-40 שנה של חקיקה שלא התעדכנה, אנחנו עומדים בפני שינוי דרמטי שמשפיע על כל עסק וארגון בישראל. כמי שעוקב אחרי התפתחויות בתחום הדיגיטל, אני רואה שהתיקון הזה לא רק מביא אותנו לסטנדרטים בינלאומיים, אלא גם יוצר אתגרים חדשים לעסקים קטנים וגדולים כאחד. במאמר הזה אסביר לכם בדיוק איך התיקון משפיע על הדרך שבה אתם מנהלים מידע אישי, מה הדרישות החדשות, ואיך להיערך נכון כדי להימנע מקנסות כבדים.
רקע היסטורי: מחוק מיושן לרפורמה מקיפה
חוק הגנת הפרטיות המקורי משנת 1981 שימש אותנו יותר מ-40 שנה ללא עדכונים מהותיים. מהניסיון שלי בעבודה עם עסקים בתחום הדיגיטל, ראיתי איך החקיקה הישנה פשוט לא הייתה רלוונטית למציאות של עידן הנתונים הגדולים והבינה המלאכותית. בשנת 1996 נוסף פרק על הגנת מידע במאגרים ממוחשבים, אבל גם זה לא סיפק מענה לאתגרים המודרניים.
למה היה צורך בתיקון עכשיו?
הפער בין החקיקה הישנה למציאות הדיגיטלית המודרנית הפך לבלתי נסבל. אני רואה כל יום איך עסקים נאבקים עם שאלות שהחוק הישן פשוט לא התייחס אליהן: מה עושים עם כתובות IP? איך מטפלים בקוקיז? מה הסטטוס של נתוני מיקום? החקיקה הישנה הייתה מתאימה לעולם של תיקי נייר, לא לעולם של אתרים, אפליקציות ומסחר אלקטרוני.
השוואה לתקנות בינלאומיות
תיקון 13 מביא אותנו לקנה אחד עם ה-GDPR של האיחוד האירופי ותקנות מתקדמות אחרות. ישראל קיבלה הכרה על רמת ההגנה שלה מהנציבות האירופית, אבל היה ברור שצריך עדכון עקרוני. התהליך כלל דיונים אינטנסיביים בוועדת החוקה של הכנסת שנמשכו שנים, עם פנייה לעורכי דין, אנשי חברה אזרחית וייצוגים מהענף העסקי. (מקור רשמי: הנציבות האירופית)
הגדרות מורחבות: מה נחשב כעת מידע אישי
אחד השינויים הדרמטיים ביותר הוא הרחבת הגדרת “מידע אישי”. בעוד שהחוק הישן דיבר בעיקר על נתונים הנוגעים לתכונות אישיות או מצב בריאותי, התיקון מרחיב את ההגדרה לכל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. זה אומר שכתובות IP, קוקיז, ומזהים דיגיטליים אחרים שבעבר נחשבו “נתונים טכניים” כעת נחשבים מידע אישי מלא.
מה כולל מידע אישי לפי התיקון
ההגדרה החדשה כוללת כל נתון שמאפשר זיהוי של אדם במאמץ סביר, במישרין או בעקיפין. זה כולל:
- שמות ומספרי זהות (ברור)
- כתובות IP ומזהים מקוונים
- נתוני מיקום, גם לא מדויקים
- מזהים ביומטריים
- קוקיז וטכנולוגיות מעקב
- שילוב של נתונים המאפשר זיהוי עקיף
מהניסיון שלי עם לקוחות ב-סוכנות דיגיטל, אני רואה שהרחבה הזו משפיעה על כל אתר אינטרנט, כל אפליקציה, וכל מערכת דיגיטלית. אם אתם מנהלים אתר שאוסף כתובות IP (וזה כמעט כל אתר), אתם כעת מטפלים במידע אישי ויש לכם אחריות חוקית מלאה.
מידע במיוחד רגיש: קטגוריה מיוחדת
התיקון יוצר קטגוריה חדשה של “מידע במיוחד רגיש” שמחליפה את המונח “מידע רגיש” הישן. הקטגוריה הזו כוללת:
- נתונים גנטיים וביומטריים
- רישום פלילי
- מידע על השקפה מינית או דתית
- נתוני מיקום מדויקים
- הערכות אישיות של תכונות אישיות
- מידע על מצב כלכלי
- מידע הכפוף לחובת סודיות על פי דין
דרישות הסכמה והשקיפות החדשות
אני ממליץ לכל עסק לבחון מחדש את הדרך שבה הוא אוסף הסכמה. הרשות להגנת הפרטיות-משרד המשפטים פרסמה הנחיות ברורות: הסכמה משתמעת או שתיקה אינן מהוות הסכמה תקנית. כל הסכמה חייבת להיות מפורשת, חופשית, ומבוססת מידע. (מידע נוסף: הרשות להגנת הפרטיות)
איך לקבל הסכמה נכונה
מהעבודה שלי עם עסקים שונים, אני רואה שהשינוי הזה דורש התאמות מעשיות:
- אסור להשתמש בתיבות מסומנות מראש (pre-checked checkboxes)
- צריך הסכמה נפרדת לכל שימוש שונה של הנתונים
- המשתמש חייב לבצע פעולה אקטיבית כמו סימון תיבה
- צריך לאפשר משיכת הסכמה בקלות
- אסור להשתמש ב”דפוסי הונאה” (Dark Patterns) שמתעתעים במשתמשים
מה צריך לגלות לנושא המידע
כשאוספים מידע אישי, יש כעת חובה להודיע על:
- האם מסירת המידע היא חובה חוקית או תלויה בהסכמה
- התכליות הספציפיות לשימוש במידע
- אל מי יועבר הגישה למידע
- התוצאות של סירוב להעניק מידע
- זהות ופרטי הקשר של בעל השליטה במאגר
- זכויות הנושא למידע לגבי גישה ותיקון מידע
ההודעה חייבת להיות קריאה, נגישה, ובשפה פשוטה. לא עוד טקסטים משפטיים מורכבים שאף אחד לא מבין.
ממונה הגנת פרטיות (DPO): מתי חובה למנות
לא כל ארגון חייב למנות ממונה הגנת פרטיות, אבל הקריטריונים רחבים יותר ממה שרבים חושבים. מהניסיון שלי, אני רואה שהרבה עסקים לא מבינים אם הם נכנסים לקטגוריה הזו.
קריטריונים למינוי DPO
חובת מינוי DPO חלה על:
- גופים ציבוריים (ללא יוצא מן הכלל)
- גופים המנהלים מאגרי מידע שתכליתם העיקרית היא מסירת מידע לצדדים שלישיים
- ארגונים העוסקים בעיבוד נתונים רגישים בהיקף גדול
- ארגונים המבצעים מעקב שיטתי וקבוע של פרטים
“היקף גדול” נקבע לפי מספר הנושאים שהנתונים שלהם מעובדים, שיעורם באוכלוסייה, היקף וכמות הנתונים, מגוון סוגי הנתונים, משך ותדירות הפעולות, תקופת שמירת הנתונים, והאזור הגיאוגרפי.
תפקידי הממונה ודרישות הכישורים
ממונה הגנת פרטיות חייב להיות בעל:
- ידע מעמיק בדיני הגנת הפרטיות
- הבנה טובה בטכנולוגיה ובטחון מידע
- כישורים ניהוליים
- עצמאות מלאה בארגון
- גישה ישירה לניהול בכיר
חשוב להבין שהממונה לא יכול לשמש בתפקידים אחרים בעלי סמכויות החלטה, כדי למנוע ניגוד עניינים.
סמכויות אכיפה חדשות: קנסות ועונשים
זה החלק שהכי מדאיג עסקים, ובצדק. הרשות להגנת הפרטיות קיבלה סמכויות אכיפה משמעותיות שלא היו לה בעבר. אני רואה שהרשות כבר החלה להפעיל את הסמכויות החדשות, וחברות כבר קיבלו קנסות.
סוגי העונשים והקנסות
הרשות יכולה כעת:
- להוציא צווי הפסקה של הפרות
- להטיל עיצומים כספיים
- להוציא הנחיות מנהליות
- לבקש מבית משפט צו למחיקת מידע
- לפרסם שמות מפרים
- לערוך חקירות עם סמכויות דמויות משטרה
הקנסות נעים בין עשרות אלפי שקלים להפרות קטנות ועד עשרות מיליוני שקלים או 5% מהמחזור השנתי להפרות חמורות. הקנס נקבע לפי מספר נושאי המידע הנפגעים, סוג ההפרה, וגודל הארגון.
תביעות אזרחיות: זכות חדשה לפרטים
חידוש משמעותי הוא האפשרות לתביעות אזרחיות ללא הוכחת נזק. פרטים יכולים לתבוע פיצויים של עד 10,000 שקלים בגין כל הפרה ספציפית, גם אם לא הוכח נזק מעשי. בנוסף, אפשר להגיש תביעות ייצוגיות, ותקופת ההתיישנות הוארכה לשבע שנים.
| סוג ארגון | מינוי DPO | דרישות מיוחדות |
|---|---|---|
| עסק קטן (עד 50 עובדים) | לא חובה | מדיניות פרטיות בסיסית |
| חברה בינונית | תלוי בסוג הנתונים | ביקורת שנתית של נהלים |
| גוף ציבורי | חובה | דיווח לרשות הפרטיות |
| חברת טכנולוגיה גדולה | חובה | בדיקות חדירה כל 18 חודשים |
השפעה על עסקים: מקטנים ועד גדולים
מהעבודה שלי ב-INFINES עם עסקים מכל הגדלים, אני רואה שהתיקון משפיע על כולם, אבל בדרכים שונות. חשוב להבין שלא כל דרישה חלה על כל ארגון באותו אופן.
עסקים קטנים: מה באמת חובה
עסק קטן עם אתר בסיסי שאוסף רק פרטי קשר לא יידרש למנות DPO, אבל עדיין חייב:
- לעדכן מדיניות פרטיות
- לקבל הסכמה מפורשת
- להודיע על זכויות נושא המידע
- לנהל מסמכי הגדרות מאגר
- להבטיח אבטחת מידע בסיסית
אתרי אינטרנט ומסחר אלקטרוני
כל אתר שאוסף כתובות IP או משתמש בקוקיז חייב:
- להציג באנר עוגיות תקני
- לקבל הסכמה לפני איסוף נתונים
- לאפשר דחיית עוגיות לא חיוניות
- לעדכן מדיניות פרטיות בהתאם
- להטמיע מנגנוני אבטחה
אני ממליץ לכל בעל אתר לבדוק את האתר שלו עם מומחה, כי הפרות קטנות יכולות להוביל לקנסות משמעותיים.
מדריך מעשי לציות: צעדים קונקרטיים
מהניסיון שלי בליווי עסקים בהיערכות לתיקון 13, אני ממליץ על גישה שיטתית בשלושה שלבים עיקריים.
שלב 1: מיפוי וביקורת מידע
הצעד הראשון והחשוב ביותר הוא ביקורת כוללת של כל פעילויות עיבוד המידע:
- מיפוי כל מקורות המידע (מאיפה מגיעים הנתונים)
- קטגוריזציה של סוגי נתונים (רגילים או רגישים)
- זיהוי מקומות אחסון הנתונים
- קביעת מי יש גישה לנתונים
- בדיקת תקופות שמירה
- זיהוי העברות לצדדים שלישיים
שלב 2: עדכון מסמכים ונהלים
לאחר המיפוי, צריך לעדכן:
- מדיניות פרטיות של החברה
- הודעות לנושאי מידע
- טפסים לאיסוף מידע
- מסמכי הגדרות מאגר
- נהלי אבטחת מידע
- הסכמי עבודה עם עובדים
המדיניות החדשה חייבת לכלול את כל הדרישות של תיקון 13: קטגוריות המידע, תכליות עיבוד, מידע על קבלנים, זכויות נושא המידע, ותקופות אחסון.
שלב 3: הטמעה ומעקב
השלב האחרון כולל:
- הכשרת צוות על הדרישות החדשות
- הטמעת נהלי עבודה חדשים
- בדיקות תקופתיות של עמידה בדרישות
- עדכון שנתי של מסמכי הגדרות מאגר
- מעקב אחר שינויים בחקיקה
שאלות נפוצות
האם עסק קטן עם אתר אינטרנט חייב למנות ממונה הגנת פרטיות?
לא בהכרח. מינוי DPO חובה רק על גופים ציבוריים, ארגונים שעוסקים בעיבוד נתונים רגישים בהיקף גדול, או ארגונים המבצעים מעקב שיטתי. עסק קטן עם אתר בסיסי שאוסף רק פרטי קשר לא יידרש למנות DPO, אבל עדיין חייב לעמוד בכל שאר הדרישות.
מה קורה אם לא אעדכן את מדיניות הפרטיות באתר שלי?
אי עדכון מדיניות הפרטיות יכול להוביל לקנס מהרשות להגנת הפרטיות, ובנוסף פותח אפשרות לתביעות אזרחיות מצד משתמשים. הקנס יכול להגיע לעשרות אלפי שקלים, ותביעה אזרחית יכולה להגיע ל-10,000 שקלים לכל הפרה, גם ללא הוכחת נזק ממשי.
האם כתובות IP נחשבות כעת מידע אישי?
כן, לפי תיקון 13 כתובות IP נחשבות מידע אישי כיוון שהן מאפשרות זיהוי של אדם במאמץ סביר. זה אומר שכל אתר שאוסף כתובות IP (וזה כמעט כל אתר) חייב להודיע על כך במדיניות הפרטיות ולקבל הסכמה מתאימה.
איך אני יודע אם אני צריך לבצע בדיקות חדירה?
בדיקות חדירה נדרשות כל 18 חודשים לארגונים שמעבדים נתונים רגישים בהיקף גדול. זה כולל נתונים ביומטריים, גנטיים, נתוני מיקום מדויקים, או מידע רפואי. אם אתם לא בטוחים, כדאי להתייעץ עם יועץ הגנת פרטיות.
מה ההבדל בין הסכמה רגילה להסכמה מפורשת?
הסכמה מפורשת פירושה שהמשתמש חייב לבצע פעולה אקטיבית כמו סימון תיבה או לחיצה על כפתור. אסור להשתמש בתיבות מסומנות מראש או להניח שתיקה פירושה הסכמה. בנוסף, צריך הסכמה נפרדת לכל שימוש שונה של הנתונים.
כמה זמן יש לי להיערך לתיקון 13?
תיקון 13 כבר נכנס לתוקף באוגוסט 2025, כך שההיערכות צריכה להתבצע מיד. הרשות להגנת הפרטיות כבר החלה בפעולות אכיפה, ועיכובים נוספים עלולים להוביל לקנסות. מומלץ לבצע ביקורת מידע ולעדכן את כל המסמכים הנדרשים בהקדם.
טיפים מעשיים להיערכות
מהניסיון שלי בליווי עסקים בהיערכות לתיקון 13, אני ממליץ על הצעדים הבאים:
- בצעו ביקורת מידע מקיפה לפני כל דבר אחר-זה הבסיס להיערכות נכונה
- עדכנו את מדיניות הפרטיות באתר כך שתכלול את כל הדרישות החדשות
- החליפו כל תיבה מסומנת מראש בטפסים לתיבות שדורשות סימון אקטיבי
- הכינו מסמכי הגדרות מאגר מפורטים ועדכנו אותם לפחות אחת לשנה
- אם אתם עוסקים בנתונים רגישים, שקלו מינוי יועץ הגנת פרטיות חיצוני
- הקימו נהלי גיבוי ואבטחה חזקים, במיוחד לנתונים רגישים
- הכשירו את הצוות על הדרישות החדשות וחשיבות הגנת הפרטיות
המלצות לעתיד הקרוב
אני רואה שתיקון 13 הוא רק ההתחלה. בעשור הקרוב, הגנת הפרטיות תהפוך למרכיב מרכזי בכל עסק. הארגונים שיאמצו את הדרישות החדשות בצורה מסודרת ומקצועית יהנו מיתרון תחרותי משמעותי. הם לא רק יימנעו מקנסות וסנקציות, אלא גם יבנו אמון עם הלקוחות שלהם.
מהעבודה שלי ב-INFINES, אני רואה שעסקים שמשקיעים בהגנת פרטיות נכונה מקבלים תגובות חיוביות מהלקוחות. אנשים מעריכים שקיפות ואחריות בטיפול במידע האישי שלהם. זה לא רק עניין של עמידה בחוק, אלא גם של בניית מותג אמין ואחראי.
אני ממליץ לכל עסק, קטן כגדול, לראות בתיקון 13 הזדמנות ולא רק חובה. זו הזדמנות לבחון מחדש את הנהלים, לשפר את האבטחה, ולבנות יחסי אמון חזקים יותר עם הלקוחות. העסקים שיעשו זאת נכון יהיו המנצחים בעידן החדש של הגנת הפרטיות בישראל.
המאמר נכתב בעזרת AI
