חוק הגנת הפרטיות תיקון 13

מה שכל עסק, עצמאי ובעל תפקיד חייב לדעת

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, והוא נחשב לעדכון המשמעותי ביותר בתחום מזה עשרות שנים. אם אתה מנהל עסק, עצמאי, מעסיק עובדים, מפעיל אתר אינטרנט, מחזיק רשימות לקוחות או עובד עם מערכת CRM – התיקון הזה נוגע גם אליך.

מבחינה מעשית, השינוי הגדול הוא לא רק בניסוח החוק, אלא גם באכיפה. הרשות להגנת הפרטיות קיבלה סמכויות רחבות יותר לפיקוח, לביקורות, להטלת עיצומים כספיים ולנקיטת צעדים נגד מי שאינו עומד בדרישות החוק. לכן, מי שמנהל מידע אישי צריך להבין שהנושא כבר אינו שולי. הוא חלק בלתי נפרד מניהול תקין של העסק, ובמקרים רבים גם חלק מהותי מתהליכי ניהול מערכות מידע ובקרה בארגון.

הטעות הנפוצה ביותר: "אני עסק קטן, זה לא רלוונטי אליי". בפועל, גם רשימת לקוחות פשוטה באקסל, בטלפון או במערכת דיוור יכולה להיחשב מאגר מידע.

מה נחשב מאגר מידע?

מאגר מידע הוא אוסף של נתונים אישיים מזוהים, בכל פורמט. הרבה עסקים מחזיקים מאגרי מידע בלי להגדיר אותם כך, אבל מבחינת החוק ההגדרה רחבה מאוד.

רשימת לקוחות באקסל, ב-CRM או בטלפון הנייד
רשימת תפוצה לניוזלטר או לקבוצת WhatsApp עסקית
נתוני עובדים – תלושי שכר, חוזים, נוכחות ופרטי בנק
טפסי יצירת קשר באתר עם שם, טלפון או כתובת דוא"ל
מאגר ספקים ואנשי קשר עם פרטים אישיים

בשורה התחתונה: אם יש לך פרטים של אנשים, יש סיכוי גבוה מאוד שאתה מנהל מאגר מידע.

מה השתנה בתיקון 13?

1. הרשות להגנת הפרטיות הפכה לרגולטור עם סמכויות אכיפה משמעותיות

עד תיקון 13, רבים ראו בחוק הגנת הפרטיות מסגרת עקרונית בלבד. היום התמונה שונה. הרשות יכולה לבצע ביקורות, להוציא הוראות, להטיל עיצומים כספיים, ובמקרים מסוימים גם להביא לפרסום ההפרה ולניהול הליכים פליליים או אזרחיים.

סוג סנקציה	משמעות אפשרית
עיצומים כספיים	סכומים שיכולים להגיע למאות אלפי שקלים ואף יותר, בהתאם לסוג ההפרה ולהיקף המאגר
קנס לפי מספר נושאי מידע	בחלק מההפרות החוק קובע חישוב פר אדם במאגר
פיצוי אזרחי	במקרים מסוימים ניתן לתבוע גם ללא הוכחת נזק
אחריות פלילית	בנסיבות מסוימות החוק כולל גם עבירות פליליות
פגיעה תדמיתית	הליך אכיפה בתחום הפרטיות עלול ליצור גם נזק אמון ותדמית

2. חובת יידוע ברורה בזמן איסוף מידע

כל מי שאוסף מידע אישי צריך למסור לנושא המידע הודעה ברורה. ההודעה צריכה להסביר מי אוסף את המידע, לאיזו מטרה, האם יש חובה למסור אותו או שמסירתו תלויה ברצון האדם, למי המידע עשוי להימסר, ומהן זכויות העיון והתיקון שלו.

בפועל, זה אומר שחשוב לבדוק ולעדכן:

טפסי יצירת קשר באתר
טפסי הרשמה לדיוור
טפסים פרונטליים או דיגיטליים לאיסוף נתונים
מדיניות פרטיות באתר
נוסחי הסכמה לקבלת דיוור שיווקי

דוגמה לנוסח יידוע בסיסי:

"הפרטים שמסרת יישמרו במאגר המידע של [שם העסק] לצורך [מטרה]. מסירת המידע תלויה ברצונך, אלא אם צוין אחרת. עומדות לך זכויות עיון ותיקון לפי חוק הגנת הפרטיות, התשמ"א-1981."

3. זכות עיון, תיקון ובמקרים מסוימים גם מחיקה

מי שמידע אישי עליו מוחזק אצלך יכול לבקש לעיין בו, לבקש לתקן אותו, ובמקרים מסוימים גם לבקש למחוק אותו. לכן, לא מספיק "לשמור מידע". צריך גם לדעת היכן הוא נשמר, מי ניגש אליו, ואיך שולפים אותו במהירות כאשר מתקבלת בקשה.

כאן נכנס הקשר הישיר לעולמות של ניהול מערכות מידע: בלי מיפוי נכון של המערכות, הגדרת הרשאות, נהלים ותיעוד, קשה מאוד לעמוד בדרישות האלו בצורה מסודרת.

4. חובת דיווח על אירועי אבטחה מסוימים

כאשר מתרחש אירוע אבטחה משמעותי, במיוחד כזה שעלול לחשוף מידע אישי, עלולות לחול חובות דיווח לרשות להגנת הפרטיות, ובנסיבות מסוימות גם חובות פעולה מול נושאי המידע שנפגעו. לכן, כל עסק שמחזיק מידע צריך נוהל מסודר לטיפול באירוע אבטחה, ולא להסתפק רק בגיבוי טכני או בסיסמה למחשב.

5. רישום מאגרי מידע – פחות רישום, יותר אחריות מהותית

תיקון 13 צמצם משמעותית את מודל רישום המאגרים הישן. במקום החובה הרחבה שהייתה בעבר, נקבע מודל מצומצם יותר, ובמקרים מסוימים הוחלף הרישום בחובת הודעה לגבי מאגרים גדולים ורגישים. בעלי עסקים רבים כבר אינם צריכים לפעול במסלול הישן של רישום מאגר, אבל זה לא אומר שהם פטורים מהחובות המעשיות.

חשוב להבין: גם כאשר אין חובת רישום, עדיין חלות חובות של יידוע, אבטחת מידע, טיפול בבקשות עיון ותיקון, בקרה על ספקים חיצוניים וניהול תקין של מחזור חיי המידע.

חובות אבטחת מידע – מה נדרש בפועל?

לצד תיקון 13, עדיין חלות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. התקנות קובעות דרישות שונות בהתאם לרמת האבטחה של המאגר ולסוג המידע המוחזק בו.

שלושה מסמכים בסיסיים שכדאי לבחון כמעט בכל עסק שמחזיק מאגר מידע:

מסמך	מה הוא כולל
מסמך הגדרות מאגר	מהו המאגר, מה מטרתו, אילו סוגי מידע הוא כולל, מי מורשה לגשת אליו
נוהל אבטחת מידע	אופן ההגנה על המידע, חלוקת אחריות, הרשאות, אמצעי בקרה ושגרות עבודה
נוהל טיפול באירוע אבטחה	צעדים ברורים במקרה של דליפה, גניבה, חשיפה או כשל אבטחתי

לפי אופי המאגר ורמת הסיכון, יש לבחון גם נושאים כמו:

ניהול הרשאות גישה
בקרת משתמשים
גיבויים מאובטחים
פיקוח על ספקי ענן ו-CRM
תיעוד פעולות ושינויים
בדיקות תקופתיות ומדיניות סיסמאות

במילים אחרות, עמידה בדרישות החוק מחייבת לא רק נוסח משפטי, אלא גם תפעול נכון של תשתיות, הרשאות ותהליכי עבודה. זו בדיוק הנקודה שבה ניהול מערכת מידע מקצועי יכול לסייע למפות פערים, לנסח נהלים, לבקר הרשאות ולחבר בין דרישות החוק לבין מה שקורה בפועל בארגון.

מה נדרש ממך לפי סוג הפעילות

עצמאי או פרילנסר

גם אם אתה עובד לבד, עדיין ייתכן שאתה מחזיק מאגר מידע. אם יש לך לקוחות, לידים, טופס באתר או רשימת תפוצה, החוק רלוונטי.

עדכון מדיניות פרטיות באתר
הוספת נוסח יידוע בטפסים
הגדרה ברורה של מטרות השימוש במידע
בחינת משך שמירת המידע
בדיקה מי עוד נחשף למידע, למשל ספקי ענן או הנהלת חשבונות

עסק קטן או בינוני

מיפוי כל מאגרי המידע בעסק
בדיקה אילו טפסים, הסכמים ומדיניות צריכים עדכון
הכנת מסמכי אבטחת מידע בסיסיים
הגדרת אחריות פנימית לנושא
בדיקת ספקים שמעבדים מידע מטעמך

מעסיקים

מאגר עובדים כולל לעיתים מידע רגיש במיוחד: פרטי זיהוי, שכר, חשבון בנק, נתוני נוכחות ולעיתים גם מידע רפואי או משפחתי.

לוודא שהעובדים יודעים איזה מידע נאסף ולשם מה
להגביל גישה לנתוני שכר ומשאבי אנוש
לקבוע מדיניות ברורה לשמירת מידע לאחר סיום העסקה
לבדוק הרשאות גישה במערכות שכר, נוכחות ומשאבי אנוש

שאלות שלקוחות שואלים אותנו

האם אני חייב לרשום את מאגר המידע שלי?

לא תמיד. תיקון 13 צמצם משמעותית את חובת הרישום הישנה. עם זאת, גם אם אינך נדרש לרישום, עדיין חלות עליך חובות מהותיות בנוגע לאיסוף, אבטחה, יידוע, ניהול גישה וטיפול בבקשות של נושאי מידע.

קיבלתי בקשה למחוק מידע. מה עושים?

תחילה בדוק האם קיימת חובה חוקית אחרת לשמור את המידע, למשל לצורכי מס, הנהלת חשבונות, הגנה משפטית או יחסי עבודה. אם אין חובה כזו, יש לבחון את הבקשה ברצינות ולטפל בה בזמן סביר, לפי הנהל הפנימי ובהתאם להוראות הדין.

יש לי ניוזלטר או קבוצת WhatsApp עסקית. מה נדרש?

צריך לוודא שהאדם מודע לכך שמידע עליו נשמר לצורכי דיוור, ושהשימוש במידע נעשה כדין. בנוסף, חשוב לאפשר הסרה נוחה מהרשימה ולעדכן את הנוסחים בטפסי ההרשמה.

אני עובד עם ספק ענן או מערכת CRM חיצונית. מי אחראי?

ברוב המקרים אתה נשאר הגורם האחראי כלפי הלקוח או נושא המידע. הספק החיצוני הוא גורם שמעבד או מחזיק את המידע עבורך, ולכן חשוב לבדוק גם את ההסכם איתו, את רמת האבטחה, את מיקום המידע ואת ההרשאות בפועל.

ממתי האכיפה החלה?

האכיפה בהתאם לתיקון 13 החלה עם כניסתו לתוקף באוגוסט 2025. אם תחכה עד שיגיע מכתב, תלונה או אירוע אבטחה, ייתכן שתגלה שהיערכות מאוחרת יקרה ומסובכת הרבה יותר.

רשימת בדיקה – האם העסק שלך מוכן?

אפשר לעבור על הסעיפים הבאים. כל תשובת "לא" מצביעה על נושא שכדאי לטפל בו:

מאגרי מידע

מיפיתי את כל מאגרי המידע בעסק – לקוחות, עובדים, דיוור, טפסים, ספקים
בדקתי מהו הבסיס החוקי לשמירת המידע
לכל מאגר יש הגדרה מסודרת של מטרה, סוגי מידע והרשאות גישה

יידוע ומדיניות פרטיות

מדיניות הפרטיות באתר מעודכנת
כל טופס איסוף מידע כולל נוסח יידוע מתאים
יש מנגנון הסרה נוח מרשימות דיוור
הסכמי התקשרות עודכנו במידת הצורך

אבטחת מידע

יש מסמך הגדרות מאגר
קיים נוהל אבטחת מידע כתוב
יש לך נוהל טיפול באירוע אבטחה
הגישה למידע רגיש מוגבלת לפי תפקיד
קיימים גיבויים ואמצעי בקרה

ספקים וצדדים שלישיים

אני יודע אילו ספקים מחזיקים במידע שלי
בדקתי את ההסכמים שלי מול ספקי CRM, ענן, דיוור וספקי תוכנה
יש בקרה על ההרשאות שניתנו לספקים ולמשתמשים

לסיכום

תיקון 13 לחוק הגנת הפרטיות מסמן שינוי אמיתי. פרטיות כבר אינה רק ניסוח למדיניות אתר, אלא חלק מניהול העסק, מניהול הסיכונים ומהדרך שבה ארגון מחזיק, מעבד ומגן על מידע אישי.

מי שפועל נכון לא רק מצמצם חשיפה משפטית ורגולטורית, אלא גם מחזק את אמון הלקוחות, העובדים והשותפים העסקיים. ברוב המקרים, ההיערכות הנכונה מתחילה ממיפוי מסודר של מאגרי המידע, הבנת הזרימה של הנתונים בארגון, ובחינה מקצועית של הנהלים, ההרשאות והמערכות.

אם אתה רוצה לבדוק האם הארגון שלך ערוך לדרישות החוק, לבחון פערים תפעוליים או לחזק תהליכי ניהול מערכות מידע בארגון, זה הזמן לבצע בדיקה מסודרת ולא לחכות לאירוע אבטחה או לפנייה מהרשות.

הבהרה: מסמך זה מיועד למידע כללי בלבד ואינו מהווה ייעוץ משפטי. לייעוץ משפטי פרטני בתחום הגנת הפרטיות, פנו לעורך דין מוסמך.

מה שכל עסק, עצמאי ובעל תפקיד חייב לדעת

מה נחשב מאגר מידע?

מה השתנה בתיקון 13?

1. הרשות להגנת הפרטיות הפכה לרגולטור עם סמכויות אכיפה משמעותיות

2. חובת יידוע ברורה בזמן איסוף מידע

3. זכות עיון, תיקון ובמקרים מסוימים גם מחיקה

4. חובת דיווח על אירועי אבטחה מסוימים

5. רישום מאגרי מידע – פחות רישום, יותר אחריות מהותית

חובות אבטחת מידע – מה נדרש בפועל?

מה נדרש ממך לפי סוג הפעילות

עצמאי או פרילנסר

עסק קטן או בינוני

מעסיקים

שאלות שלקוחות שואלים אותנו

האם אני חייב לרשום את מאגר המידע שלי?

קיבלתי בקשה למחוק מידע. מה עושים?

יש לי ניוזלטר או קבוצת WhatsApp עסקית. מה נדרש?

אני עובד עם ספק ענן או מערכת CRM חיצונית. מי אחראי?

ממתי האכיפה החלה?

רשימת בדיקה – האם העסק שלך מוכן?

מאגרי מידע

יידוע ומדיניות פרטיות

אבטחת מידע

ספקים וצדדים שלישיים

לסיכום

מקורות רשמיים מומלצים

ליצירת קשר נא למלא את הטופס ונחזור אליכם בהקדם

מה שכל עסק, עצמאי ובעל תפקיד חייב לדעת

מה נחשב מאגר מידע?

מה השתנה בתיקון 13?

1. הרשות להגנת הפרטיות הפכה לרגולטור עם סמכויות אכיפה משמעותיות

2. חובת יידוע ברורה בזמן איסוף מידע

3. זכות עיון, תיקון ובמקרים מסוימים גם מחיקה

4. חובת דיווח על אירועי אבטחה מסוימים

5. רישום מאגרי מידע – פחות רישום, יותר אחריות מהותית

חובות אבטחת מידע – מה נדרש בפועל?

מה נדרש ממך לפי סוג הפעילות

עצמאי או פרילנסר

עסק קטן או בינוני

מעסיקים

שאלות שלקוחות שואלים אותנו

האם אני חייב לרשום את מאגר המידע שלי?

קיבלתי בקשה למחוק מידע. מה עושים?

יש לי ניוזלטר או קבוצת WhatsApp עסקית. מה נדרש?

אני עובד עם ספק ענן או מערכת CRM חיצונית. מי אחראי?

ממתי האכיפה החלה?

רשימת בדיקה – האם העסק שלך מוכן?

מאגרי מידע

יידוע ומדיניות פרטיות

אבטחת מידע

ספקים וצדדים שלישיים

לסיכום

מקורות רשמיים מומלצים

ליצירת קשר נא למלא את הטופס ונחזור אליכם בהקדם

מאמרים מומלצים