"אני עסק קטן. יש לי חמישה עובדים, רשימת לקוחות באקסל, ואתר פשוט מ־Wix. האם באמת חוק הגנת הפרטיות מתייחס אליי?" את השאלה הזו אנחנו שומעים מדי שבוע. הצורה שבה אנחנו עונים לא תמיד פופולרית, אבל היא אמת: כן, רוב חוק הגנת הפרטיות חל גם עליך – אם כי במתכונת מצומצמת יותר מאשר על חברות גדולות. החדשות הטובות הן שלעסק קטן, התאמה לחוק היא לא פרויקט של חצי שנה. ב־30 יום עם תוכנית מסודרת אפשר להיכנס למסלול מסודר שמגן עליך מקנסות, מתביעות, ובעיקר – מפגיעה במוניטין.
המיתוס: "אני קטן מדי בשביל שיעניין מישהו"
זה המיתוס הכי מסוכן, והוא שגוי בכל השכבות. רשות הגנת הפרטיות לא מחפשת רק את החברות הגדולות. היא פועלת גם על בסיס תלונות – ותלונה של לקוח זועם שקיבל דיוור ללא הסכמה, או שדרש זכות עיון ולא נענה, תגיע לרשות בלי תלות בגודל העסק. בפועל, עסקים קטנים הם לעיתים חשופים יותר: אין בהם מנגנון פנימי שיתפוס את הבעיה בזמן, אין מדיניות כתובה, ואין מי שעונה לפנייה.
מקרה אמיתי
עסק סלון יופי עם 4 עובדות קיבל ב־2025 התראה של רשות הגנת הפרטיות אחרי תלונה של לקוחה שקיבלה SMS פרסומי שנה אחרי שביקשה להסיר את עצמה. העיצום שהוטל: 40,000 ₪ + חובת פרסום הנוהל המתוקן באתר. העסק הזה היה פטור מ־DPO – אבל לא מחובת ההסרה.
מה באמת חל עליי כעסק קטן?
החוק מבחין בין מי שחייב DPO (גופים גדולים, או כאלה שמעבדים מידע בהיקף רחב / רגיש) לבין כלל העסקים. אם אין לך חובת DPO, אתה עדיין כפוף לחובות הבסיס:
- רישום מאגר מידע – אם יש לך מאגר של מעל 10,000 אנשים, או מידע רגיש, או אתה משתמש במידע לשיווק ישיר, רוב הסיכויים שאתה חייב להירשם ברשות הגנת הפרטיות.
- מדיניות פרטיות באתר – חובה, בלי קשר לגודל. היא צריכה להיות ברורה, כתובה בעברית, ולהסביר איזה מידע נאסף, למה, ומה הזכויות של הגולש.
- הסכמה מושכלת – לפני שאתה אוסף מידע (כולל הרשמה לרשימת תפוצה), חובה לקבל הסכמה מפורשת. "Opt-in" – לא סימון מראש של תיבת הסכמה.
- זכות עיון ומחיקה – חובה לענות לפניות של לקוחות תוך 30 יום.
- אבטחת מידע סבירה – התקנת סיסמאות, גיבויים, הגבלת גישה, הצפנה בסיסית. אין דרישה לרמה ארגונית – אבל מצב של "כולם רואים את הכל" לא יעבור.
- הודעה על אירועי אבטחה חמורים – גם לעסק קטן, אם פרצה חשפה מידע של מעל 1,000 לקוחות או מידע רגיש, חובה לדווח לרשות.
מה לא חל עליי (כנראה)?
עסק קטן שאין לו פעילות בינלאומית, לא מתעסק במידע רגיש (בריאות, מיניות, פוליטיקה), ויש לו מאגר של מתחת ל־100,000 איש – ברוב המקרים פטור מ:
- חובת מינוי DPO.
- חובת עריכת DPIA (תסקיר השפעה) שוטפת.
- מינוי פורמלי של "מחזיק במאגר".
- חובות אבטחה מוגברות לפי תקנות אבטחת מידע 2017 (הן חלות אבל ברמת "מאגר בסיסי").
נקודה חשובה
אם אתה מעסיק עובדים, אתה מנהל מאגר עובדים. זה מאגר לכל דבר – גם אם לא רשמת אותו. חובות החוק חלות עליו: מדיניות פרטיות פנימית, שקיפות, ואבטחה של שכר, מסמכים אישיים, מסמכי בריאות.
הסיכון האמיתי לעסק קטן
שלושה אפיקי סיכון ממשיים, גם לעסק בן חמישה עובדים:
- לקוחות שיתלוננו לרשות. הרשות מטפלת בכל תלונה – גם מול עסק קטן. התוצאה: חקירה, עיצום, חובת תיקון.
- ספקים שידרשו עמידה בתקן. אם אתה ספק של גוף גדול (בנק, חברת ביטוח, משרד ממשלתי), הם ידרשו ממך DPA וראיות ציות. בלי זה – אתה לא ספק מאושר.
- תביעות פרטיות. לפי החוק, אדם שזכותו לפרטיות נפגעה יכול לתבוע ללא הוכחת נזק. פיצוי סטטוטורי יכול להגיע ל־50,000 ₪ פר תובע.
תוכנית 30 יום לעסק קטן – איך להיכנס למסלול
שבוע 1: מיפוי
איזה מידע אישי אתה אוסף ואיפה הוא שמור? רשימת לקוחות, עובדים, ספקים, פניות מהאתר, תיעוד שיחות. צור רשימה פשוטה באקסל – זה נקודת המוצא של הכל.
שבוע 2: מדיניות והסכמה
הכן מדיניות פרטיות בעברית לאתר (יש תבניות מקצועיות). הוסף תיבת הסכמה בכל טופס הרשמה. עדכן את מדיניות הקבצים אם יש אפליקציה.
שבוע 3: אבטחה ונהלים
הפעל סיסמאות חזקות בכל מקום, אימות דו־שלבי לחשבונות קריטיים, גיבוי קבוע, הגבלת גישה לפי תפקיד. נהל רשימת מכשירים שמחזיקים במידע.
שבוע 4: נהלים ותיעוד
נוהל טיפול בפניות (זכות עיון, מחיקה). נוהל תגובה לאירוע אבטחה. הדרכה קצרה לעובדים (30 דקות). תיעוד כל הפעולות בתיק הציות.
"עסק שלא מתעסק בפרטיות היום, יתעסק איתה בחצי שנה – בשיחת טלפון עם רשות הגנת הפרטיות או עם עורך דין של לקוח. עדיף לעשות את זה בשקט ובזמן שלך."
רוצה לדעת בדיוק מה חל על העסק שלך?
המחשבון של Privora עובר איתך על 10 שאלות ונותן תמונה ברורה – מה חובה, מה מומלץ, ומה לוחות הזמנים. בחינם, 7 דקות.
התחל בדיקה חינמית ←כמה זה עולה?
עסק קטן יכול להסתדר עם תוכנית ציות שבה ההשקעה הראשונית מגיעה לכמה אלפי שקלים (הקמה), ולאחר מכן ליווי חודשי של מאות שקלים בודדים. זה פחות מעלות קפה לכל עובד ליום. בהשוואה לעיצום פוטנציאלי של עשרות אלפי שקלים – זו החלטה עסקית פשוטה. העיקר הוא לא לחכות עד שמישהו ידפוק בדלת.