תיקון 13 לחוק הגנת הפרטיות התשמ"א-1981 עבר בכנסת בתחילת 2024 ונכנס לתוקף באוגוסט 2025. מדובר בשינוי החקיקתי המקיף ביותר שעבר החוק מאז נחקק, והוא נועד לצמצם את הפער בין הדין הישראלי לבין ה־GDPR האירופי ולהעלות את רמת האכיפה בישראל למדרגה דומה לזו שקיימת באירופה. המאמר הזה מציג את השינויים העיקריים שמחייבים כל עסק שמעבד מידע אישי – גם אם מדובר רק ברשימת לקוחות, במאגר עובדים או בלקוחות אתר סחר – לבחון מחדש את ההתנהלות שלו.
1. הגדרות חדשות – מה נכלל ב"מידע אישי"
עד תיקון 13 החוק הבחין בין "מידע" לבין "מידע רגיש". תיקון 13 מיישר קו עם התפיסה האירופית וקובע הגדרה אחת רחבה של "מידע אישי": כל נתון שניתן לקשר לאדם מזוהה או הניתן לזיהוי. זה כולל גם כתובת IP, מזהים מקוונים (cookies), מיקום GPS, מזהי מכשיר, ואפילו מאפיינים התנהגותיים. בנוסף, הוגדרה קטגוריה של "מידע בעל רגישות מיוחדת" הכוללת מידע גנטי, ביומטרי, בריאותי, פיננסי ועוד – שלגביו חלים כללי אבטחה מחמירים יותר.
מה זה אומר בפועל
מערכות שמשתמשות ב־Google Analytics, Meta Pixel או כלי טלמטריה – מעבדות מידע אישי. זה דורש עדכון מדיניות פרטיות, הסכמה מושכלת מהמשתמש, והסדרת DPA מול הספק.
2. חובת מינוי ממונה הגנת פרטיות (DPO)
זה השינוי המשמעותי ביותר עבור מרבית העסקים. תיקון 13 קובע חובת מינוי DPO על שלוש קטגוריות של גופים:
- גופים ציבוריים – משרדי ממשלה, רשויות מקומיות, תאגידים סטטוטוריים וחברות ממשלתיות.
- עוסקים במידע בהיקף ניכר – מי שפעילותו העיקרית או המוסדית כוללת עיבוד מידע אישי של מעל 100,000 אנשים, או של מידע רגיש בהיקף משמעותי.
- גופים המבצעים ניטור שיטתי רחב־היקף – חברות טכנולוגיה, רשתות קמעונאות גדולות, פלטפורמות דיגיטליות שעוקבות אחר התנהגות משתמשים.
ל־DPO חובות ברורות בחוק: לייעץ להנהלה, לפקח על עמידה בהוראות החוק, להיות איש הקשר מול רשות הגנת הפרטיות, ולטפל בפניות נושאי המידע. ל־DPO חייבת להיות גישה ישירה להנהלה הבכירה, עצמאות מקצועית, ומניעת ניגודי עניינים – למשל, DPO אסור שיהיה גם מנהל IT או ראש שיווק.
3. עיצומים כספיים – שיניים לרשות
עד תיקון 13, הכלים של רשות הגנת הפרטיות היו דלים: פניות, התראות, ובמקרים חריגים כתב אישום. תיקון 13 מעניק לרשות סמכות להטיל עיצומים כספיים מינהליים בהיקף שלא היה קיים קודם:
| סוג הפרה | עיצום מקסימלי | הערות |
|---|---|---|
| הפרה של חובות בסיס (רישום מאגר, מדיניות) | עד 3.2 מיליון ₪ | ניתן להכפיל במקרה של הישנות |
| הפרה חמורה של חובות אבטחה | עד 5% ממחזור שנתי | ללא תקרה עליונה |
| אי־מינוי DPO כשחובה | עד 320,000 ₪ | עיצום חודשי מתחדש |
| איסוף / שימוש ללא הסכמה | עד 3.2 מיליון ₪ | + חובת מחיקה |
רשות הגנת הפרטיות כבר הודיעה שהיא תיישם את הסמכויות באופן הדרגתי, אבל מקרי מבחן ראשונים צפויים עוד השנה. הרשות פרסמה הנחיות מקצועיות שמסבירות איך תחושב חומרת ההפרה, מי נחשב "מפר חוזר", ומה מביא להקלה.
4. חובת דיווח על אירועי אבטחה חמורים
עד תיקון 13 חלה חובת דיווח חלקית בלבד. כעת, בדומה ל־GDPR, חלה חובת דיווח מלאה לרשות הגנת הפרטיות תוך 72 שעות מרגע שהגוף מודע לאירוע אבטחה חמור. במקרים שבהם האירוע עלול לגרום נזק ממשי לנושאי המידע – יש גם חובת עדכון של נושאי המידע עצמם, בלא דיחוי בלתי סביר.
מה נחשב "אירוע חמור"? חשיפה של מידע אישי של מעל 1,000 אנשים, חשיפה של מידע רגיש ללא קשר לכמות, אירוע שעלול לגרום לנזק כספי או פגיעה בכבוד, או אירוע שחשף פגיעות מערכתית. אי־דיווח כשחובה – עבירה שגוררת עיצום נפרד.
"תיקון 13 משנה את מאזן הכוחות. עד היום הפרת פרטיות הייתה סיכון משפטי רחוק; היום היא סיכון תקציבי מיידי. כל עסק חייב להתייחס לזה בכובד ראש."
5. זכויות חדשות לנושאי מידע
החוק חיזק את הזכויות של אנשים פרטיים מול הגופים שמחזיקים במידע שלהם:
- זכות העיון – הורחבה: חובה לתת מענה תוך 30 יום (לעומת פרקי זמן ארוכים בעבר), ולכלול מידע על מקורות המידע, נמענים, ומטרות עיבוד.
- זכות למחיקה: הוכנסה במפורש – אם אין בסיס חוקי להחזיק בנתון, נושא המידע רשאי לדרוש את מחיקתו.
- זכות להתנגדות: במיוחד בהקשר של שיווק ישיר ויצירת פרופילים – חובה לספק מנגנון התנגדות פשוט ויעיל.
- ניידות מידע: בעתיד (בתקנות משנה) תיושם זכות לקבל את המידע בפורמט מובנה.
6. חובות תיעוד ודיווח פנימיות
לא מספיק שהעסק מבין מה חלות עליו. החוק דורש כעת לתעד את הידיעה הזו. בכל ארגון שמחזיק במאגרי מידע, נדרש לשמור תיעוד של:
- רישום פעולות עיבוד – מפת מאגרי המידע, מטרות, בסיסים משפטיים.
- הערכת סיכונים ואבטחה – בעיקר עבור מאגרים גדולים או רגישים.
- תסקיר השפעה על פרטיות (DPIA) – לפרויקטים שעלולים ליצור סיכון גבוה.
- אירועי אבטחה ותגובות – יומן מסודר, גם אם האירוע לא היה חייב בדיווח חיצוני.
טעות נפוצה
חברות רבות חושבות שאם הן קטנות, הן פטורות. זה לא נכון. חובות הבסיס (מדיניות, הסכמה, אבטחה, תיעוד) חלות על כל מי שמעבד מידע אישי – גם עסק של איש אחד.
7. מה צריך לעשות בפועל – תוכנית היערכות בת 60 יום
ההנחיה שלנו ללקוחות: לא לקפוא, לא לפחד – לעבוד לפי תוכנית מסודרת:
- שבוע 1–2: מיפוי מאגרי מידע ופעילויות עיבוד. מי מעבד, מה, ולמה.
- שבוע 3–4: הערכת חובת DPO, רישום מאגרים, וצרכי DPIA.
- שבוע 5–6: עדכון / הכנה של מדיניות פרטיות, מדיניות עוגיות, הסכמי DPA עם ספקים.
- שבוע 7–8: נהלים פנימיים לטיפול בפניות נושאי מידע, נוהל תגובה לאירועי אבטחה, הדרכת עובדים.
לא בטוח אם העסק שלך חייב DPO?
המחשבון החינמי של Privora נותן תשובה מוסמכת ב־7 דקות, על בסיס חוק הגנת הפרטיות ותיקון 13.
התחל בדיקת פרטיות חינם ←לסיכום
תיקון 13 הוא לא עוד עדכון טכני – זו רה־ארכיטקטורה של ניהול הפרטיות בישראל. הוא מחייב מבנה ארגוני (DPO), תהליכים מתועדים (DPIA, דיווח אירועים), ומודעות כלל־ארגונית. מי שייכנס לתוקף ללא היערכות יגלה מהר שהעיצומים הכספיים כבר לא תיאורטיים, ושהמוניטין של העסק עלול להיפגע בסופה של פרשה ציבורית. הדרך הבטוחה ביותר היא להתחיל מבדיקה מוסדרת של המצב הקיים, למפות פערים, ולבנות תוכנית פעולה עם יעדים כמותיים ולוחות זמנים. DPO מקצועי, פנימי או כמיקור חוץ, הוא השקעה שמחזירה את עצמה מהעיצום הכספי הראשון שמנועים.