תיקון 13 לחוק הגנת הפרטיות – המדריך המלא למהפכה המשפטית

תקציר מנהלים: מה השתנה?

ביום 14 באוגוסט 2025 נכנס לתוקף תיקון מספר 13 לחוק הגנת הפרטיות. זהו מהלך רחב שמגדיר מחדש את כל תחום ההגנה על מידע אישי בישראל, ומציב את ישראל בשורה אחת עם תקנות ה-GDPR האירופאיות. השינוי המרכזי הוא מעבר מבירוקרטיה (רישום מאגרים) לאחריותיות ואכיפה קשה (קנסות גבוהים ופיקוח).

המציאות החדשה: לסגור את הפער הטכנולוגי

התיקון נועד להתמודד עם מציאות חדשה: עידן שבו המידע האישי שלנו נאסף כמעט בכל פעולה שאנחנו עושים, מהרכישות באינטרנט ועד לאפליקציות בסמארטפון. החקיקה הישנה (מ-1981) לא התאימה למציאות הזו, וכך נוצר פער גדול.

המשמעות לעסקים היא כפולה:

  1. הקלה: אין יותר חובה לרשום כל מאגר מידע קטן, וחלק מהבירוקרטיה המיושנת נעלמת.

  2. החמרה: חובות שקופות וברורות יותר, כלים חדשים בידי רשות הגנת הפרטיות, והיכולת להטיל קנסות משמעותיים.

זה אומר שכל גוף ציבורי או עסקי שמחזיק במידע אישי צריך לחשוב מחדש: מה הוא "מספר" ללקוחות? לאילו מטרות הוא משתמש במידע? ומי אחראי לפקח על כך?

עדכון ההגדרות – שפה חדשה לעידן הדיגיטלי

אחת הנקודות המרכזיות בתיקון 13 היא שינוי המונחים בחוק, כדי למנוע עמימות משפטית. הנה המונחים החדשים שכל עסק חייב להכיר:

המונח החדשההגדרה המעודכנתדוגמאות
מידע אישיכל נתון המאפשר זיהוי של אדם, באופן ישיר או עקיף.שם, ת.ז, נתוני מיקום, כתובת IP, מזהים מקוונים.
מידע בעל רגישות מיוחדתמידע אישי הדורש הגנה מוגברת (החליף את המונח "מידע רגיש").נתונים רפואיים, גנטיים, ביומטריים, דעות פוליטיות, עבר פלילי, נתוני שכר.
בעל שליטה במאגרהגורם שמחליט על מטרות השימוש במידע (לשעבר "בעל מאגר").החברה/העסק שאוסף את המידע מהלקוח.
מחזיק במאגרהגורם שמבצע בפועל את עיבוד המידע עבור בעל השליטה.ספק שירותי ענן, חברת דיוור חיצונית.
עיבוד (Processing)כל פעולה שנעשית במידע.איסוף, שמירה, שימוש, העברה, מחיקה.

במילים אחרות, כבר אין מקום לפרשנויות מעורפלות: החוק מגדיר בצורה ברורה מי עושה מה ואיפה מתחילות החובות.

רישום והודעה על מאגרי מידע – סוף לבירוקרטיה מיותרת

אחד השינויים הבולטים בתיקון 13 הוא ביטול הדרישה לרשום כמעט כל מאגר מידע ברשות הגנת הפרטיות. במשך שנים הדרישה הזו יצרה עומס שלא תרם להגנה על פרטיות.

מה נשאר בכל זאת?

  1. חובת רישום: נותרה רק למאגרי מידע של גופים שעיסוקם המרכזי הוא מסחר במידע אישי (Data Brokers) המכילים מידע על יותר מ-10,000 אנשים, או לגופים ציבוריים.

  2. חובת הודעה (החידוש): בעל שליטה במאגר שלא חייב ברישום, אבל מחזיק מידע בעל רגישות מיוחדת על יותר מ-100,000 אנשים, חייב להודיע על כך לרשות תוך 30 ימים. ההודעה כוללת את פרטי הממונה והגדרות המאגר.

שקיפות מלאה: חובת היידוע המורחבת

זהו הלב של התיקון. אם בעבר השקיפות הייתה "אותיות קטנות", כיום היא חובה חוקית. הכלל החדש הוא: המידע שייך לאדם, ויש לו זכות לדעת בדיוק מה נעשה איתו.

כל פנייה לאדם לצורך איסוף מידע (בטופס דיגיטלי, בחוזה או בשיחה) חייבת לכלול את הפרטים הבאים:

  1. זהות מלאה: שם הגוף האוסף ודרכי התקשרות איתו (ואם יש ממונה פרטיות – גם פרטיו).

  2. המטרה ("צמידות המטרה"): הסבר מדויק למה נאסף המידע. זהירות: אסור להשתמש במידע למטרה אחרת מזו שהוצהרה!

  3. מסירה לצד ג': פירוט האם המידע עובר לגורמים נוספים (כמו ספקים או שותפים).

  4. התוצאה: מה יקרה אם האדם יסרב למסור את המידע? (למשל: "לא נוכל לספק את השירות").

  5. זכויות: יידוע אקטיבי על הזכות לעיין במידע, לתקנו או לבקש את מחיקתו.

איך זה נראה בפועל? (ישן מול חדש)

הפרמטרהנוסח הישן (המסוכן)הנוסח החדש (התקין)
מטרה"לצרכים פנימיים ושיפור השירות""לצורך שליחת עדכונים מקצועיים והפקת חשבונית בלבד"
צד ג'(לא הוזכר)"המידע יועבר לחברת הדיוור 'X' בלבד לצורך המשלוח"
סירוב(לא הוזכר)"אינך חייב למסור מידע, אך בלעדיו לא נוכל לצרפך למועדון"

חובת מינוי ממונה על הגנת הפרטיות (DPO)

אחת ההפתעות הגדולות בתיקון היא המעבר מהמלצה לחובה. הממונה הוא לא "עוד תפקיד", אלא שומר הסף של הארגון שחייב לדווח להנהלה הבכירה.

מי חייב למנות ממונה?

  • גופים המחזיקים מידע רגיש בהיקף גדול (בנקים, בתי חולים).

  • חברות שעיסוקן המרכזי הוא עיבוד מידע או דיוור ישיר.

  • גופים המבצעים מעקב מתמשך ושיטתי אחרי אנשים (אפליקציות מיקום, מנועי חיפוש).

סמכויות האכיפה החדשות: מרגולטור מייעץ לרגולטור נושך

אולי השינוי הדרמטי ביותר הוא בהפיכתה של רשות הגנת הפרטיות לגוף עם "שיניים".

  1. חקירה וביקורת: הרשות מוסמכת לערוך ביקורות פתע, לתפוס מחשבים ולדרוש מסמכים.

  2. עיצומים כספיים (קנסות): הרשות יכולה להטיל קנסות של מאות אלפי ואף מיליוני שקלים (בהתאם לחומרת ההפרה ומספר הנפגעים) ללא צורך במשפט פלילי.

  3. הליכים פליליים: הוספו עבירות פליליות חדשות על הפרת פרטיות.

החשיפה האזרחית: פיצויים ותביעות ייצוגיות

מעבר לקנסות מהמדינה, התיקון חושף עסקים לתביעות מצד הציבור:

  • התיישנות: הוארכה משנתיים ל-7 שנים.

  • פיצוי לדוגמה: בית המשפט יכול לפסוק עד 10,000 ₪ לכל הפרה ללא הוכחת נזק.

  • הסכנה הגדולה: תובענות ייצוגיות. השילוב של "פיצוי ללא הוכחת נזק" עם הפרה מול אלפי משתמשים יוצר פוטנציאל לתביעות ענק שיכולות למוטט עסק שלא נערך.

האם האתר שלכם מוכן לתיקון 13? (צ'ק ליסט מעשי)

כניסתו לתוקף של התיקון מחייבת בדיקה מחדש של הנכסים הדיגיטליים:

  • [ ] מדיניות פרטיות: האם היא עדכנית, בעברית פשוטה ומפרטת את כל הזכויות החדשות?

  • [ ] טפסי הסכמה: האם יש תיבות "צ'ק בוקס" אקטיביות (לא מסומנות מראש)? הסכמה משתמעת כבר לא מספיקה.

  • [ ] ניהול קוקיז (Cookies): האם יש באנר המאפשר לגולש לאשר או לדחות קוקיז שאינם חיוניים (שיווק/מעקב)?

  • [ ] זכויות המשתמש: האם יש מנגנון פשוט המאפשר לגולש לבקש מחיקה ("הזכות להישכח") או עיון במידע עליו?

אתר שלא עומד בסטנדרטים אלו מסתכן פעמיים: גם בקנס מהרשות וגם בתביעה ייצוגית.

איך נערכים?

הכנה נכונה לתיקון 13 אינה רק "להיות בסדר עם החוק". היא חלק מהותי בבניית אמון. הצעד הראשון הוא מיפוי המידע: להבין איזה מידע אתם אוספים, איפה הוא שמור ומי נוגע בו. לאחר מכן יש לעדכן הסכמים עם ספקים (שגם הם כפופים לחוק) ולבחון את אבטחת המידע.

האם הארגון שלכם באמת מוכן לעידן החדש? תיקון 13 מחייב כל ארגון לעצור ולבנות מחדש את הדרך שבה הוא מתנהל. מי שיבחר להתעלם יעמוד מול סיכונים ממשיים. משרדנו, חצבני ושות׳ – משרד עורכי דין, המתמחה בייעוץ משפטי לעסקים ובליטיגציה, מלווה חברות בהיערכות מקיפה לתיקון 13: החל ממיפוי המידע, דרך עדכון מדיניות הפרטיות והסכמים, ועד בניית תוכניות ציות והדרכות למנהלים. כך נוודא שהארגון שלכם לא רק עומד בדרישות החוק, אלא גם ממצב את עצמו כחברה אחראית ומתקדמת.
Scroll to Top

לקבלת ייעוץ ראשוני ללא התחייבות, השאירו פרטים, חייגו או תכתבו בוואטסאפ!