תיקון 13 לחוק הגנת הפרטיות
יש הנחתה חדשה בישראל, שאפשר לומר שהיא חשובה לרמת הפרטיות של כל אזרח, אך היא עלולה ליצור לא מעט אתגרים לבעלי עסקים. בעיקר כי מדובר בכך שניתן לתבוע ללא הוכחת נזק כמעט כל אחד על סך 10,000 ₪!
החוק חל על כל בעל עסק, קטן כגדול אפילו אם יש לכם רק אתר בסיסי או רשימת מיילים של לקוחות, אתם כלולים!
החוק והתקנה לא מבקשים שלא נחזיק במידע, אלא דורשים שנעשה מאמץ מיוחד לצמצם אותו כמה שאפשר ולשמור עליו בטוח ככל הניתן. בסך הכול זה די הגיוני בעיניי, אך מה שפחות הגיוני הוא אופן האכיפה: הם מאפשרים לתובעים סדרתיים לעשות עבורם את העבודה בפועל. נתנו 10,000 ₪ ללא הוכחת נזק וזה לא הגיוני ולא סביר. אני מניח שבעוד שנתיים – שלוש יורידו את הסכום, ולא יהיה ניתן כמעט לתבוע, כפי שקרה בחוק הספאם וגם בנגישות אתרים.
המאגרים שעליהם חל החוק כוללים בין היתר: שיחות בוואטסאפ, מיילים, מערכות CRM ואף קבצי אקסל במחשב האישי. שם נמצאים מוקדי הסיכון האמיתיים לזליגות מידע ולאו דווקא בשרתי ענק כמו מיקרוסופט וגוגל, שהסיכוי לפרוץ אליהם נמוך בהרבה. לעומת זאת, מחשבים וטלפונים של בעלי עסקים הם יעד קל יותר לפריצה.
אז ישבתי, קראתי וחקרתי את הנושא עשרות שעות, והכנתי לכם מדריך שמסביר בצורה פשוטה וברורה את עיקרי החוק, ונותן כלים פרקטיים שיכולים להוריד משמעותית את הסיכוי שתיתקלו בתביעה או תלונה. בנוסף, הכנתי את ההנחיות כך שיתאימו גם לסטנדרטים האירופיים (GDPR), כדי שתהיו מוגנים לא רק מול החוק המקומי אלא גם מול הדרישות הבינלאומיות.
*חשוב להבהיר, אומנם יש לי תואר שני עם התמחות בשיווק דיגיטלי ולמדתי אסטרטגיה בטכניון, אבל אני לא עורך דין וכל המידע כאן הוא בגדר המלצה חברית בלבד מההבנה הפרקטית שלי בתחום. אני לא גובה על זה תשלום אלא נטו מנסה להכין אותכם לחוק החדש כדי שלא תקבלו תביעה, אבל בכל מקרה כדאי לפנות בנושא לעורך דין ולהעירך בצורה מקצועית, האחריות היא שלכם בלבד.
יאללה בואו נצלול
תקנות הגנת הפרטיות
א. להבין את החוק - הסבר ראשוני
תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב־14 באוגוסט 2025 החובות עצמן קיימות כבר משנת 2018 במסגרת תקנות הגנת הפרטיות (אבטחת מידע), אך החידוש כעת הוא הרחבת סמכויות האכיפה והטלת קנסות מנהליים כבדים לצד פיצויים ללא הוכחת נזק [10,000 ₪] כל עסק שמחזיק מידע אישי – אפילו רשימה של שם + אימייל של לקוחות, עובדים או ספקים, מחויב לעמוד בדרישות החוק ברמה מסויימת.
כדי לעמוד בחוק נדרש טיפול ב 2 אפיקים:
- בתוך הנכסים הדיגיטלים והאתר [אפשר לתבוע ללא הוכחת נזק] – המינימום זה לסדר את הקוקיז באתר ואת התקנון ולהנגיש אותו בפוטר.
- פנימיים בתוך הארגון [אפשר לעשות ביוקרת פתע] – פה יש כבר עומק משמעותי לפי רמות, סוגי עסק ועוד מגוון פרמטרים, ונקבע מה נדרש לעשות.
אנחנו כמובן נתרכז באתר אבל נסביר גם את החלק הפנים ארגוני.
הבנת החוק – המונחים הקריטיים
- חוק הגנת הפרטיות – המסגרת המרכזית בישראל לפרטיות. תיקון 13 מחזק אכיפה, קנסות והגדרות. https://www.gov.il/he/pages/13_amendment
תקנות הגנת הפרטיות (אבטחת מידע), 2017 – קובעות 3 רמות אבטחה למאגרים: בסיסית, בינונית, גבוהה, עם חובות שונות לכל רמה. - מידע אישי – כל מידע על אדם שניתן לזהותו, כולל מזהים מקוונים כמו IP. תיקון 13 מרחיב ומעדכן הגדרות, בהשראת סטנדרטים בינלאומיים.
- מידע בעל רגישות מיוחדת – לדוגמה נתונים רפואיים, פיננסיים, ביומטריים, דעות פוליטיות ואחרות. חובת הקפדה גבוהה יותר.
- מאגר מידע – אוסף נתונים ממוחשב על בני אדם למטרה עסקית. התקנות חלות על המאגר כמכלול, לא רק על מערכת ספציפית. משמע הוואטסאפ שלכם האימייל ה CRM וכל מקום אחר שיש לכם בו אינטרקציה על או עם הלקוחות הוא מקור.
- בעל הרשאה – כל אדם שיש לו גישה למידע שבמאגר: עובד, פרילנסר, יועץ. מספר בעלי ההרשאה משפיע על רמת האבטחה הנדרשת.
- דיוור ישיר – פנייה המבוססת על מאפיינים אישיים מתוך מאגר מידע. קיימות חובות גילוי והסרה, ובנסיבות מסוימות חובת רישום/דיווח.
- DPA – הסכם עיבוד נתונים – הסכם עם ספק שמעבד בשבילך מידע אישי (ענן, דיוור, CRM). לא מונח חקוק כשלעצמו בישראל, אבל נדרש כחלק מחובות ההגנה והפיקוח על מחזיקים ומעבדים.
- CISO – ממונה אבטחת מידע – תפקיד נדרש ברמות בינוניות ומעלה כדי להוביל נהלי אבטחה, בקרה והדרכות.
- DPO – ממונה הגנת פרטיות – מינוי הנדרש במקרים מסוימים לפי תיקון 13, בעיקר בארגונים עם היקף/סוגי עיבוד משמעותיים.
- עוגיות Cookies – קבצים בדפדפן שמשמשים תפעול, מדידה ושיווק. בישראל החובה המשפטית העיקרית היא שקיפות, בסיס חוקי עמיד, והימנעות מעיבוד עודף; מומלץ יישום באנר הסכמה וניהול העדפות, במיוחד לשיווק ומעקב.
- VPN – מנהרה מוצפנת בין המחשב שלך לרשת העסקית או לספק. מונעת ציתות על חיבורי Wi-Fi, במיוחד בעבודה מרחוק. בעיקר קשור לרשת הוויפי שלכם ושאסור להתחבר לרשתות לא מוצפנות כמו בית קפה ללא VPN
- 2FA – אימות דו שלבי, אפשר באמצעות מייל או סלולר או תוכנת אימות כמו גוגל אוטנטיקייטור
- GDPR – תקנת הגנת המידע האירופאית הכללית, זהו בעצם הקו המנחה שישראל מנסה לעמוד בו, סוג של תו תקן.
ב. מה קורה אם לא מטפלים - הסיכונים האמיתיים
- קנסות מנהליים – מסגרת עיצומים חדשה לרשות להגנת הפרטיות החל מ־14 באוגוסט 2025. גובה העיצום תלוי חומרה והיקף עד 150,000 ₪ להפרה בודדת.
- פלילי – הפרות מסוימות עלולות לחשוף לאחריות פלילית.
- אזרחי – חשיפה לפיצויים ללא הוכחת נזק על סך 10,000 ₪
- אכיפה מעשית – הרשות כבר מטילה עיצומים על הפרות יידוע וגילוי לא נאות, עוד לפני כניסת התיקון לתוקף המלא.
- מוניטין – הרשות להגנת הפרטיות תפרסם את שמות העסקים שלא עמדו בתנאי החוק
ג. כלי סיווג מהיר – מה נדרש ממך
תרשים החלטה קצר – תשאלו את עצמכם את השאלות הבאות:
- יש לכם מידע על בני אדם לצורך עסקי? אם כן – אתם כפופים לחוק.
- יש לכם עד 3 בעלי הרשאה, פחות מ־10,000 רשומות, ואין מידע רגיש ואין שירותי דיוור לאחרים? – כנראה "מאגר בבעלות יחיד".
- אחרת, ויש עד 10 בעלי הרשאה או אין מידע רגיש על לקוחות – כנראה "רמת אבטחה בסיסית".
- יש מעל 10 בעלי הרשאה או מידע בעל רגישות מיוחדת על לקוחות או פעילות של דיוור/העברה לאחרים? – "רמת אבטחה בינונית".
- מעל 100,000 רשומות או מעל 100 בעלי הרשאה או מערכת שמחזיקה נתוני לקוחות של אחרים (למשל SaaS/CRM)? – "רמת אבטחה גבוהה".
| רמה | מתי זה קורה | אתה חייב לפחות | תוספות אופייניות |
|---|---|---|---|
| מאגר בבעלות יחיד | עד 3 בעלי הרשאה, אין מידע רגיש, אין חובת סודיות [לדוגמא עורך דין או רואה חשבון או מטפל] ואתם לא תוכנת דיוור או העברת מידע | מדיניות פרטיות באתר, מסמך הגדרות מאגר, נהלי הגנה בסיסיים, בדיקת צמצום מידע שנתית | הסכמי סודיות עם פרילנסרים, Cookie banner בסיסי |
| רמת אבטחה בסיסית | לא יחיד, עד 10 בעלי הרשאה או ללא מידע רגיש על לקוחות | כל מה שמעל + ניהול הרשאות מפורט, נהלי אירועי אבטחה, גיבוי ושחזור, DPA עם ספקים, שמירת לוגים 24 חודשים | הדרכות עובדים, ביקורות הרשאות רבעוניות |
| רמת אבטחה בינונית | מעל 10 בעלי הרשאה ואתם מחזיקים במידע רגיש או עוסקים בדיוור ישיר/העברה לאחרים | כל מה שמעל + מינוי CISO, נוהלי אבטחה מתקדמים, בדיקות חדירה, בקרה ותיעוד גישה, דיווח אירועים לרשות כשנדרש | ייעוץ פרטיות שוטף, הדרכות חצי שנתיות |
| רמת אבטחה גבוהה | 100k+ רשומות או 100+ בעלי הרשאה או שירות אחסון/עיבוד לאחרים | כל מה שמעל + מינוי DPO במקרים הנדרשים, ISMS ותקנים, בקרה רציפה | ביקורות צד שלישי שנתיות |
ד. איך פועלים בפועל - ציר זמן כרונולוגי שמקטין סיכון לתביעה
שבוע 1 – מיפוי ושקיפות
- למפות מאגרי מידע, מערכות וכל ספק שמעבד מידע עבורך.
- לאבחן אם יש מידע רגיש ועל מי.
- לפרסם באתר מדיניות פרטיות מעודכנת וקלה להבנה.
- להציג באנר Cookies עם אפשרות בחירה ומדיניות Cookies. תוצרים: רשימת מאגרים וספקים, טיוטת מדיניות פרטיות, באנר פעיל. בסיס חוקי: שקיפות לפי סעיף 11 ודרישות אבטחה לפי התקנות.
שבוע 2 – חוזים ונהלים
- לחתום DPA עם כל ספק עיבוד מידע רלוונטי.
- לעדכן הסכמי פרילנסרים ועובדים עם סעיפי סודיות ועיבוד.
- לקבוע נוהל הרשאות, נוהל אירועי אבטחה וגיבויים.
תוצרים: DPA חתומים, נספח פרטיות לפרילנסרים, נהלים כתובים ונגישים.
שבוע 3 – הגנה טכנית
- להפעיל 2FA בכל המערכות.
- להגדיר VPN לעבודה מרחוק.
- לוודא אנטי וירוס, חומת אש, עדכוני תוכנה.
- להפעיל לוגים ושמירתם 24 חודשים לרמות הנדרשות.
תוצרים: דוח הפעלה, צילום מסכים, תיעוד טכני.
שבוע 4 – הדרכה, ביקורת וביצוע תיקונים
- הדרכת עובדים על פרטיות ופישינג.
- ביקורת הרשאות – לסגור גישה למי שלא צריך.
- בדיקת גיבוי ושחזור בפועל.
- החלטה אם נדרש CISO/DPO לפי הסיווג שלך. תוצרים: נוכחות הדרכה, פרוטוקול ביקורת הרשאות, דוח שחזור, מינויי תפקידים.
מדיניות פרטיות לדוגמא
ה. דוגמאות למסמכים - כדי שתוכל להתחיל עכשיו
שימו לב: אלה דוגמאות פרקטיות שמכילות את המבנה והסעיפים שיבקשו ממכם בביקורת. מומלץ להתאים לשפה ולמערכות שלכם.
- מדיניות פרטיות – שלד קצר לשימוש באתר
כותרת: מדיניות פרטיות
עודכן: [תאריך]
- מי אנחנו ועם מי ליצור קשר – [שם העסק, אימייל, טלפון]
- איזה מידע אנו אוספים – פרטי קשר, נתוני שימוש באתר, פניות שירות, נתוני רכישה אם יש
- למה אנו משתמשים במידע – מתן שירות, תמיכה, דיוור בהסכמה, שיפור השירות
- מסירת מידע לצדדים שלישיים – רק לספקים מעבדים תחת הסכם ומדיניות אבטחה
- זכויותיך – עיון, תיקון, מחיקה, התנגדות לדיוור
- אבטחת מידע – הרשאות מצומצמות, 2FA, VPN, גיבויים
- Cookies – פירוט סוגי הקוקיז, קישור למסך ניהול העדפות
- שינויים במדיניות – נפרסם עדכון ונציין תאריך עדכון בסיס: שקיפות למשתמשים ועיגון מדיניות באתר.
2. מסמך הגדרות מאגר – טבלת מינימום שנתי
- שם המאגר: [לקוחות העסק]
- מטרת המאגר: [שירות ושיווק]
- סוגי מידע: [שם, טלפון, אימייל, IP, היסטוריית רכישה]
- בעלי הרשאה ותפקיד: [רשימה לפי תפקיד]
- מיקומי אחסון: [ענן, שרת מקומי, מערכות צד שלישי]
- אמצעי אבטחה: [2FA, VPN, אנטי וירוס, גיבויים]
- נוהל מחיקה/צמצום: [מדיניות שמירת מידע וזמני מחיקה]
- תיעוד בדיקה שנתית: [תאריך, מסקנות]
בסיס: תקנות האבטחה מחייבות הגדרה ותיעוד.
https://www.gov.il/he/departments/topics/data_security_privacy_protection_authority
3. DPA – הסכם עיבוד נתונים עם ספק
- מטרת העיבוד: אחסון/דיוור/CRM עבור הבקר
- הוראות עיבוד: רק לפי הנחיות הבקר, ללא שימוש עצמאי
- אבטחה: אמצעים תואמי רמת האבטחה הנדרשת, בקרת גישה, 2FA, הצפנה לפי צורך
- אירוע אבטחה: הודעה מיידית ולכל המאוחר תוך 72-24 שעות, שיתוף פעולה בניהול האירוע
- מחיקה בסיום: החזרה או מחיקה מלאה של נתונים, כולל גיבויים לפי לוח זמנים
- ביקורת: זכות ביקורת סבירה של הבקר על עמידת הספק בסיס: חובת פיקוח על מחזיקים/מעבדים לפי התקנות.
4. נספח לפרילנסרים/עובדים חיצוניים
- סודיות: שימוש רק לצורך המשימה, איסור העברה לצד שלישי
- אבטחה: עבודה ממחשב מאובטח, 2FA, VPN, לא לשמור מידע מקומי ללא הרשאה
- גישה: גישה מינימלית, איסור שיתוף משתמשים וסיסמאות
- סיום התקשרות: מחיקה או החזרה של כל המידע, הצהרת מחיקה בסיס: בעל הרשאה מחויב לפעול לפי נהלי המאגר.
5. נוהל אירוע אבטחה – דף אחד
- זיהוי – מה קרה, מתי, מי מעורב
- הכלה – ניתוק גישה, סיסמאות חדשות, עצירת שירות
- הערכה – אילו נתונים נחשפו, מי נפגע
- דיווח – פנימי מיידי; חיצוני לרשות ולנושאי המידע כשנדרש
- לקחים – סגירת פערים, עדכון נהלים
בסיס: תקנות האבטחה דורשות נוהל וניהול אירועים מסודר.
6. הודעת Cookies לאתר – טקסט קצר
כותרת: אנחנו משתמשים בעוגיות
טקסט: אנחנו משתמשים בעוגיותלצרכי תפעול, ניתוח ושיווק. אפשר לבחור אילו סוגי עוגיות לאפשר במסך "ניהול העדפות". פרטים במדיניות הפרטיות.
כפתורים: מאשר – דוחה – ניהול העדפות
הערה: לתעד הסכמה ולכבד בחירה.
ו. שאלות נפוצות - קצר ולעניין
חייב Cookie banner?
מומלץ מאוד, במיוחד לעוגיות שיווק ומדידה. נדרש גילוי ברור ובסיס חוקי ראוי
מתי חייבים DPO?
מקרים מסוימים לפי תיקון 13, בעיקר בארגונים עם היקף גדול או פעילות מסוימת. בדוק לפי סיווג העסק.
כמה זמן לשמור לוגים?
ברמות בינונית וגבוהה – לשמור נתוני תיעוד לפי הנחיות הרשות, לרוב 24 חודשים לפחות למנגנוני ניטור.
ומה עם רישום מאגר?
התיקון מצמצם מצבים של חובת רישום, אך אינו מבטל חובות אחרות כמו דיוור ישיר ודיווח במקרים מסוימים. בדוק אם אתה מספק שירותי דיוור או "מסירת מידע לאחרים".
מי הוא בעל הרשאה?
כל עובד או פרילנסר או נותן שירות כלשהו שיש לו קשר למאגר שלכם או למחשב או לאחת התוכנות שלכם.
ז. צ'ק ליסט מהיר - אם תסמנו את זה, צמצמתם סיכון משמעותית
- מדיניות פרטיות מעודכנת באתר + קישור קבוע בפוטר
- באנר Cookies פעיל עם "ניהול העדפות" ותיעוד הסכמה
- מסמך הגדרות מאגר ממופה ומעודכן אחת לשנה
- DPA חתום מול כל ספק שמעבד מידע עבורך
- נספחי פרטיות לפרילנסרים ועובדים חיצוניים
- 2FA בכל המערכות + VPN לעבודה מרחוק
- נוהל אירוע אבטחה, נוהל הרשאות, נוהל גיבוי ושחזור
- הדרכת עובדים תקופתית ותיעוד ביקורות הרשאה
ח. ככה תקטינו לדעתי ב 90-95% סיכוי לתביעה.
טוב לא חשבתם שנשאיר אותכם עם כל המידע הזה בלי לעזור לכם למנוע או לפחות להקטין משמעותית את הסיכוי שיתלוננו או יתבעו אותכם…
אז אלו 2 הדברים שהכי חשוב לעשות ברמת הנראות החיצונית שלנו, וצרפתי לכם גם דוגמאות למסמך מטה, רק תכניסו את הפרטים שלכם ותשנו את המידע בהתאם לעסק שלכם
- מדיניות פרטיות מעודכנת באתר + תכניסו קישור קבוע בפוטר
- להפעיל Cookies באתר עם תיעוד הסכמה תורידו תוסף
תעשו בעצמכם או שתשלחו למנהל האתר שיטפל.
אם אין לכם כזה דברו איתנו ונסייע.
יש מגוון תוספי נגישות, מה שאנחנו מצאנו כיעיל ביותר הוא
Cookie Notice & Compliance for GDPR/CCPA
יובהר כי אין לנו שום קשר לחברת התוסף ואנחנו לא מרוויחים כלום מזה שתבחרו בו
נדרש להתקין אותו באתר דרך אזור התוספים ומשנים את הטקסט מאנגלית לעברית ואת הכפתור מאנגלית לעברית.
מצרף צילום של איך ההגדרות אמורות להיות בצורה האופטימלית שלהם לדעתנו
בסוף כל מדריך שלי אני רושם שמקווה שנהניתם, פה נראה לי שאף אחד לא נהנה מהנושא הזה אבל מקווה ששפכתי לכם קצת אור על החוק והתקנה החדשה והבנתם שאתם חשופים לתביעות, אז תעשו לפחות את 2 המשימות שיגנו אליכם ובהצלחה בשמירת הנתונים שלכם.
