מהו תיקון 13 לחוק הגנת הפרטיות בישראל

השורה התחתונה – אמ;לק

ב-14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – השינוי הדרמטי ביותר בחוק מאז 1981. הוא מיישר קו בין ישראל ל-GDPR האירופי, מרחיב את הגדרת "מידע אישי" כך שכמעט כל עסק נכנס לתחולה (גם אם נדמה לכם שלא), נותן לרשות להגנת הפרטיות סמכות להטיל קנסות עד 5% מהמחזור השנתי בלי בית משפט, ומחייב חלק מהעסקים למנות DPO (ממונה הגנת פרטיות). אם יש לכם אתר, CRM, רשימת דיוור, מצלמות במשרד או כל רשימה של מידע שמכילה פרטים אישיים – זה רלוונטי אליכם.

---

מה זה בכלל "תיקון 13"?

זה תיקון לחוק הגנת הפרטיות התשמ"א-1981 שהתקבל בכנסת באוגוסט 2024 ונכנס לתוקף שנה לאחר מכן. במקום "טלאי" קטן, מדובר במהפכה של ממש – שמשנה הגדרות בסיסיות, מוסיפה תפקידים חדשים, מעצימה את הרשות, ומגדירה לראשונה עבירות פליליות חדשות סביב פרטיות.

מתי נוצר ולמה?

החוק המקורי נכתב בעידן שבו "מאגר מידע" היה כרטסת נייר. בעשרים השנים האחרונות העולם השתנה מקצה לקצה – ענן, AI, סוחרים מקוונים, אפליקציות, מצלמות חכמות — אבל החוק הישראלי נשאר מאחור. במקביל, באירופה נכנס ב-2018 ה-GDPR (General Data Protection Regulation) שהפך לסטנדרט הבינלאומי.

שתי סיבות עיקריות לתיקון 13:

1. שמירה על מעמד "מדינה הולמת" של ישראל באיחוד האירופי (Adequacy Decision מ-2011) — בלי זה, חברות ישראליות מתקשות לעבוד עם לקוחות מאירופה.
2. מתן שיניים אמיתיות לרשות להגנת הפרטיות — שעד אז תפקדה כמעט כממליצה.

מה השתנה — ההגדרות החדשות

זו דרמה שקטה אבל הכי משמעותית להבנה:

"מידע אישי" – כעת זה לא רק שם ות"ז. זה גם כתובת IP, Cookies, מזהי מכשיר, מיקום גיאוגרפי וכל נתון שאפשר לזהות לפיו אדם "במאמץ סביר".

"בעל שליטה" (במקום "בעל מאגר") – מקביל ל-Controller ב-GDPR. זה מי שמחליט לאיזו מטרה אוספים את המידע. כלומר – אתם, בעלי העסק.

"מחזיק" – הורחבה ההגדרה כך שתכלול גם ספקים חיצוניים שמעבדים עבורכם מידע (ספק האחסון, ה-CRM, שירות הדיוור). זהה לרוח ה-Processor ב-GDPR.

הפטור לעסקים קטנים – כן, יש פטור ממיקרו, אבל הוא צר מאוד: רק אם אתם מחזיקים שם, כתובת ופרטי קשר של עד 100,000 אנשים – ושום דבר אחר. ברגע שיש היסטוריית רכישות, העדפות, פרטי תשלום או הערות שירות – הפטור לא חל. בפועל, כמעט אף עסק פעיל לא נופל בפטור הזה.

הסמכויות החדשות של הרשות להגנת הפרטיות

תיקון 13 הופך את הרשות מ"מורה דרך" ל"שוטר עם פנקס קנסות":

• הטלת עיצומים כספיים מנהליים בלי בית משפט – תהליך מהיר, ההפרה נקבעת על ידי הרשות עצמה.
• תקרה דרמטית – עד 5% מהמחזור השנתי, או מיליוני שקלים (המאוחר מבין השניים).
• אחריות אישית של נושאי משרה ודירקטוריון – אם דירקטוריון לא דאג לציות, הוא חשוף אישית.
• חקירות פליליות – סעיפי עבירה חדשים, כולל למקרים של רישום "מאגר פיקטיבי", שימוש לרעה במידע, ופגיעה מכוונת בפרטיות.
• הליכי פיקוח רוחב מגזריים – הרשות בוחרת מגזר (סחר מקוון, רשויות מקומיות, אפליקציות פופולריות) ומבצעת ביקורת רוחבית.

חובת מינוי DPO (Data Protection Officer)

זו אחת החדשות הגדולות. ממונה הגנת פרטיות הוא תפקיד מקצועי ייעודי שצריך:

מי חייב למנות DPO?

• כל גוף ציבורי.
• בנקים, חברות ביטוח, מוסדות פיננסיים.
• מי שעיסוקו עיבוד מידע אישי בהיקף משמעותי (למשל חברות שיווק, חברות מחקר).
• מי שמעבד מידע רגיש בהיקף נרחב (מידע רפואי, פוליטי, פיננסי, ביומטרי, על מיניות, אמונה).
• מי שעיסוקו ניטור שיטתי וקבוע (חברות אבטחה, ניטור עובדים, מצלמות חכמות בקנה מידה).

מה DPO עושה? ייעוץ להנהלה, פיקוח שהארגון עומד בחוק, הדרכת עובדים, טיפול בפניות נושאי המידע (לקוחות שמבקשים לדעת מה אתם מחזיקים עליהם או למחוק), ויצירת קשר ישיר מול הרשות.

חשוב – DPO חייב להיות בעל ידע מקצועי מוכח בדיני פרטיות ואבטחת מידע, ולפעול בעצמאות מקצועית. אסור שיהיה במקביל למשל מנכ"ל או מנהל כספים (ניגוד עניינים).

איך זה משתווה לעולם – GDPR והאחרים

תיקון 13 לא מומצא מאפס – הוא מיובא במידה רבה מ-GDPR האירופי, אבל יש הבדלים:

• GDPR: קנסות עד 4% מהמחזור הגלובלי או 20 מיליון אירו. ישראל הלכה רחוק יותר — 5%.
• CCPA/CPRA (קליפורניה): מתמקד יותר ב"זכות הצרכן לבחור".
• UK GDPR: דומה לאירופי, אוכפת ICO.
• PIPL (סין): מחמיר עוד יותר, עם מגבלות על ייצוא מידע.

הקרבה ל-GDPR היא לא מקרית: היא נועדה לשמור על האפשרות של חברות ישראליות לעבוד חופשית עם אירופה.

איפה זה פוגש עסקים בישראל — ומתי?

מהיום הראשון — אתם כבר בתוך זה. נקודות החיכוך הקלאסיות:

יש לכם אתר עם טופס יצירת קשר → יש לכם מאגר. אתם צריכים מדיניות פרטיות אמיתית, באנר Cookies, ואופציה למחיקה.

יש לכם רשימת דיוור → צריך הסכמה מפורשת ומתועדת, אופציה להסרה בכל מייל, ולתעד מתי כל אחד נתן הסכמה.

אתם משתמשים ב-CRM/ענן/SaaS חיצוני (Salesforce, Monday, HubSpot, Google Workspace) → צריך הסכם עיבוד מידע (DPA) חתום מולם, וביקורת שהם מאובטחים.

יש אצלכם מצלמות במקום העבודה → צריך שילוט, מדיניות שימוש, ותקופת שמירה מוגדרת.

ניטור עובדים (פעילות מחשב, GPS על רכבי שטח) → דורש שקיפות, פרופורציונליות, והסכמה.

אירוע אבטחה (פריצה, גניבת קובץ, מייל פישינג שצלח) → חובת דיווח לרשות תוך פרק זמן קצר באירוע חמור, ולעיתים גם לאנשים שנפגעו.

אתם מוכרים גם ללקוחות באירופה → גם GDPR חל עליכם בנוסף.

צ'קליסט מעשי לעסק קטן/בינוני

1. מיפוי – מה אתם אוספים, איפה זה יושב, מי ניגש.
2. פטור? – בדיקה אמיתית אם אתם בפטור עסק קטן (כנראה שלא).
3. רישום מאגר – אם חייבים, להירשם ברשם מאגרי המידע.
4. מדיניות פרטיות ייעודית, לא העתקה.
5. באנר Cookies עם בחירה אמיתית.
6. הסכמי DPA מול כל ספק.
7. נוהל תגובה לאירוע אבטחה – כתוב, מתורגל.
8. הדרכות עובדים שנתיות.
9. בדיקת חובת DPO – ואם כן, למנות מישהו מקצועי.
10. דיון בדירקטוריון/הנהלה ותיעוד שלו.

הרשות לא יוצאת לצוד עסקים קטנים, אבל אחרי תיקון 13 הציפייה היא שתראו שעשיתם משהו. "לא ידעתי" כבר לא תירוץ.

---

מקורות

• מדריך מקצועי: תיקון מס' 13 לחוק הגנת הפרטיות – gov.il
• תקנות הגנת הפרטיות – govextra.gov.il
• הרשות להגנת פרטיות – סנקציות וקנסות
• תיקון 13 לחוק הגנת הפרטיות – מהפכה באכיפה (כלכליסט)
• חובת מינוי ממונה הגנת פרטיות (גלובס)