מהי הרשות להגנת פרטיות?

השורה התחתונה – אמ;לק

הרשות להגנת הפרטיות היא הרגולטור הישראלי של "מה מותר ומה אסור לעשות עם המידע על אנשים" — לקוחות, עובדים, מתעניינים, גולשים. החל מאוגוסט 2025, עם כניסת תיקון 13 לחוק הגנת הפרטיות, היא הפכה לרגולטור עם שיניים אמיתיות: היא יכולה להיכנס לכל עסק שמחזיק מאגר מידע על אנשים, לבדוק מה אתם עושים עם המידע הזה, ולקנוס אתכם בעיצומים שיכולים להגיע עד 5% מהמחזור השנתי (או מיליוני שקלים, המאוחר מבניהם). אם יש לכם רשימת לקוחות בקובץ Excel — זה כבר פוגש אתכם.

---

מי היא הרשות להגנת הפרטיות?

זו יחידה ממשלתית בתוך משרד המשפטים, האחראית על אכיפה ופיקוח של חוק הגנת הפרטיות התשמ"א-1981 והתקנות שמכוחו (בעיקר תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017).

בפשטות — אם משרד הבריאות שומר על איכות התרופות ומשרד התחבורה על בטיחות הרכב, הרשות להגנת הפרטיות שומרת על המידע האישי שלכם ושל הלקוחות שלכם.

הרשות מחולקת לארבע מחלקות עיקריות: אכיפה, ייעוץ משפטי ואסדרה, קשרי ציבור וממשל, וחדשנות ופיתוח מדיניות.

מתי ולמה היא נוצרה?

הרשות הוקמה בספטמבר 2006 בהחלטת ממשלה (במקור בשם "רמו"ט" — הרשות למשפט, מידע וטכנולוגיה). הרקע להקמתה היה הבנה שחוק הפרטיות הישראלי מ-1981 נותר על הנייר ללא גוף שיאכוף אותו, בזמן שעולם המידע התפוצץ — אינטרנט, מאגרי מידע ענקיים, סחר מקוון, מצלמות, וכו'.

המטרה: ליצור גוף מקצועי, בלתי תלוי יחסית, שיוכל גם להנחות וגם להעניש.

מה הסמכויות שלה (במיוחד אחרי תיקון 13)?

תיקון 13 לחוק, שנכנס לתוקף ב-14 באוגוסט 2025, הוא השינוי המשמעותי ביותר בחוק מאז חקיקתו. הוא חיזק דרמטית את כוחה של הרשות. עיקרי הסמכויות היום:

• הטלת עיצומים כספיים מנהליים — בלי צורך בבית משפט. הרף המקסימלי הוא 5% מהמחזור השנתי של הארגון. בפועל, ב-2025 הוטלו קנסות בין 5,000 ש"ח ל-75,000 ש"ח, אבל המגמה עולה.
• חקירות פליליות — תיקון 13 הוסיף פרק עבירות פליליות חדשות.
• ביקורות ופיקוח ("פיקוח רוחב") — מבצעי אכיפה מגזריים. ב-2025-2026 בוצעו פיקוחי רוחב באתרי סחר מקוון, רשויות מקומיות, אפליקציות נפוצות ועוד.
• רישום מאגרי מידע — ראש הרשות הוא גם רשם מאגרי המידע.
• הוצאת הנחיות מחייבות — איך לעבד מידע, איך לאבטח, מה צריך להיות במדיניות פרטיות.
• ייצוג ישראל בזירה הבינלאומית של רגולציית הפרטיות.

מי הם המקבילים שלה בעולם?

כדי להבין את ההקשר — כמעט לכל מדינה מפותחת יש רגולטור פרטיות:

• GDPR + רשת ה-DPAs באירופה — הרגולציה האירופית (General Data Protection Regulation) היא תקן הזהב, ולכל מדינה רשות לאומית: CNIL בצרפת, BfDI בגרמניה, ICO בבריטניה (מבריקסיט). הקנסות שם יכולים להגיע ל-4% מהמחזור הגלובלי.
• FTC בארה"ב — אין חוק פרטיות פדרלי אחיד, אבל ה-Federal Trade Commission אוכפת בנושאי הטעיית צרכנים בפרטיות. בנוסף, מדינות כמו קליפורניה (CCPA/CPRA) הוסיפו חוקים מקומיים.
• OPC בקנדה ו-OAIC באוסטרליה.
• PIPL בסין.

ישראל מוכרת על ידי האיחוד האירופי כמדינה עם "הגנה הולמת" (Adequacy Decision) משנת 2011, מה שמאפשר העברת מידע חופשית בין האיחוד לישראל. תיקון 13 נועד, בין השאר, לשמר את ההכרה הזו.

איפה זה פוגש עסקים בישראל — ומתי?

אם אתם בעלי עסק שמחזיק כל רשימה של אנשים (לקוחות, עובדים, ספקים, לידים), אתם מחזיקי מאגר מידע לעניין החוק. נקודות החיכוך הנפוצות:

אתר אינטרנט/חנות מקוונת — איסוף מיילים, טלפונים, כתובות, היסטוריית רכישות, Cookies. חייבים: מדיניות פרטיות שקופה, קבלת הסכמה מודעת לדיוור, אבטחה תקנית.

מערכת CRM ורשימות שיווק — כל מערכת ניהול לקוחות (Salesforce, Zoho, Monday וכד'). חייבים להגדיר מי ניגש למה, להחזיק לוגים, ולמחוק מידע שלא נחוץ עוד.

עובדים — תיקי עובד, צילומי מצלמות במשרד, ניטור מחשבים. תחום עם רגישות מיוחדת.

אירוע אבטחה (Breach) — אם פרצו לכם, יש חובת דיווח לרשות באירוע חמור (ולעיתים גם ליחידים שנפגעו) תוך פרקי זמן מוגדרים. אי-דיווח — עבירה עצמאית.

שימוש בספקי SaaS וענן — אם המידע יושב ב-AWS, Google, Azure או כל ספק חיצוני, אתם עדיין אחראים עליו. צריך הסכם עיבוד מידע (DPA) מסודר.

שיווק ודיוור — חוק הספאם (סעיף 30א לחוק התקשורת) משלים את חוק הפרטיות. שליחת מייל פרסומי בלי הסכמה = קנסות.

מינוי DPO (ממונה הגנת פרטיות) — תיקון 13 מחייב מינוי DPO בארגונים מסוימים (גופים ציבוריים, מי שמעבד מידע רגיש בהיקף גדול, מי שעיסוקו ניטור שיטתי וכד').

מה לעשות עכשיו (פרקטי, ל-SMB)

1. למפות איזה מידע אישי אתם מחזיקים, איפה הוא יושב, ומי ניגש אליו.
2. לרשום מאגרי מידע שמחויבים ברישום.
3. לכתוב מדיניות פרטיות אמיתית (לא להעתיק מאתר אחר).
4. להגדיר נוהל תגובה לאירוע אבטחה.
5. לחתום הסכמי עיבוד עם ספקים.
6. להדריך עובדים — רוב הדליפות נגרמות מטעות אנוש.
7. לבדוק אם אתם חייבים DPO.

הרשות לא מחפשת להפיל עסקים קטנים — אבל אחרי תיקון 13 היא כן מצפה שתראו שעשיתם משהו. גישה של "לא ידעתי" כבר לא מחזיקה מים.

מקורות

• הרשות להגנת הפרטיות – אתר רשמי
• הרשות להגנת הפרטיות — ויקיפדיה
• סמכויות ואכיפה של הרשות להגנת הפרטיות — תיקון 13 (DPO.org.il)
• תיקון 13 לחוק הגנת הפרטיות — מהפכה באכיפה (כלכליסט)