חזרה | מרץ 2025

תיקון 13 לחוק הגנת הפרטיות: שינוי כללי המשחק?

שמשון מורפורגו, ראש תחום ייעוץ פרטיות

ממש בקרוב, באוגוסט 2025, זה קורה: תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף, ומי שלא נערך – מסתכן בקנסות, תביעות ופגיעה במוניטין. אחרי עשורים של חקיקה מיושנת, ישראל מתקרבת לסטנדרטים הבינלאומיים של ה-GDPR, עם חובות חדשות, רגולציה הדוקה ואכיפה אמיתית. אם העסק שלכם שומר, מעבד או שולט במידע אישי – הגיע הזמן להבין את המשמעות ולהיערך בהתאם.

השינויים המרכזיים בתיקון 13

חובות חדשות על עסקים – כל בעל שליטה במאגר מידע מחויב לשקיפות רחבה יותר ולמתן מענה לזכויות נושאי מידע, כמו עיון ומחיקה.

הרשות להגנת הפרטיות מקבלת סמכויות אכיפה חסרות תקדים – כולל קנסות שמגיעים למאות אלפי שקלים פר הפרה.

הגדרת "מידע אישי" מתרחבת – כל מה שמזהה אדם, כולל מזהים דיגיטליים ונתוני מיקום, נמצא תחת הרגולציה.

חובת רישום מאגרי מידע מצטמצמת משמעותית – רק גופים מעטים יצטרכו לרשום מאגרי מידע, אבל זה לא אומר שהם פטורים מחובות אחרות.

חובת מינוי ממונה הגנת פרטיות (DPO) – גופים מסוימים יחויבו למנות ממונה על הגנת הפרטיות עם סמכויות אמיתיות ומשאבים למילוי תפקידו.

פיצויים ללא הוכחת נזק – תביעות פרטיות נגד עסקים שלא עומדים בדרישות החוק ייעשו קלות מתמיד, והסיכון לפיצויים עונשיים עולה משמעותית.

הרחבת ההגדרות – כבר אי אפשר להתחמק

מידע אישי

בעבר החוק דיבר על "מידע" והרבה נתונים חמקו מההגדרה של מונח זה. עכשיו ההגדרה היא "מידע אישי" – והיא כוללת כל נתון שמזהה אדם, כולל מזהים טכנולוגיים, כתובת IP, נתוני שימוש במכשירים, ואפילו חוות דעת מקצועיות עליו. בקיצור- כל מידע על אדם מוגן מכוח החוק. 

קטגוריות חדשות של מידע רגיש

הוספה הגדרת "מידע בעל רגישות מיוחדת" והוא כולל מידע רפואי, נתוני תקשורת, מידע ביומטרי, עבר פלילי, נתוני מיקום ופרטים פיננסיים. נתונים כאלה ידרשו הגנה מוגברת, והקנסות על הפרות ביחס למידע שכזה יהיו גבוהים יותר.

"בעל מאגר" הופך ל"בעל שליטה במאגר מידע"

תיקון 13 מיישר קו עם ה-GDPR: חברה אינה "בעלת" המידע של הלקוחות שלה – היא רק שולטת בו, ולכן,גם חייבת להגן עליו ולאסוף אותו באופן חוקי.

בעבר, מחזיק במאגר היה רק מי שהמידע אצלו באופן קבוע. גופים שקיבלו גישה מוגבלת למידע ניסו להתחמק מהחובות שחלות על ״מחזיק״. כל גורם חיצוני שמעבד מידע עבור בעל השליטה במאגר ייחשב למחזיק (מקביל ל-Processor ב-GDPR). זה אומר שבעלי השליטה במאגר יהיה חייבים להחתים את המחזיקים על נספחי אבטחה (DPAs) מקיפים בהרבה. 

צמצום חובת רישום מאגרים; הוספת חובת הודעה

רוב העסקים כבר לא יצטרכו לרשום מאגרי מידע – אותה חובה מיושנת שלמרבה הצער גנבה הרבה תשומת לב מחברות על חשבון עמידה בחובות מהותיות בהרבה. מאידך, חובת ההודעה מחייבת גופים המחזיקים מידע רגיש על יותר מ-100,000 אנשים להודיע על כך לרשות, כולל שיתוף במסמך הגדרות המאגר, מסירת פרטים רבים וכן את פרטי הממונה על הגנת פרטיות.

שקיפות ויידוע

התיקון מרחיב את חובות הגילוי והיידוע. יש לעדכן מסמכי מדיניות פרטיות שלא עומדים בדרישות התיקון, הנחיות הרשות והתקנות הרלוונטיות. 

צמידות המטרה

החוק מחייב להשתמש במידע רק למטרה שלשמה הוא נאסף. שימוש נוסף במידע בלי הרשאה מפורשת = הפרת חוק, עם חשיפה לקנסות ועיצומים, ואף חשיפה לפלילים. 

דוגמה: סטארטאפ אוסף מידע על משתמשים לטובת "שיפור השירות". אם פתאום הוא משתמש בנתונים לפרסום ממוקד – זו הפרה. כדי לעשות זאת, הוא חייב לקבל הסכמה תקפה.

האכיפה מגיעה – והפעם עם כוח אמיתי

קנסות מנהליים

החוק מעניק לרשות להגנת הפרטיות סמכויות אכיפה דרמטיות, כולל קנסות של מאות אלפי שקלים על כל הפרה.

פיצויים ללא הוכחת נזק 

נפגעתם מהפרת פרטיות? אפשר לתבוע פיצוי של עד 10,000 ש"ח גם בלי להוכיח שנגרם לכם נזק. המשמעות? גל תביעות פרטיות נגד עסקים שלא עומדים בדרישות החוק. 

דוגמה: בנק קיבל בקשה לעיון במידע ולא טיפל בה בזמן? ארגון לא סיפק מדיניות פרטיות מספקת לעובדיו בעת איסוף המידע עליהם? כל אדם בודד שנפגע יוכל לתבוע ללא הוכחת נזק אלפי שקלים. 

שיימינג ופגיעה מוניטין?

בנוסף לקנסות, הרשות תפרסם את שמות החברות שנמצאו מפרות את החוק – מה שיכול לפגוע במוניטין בצורה קשה. כמובן שהכוונה להציג את שיקול דעתה ושקיפות בפעילותה – אך פוטנציאל הנזק, ובכן, הוא אדיר.

איך להתכונן?

כדי לצמצם סיכונים, כל ארגון צריך להתחיל להיערך עכשיו. למעשה, ההיערכות הייתה צריכה להתחיל לפני חודשים, אבל עדיין ניתן להספיק לבצע את הצעדים הקריטיים שיבטיחו עמידה בדרישות החוק והפחתת חשיפות משפטיות ועסקיות.

1. סקר פערי ציות, מיפוי מידע והערכת סיכונים

מיפוי מקיף של המידע – אילו נתונים נאספים? מאילו מקורות? למה הם נאספים? כמה זמן נשמרים? מי ניגש אליהם? כל תהליך בארגון צריך להיות מתועד וברור.

בדיקת ציות לדרישות החדשות (והקיימות) – האם מדיניות הפרטיות שלכם עומדת בחובות השקיפות המורחבות? האם יש תיעוד על הבסיס החוקי לכל עיבוד?

סקר סיכונים לפרטיות ואבטחת מידע – יש לזהות נקודות תורפה בטיפול במידע אישי ולתקן אותן. לדוגמה, האם יש גישה לא מורשית למידע? האם יש מדיניות ברורה לגבי מחיקת נתונים?

בחינת הסכמים עם צדדים שלישיים – ספקים שמעבדים מידע עבורכם חייבים להיות כפופים לחובות פרטיות מוגדרות בחוזים בהתאם לתקנה 15 לתקנות אבטחת מידע. גם הליך החתמת ספק חייב לעמוד בדרישות החוק.

2. עדכון מדיניות פרטיות ונהלי שקיפות

כתיבה מחדש של מדיניות פרטיות – טקסט כללי או לא ברור לא עומד ברף החוקי. כל גוף צריך לעדכן את מסמכי הפרטיות כך שיכללו פירוט מלא על איסוף, עיבוד, ושיתוף מידע בהתאם לחובות הגילוי והתקנות הרלוונטיות.

עדכון טפסי הסכמה והודעות פרטיות – טפסי הצטרפות, הרשמות, וטפסי יצירת קשר צריכים להיות מותאמים לדרישות הגילוי וההסכמה החדשות.

הסדרת מנגנוני מימוש זכויות ונהלי טיפול בבקשות – אם אדם מבקש למחוק את נתוניו או לעיין בהם – מי מטפל בזה? תוך כמה זמן? יש לקבוע מנגנון ברור ולתעד כל בקשה. עם פתיחת המסלול המהיר לתביעות בנושא, סביר כי יוגשו בקשות, תלונות ותביעות בהיקפים שלא הכרנו.

3. בחינת צורך במינוי ממונה על הגנת הפרטיות (DPO)

בדקו האם הארגון שלכם מחויב במינוי ממונה הגנת פרטיות. אם אתם גוף ציבורי, "סוחר מידע", או מעבדים מידע רגיש בהיקף משמעותי – כנראה שהתשובה היא כן.

אם הארגון חייב למנות DPO, זה צריך לקרות לפני כניסת החוק לתוקף, עם הגדרת סמכויות, תהליכי דיווח פנימיים והכשרה מספקת לתפקיד.

גם אם אין חובה פורמלית, מומלץ למנות גורם אחראי לניהול נושא הפרטיות בארגון, כדי להבטיח שהחוק נאכף כנדרש.

4. חיזוק אבטחת המידע ובקרות פנימיות

בדיקת נהלי אבטחת מידע – לוודא שכל מערכות ה-IT והמסמכים הפנימיים עומדים בסטנדרטים מקובלים ובדרישות התקנות. לראשונה, התיקון מאפשר הטלת קנסות כבדים על הפרת חובות אבטחה מכוח התקנות. 

ניהול הרשאות גישה – מידע אישי צריך להיות נגיש רק למי שבאמת צריך אותו לצורך העבודה. כל גישה מיותרת היא סיכון.

עדכון נהלי שמירת ומחיקת מידע – ארגונים צריכים לקבוע מדיניות מחיקה אוטומטית לנתונים שאין בהם צורך יותר.

תוכנית תגובה לדליפות מידע ואירועי אבטחה – הכנת נוהל ברור למקרה של אירוע אבטחה הכולל דליפת מידע אישי, עם מנגנון דיווח פנימי וחיצוני.

5. הדרכת עובדים ויצירת תרבות פרטיות

חוסר מודעות של עובדים = סיכון להפרת החוק. עובדים שלא מבינים פרטיות עלולים לחשוף את הארגון לתביעות וקנסות.

יש להטמיע תוכנית הדרכה ארגונית קבועה, כולל הנחיות לגבי טיפול נכון במידע אישי.

הגדרת תהליכי דיווח – אם עובד נתקל במשהו שנראה לו כמו הפרת פרטיות, האם הוא יודע למי לפנות?

סיכום

בתשובה לשאלה שבכותרת המאמר: כן! תיקון 13 אכן משנה את כללי המשחק. מי שיחכה לרגע האחרון – עלול לשלם את המחיר ולהיות מקרה הבוחן של הרשות. ארגונים שלא ייערכו יחשפו את עצמם לקנסות, תביעות וסיכונים תדמיתיים.

החדשות הטובות? מי שיפעל נכון, ירוויח. ארגון שמנהל מידע אישי באחריות ושקיפות לא רק ימנע הפרות – הוא גם יזכה לבניית אמון מול לקוחות ועובדים, יפחית סיכונים משפטיים ויעמוד בסטנדרטים הבינלאומיים.

אל תחכו. התחילו לפעול עכשיו. נשמח לעזור.

 LinkedIn | samson@trustiz.ai
המאמר נכתב על ידי עו"ד שימי מורפורגו, DPO מוסמך ומומחה בתחום הגנת הפרטיות ואבטחת מידע. עם ניסיון עשיר בליווי חברות וארגונים ושנים של עבודה במשרדים הטובים בישראל, שימי מתמחה בבניית תוכניות ציות, ניהול סיכוני פרטיות והטמעת מדיניות אבטחת מידע. כמו כן, הוא מרצה ומעביר הדרכות מקצועיות לארגונים בתחומים אלו.