🔒 אבטחת מידע

תיקון 13 לחוק הגנת הפרטיות: קריאת השכמה לבעלי אתרים בישראל

📅 מאי 2026 ⏱ 6 דקות קריאה ✍️ גולן רוזוב

הערה מקדימה וחשובה: המאמר שלפניכם נועד להעלות מודעות ולספק סקירה כללית בלבד של רוח הדברים. המידע אינו מהווה ייעוץ משפטי, חוות דעת משפטית או תחליף להתייעצות עם עורך דין מומחה לדיני פרטיות וטכנולוגיה. כל החלטה או פעולה הנוגעת למדיניות האתר שלכם צריכה להיעשות בליווי מקצועי ומשפטי שמותאם ספציפית לאופי העסק שלכם.

תקציר: חוק הגנת הפרטיות עבר מתיחת פנים דרמטית שמקרבת את ישראל לסטנדרטים הבינלאומיים המחמירים. מה זה אומר על מדיניות הפרטיות של האתר שלכם, איך מנגנון האכיפה משתנה, ולמה חשיפה לתביעות היא כעת סיכון ממשי גם ללא הוכחת נזק? סקירה כללית לבעלי עסקים ופלטפורמות דיגיטליות.

עד לא מזמן, גישה רווחת בקרב בעלי אתרים בישראל הייתה להסתפק במדיניות פרטיות גנרית – מעין מסמך שהועתק מאתר אחר ונועד לצאת ידי חובה.

הגישה הזו הולכת והופכת לנחלת העבר.

עם כניסתו של תיקון 13 לחוק הגנת הפרטיות, כללי המשחק בישראל עוברים שינוי עמוק. המרחק בין החקיקה המקומית לתקנים אירופיים מחמירים (כמו ה-GDPR) הולך ומצטמצם, ולרשויות האכיפה ניתנים כלים משמעותיים יותר מאי פעם. אם אתם מפעילים אתר אינטרנט, חנות וירטואלית או אפליקציה שאוספת נתוני משתמשים – כדאי מאוד להכיר את רוח הדברים.

למה זה קורה דווקא עכשיו?

חוק הגנת הפרטיות המקורי נחקק בתקופה שבה האינטרנט היה בעיקר תיאוריה והמונח "מאגר מידע" התייחס בדרך כלל לקלסרים וניירת. ככל שהטכנולוגיה התקדמה, נוצר פער עצום בין החוק הישן לבין המציאות הדיגיטלית. תיקון 13 נועד לגשר על הפער הזה. מדובר בעדכון רגולטורי שמעביר את מוקד הכובד מהסדרה ביורוקרטית לאכיפה אקטיבית והרתעה דרך חשיפה לקנסות ולתביעות.

5 מגמות שכל בעל נכס דיגיטלי חייב להכיר

אם נתרגם את העדכונים לשפת היום-יום, אלו המגמות העיקריות שכדאי לשים אליהן לב:

1. קנסות מנהליים מהירים יותר

בעבר, תהליכי האכיפה והענישה היו מורכבים ואיטיים. התיקון החדש מעניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים (קנסות מנהליים) במסלול ישיר ומהיר הרבה יותר. מדובר בסכומי קנסות שעלולים להכביד באופן משמעותי על בתי עסק, והרשות יכולה להטיל אותם בגין עצם ההפרה של הוראות החוק (למשל, שימוש במידע למטרה שלא הוסכמה, או כשלי אבטחת מידע) – כל זאת מבלי שהיא צריכה להוכיח שנגרם נזק ממשי לאדם כלשהו.

2. האיום הכפול: תביעות אזרחיות "ללא הוכחת נזק"

מעבר לרגולטור, קיים סיכון ממשי גם מצד הגולשים עצמם. חוק הגנת הפרטיות מאפשר לאדם פרטי להגיש תביעה אזרחית בגין פגיעה בפרטיותו ולדרוש פיצוי כספי קבוע מראש (סטטוטורי) – גם אם לא הצליח להוכיח שנגרם לו נזק בפועל.

השילוב של סעיף זה עם ההגדרות והחובות החדשות בתיקון 13, מייצר כר פורה להגשת תביעות פרטיות ואף ייצוגיות כנגד בעלי אתרים שלא יתיישרו עם הדרישות החדשות.

3. התרחבות ההגדרה של "מידע אישי"

כבר לא מדובר רק בתעודות זהות, פרטי כרטיס אשראי או מידע רפואי רגיש. התיקון החדש מבהיר כי ההגדרה למידע אישי התרחבה מאוד וכוללת כל נתון שעשוי להוביל לזיהוי של אדם.

המשמעות היא שגם כתובות IP שנשמרות ביומני השרת, טכנולוגיות מעקב (Cookies), פיקסלים של רשתות חברתיות ונתוני מיקום גיאוגרפי – כל אלו עשויים להיחשב תחת החוק כמידע אישי לכל דבר ועניין, המחייב אבטחה וניהול הסכמות נכון.

4. דרישות חדשות למינוי "ממונה הגנת פרטיות"

התיקון מרחיב את המקרים בהם ארגונים נדרשים למנות פונקציה מקצועית וייעודית שתיקרא "ממונה הגנת פרטיות". למרות שלעתים נהוג לחשוב שזו דרישה ששמורה לתאגידי ענק בלבד, ייתכן שגם חברות סטארט-אפ, סוכנויות דיגיטל ואתרים שמנהלים מאגרי מידע משמעותיים כחלק מפעילותם, ימצאו את עצמם כפופים לחובה הזו.

5. מהפכת הרישום: פחות טפסים, הרבה יותר אחריות

נקודה מעניינת נוספת היא צמצום החובה לרשום כל מאגר מידע קטן אצל הרשם, תהליך שהיה בעבר מסורבל מאוד. המיקוד עובר כעת למאגרים רגישים או גדולים במיוחד. יחד עם זאת, חשוב להבין: פטור מרישום מאגר אינו מהווה פטור מאבטחת המידע שעליו. להפך – הציפייה היא שכעת העסקים יפנו את המשאבים שחסכו בביורוקרטיה לטובת הגנה טכנולוגית ותפעולית על הדאטה.

איך נהוג להתכונן למציאות החדשה? (נקודות למחשבה)

למרות שהמחוקק הגדיר תקופת היערכות עד לכניסתו המלאה של התיקון לתוקף, מומלץ לא להמתין לדקה ה-90. הנה מספר צעדים מקובלים שבעלי אתרים וחברות מתחילים ליישם כבר היום בליווי אנשי מקצוע:

  1. מיפוי מידע (Data Mapping): הבנה יסודית של זרימת המידע בעסק. איזה מידע נאסף? דרך אילו טפסים או טכנולוגיות? היכן הוא מאוחסן בשרתים ולמי מוענקת גישה אליו?
  2. עיקרון צמצום המידע: אימוץ גישה מחמירה יותר של "מה שלא הכרחי – לא נאסף". ככל שהאתר יחזיק בפחות מידע עודף שאינו נדרש לפעילותו השוטפת, כך תפחת החשיפה במקרים של פריצת אבטחה או תביעה.
  3. בחינה מחדש של מדיניות הפרטיות: ודאו בעזרת איש מקצוע שמסמך מדיניות הפרטיות שלכם משקף במדויק ובשקיפות את הפעילות בפועל, מסביר בשפה ברורה מטרות איסוף, העברות מידע לצדדים שלישיים, ודרכי התקשרות.
  4. ניהול הסכמות: בדיקה האם המשתמשים מספקים הסכמה מודעת ומפורשת לאיסוף המידע שלהם (למשל, מנגנוני אישור דיוור או שימוש בעוגיות, המופרדים באופן ברור מתקנון האתר הכללי).
  5. בקרת ספקים חיצוניים: מיפוי הספקים החיצוניים שחשופים למידע (כגון מערכות CRM, חברות דיוור או שירותי ענן) ובחינת ההתאמה שלהם להנחיות גנת הפרטיות.

לסיכום

תיקון 13 הוא קריאת כיוון ברורה: פרטיות דיגיטלית בישראל היא כבר לא עניין של המלצה שיווקית, אלא סטנדרט ניהולי מחייב עם משמעויות דרמטיות להפרתו. מעבר לניהול הסיכונים היבש, מדובר בהזדמנות עסקית. לקוחות וגולשים כיום מודעים הרבה יותר לדאטה שלהם, והם נוטים להעריך ולתת אמון באתרים ששקופים מולם ושומרים על פרטיותם ברצינות.

מילות מפתח: הגנת הפרטיות באתרים, תיקון 13 חוק הגנת הפרטיות, תביעה ללא הוכחת נזק, מדיניות פרטיות לאתר, אבטחת מידע, GDPR בישראל, הרשות להגנת הפרטיות, עיצומים כספיים, רגולציה בדיגיטל.

צריך עזרה בהתאמת האתר לדרישות תיקון 13?

קבל ייעוץ חינם