תיקון 13 לחוק הגנת הפרטיות — המדריך השלם לעסקים קטנים ובינוניים בישראל

באוגוסט 2025 נכנס לתוקף תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א-1981. זהו השינוי המשמעותי ביותר בחקיקת הפרטיות בישראל מאז חקיקת החוק המקורי, והוא משנה את כללי המשחק עבור כל עסק שמחזיק או מעבד מידע אישי של ישראלים — כלומר, כמעט כל עסק במדינה.

אם אתם מנהלים עסק קטן או בינוני, אתם כנראה כבר שמעתם את המונחים "DPO", "מאגרי מידע", "אירוע אבטחה — 72 שעות" ו"קנס של 5% מהמחזור". המדריך הזה מסביר במילים פשוטות מה החוק החדש דורש מכם, איך להיערך בלי לפרק את התקציב, ומה הסיכון האמיתי אם לא תעשו כלום.

הכתוב כאן הוא מידע מקצועי כללי ולא ייעוץ משפטי. במקרים גבוליים — תתייעצו עם עו"ד.

מה זה תיקון 13?

תיקון 13 הוא רפורמה מקיפה שמיישרת את חוק הגנת הפרטיות הישראלי עם תקני GDPR האירופי. בפועל זה אומר שלוש מהפכות:

  1. חיזוק סמכויות הרשות להגנת הפרטיות — הרשות קיבלה סמכויות אכיפה ועיצומים כספיים שלא היו קיימות בעבר.
  2. חובות חדשות על "בעלי מאגרי מידע" — כלומר העסקים — בתחומי מינוי DPO, מיפוי מאגרים, ניהול הסכמות ודיווח על אירועים.
  3. קנסות משמעותיים — עד מיליוני שקלים, ובמקרים חמורים אחוז מהמחזור השנתי.

החוק החדש לא מבטל את ההגדרות הישנות אלא מרחיב אותן, מחמיר את הציות הנדרש ומכניס מנגנון אכיפה אמיתי.

למי זה רלוונטי?

קצרה: לכל גוף עסקי או ציבורי בישראל שמעבד מידע אישי. "מידע אישי" כולל שם, תעודת זהות, אימייל, טלפון, כתובת, נתוני שכר, נתוני בריאות, היסטוריית רכישות, IP, cookies, מיקום, ועוד.

זה אומר שאתם תחת החוק אם אתם:

  • מעסיקים עובדים ומחזיקים תיקי כוח אדם (HR, שכר, נוכחות).
  • מנהלים CRM עם רשימת לקוחות, לידים או ספקים.
  • מפעילים אתר אינטרנט שאוסף לידים, מבצע מכירות, או מטמיע cookies וכלי analytics.
  • עוסקים בבריאות, סיעוד או חינוך — תחומים שבהם המידע רגיש במיוחד.
  • רשות מקומית, עירייה או גוף ציבורי — כפופים לדרישות מחמירות יותר.
  • ספק שירות שמעבד מידע עבור לקוח אחר (מה שהחוק מכנה "מחזיק" או "מעבד") — גם אתם חייבים.

עסק עם 5 עובדים שמחזיק רשימת לקוחות באקסל — תחת החוק. סטארטאפ עם 1,000 משתמשים רשומים — תחת החוק. קליניקה פרטית שמנהלת תיקי מטופלים — תחת החוק במשנה תוקף.

חובת מינוי DPO — מי חייב?

DPO (Data Protection Officer, "ממונה הגנת פרטיות") הוא גורם מקצועי האחראי על עמידת הארגון בחוק. החוק מחייב מינוי DPO באחד מהמקרים הבאים:

  • גוף ציבורי (משרד ממשלתי, רשות מקומית, תאגיד סטטוטורי) — חובה.
  • מאגר מידע גדול — לפי הנחיות הרשות, מאגרים המעבדים מידע של 10,000 נושאי מידע ומעלה.
  • עיבוד מידע רגיש בהיקף משמעותי — נתוני בריאות, מצב פיננסי, דעות פוליטיות, מוצא, נטייה מינית, נתונים ביומטריים.
  • ניטור שיטתי של נושאי מידע — חברות שעוסקות במעקב התנהגותי, פרסום ממוקד, scoring אשראי.

עסקים קטנים שלא חוצים את הסף הזה לא חייבים DPO רשמי, אבל כן חייבים להגדיר גורם אחראי לנושא — בעל תפקיד פנימי או שירות חיצוני.

DPO יכול להיות עובד פנימי או שירות חיצוני ("DPO as a Service"). עבור רוב העסקים הקטנים והבינוניים, DPO חיצוני זול ומקצועי יותר — חוסך גיוס, הכשרה וניהול שוטף.

חובת רישום מאגרי מידע

בעבר חובת הרישום אצל רשם מאגרי המידע הייתה רחבה ולא מאוד אכיפה. תיקון 13 מצמצם את חובת הרישום הפורמלי, אבל מחמיר את חובת המיפוי הפנימי.

בפועל זה אומר שכל עסק חייב להחזיק "מרשם מאגרים פנימי" שמתעד:

  • אילו מאגרי מידע קיימים בארגון (CRM, HR, מערכת הזמנות, מאגר לידים מהאתר וכו').
  • איזה סוג מידע כל מאגר מכיל.
  • מי הגישה אליו ומה רמת ההרשאות.
  • היכן המידע נשמר פיזית (שרת מקומי, ענן, ספק SaaS).
  • מי הספקים החיצוניים שמעבדים את המידע מטעמכם (Microsoft 365, Google Workspace, Salesforce, ספק שכר וכו').
  • אורך חיי שמירת המידע ומדיניות מחיקה.

הרשות יכולה לדרוש לראות את המרשם הזה בכל ביקורת.

הסכמת נושא המידע

החוק החדש מחדד את כללי ההסכמה: היא חייבת להיות מפורשת, מדעת, ספציפית וניתנת לביטול. עידן הסעיפים הקטנים בסוף הטופס נגמר.

מה זה אומר בפועל:

  • טפסי הרשמה ולידים באתר — צריך ניסוח ברור על מה המשתמש מסכים, איזה מידע נאסף ולאיזו מטרה.
  • ניוזלטר ופרסום — אין יותר "הסכמה מובלעת" מעצם רכישה. דרושה תיבת סימון נפרדת.
  • Cookies ו-tracking — דרושה הסכמה אקטיבית לפני טעינת cookies לא חיוניים (cookie banner אמיתי, לא מודעה).
  • זכות העיון, התיקון והמחיקה — נושא המידע יכול לדרוש לראות מה אתם מחזיקים עליו, לתקן או למחוק. אתם חייבים להגיב תוך 30 יום.

דיווח על אירוע אבטחה — 72 שעות

זו אחת ההוראות המחמירות ביותר בתיקון. אם התרחש אירוע אבטחה חמור — דליפת מידע, ransomware, גישה לא מורשית, אובדן מכשיר עם מידע — חובה לדווח לרשות להגנת הפרטיות תוך 72 שעות מרגע הגילוי.

מה החוק מגדיר כאירוע מדווח?

  • חדירה לא מורשית למאגר מידע.
  • דליפה של מידע אישי (פנימה או החוצה).
  • שיבוש המאגר באופן שמונע גישה (כולל ransomware).
  • אובדן או גניבת מכשיר שמכיל מידע אישי לא מוצפן.

במקרים מסוימים גם חובה ליידע את נושאי המידע עצמם (הלקוחות/העובדים שהמידע שלהם נחשף).

72 שעות זה זמן קצר. בלי תהליך מוכן מראש — playbook, רשימת אנשי קשר, טפסי דיווח — אי אפשר לעמוד בזה. זה הסעיף שמפיל הכי הרבה עסקים בביקורת.

סנקציות וקנסות

הרשות להגנת הפרטיות מקבלת בתיקון 13 סמכות להטיל עיצומים כספיים משמעותיים. המדרג:

  • הפרות "רגילות" — עד מאות אלפי שקלים לכל הפרה.
  • הפרות חמורות — עד מיליוני שקלים, ועד 5% מהמחזור השנתי של התאגיד.
  • הפרות חוזרות — קנסות מוכפלים.
  • חשיפה אזרחית — נושאי מידע שניזוקו יכולים לתבוע פיצוי, גם ללא הוכחת נזק ממשי במקרים מסוימים.

מעבר לקנס, יש גם נזק תדמיתי: הרשות מפרסמת החלטות אכיפה, וזה מגיע לתקשורת.

רשימת ביקורת מעשית לעסק קטן

צ'קליסט להתחיל מחר בבוקר:

  • ☐ מיפוי כל המאגרים שיש בארגון (CRM, HR, אקסלים, ענן, מערכות SaaS).
  • ☐ זיהוי איזה מידע אישי נשמר בכל אחד, ומי הגישה אליו.
  • ☐ הסרת הרשאות מיותרות — לא כל עובד צריך גישה לכל המידע.
  • ☐ הצפנה של מאגרים רגישים (at rest) וכל תעבורת רשת (in transit — HTTPS, VPN).
  • ☐ עדכון מדיניות פרטיות באתר — בעברית ברורה, לא תרגום מ-GDPR.
  • ☐ Cookie banner תקני עם הסכמה אקטיבית.
  • ☐ הסכמי DPA (Data Processing Agreement) עם כל ספק שמעבד מידע מטעמכם.
  • ☐ Playbook לאירוע אבטחה — מי מודיע, למי, באיזה טופס, תוך כמה זמן.
  • ☐ הדרכת עובדים בנושא פרטיות וזיהוי ניסיונות phishing.
  • ☐ מינוי גורם אחראי או שכירת DPO חיצוני.

כמה זה עולה להתאים את העסק?

מספרים אמיתיים מהשטח (2025-2026):

  • ייעוץ חד-פעמי + מיפוי מאגרים + מסמכי מדיניות — ₪8,000-₪25,000, תלוי בגודל וברמת המורכבות.
  • DPO חיצוני (DPO as a Service) — ₪2,500-₪7,000 לחודש לעסק קטן-בינוני (10-150 עובדים).
  • DPO פנימי במשרה מלאה — ₪25,000-₪40,000 ברוטו לחודש כולל עלויות מעביד, מתאים לארגון מעל 200 עובדים.
  • התקנת מערכות הצפנה, גיבוי וניטור (SIEM/EDR) — ₪500-₪3,000 לחודש לפי גודל.
  • תרגיל סימולציית דליפה (Tabletop) — ₪5,000-₪12,000 לאירוע.
  • קנס יחיד בהפרה רצינית — מאות אלפי שקלים עד מיליונים.

הציות הוא לא הוצאה — הוא ביטוח. עלות הקנס הראשון לבדו מכסה שנים של DPO חיצוני.

טעויות נפוצות שכדאי להימנע מהן

  1. "זה לא רלוונטי לעסק קטן" — טעות. אין סף תחתון בחוק. עסק עם 3 עובדים תחת אותו חוק.
  2. העתקה של מדיניות פרטיות מאתר אחר — מסמכים גנריים לא מגנים בביקורת. צריך מסמך שמתאר את העסק הספציפי.
  3. התעלמות מספקים — אתם אחראים על מה שספק חיצוני עושה עם המידע שלכם. בלי DPA חתום, האחריות עליכם.
  4. גיבויים לא מוצפנים — disk חיצוני בכספת זה לא פתרון. גיבוי חייב להיות מוצפן ולעבור בדיקת שחזור.
  5. השארת חשבונות של עובדים שעזבו — אחת הנקודות הראשונות שבודקים. מנגנון offboarding מיידי.

איך SYSTRU עוזרת?

אנחנו ב-SYSTRU מציעים שירותי DPO as a Service ייעודיים לעסקים קטנים ובינוניים בישראל — מיפוי מאגרים, מסמכי מדיניות בעברית ובאנגלית, ניהול הסכמי DPA, הדרכת עובדים, ליווי שוטף וטיפול באירועי אבטחה כולל הדיווח ל-72 השעות.

הליווי שלנו משלב את הצד המשפטי-רגולטורי עם הצד הטכני (אבטחת מידע, IT, הצפנה), כך שמקבלים פתרון אחד שלם במקום לרוץ בין יועצים. למידע נוסף — שירות ה-DPO שלנו.

שאלות נפוצות

האם תיקון 13 כבר בתוקף? כן. החוק נכנס לתוקף ב-2025 ורשות הגנת הפרטיות החלה לפעול במתכונת האכיפה החדשה. תקופת ההסתגלות הסתיימה ויש כבר תקדימי אכיפה.

האם עוסק מורשה או עוסק פטור חייב גם הוא? כן. החוק חל על מבנה הפעילות (עיבוד מידע אישי), לא על המבנה המיסויי. גם עוסק עצמאי שמנהל רשימת לקוחות באקסל כפוף לחוק.

מה ההבדל בין DPO ל"ממונה אבטחת מידע"? ממונה אבטחת מידע (CISO) אחראי על ההגנה הטכנית — מערכות, רשת, איומים. DPO אחראי על העמידה בחוק הפרטיות — מסמכים, הסכמות, זכויות נושאי מידע. בעסקים קטנים אותו אדם או ספק יכול לכסות את שני התפקידים.

האם הסכמה שניתנה לפני תיקון 13 עדיין תקפה? תלוי. אם ההסכמה ניתנה באופן שעומד בסטנדרט החדש (מפורש, ספציפי, מדעת) — תקפה. אם הייתה הסכמה כללית ומובלעת — צריך להחתים מחדש או למחוק את המידע.

מה קורה אם פוגעים בזכויות נושא המידע בטעות? אין חסינות לטעויות. רשות הפרטיות שוקלת את הנסיבות — האם היה תהליך, האם דיווחתם, האם תיקנתם — אבל "לא ידעתי" אינו הגנה. הצגת תהליכי ציות מקלה משמעותית בעיצומים.

סיכום

  • תיקון 13 חל על כל עסק שמעבד מידע אישי — אין סף תחתון.
  • חובת מינוי DPO קיימת לארגונים מסוימים; לאחרים — חובת גורם אחראי.
  • דיווח על אירוע אבטחה תוך 72 שעות — דורש תהליך מוכן מראש.
  • קנסות עד 5% מהמחזור — הציות זול בהרבה מהקנס. השקעה של עשרות אלפי שקלים בשנה מונעת חשיפה למיליונים.