הגנת מידע ורגולציה

תיקון 13 לחוק הגנת הפרטיות

כיצד להתכונן ולהגן על העסק שלך בעידן החוק החדש

22 אוקטובר 2025
⚖️

ב-14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – אחד התיקונים המשמעותיים והמרחיקי לכת בתחום הגנת המידע האישי בישראל. תיקון זה מהווה מהפכה אמיתית בדרישות הציות, בסמכויות האכיפה ובחובות הארגונים. במאמר זה נסביר את כל השינויים המרכזיים, נבהיר למי התיקון רלוונטי, ונציג תוכנית פעולה מעשית מלאה להכנת הארגון שלכם לחוק החדש.

מדוע תיקון 13 הוא כה משמעותי?

חוק הגנת הפרטיות, התשמ"א-1981, עבר שינויים רבים לאורך השנים, אך תיקון 13 מייצג קפיצת מדרגה משמעותית. התיקון מתאם את החקיקה הישראלית לסטנדרטים בינלאומיים מתקדמים, בעיקר GDPR האירופי (General Data Protection Regulation), ומטיל דרישות חדשות ומחמירות על כל ארגון המעבד נתונים אישיים – גדול או קטן.

📊 למי זה רלוונטי?

תיקון 13 חל על כל ארגון בישראל שעוסק באחד מאלה:

  • איסוף מידע אישי – שמות, כתובות, מספרי טלפון, אימיילים
  • עיבוד נתונים – אחסון, ניתוח, שיתוף או מכירת מידע
  • ניהול לקוחות – מערכות CRM, רשימות תפוצה, בסיסי נתונים
  • שירותים דיגיטליים – אתרי אינטרנט, אפליקציות, מסחר אלקטרוני
  • ניהול עובדים – מערכות שכר, נוכחות, וניהול משאבי אנוש

במילים פשוטות: כמעט כל עסק בישראל נדרש לעמוד בדרישות החוק החדש.

השינויים המרכזיים בתיקון 13

תיקון 13 מביא עימו שינויים מהותיים בכל היבט של הגנת הפרטיות. הנה החמישה השינויים החשובים ביותר שכל ארגון חייב להכיר:

🔍 1. הרחבת הגדרת "מידע אישי"

בעבר, הגדרת "מידע אישי" הייתה מצומצמת יחסית. תיקון 13 מרחיב משמעותית את ההגדרה וכולל כעת:

  • מידע זיהוי ישיר – שם, ת.ז., מספר טלפון, כתובת
  • מידע זיהוי עקיף – כתובת IP, מזהה מכשיר (Device ID), עוגיות (Cookies)
  • נתוני מיקום – GPS, נתוני Wi-Fi, מיקום משוער
  • נתונים ביומטריים – טביעת אצבע, זיהוי פנים, סריקת קשתית
  • נתונים רגישים – מצב בריאות, השקפות פוליטיות, נטיות מיניות
  • היסטוריית גלישה – פעילות באתר, התנהגות דיגיטלית

משמעות מעשית: כל מידע שניתן באמצעותו לזהות אדם – במישרין או בעקיפין – נחשב כעת למידע אישי הדורש הגנה מלאה.

💰 2. חיזוק סמכויות האכיפה ועיצומים כספיים

זהו השינוי שמעורר את המודעות הגדולה ביותר בקרב ארגונים: הרשות להגנת הפרטיות קיבלה סמכויות אכיפה חדות ביותר.

עיצומים כספיים:

  • עד 5% ממחזור העסקי השנתי של הארגון – או מיליוני שקלים
  • עיצום יומי בגין אי תיקון הפרה מתמשכת
  • צווי הפסקת פעילות במקרים חמורים
  • פרסום ההפרה לציבור – פגיעה במוניטין וברמת האמון

⚠️ זוהי החמרה משמעותית לעומת העבר – הרשות כעת יכולה להטיל קנסות גבוהים ביותר ללא צורך בהליכים משפטיים ארוכים.

👤 3. חובת מינוי ממונה על הגנת הפרטיות (DPO)

אחד החידושים המשמעותיים הוא חובת מינוי ממונה על הגנת הפרטיות (Data Protection Officer - DPO) בארגונים מסוימים.

מי חייב למנות DPO?

  • • ארגונים שמעבדים מידע אישי בהיקף נרחב
  • • גופים ציבוריים ורשויות
  • • ארגונים שעוסקים בעיבוד נתונים רגישים (בריאות, פיננסים, וכו')
  • • חברות שעוסקות בניטור שיטתי של אנשים (מערכות מעקב, אנליטיקה)

תפקידי ה-DPO:

  • • להבטיח עמידה בחוק הגנת הפרטיות
  • • להדריך את הארגון בנושאי הגנת מידע
  • • לשמש נקודת קשר עם הרשות להגנת הפרטיות
  • • לטפל בפניות ובתלונות של נושאי המידע
  • • לבצע הערכות השפעה על הפרטיות (DPIA)

4. הארכת תקופת ההתיישנות לתביעות

תיקון 13 מאריך משמעותיי את תקופת ההתיישנות לתביעות על הפרות פרטיות:

קודם: תקופת התיישנות של 3 שנים
אחרי תיקון 13: תקופת התיישנות של 7 שנים

משמעות: ארגונים צריכים לשמור תיעוד מפורט של מדיניות הפרטיות ונהלים למשך תקופה ארוכה יותר, והחשיפה המשפטית גדלה משמעותית.

5. חובות חדשות על ארגונים – שקיפות ותיעוד

תיקון 13 דורש שקיפות מלאה כלפי נושאי המידע וחובת תיעוד מפורטת:

  • מדיניות פרטיות מעודכנת וברורה – פירוט מלא על סוגי המידע, מטרות העיבוד, משך השמירה
  • הסכמה מפורשת – בחלק מהמקרים נדרשת הסכמה אקטיבית מנושאי המידע
  • זכויות מורחבות לנושאי מידע – זכות למחיקה, זכות לתיקון, זכות לגישה למידע
  • דיווח על פרצות אבטחה – חובה לדווח לרשות תוך 72 שעות על דליפות מידע
  • רישום פעולות עיבוד – תיעוד מלא של כל פעילות עיבוד מידע בארגון

כיצד להתכונן לתיקון 13? תוכנית פעולה מעשית

להלן תוכנית פעולה מפורטת וממוקדת שתעזור לכם להיערך בצורה יעילה ומקצועית לדרישות החוק החדש. החלוקה לצעדים ברורים תאפשר לכם להתקדם באופן שיטתי.

שלבפעולה נדרשתפירוט ויישוםאחריות
1מיפוי המידע האישיזהו את כל סוגי הנתונים האישיים שהארגון אוסף, מעבד ושומר. צרו מסמך "מפת נתונים" הכולל: מקור הנתונים, מטרת האיסוף, מיקום האחסון (שרתים, ענן, קבצים מקומיים), משך זמן השמירה, ומי יכול לגשת אליהם. שימו דגש מיוחד על נתונים רגישים כמו מידע רפואי או פיננסי.IT + הנהלה
2עדכון מדיניות הפרטיותשכתבו או עדכנו את מדיניות הפרטיות של הארגון. המסמך צריך להיות ברור, מובן ונגיש לכולם – לא בשפה משפטית מסובכת. פרטו בדיוק אילו נתונים אתם אוספים, למה אתם משתמשים בהם, עם מי אתם משתפים אותם, וכמה זמן אתם שומרים אותם. הוסיפו מידע על זכויות נושאי המידע (זכות למחיקה, לתיקון, לקבלת עותק).יועץ משפטי + DPO
3מינוי ממונה על הגנת הפרטיות (DPO)אם הארגון שלכם נופל לקטגוריה שמחייבת DPO (ראו לעיל), מנו ממונה מתאים בעל ידע והכשרה בתחום הגנת הפרטיות. ה-DPO צריך להיות בעל סמכות, עצמאות מקצועית ונגישות. הוא משמש גם נקודת קשר מול הרשות להגנת הפרטיות ומול נושאי המידע. ניתן למנות DPO פנימי או חיצוני (שירות outsourced).הנהלה
4הטמעת נהלי אבטחת מידעחזקו את מערכות האבטחה הקיימות והטמיעו נהלים למניעת דליפות מידע. כולל: שימוש בהצפנה לנתונים רגישים, אימות דו-שלבי (MFA), גיבויים מוצפנים, הגבלת גישה למידע לפי עקרון "צורך לדעת" (Need-to-Know), ניטור אירועי אבטחה, ותוכנית תגובה לאירוע אבטחה (Incident Response Plan).מנהל IT + DPO
5הכשרת עובדים והטמעת תרבות פרטיותהדריכו את כל העובדים – לא רק צוות ה-IT – בנוגע לחובותיהם תחת החוק החדש. הסבירו את חשיבות הגנת המידע האישי, את הסיכונים בשימוש רשלני במידע (לדוגמה, שליחת קבצים במייל לא מאובטח), ואת הנהלים הפנימיים. בצעו הכשרות תקופתיות ובדיקות ידע.משאבי אנוש + DPO
6תיעוד ומעקב שוטףצרו רישום פעולות עיבוד (Processing Register) – מסמך מרכזי המתעד את כל פעילות העיבוד של מידע אישי בארגון. המסמך צריך להיות מעודכן באופן שוטף וזמין להצגה לרשות להגנת הפרטיות במקרה של ביקורת. בנוסף, בצעו ביקורות פנימיות תקופתיות לוודא עמידה בחוק ובנהלים הפנימיים.DPO + ביקורת פנימית

💡 טיפ מקצועי מ-SouliTek:

התחילו כבר היום! גם אם נראה לכם שהארגון שלכם קטן מדי או שאתם לא מעבדים "הרבה" מידע – החוק חל על כמעט כל עסק. ככל שתתחילו מוקדם יותר, כך תוכלו להיערך בצורה מסודרת ויעילה, ותימנעו מקנסות ומבעיות משפטיות. השקעה בהגנת הפרטיות היום = הגנה על העסק שלכם מחר.

טעויות נפוצות שצריך להימנע מהן

רבים מהארגונים עושים טעויות קלאסיות בהיערכות לתיקון 13. הנה הטעויות הנפוצות ביותר:

❌ "החוק לא חל עלינו – אנחנו עסק קטן"

זו טעות גדולה. תיקון 13 חל על כל ארגון, גדול או קטן, שמעבד מידע אישי. גם אם יש לכם 5 עובדים ורשימת לקוחות בודדת – אתם צריכים לעמוד בדרישות החוק.

❌ "נעתיק מדיניות פרטיות מהאינטרנט"

זה לא עובד כך. כל ארגון שונה, ומדיניות הפרטיות צריכה לשקף את הפעילות הספציפית שלכם. העתקה של מדיניות גנרית לא תעמוד במבחן משפטי.

❌ "נתמקד רק באבטחת מידע טכנית"

אבטחת מידע היא רק חלק מהפאזל. תיקון 13 דורש גם שקיפות, הסכמה, זכויות נושאי מידע, תיעוד ותהליכים. זו לא רק בעיה טכנולוגית – זו בעיה ארגונית ומשפטית.

❌ "נדאג לזה כשהרשות תפנה אלינו"

איחור = קנסות כבדים. הרשות יכולה לפתוח בביקורת ללא התראה מוקדמת. אם תתפסו ללא היערכות נאותה, הקנסות יכולים להגיע למיליוני שקלים. פעלו מוקדם.

למה עמידה בחוק זה גם יתרון עסקי?

רבים רואים את תיקון 13 כמעמסה בירוקרטית ותקציבית. אבל בפועל, עמידה בחוק מספקת יתרונות עסקיים משמעותיים:

🏆

שיפור האמון והמוניטין

לקוחות מעריכים ארגונים שמגנים על הפרטיות שלהם. הצגת תעודות ציות, מדיניות שקופה ותהליכים ברורים – מחזקת את האמון ויוצרת יתרון תחרותי.

💼

גישה לשווקים בינלאומיים

ארגונים שעומדים בתיקון 13 מגדילים את הסיכויים לעמוד גם בסטנדרטים בינלאומיים כמו GDPR, מה שמאפשר עבודה עם לקוחות באירופה ובעולם.

🔒

הפחתת סיכונים משפטיים וכספיים

עמידה בחוק מפחיתה משמעותית את הסיכון לקנסות, תביעות ופגיעה במוניטין. זו השקעה בביטוח עתידי.

📊

שיפור תהליכים פנימיים

מיפוי המידע ויצירת נהלים ברורים משפרים את היעילות הארגונית, מפחיתים כפילויות ומסייעים בניהול נכון של משאבי המידע.

לוח זמנים להיערכות – מתי להתחיל?

תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025, אבל אל תחכו עד אז. הנה לוח זמנים מומלץ:

🚨

דחוף – היום! (אוקטובר 2025)

התחילו במיפוי הנתונים האישיים והערכת הפערים. זהו את הנושאים הקריטיים שדורשים התייחסות מיידית. החוק כבר בתוקף!

⚠️

חודש 1-2 (נובמבר-דצמבר 2025)

עדכון מדיניות הפרטיות, מינוי DPO (במידת הצורך), והתחלת הטמעת נהלי אבטחת מידע. פעלו בקצב גבוה.

חודש 3-4 (ינואר-פברואר 2026)

הכשרת עובדים, השלמת תיעוד רישום פעולות עיבוד, וביצוע ביקורת פנימית ראשונה לבדיקת עמידה בחוק.

🎯

שוטף (מרץ 2026 ואילך)

ניטור שוטף, עדכון מדיניות לפי שינויים בארגון, הכשרות תקופתיות, וביקורות פנימיות רבעוניות. שמרו על עמידה מתמשכת.

סיכום וקריאה לפעולה

תיקון 13 לחוק הגנת הפרטיות הוא שינוי מהותי בנוף הרגולטורי הישראלי. הוא דורש מארגונים להתייחס ברצינות להגנת המידע האישי, לבנות תהליכים מסודרים, ולעמוד בסטנדרטים גבוהים של שקיפות ואחריות.

התחילו היום – אל תחכו עד שהרשות תפנה אליכם
פעלו באופן שיטתי – עקבו אחר תוכנית העבודה
השקיעו במומחיות – יועץ או DPO חיצוני יכולים לחסוך כסף רב
ראו את זה כהזדמנות – עמידה בחוק משפרת את העסק

זכרו: עמידה בחוק הגנת הפרטיות היא לא רק חובה משפטית – היא גם אחריות מוסרית כלפי הלקוחות והעובדים שלכם, ויתרון תחרותי משמעותי בעידן הדיגיטלי.

SouliTek מציעה ייעוץ מקצועי להכנת הארגון לתיקון 13

אנחנו ב־SouliTek מתמחים בהגנת מידע, אבטחת סייבר והיערכות רגולטורית לעסקים. נשמח לעזור לכם:

  • • מיפוי מלא של הנתונים האישיים בארגון
  • • כתיבת מדיניות פרטיות מותאמת אישית
  • • שירותי DPO חיצוני – ממונה על הגנת הפרטיות מקצועי
  • • הטמעת נהלי אבטחת מידע וסייבר
  • • הכשרת עובדים והטמעת תרבות פרטיות בארגון
  • • ליווי מלא עד לעמידה מלאה בתיקון 13

מוכנים להתחיל את ההיערכות לתיקון 13?

צרו קשר עוד היום לייעוץ ראשוני ללא עלות ונבנה יחד תוכנית היערכות מותאמת לארגון שלכם!

בואו נתחיל בהיערכות
חזרה לכלים שלנו