מבוא
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, מסמן עידן חדש בכל הנוגע לאיסוף, שימוש ואחסון של מידע אישי בישראל. מדובר ברפורמה רחבה שהופכת את החוק הוותיק, שנכתב אי שם בתחילת שנות ה־80, לרלוונטי לעידן הדיגיטלי שבו אנחנו חיים ונושמים דאטה מכל כיוון.
אם אתם בעלי אתר, חנות אונליין, דף נחיתה, בלוג, או שאתם בוני אתרים עבור לקוחות – תיקון 13 לחוק הגנת הפרטיות נוגע ישירות לפעילות שלכם.
החוק כולל הגדרות חדשות למונחים כמו "מידע אישי" ו"מידע רגיש", מטיל חובות חדשות על בעלי אתרים, מחייב עמידה בתנאי אבטחת מידע, מצריך שקיפות מול המשתמשים, ומעניק לרשות להגנת הפרטיות שיניים רגולטוריות בדמות קנסות, צווים וסמכויות חקירה.
המשמעות? כל אתר – קטן כגדול – חייב לעבור התאמה כדי לעמוד בדרישות של תיקון 13 לחוק הגנת הפרטיות. זה כבר לא רק עניין משפטי – זו אחריות מקצועית, עסקית ודיגיטלית.
במאמר הזה נסביר בדיוק מה כולל תיקון 13 לחוק הגנת הפרטיות, איך הוא משפיע על אתרים בפועל, ונציג לכם צ'קליסט פרקטי שיבהיר מה עליכם לעשות אם כבר יש לכם אתר – או אם אתם בתהליך בנייה של אחד חדש.
רקע: מהו חוק הגנת הפרטיות ולמה תיקון 13 כל כך משמעותי
חוק הגנת הפרטיות נחקק בישראל בשנת 1981, בעידן שבו רוב המידע עדיין אוחסן על נייר, והמונחים "קוקיז", "פיקסל", או "ניתוח התנהגות גולשים" היו שייכים לעולם אחר. לאורך השנים החוק עבר כמה עדכונים נקודתיים, אבל המסגרת הכללית נותרה מיושנת – במיוחד מול השינויים הדרמטיים שהביאה איתה המהפכה הדיגיטלית.
החוק נועד להגן על הזכות של כל אדם לפרטיות – ולהסדיר את האופן שבו מידע אישי נאסף, נשמר, מועבר או מנוצל. הוא כולל חובות על בעלי מאגרי מידע, הגבלות על שימוש שלא בהסכמה, ותקנות בתחום אבטחת המידע. אבל עם התפתחות האינטרנט, הסמארטפונים והמעקב הדיגיטלי – נוצר פער עצום בין מה שהחוק קובע ובין המציאות היומיומית באתרים, אפליקציות ופלטפורמות אונליין.
כאן נכנס לתמונה תיקון 13 לחוק הגנת הפרטיות – הרפורמה המקיפה ביותר שנעשתה בתחום הזה בישראל מאז שהחוק נחקק.
תיקון 13 לחוק הגנת הפרטיות נועד להתאים את ישראל לסטנדרטים הבינלאומיים של הגנת מידע (בדגש על ה־GDPR האירופי), ומציב סט חדש של כללים – ברורים, מחייבים, ומאוד רלוונטיים – לעידן הדיגיטלי.
זה כולל:
- הרחבת ההגדרה של "מידע אישי"
- הגדרה חדשה ל"מידע רגיש"
- הקלות בבירוקרטיה כמו ביטול חובת רישום מאגרי מידע ברוב המגזר הפרטי
- הקשחה של החובות בפועל מול המשתמשים
- ואכיפה תקיפה הרבה יותר מצד הרגולטור
אם עד היום בעלי אתרים יכלו להתעלם יחסית בשקט מהשורות הקטנות במדיניות הפרטיות – מעכשיו זו כבר לא אופציה.
תיקון 13 לחוק הגנת הפרטיות מחייב שינוי מהותי בגישה – לא רק עמידה בתקנות, אלא יצירת חוויית גלישה שמכבדת את המשתמש ואת המידע שלו.
מה כולל תיקון 13 לחוק הגנת הפרטיות – השינויים שכדאי להכיר
תיקון 13 לחוק הגנת הפרטיות הוא לא סתם עדכון טכני. מדובר בשדרוג רגולטורי של ממש, שמיישר קו עם מה שקורה באירופה (GDPR), בארה״ב ובמדינות רבות אחרות – ומציב את ישראל על מפת ההגנה הדיגיטלית. הנה עיקרי השינויים:
הגדרה חדשה ומורחבת ל"מידע אישי"
מעכשיו, כל פיסת מידע שניתן לשייך לאדם – גם אם בעקיפין – נחשבת ל"מידע אישי".
זה כולל שם, טלפון, כתובת אימייל, כתובת IP, קובצי Cookie, מזהים דיגיטליים של פלטפורמות פרסום, נתוני שימוש בטלפון נייד ועוד.
כלומר: גם אם האתר לא שואל על שם או אימייל, אבל יש בו פיקסלים של פייסבוק או Google Analytics – הוא אוסף "מידע אישי" לפי החוק.
יצירת קטגוריה חדשה – "מידע רגיש במיוחד"
כולל מידע רפואי, מידע גנטי או ביומטרי, מצב נפשי, נטייה מינית, הריון, עבר פלילי, מיקום גיאוגרפי, מצב כלכלי ועוד.
לאתרים שאוספים מידע כזה (כולל בתהליכי רכישה או טפסי רישום) חלות חובות חמורות יותר – ולעיתים גם חובת מינוי ממונה הגנת פרטיות (DPO).
חובה למנות ממונה על הגנת פרטיות (DPO) במקרים מסוימים
אתרים או ארגונים שמעבדים מידע רגיש או מבצעים מעקב נרחב אחר משתמשים – צריכים למנות DPO רשמי, בדומה לדרישת ה־GDPR.
גם עסקים קטנים יכולים ליפול תחת ההגדרה הזו, אם לדוגמה הם מפעילים חנות אונליין עם סליקה, שיווק חוזר, מערכות CRM ועוד.
הגברת סמכויות האכיפה של רשות הפרטיות
לראשונה בישראל, לרשות להגנת הפרטיות יש סמכות להטיל קנסות מנהליים, גם בלי לפנות לבית משפט.
גובה הקנס יכול להגיע לעשרות ומאות אלפי שקלים, בהתאם לסוג ההפרה – כולל על ניסוחים לא ברורים בטפסים או במדיניות הפרטיות.
פיצויים למשתמשים – גם בלי הוכחת נזק
אם גולש חושב שהפרתם את זכויותיו לפי החוק – הוא יכול לתבוע ולקבל פיצוי של עד 10,000 ₪, גם בלי להוכיח שנגרם לו נזק ממשי.
במילים פשוטות: כל טופס בעייתי, קובץ Cookie שמופעל בלי הסכמה, או דליפת מידע – עלולים להיגמר בבית משפט.
חובת גילוי מלאה ושקופה
החוק מחייב את האתר לפרט מה נאסף, למה, איך זה נשמר, למי זה מועבר – ולתת למשתמש גישה לתיקון או מחיקה של המידע שלו.
לא עוד טקסט גנרי בסגנון "המידע נאסף כדי לשפר את השירות". כל ניסוח חייב להיות מדויק, מותאם לאתר וקל להבנה.
במילים אחרות – תיקון 13 לחוק הגנת הפרטיות הופך את נושא הפרטיות באתר למשהו שחייבים לקחת ברצינות.
בין אם אתם בונים אתרים או מפעילים אתר משלכם.
איך תיקון 13 לחוק הגנת הפרטיות משפיע על אתרי אינטרנט
תיקון 13 לחוק הגנת הפרטיות לא פונה רק לארגונים גדולים עם צוות משפטי. הוא מדבר גם לאתר של הקונדיטוריה השכונתית, הבלוג של המעצבת הגרפית, דף הנחיתה של יועץ עסקי, והחנות הדיגיטלית של עסק קטן. אם אתם אוספים או מעבדים מידע אישי – גם בעקיפין – אתם חייבים לעמוד בדרישות החוק החדש.
הנה ההשפעות המרכזיות שצריך לקחת בחשבון:
עדכון מדיניות הפרטיות
המדיניות הקיימת ברוב האתרים כבר לא מספיקה. החוק דורש ניסוח ברור, מדויק ומפורט שמסביר:
- אילו נתונים נאספים (כולל IP, עוגיות, מידע טכני)
- לאיזו מטרה
- לאן המידע מועבר (כולל שירותים חיצוניים)
- כמה זמן שומרים אותו
- מהן זכויות המשתמש ואיך אפשר לפנות אליכם
בעלי אתרים שמעתיקים מדיניות "ג’נרית" עלולים להיחשף לתביעות ולקנסות – גם אם אין כוונה רעה.
טפסים עם תיבת אישור להסכמה
כל טופס שבו נאסף מידע אישי – טופס יצירת קשר, הרשמה, רכישה – חייב לכלול תיבת סימון (checkbox) שהמשתמש מאשר בה שקרא והסכים למדיניות הפרטיות.
החוק גם אוסר על תיבות סימון מסומנות מראש. המשתמש חייב לאשר באופן פעיל.
בלי זה – מדובר בהפרת חוק שיכולה לגרור קנס או תביעה.
הודעת Cookie והסכמת משתמש
אם האתר משתמש בעוגיות (Cookies) או טכנולוגיות מעקב אחרות – למשל Google Analytics, Facebook Pixel, Hotjar ועוד – חייבת להופיע הודעת Cookie מותאמת.
ההודעה צריכה:
- להסביר אילו עוגיות פועלות באתר
- לאפשר למשתמש לבחור לאילו עוגיות הוא מסכים
- לשמור את הבחירה של המשתמש ולהציע דרך לשנות אותה בכל שלב
זה אומר שבאנר כללי שאומר "אנחנו משתמשים בעוגיות" כבר לא מספיק.
הגנה על אבטחת מידע
החוק מחייב לנקוט באמצעי אבטחה סבירים – וזה כולל:
- תעודת SSL (https)
- אחסון סיסמאות מוצפן
- גיבויים סדירים
- הגבלת גישה למידע אישי רק למי שצריך
- דיווח לרשות תוך 24 שעות במקרה של דליפת מידע
בעלי אתרים שמזניחים את הנושא הזה – לא רק מסכנים את המשתמשים שלהם, אלא גם את עצמם.
אחריות גם על שירותים חיצוניים
בעלי אתרים נדרשים לוודא שגם ספקים חיצוניים כמו שירותי אחסון, סליקה, CRM או תוספים – שומרים על החוק.
אם ספק חיצוני גורם להפרה – האחריות יכולה להיות גם עליכם. חשוב לוודא שיש הסכם מסודר, שהשירות פועל לפי התקנות, ושהמידע לא מועבר למדינות ללא הגנה מספקת.
מינוי ממונה הגנת פרטיות (DPO) – מתי זה נדרש?
לא כל אתר חייב למנות DPO, אבל במקרים של איסוף מידע רגיש (כמו נתונים רפואיים או פיננסיים), מעקב אחר משתמשים בהיקף נרחב, או שימוש בפלטפורמות שיווק חכמות – ייתכן שיש חובה כזו.
גם אם לא חובה – מינוי ממונה פרטיות יכול להועיל ולהפחית קנסות במקרה של הפרה.
בקיצור?
תיקון 13 לחוק הגנת הפרטיות לא עובר ליד – הוא נכנס ממש דרך הדפדפן.
בין אם אתם בונים אתרים או מפעילים אחד – אתם חייבים להכיר את החובות החדשות ולהתאים את עצמכם.
צ׳קליסט לבעלי אתרים קיימים
עברו שלב־שלב וודאו שהאתר שלכם עומד בדרישות החוק:
מיפוי המידע שנאסף באתר
- איזה מידע אישי נאסף? (כולל IP, טפסים, עוגיות)
- איפה נשמר המידע ובאיזו מערכת?
- האם יש מידע רגיש? (בריאות, פיננסים, מיקום גיאוגרפי)
עדכון מדיניות הפרטיות
- נכתבה במיוחד לאתר (לא טמפלט כללי)
- כוללת פירוט מלא על סוגי המידע, מטרות האיסוף, שיתופים, זכויות המשתמשים ואבטחת מידע
- מוצגת במקום בולט ונגישה מכל עמוד באתר
טפסים עם הסכמה מודעת
- תיבת סימון להסכמה למדיניות הפרטיות
- התיבה לא מסומנת כברירת מחדל
- קישור למדיניות בצמוד לטופס
הודעת Cookie מנוהלת
- באנר Cookie שמסביר בבירור על סוגי העוגיות
- מאפשר למשתמש לבחור אילו עוגיות להפעיל
- שומר את הבחירה ונותן אפשרות לשנות אותה
אבטחת מידע
- האתר מאובטח עם SSL (https)
- סיסמאות ומידע רגיש מאוחסנים מוצפנים
- גישה למידע רק למי שצריך
- יש גיבויים סדירים
- יש תהליך תגובה לאירועי אבטחה ודליפת מידע
ספקים חיצוניים
- בדקתם שכל השירותים החיצוניים שלכם עומדים בדרישות החוק (CRM, סליקה, אחסון וכו’)
- קיימים הסכמים מול הספקים עם סעיפי פרטיות ואבטחת מידע
- וידאתם שהמידע לא מועבר לשרתים במדינות לא מאושרות
מינוי אחראי על פרטיות (גם אם לא חובה)
- אדם שמוודא שהאתר והעסק עומדים בדרישות החוק
- מטפל בפניות גולשים על פרטיות (מחיקה, עיון, תיקון מידע)
צ׳קליסט לבוני אתרים – החל מהיום הראשון
אם אתם בתהליך בניית אתר – תתחילו נכון ותכננו פרטיות מראש:
תכנון פרטיות (Privacy by Design)
- איזה מידע ייאסף באתר ולמה
- אילו טפסים, פיקסלים ותוספים ישפיעו על פרטיות
- האם יש שימוש בעוגיות, סליקה, CRM, ניוזלטר וכו’
כתיבת מדיניות פרטיות מותאמת
- מותאמת לאתר ולשירותים שבו
- מנוסחת בשפה ברורה, בעברית נגישה
- כוללת את כל הסעיפים הנדרשים בחוק
עיצוב טפסים עם הסכמה ברורה
- תיבת סימון להסכמה למדיניות
- קישור גלוי למדיניות בטופס
- אופציה להפריד בין מידע חובה למידע שיווקי (opt-in)
הטמעת מערכת Cookie Consent
- כלי לניהול הסכמות עם אפשרות בחירה
- תיעוד של בחירת המשתמש
- קישור ל"עדכון העדפות פרטיות" זמין באתר
אמצעי אבטחה
- התקנת SSL
- שימוש בסיסמאות מוצפנות
- הפרדת גישה בין בעלי תפקידים
- בחירת שירותי אחסון וסליקה מאובטחים
עבודה עם ספקים חוקיים
- בחירת שירותים חיצוניים שיש להם מדיניות פרטיות ברורה
- לוודא שהמידע לא עובר מחוץ לישראל/אירופה בלי הגנה מספקת
- לחתום על הסכמי עיבוד מידע במידת הצורך
סיכום: לא רק רגולציה – אלא הזדמנות
תיקון 13 לחוק הגנת הפרטיות הוא לא עוד שינוי בירוקרטי. הוא משנה את הדרך שבה אנחנו חושבים על בניית אתרים, חוויית משתמש ואחריות דיגיטלית.
אם יש לכם אתר – אפילו הכי פשוט – האחריות כבר לא יכולה להידחק לסוף סדר העדיפויות.
ואם אתם בונים אתרים ללקוחות – תכנון פרטיות, אבטחה ושקיפות הם כבר חלק בלתי נפרד מהמוצר שאתם מספקים.
זה אולי נשמע מורכב, אבל רוב הדרישות ניתנות ליישום מהיר – אם יודעים מה לעשות. והצ'קליסטים שנתנו כאן הם בדיוק המקום להתחיל בו.
אז מה עכשיו?
- עברו על הצ'קליסט הרלוונטי לכם
- עדכנו את האתר בהתאם לחוק
- ואם אתם לא בטוחים – התייעצו עם מומחה או עורך דין
זכרו: פרטיות היא לא רק חובה – היא גם בידול. משתמשים מצפים לראות אתר שמכבד אותם, מסביר להם מה קורה עם המידע שלהם, ונותן להם שליטה.
אתר כזה מרוויח אמון, נתפס כאיכותי יותר – ולעיתים קרובות גם ממיר טוב יותר.
רוצים לוודא שהאתר שלכם עומד בדרישות תיקון 13 לחוק הגנת הפרטיות?
אנחנו ב-3Pines Studio כאן כדי לעזור.
מוזמנים לפנות אלינו ונשמח לבדוק, לעדכן ולוודא שאתם מכוסים משפטית – ומקצועית.
