דף הביתבלוגתיקון 13
פרטיות ורגולציה

תיקון 13 לחוק הגנת הפרטיות: כל מה שעסקים בישראל חייבים לדעת

המהפך ברגולציית הפרטיות הישראלית: מה השתנה, מה קנסות אפשריים, ואיך מתכוננים נכון.

עו"ד אריאל לילייב, CDPSE יוני 2025 12 דקות קריאה

ביוני 2024 אושר תיקון 13 לחוק הגנת הפרטיות, 1981, ובמהלך 2025 נכנסו לתוקף עיקרי הוראותיו. מדובר בשינוי הרגולטורי המשמעותי ביותר בתחום הפרטיות בישראל מאז חקיקת החוק עצמו. אם אתם מנהלים עסק בישראל, מעבדים מידע אישי על לקוחות, עובדים או ספקים, חשוב שתכירו את השינויים ואת המשמעויות המעשיות שלהם.

במדריך זה נסקור את עיקרי תיקון 13: הרחבת זכויות נושאי המידע, חובת הדיווח על פרצות מידע, מנגנון העיצומים החדש, וסיכום מעשי של הצעדים שכל ארגון חייב לנקוט.

רקע: למה נדרש תיקון 13?

חוק הגנת הפרטיות הישראלי חוקק ב-1981. למרות תיקונים קודמים, הוא נותר רחוק מהסטנדרטים האירופאיים שנקבעו ב-GDPR (2018). ישראל נהנית ממעמד "Adequacy" מאת האיחוד האירופי, כלומר מוכרת כמדינה בעלת הגנת פרטיות ברמה מספקת, ומעמד זה אפשר לחברות ישראליות להעביר מידע אישי של אזרחי האיחוד האירופי ללא מנגנונים מורכבים נוספים.

ב-2024 הגיע לחץ מהאיחוד האירופי לעדכן את הרגולציה הישראלית, שכן מעמד ה-Adequacy עמד בסכנה. תיקון 13 הוא התגובה לכך, ומביא את ישראל לרמה גבוהה יותר של הגנת פרטיות.

חשוב: אובדן מעמד ה-Adequacy היה מקשה משמעותית על העברת מידע בין ישראל לאירופה ופוגע בחברות ישראליות רבות. תיקון 13 שומר על מעמד זה.

עיקרי השינויים: מה חדש בתיקון 13?

1. הרחבת זכויות נושאי המידע

תיקון 13 מרחיב משמעותית את הזכויות שיש לכל אדם שמידע אישי שלו מוחזק בידי ארגון:

  • זכות עיון: הזכות לקבל עותק של המידע האישי תוך 30 יום
  • זכות תיקון: הזכות לדרוש תיקון מידע שגוי
  • זכות מחיקה ("הזכות להישכח"): בנסיבות מסוימות, הזכות לדרוש מחיקת המידע
  • זכות התנגדות לעיבוד: בנסיבות מסוימות, הזכות לסרב לעיבוד מידע
  • זכות לניידות מידע: הזכות לקבל את המידע בפורמט מובנה ולהעבירו לגוף אחר

2. חובת דיווח על פרצות מידע (Data Breach Notification)

זה אחד השינויים המשמעותיים ביותר בתיקון 13. בעבר, לא הייתה בישראל חובה מפורשת לדווח על פרצות מידע. כעת:

דיווח לרשות
חובת דיווח לרשות להגנת הפרטיות תוך 72 שעות מגילוי פרצה מהותית
דיווח לנושאי מידע
חובת הודעה לאנשים שמידעם נפרץ ללא דיחוי, כאשר הפרצה מהווה סיכון גבוה
תיעוד
חובת תיעוד כל פרצת מידע, גם אם אינה מהותית, לצורכי ביקורת
תוכנית תגובה
הארגון חייב לקיים נהלים מסודרים לזיהוי, הכלה ודיווח על פרצות

3. הרחבת הגדרת "מידע רגיש"

תיקון 13 מרחיב את הגדרת המידע הרגיש, שטעון הגנה מוגברת. כעת נכנסים לקטגוריה זו:

  • מידע גנטי וביומטרי
  • נתוני מיקום
  • מידע על נטיות מיניות
  • מידע בנקאי ופיננסי מפורט
  • מידע על הרשעות פליליות
  • מידע על ילדים

4. מנגנון עיצומים כספיים חדש

לפני תיקון 13, אכיפת חוק הגנת הפרטיות הייתה מוגבלת ברובה להליכים פליליים. כעת נוסף מנגנון מינהלי מהיר:

40,000 ₪
עיצום מרבי לאדם פרטי
80,000 ₪
עיצום מרבי לתאגיד
x2
הכפלה בהפרה חוזרת

5. חובות בסיס ביחס לאבטחת מידע

תיקון 13 מחזק את החובה לנקוט "אמצעי אבטחה סבירים" בהתאם לרגישות המידע ולהיקפו. הוא מאמץ עקרונות כמו Privacy by Design (פרטיות כברירת מחדל) ו-Data Minimization (איסוף מינימלי). זה מחייב ארגונים לבחון את תהליכי איסוף המידע שלהם ולוודא שאינם אוספים יותר ממה שנחוץ.

GDPR לעומת תיקון 13: מה ההבדל?

נושאתיקון 13 (ישראל)GDPR (אירופה)
קנסות מרביים40,000-80,000 ₪ מינהלי20M יורו / 4% מחזור
דיווח פרצה לרשותתוך 72 שעותתוך 72 שעות
DPO חובהלא חובה גורפתחובה בנסיבות מסוימות
זכות מחיקהכן (בנסיבות)כן (בנסיבות)
ניידות מידעכןכן
Privacy by Designכן (עקרון)כן (חובה מפורשת)

חשוב לזכור: חברות ישראליות עם לקוחות ב-EU כפופות גם ל-GDPR וגם לתיקון 13 בו-זמנית.

מה לעשות עכשיו? רשימת פעולות מעשית

רוב הארגונים צריכים לבצע עבודה ממשית כדי לעמוד בדרישות תיקון 13. להלן סדר פעולות מומלץ:

01
מיפוי מאגרי מידע
זהו את כל המאגרים שבהם אתם מחזיקים מידע אישי: לקוחות, עובדים, ספקים, מנויים. בדקו אילו מאגרים חייבים רישום אצל רשם מאגרי המידע.
02
עדכון מדיניות פרטיות
מדיניות הפרטיות חייבת לשקף את זכויות נושאי המידע החדשות, לציין את מטרות העיבוד, הבסיס המשפטי לכל עיבוד, וכיצד אפשר לממש זכויות.
03
נהלי תגובה לבקשות נושאי מידע
הכינו נהלים ברורים: מי מקבל בקשת עיון? תוך כמה זמן עונים? מי מחליט על בקשות מחיקה? כיצד מתעדים?
04
תוכנית תגובה לפרצות מידע
פרצת מידע צריכה להיות מזוהה, מוכלת ומדווחת תוך 72 שעות. כתבו נוהל תגובה לאירוע אבטחה הכולל מי אחראי, מה בודקים ולמי מדווחים.
05
בדיקת הסכמי מעבד מידע (DPA)
כל ספק שמעבד מידע בשמכם (ענן, CRM, ספקי שיווק) צריך לחתום על הסכם DPA (Data Processing Agreement) מתאים.
06
מינוי ממונה הגנת פרטיות (DPO)
אמנם תיקון 13 אינו מחייב מינוי DPO בכל ארגון, אך ממליץ עליו. DPO as a Service הוא פתרון עלות-יעיל שמאפשר לארגונים לקבל הגנה משפטית מלאה ללא עלות של עובד מן המניין.

שאלות נפוצות על תיקון 13

מה זה תיקון 13 לחוק הגנת הפרטיות?
תיקון 13 הוא תיקון מקיף לחוק הגנת הפרטיות (1981) שנכנס לתוקף ב-2025. הוא מרחיב זכויות נושאי מידע, מחייב דיווח על פרצות תוך 72 שעות, יוצר מנגנון עיצומים כספיים, ומייצר חובות Privacy by Design.
מי חייב לעמוד בתיקון 13?
כל ארגון המחזיק מאגר מידע אישי על אזרחים ישראלים, לרבות חברות טכנולוגיה, ספקי שירות, מסחר אלקטרוני, פינטק, מד-טק ועוד. אין פטור לעסקים קטנים.
האם גם חברות שאינן רשומות בישראל צריכות לציית?
כן. כמו ה-GDPR, עיקרון הטריטוריאליות חל גם כאן. ארגון זר שמעבד מידע אישי של תושבי ישראל כפוף לחוק.
מה קורה אם לא מדווחים על פרצת מידע?
אי-דיווח תוך 72 שעות מהווה הפרה עצמאית של תיקון 13, כפועה בנוסף לנזק עצמו. הרשות רשאית להטיל עיצום כספי ולפתוח בחקירה.
האם DPO חובה לפי תיקון 13?
לא חובה גורפת, אך מומלץ מאוד. ארגונים המעבדים מידע רגיש בהיקפים גדולים, ארגוני בריאות, ביטוח ופיננסים, נדרשים לשקול מינוי DPO ברצינות. DPO as a Service הוא פתרון פרקטי וחסכוני.

צריכים עזרה בהתאמה לתיקון 13?

SYBER מספקת DPO as a Service: עורך דין עם הסמכת CDPSE (ISACA) שמלווה את הארגון בכל היבטי הציות לתיקון 13 ו-GDPR.

DPO as a Serviceייעוץ ראשוני חינם

מאמרים קשורים

DPO ופרטיות
DPO as a Service: ממונה הגנת פרטיות חיצוני לארגונים

מי חייב למנות DPO, מה הוא עושה, ומדוע עורך דין כ-DPO חיצוני מספק יתרון ייחודי.

10 דקותקריאה
פרטיות ורגולציה
רישום מאגרי מידע בישראל: מדריך שלם לעסקים

מי חייב לרשום מאגר מידע, רמות אבטחה, ותהליך הרישום הצעד-אחר-צעד.

9 דקותקריאה