דף הביתבלוגרישום מאגרי מידע
פרטיות ורגולציה

רישום מאגרי מידע בישראל: מדריך שלם לעסקים

מי חייב לרשום מאגר מידע, מה הסנקציות, ואיך מוודאים ציות בעידן תיקון 13.

עו"ד אריאל לילייב, CDPSE יוני 2025 9 דקות קריאה

חוק הגנת הפרטיות, 1981 קובע כי בעלי מאגרי מידע מסוימים חייבים לרשום את מאגריהם אצל רשם מאגרי המידע שבמשרד המשפטים. הרישום הוא לא רק פורמליות, אלא מנגנון שמאפשר לרשות להגנת הפרטיות לפקח ולאכוף.

עם כניסת תיקון 13 לתוקף ב-2025, חשיבות הציות גברה עוד יותר: הרשות קיבלה כלים אכיפה מינהליים חדשים, ואי-ציות כרוך בסיכון גבוה יותר מבעבר.

מי חייב לרשום מאגר מידע?

לא כל מי שמחזיק מידע אישי חייב לרשום מאגר. חוק הגנת הפרטיות קובע ארבעה מקרי חובה:

1
10,000 רשומות ומעלה
מאגר המכיל מידע אישי על 10,000 אנשים ומעלה חייב רישום. זה כולל מאגרי לקוחות, מנויים, עובדים גולמיים.
2
מידע רגיש
מאגר המכיל מידע רגיש מחייב רישום גם אם הוא קטן מ-10,000 רשומות. מידע רגיש כולל: מצב בריאותי, עבר פלילי, נתונים פיננסיים מפורטים, דת/לאום, נטיות מיניות.
3
דיוור ישיר
מאגר המשמש לשיווק ישיר (email marketing, SMS, מיילים פרסומיים) מחייב רישום ללא קשר לגודלו.
4
מסירת מידע לאחרים
בעל מאגר שמוסר מידע לצדדים שלישיים לצרכים שאינם ביצוע השירות המוזמן חייב ברישום.

פטורים: מאגרים המשמשים שימוש אישי בלבד, מאגרי ארגונים הפטורים (רשימה מוגדרת בחוק), ומאגרים שבהם המחזיק הוא בעצמו אסף את המידע לצרכיו הבלעדיים.

רמות אבטחה לפי תקנות הגנת הפרטיות 2017

תקנות הגנת הפרטיות (אבטחת מידע) 2017 מגדירות שלוש רמות אבטחה. הרמה הנדרשת תלויה בסוג המידע ובגודל המאגר:

רמה בסיסיתמאגרים עד 10,000 רשומות, מידע לא-רגיש
מינוי בעל תפקיד אחראי לאבטחת מידע
נהלי גישה ושימוש במאגר
הנחיות לעובדים המשתמשים במאגר
גיבוי תקופתי
עדכון מערכות הפעלה ואנטי-וירוס
רמה בינוניתמאגרים עם 10,000-100,000 רשומות, מאגרי דיוור, מאגרים עם חלק מהמידע הרגיש
כל הדרישות מהרמה הבסיסית
מינוי ממונה אבטחת מידע
מיפוי המאגר והרשאות גישה מפורטות
בקרת גישה עם אימות
הצפנת מידע רגיש
תיעוד שינויים ובדיקות תקופתיות
הסכמי סודיות עם עובדים
רמה גבוההמאגרים עם מידע רפואי, עבר פלילי, נתוני ביומטריה, מאגרים מעל 100,000 רשומות
כל הדרישות מהרמות הנמוכות יותר
מבדק אבטחה תקופתי על ידי גורם מוסמך
תוכנית המשכיות עסקית (BCP)
הצפנת כל העברות המידע
ניהול אירועי אבטחה מובנה
מנגנוני אימות חזקים (MFA)
ביקורת גישה (Access Logging)

תהליך הרישום: שלב אחרי שלב

01
מיפוי מאגרי המידע
פרטו את כל מאגרי המידע שברשות הארגון: שם, מטרה, סוג מידע, ממה הוא מורכב, מי יש לו גישה.
02
בחינת חובת הרישום
לכל מאגר, בחנו אם הוא עומד בקריטריונים לרישום חובה (10,000+, מידע רגיש, דיוור, מסירה לאחרים).
03
קביעת רמת האבטחה הנדרשת
לפי תקנות 2017, קבעו האם נדרשת רמה בסיסית, בינונית או גבוהה. זהו פערים ביחס לדרישות.
04
מינוי ממונה מאגר מידע
לכל מאגר יש למנות "בעל המאגר" ו"מחזיק המאגר". ברב המקרים בארגון זו אותה ישות.
05
הגשת בקשת הרישום
הגישו טופס לרשם מאגרי המידע דרך אתר הרשות להגנת הפרטיות. קיים הליך מקוון.
06
עדכון שוטף
כל שינוי מהותי במאגר (מטרה, סוג מידע, גודל) מחייב עדכון אצל הרשם. עדכון שנתי מומלץ.

שאלות נפוצות על רישום מאגרי מידע

מאגר CRM שלי מכיל 12,000 לקוחות. חייב לרשום?
כן. מעל 10,000 רשומות מחייב רישום. גם אם רק שם ומייל, ה-10,000 הם הגבול.
יש לי ניוזלטר ב-500 נרשמים. חייב רישום?
כן. מאגר המשמש לדיוור ישיר חייב רישום ללא קשר לגודלו. אפילו 10 נמענים.
מה ה-ROPA ב-GDPR ומה הקשר לרישום מאגרי מידע?
ROPA (Record of Processing Activities) הוא הדרישה המקבילה ב-GDPR לתיעוד פעילויות עיבוד. בניגוד לרישום ישראלי (שהוא רישום ציבורי), ROPA הוא מסמך פנימי שאינו מוגש לגוף מפקח אלא מוצג לרשות על פי בקשה.
האם ארגון ללא כוונת רווח פטור מרישום?
לא בהכרח. ארגונים ללא כוונת רווח פטורים בנסיבות מסוימות, אבל זה תלוי בסוג המידע ובמטרה. מומלץ לבחון כל מקרה לגופו.

צריכים עזרה ברישום מאגרי מידע?

SYBER מלווה ארגונים בתהליך מיפוי המאגרים, קביעת חובות הרישום, עמידה בתקנות האבטחה ורישום רשמי.

שירות רישום מאגרי מידעייעוץ ראשוני חינם

מאמרים קשורים

פרטיות ורגולציה
תיקון 13 לחוק הגנת הפרטיות: כל מה שעסקים בישראל חייבים לדעת

חובות חדשות, קנסות, זכויות נושאי מידע, וחובת דיווח על פרצות תוך 72 שעות.

12 דקותקריאה
DPO ופרטיות
DPO as a Service: ממונה הגנת פרטיות חיצוני לארגונים

מי חייב למנות DPO, מה הוא עושה, ומדוע עורך דין כ-DPO חיצוני מספק יתרון ייחודי.

10 דקותקריאה