תיקון 13 לחוק הגנת הפרטיות הוא אחד השינויים המשמעותיים ביותר בדיני הפרטיות בישראל בשנים האחרונות. התיקון מחזק את זכויות הציבור במידע אישי ומגדיל את אחריותם של עסקים וארגונים לשמירה על פרטיות, שקיפות ואבטחת מידע. לצד החובות, התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה נרחבות ועיצומים כספיים משמעותיים על הפרות. עבור בעלי עסקים ומנהלים, מדובר בהזדמנות להסדיר תהליכים, לצמצם סיכונים ולבנות אמון עם לקוחות ועובדים – ולכן נדרש, ועל מנת לא להיכנס לבעיות מיותרות שעורך דין להגנת הפרטיות יטפל בכל הנושא.
התיקון נכנס לתוקף ב-14.8.2025 ומחייב היערכות. מדריך זה מסביר בשפה ברורה מה השתנה, למי זה חל, איך עומדים בדרישות בפועל, ומהם הסיכונים באי-עמידה.
מהו תיקון 13 ומתי הוא נכנס לתוקף
חוק הגנת הפרטיות הוא הבסיס הנורמטיבי להסדרת עיבוד מידע אישי בישראל. תיקון 13 מעדכן את ההסדרים הקיימים כדי להתאים לעידן הדיגיטלי, לחזק את זכויות נושאי המידע ולהגביר את האכיפה. התיקון נכנס לתוקף ב-14.8.2025, ומאז נדרשים ארגונים לפעול בשקיפות רחבה יותר, לאבטח מידע באופן קפדני, ולתחום את השימוש במידע למטרות מוגדרות ומוצדקות בלבד. התיקון מתכתב עם סטנדרטים בינלאומיים מוכרים כמו ה-GDPR, ומציב רף מצופה לניהול מידע אישי בישראל.
עיקרי השינויים בתיקון 13
סמכויות אכיפה מוגברות ועיצומים כספיים
הרשות להגנת הפרטיות קיבלה סמכויות פיקוח ואכיפה רחבות יותר, לרבות הטלת עיצומים כספיים משמעותיים על הפרות חמורות. לצד קנסות שעלולים להגיע לסכומים גבוהים מאוד, הרשות רשאית לתת צווי תיקון ולהורות על הפסקת עיבוד לא חוקי.
חובת היידוע והגברת השקיפות
הורחבה חובת היידוע לנושאי המידע. ארגונים נדרשים להציג בצורה ברורה מי אוסף את המידע, לאיזו מטרה, באיזו תשתית הוא נשמר, למי יימסר ובאיזה בסיס חוקי נעשה העיבוד. המשמעות היא מדיניות פרטיות ברורה, הצגת הודעות בזמן אמת כאשר המידע נאסף, ושפה ידידותית ולא משפטית בלבד.
רישום מאגרי מידע: צמצום חובת הרישום
תיקון 13 מצמצם את חובת רישום מאגרי המידע לרוב הגופים. המשמעות היא שבמרבית המקרים לא נדרש רישום מאגר ברשות, אך עדיין נדרשת הקפדה על עקרונות החוק, תיעוד פנימי מסודר של עיבודי המידע, ועמידה בהנחיות האבטחה והגילוי.
הרחבת ההגדרה של מידע אישי
ההגדרה של מידע אישי הורחבה וכוללת בין היתר גם נתונים דיגיטליים כמו כתובת IP ונתוני מיקום. לכן, גם שירותים מקוונים שאינם אוספים פרטי זיהוי מובהקים עשויים לעבד מידע אישי ולהידרש לעמידה בדרישות התיקון.
מצלמות אבטחה ושילוט ברור
העוסק בהתקנת מצלמות במרחבים עסקיים ומשרדים מחויב בשילוט ברור ובולט המסביר על קיום צילום, מטרותיו, זהות הגורם האחראי ופרטי יצירת קשר. יש להבטיח שהצילום נעשה למטרות מוצדקות בלבד, ובהיקף מידתי ביחס לצורך.
ניהול ושמירת הקלטות
שמירת הקלטות ממצלמות אבטחה מוגבלת בזמן ומומלץ לצמצם אותה ככל האפשר. בהתאם להנחיות הנגזרות מהתיקון, מקובל להגביל את שמירת ההקלטות עד 30 יום, למעט כשנדרש אחרת לפי דין מפורש או לצורך בירור אירוע.
אבטחת מידע: סטנדרטים טכניים וארגוניים
החובה להגן על מידע אישי מחייבת שילוב של אמצעים טכניים וארגוניים: בקרות גישה, הצפנה, ניהול סיסמאות, יומני גישה, תיעוד נהלים, מינוי בעלי תפקידים ברורים, וביצוע בדיקות תקופתיות. אבטחה אינה רק טכנולוגיה אלא גם תרבות ארגונית של מודעות ומשמעת תהליכית.
למי התיקון חל ומה המשמעות לעסקים
עסקים קטנים ובינוניים
חנויות, קליניקות, משרדי שירותים וחברות סטארטאפ מעבדים מידע אישי על לקוחות ועובדים. גם אם היקף המידע קטן, החובות חלות. השקעה מוקדמת בנהלים ובשקיפות תחסוך חשיפה כספית ותמנע פגיעה באמון.
ארגונים גדולים וסקטורים רגישים
ארגונים עם נפחי מידע גדולים או מידע רגיש נדרשים לרמת בקרה גבוהה יותר, לרבות ייתכן צורך בתפקיד ייעודי לניהול פרטיות, בדיקות סדירות של עמידה בדרישות, ומדיניות משופרת לניהול הספקים. הסיכון לאכיפה ציבורית או לחשיפה תקשורתית גבוה יותר.
ספקים ומעבדי מידע
ספקי IT, ענן, אבטחה וניהול לקוחות המעבדים מידע בשם העסק מחויבים לעמוד בדרישות החוק. על בעל המאגר לוודא הסכמים מתאימים, חובות אבטחה, ותהליכי בקרה אצל הספקים.
איך להיערך בפועל: מפת דרכים קצרה
היערכות נכונה מפחיתה סיכונים ומאפשרת עמידה יעילה בדרישות ללא כפל עבודה. כך עושים זאת שלב אחר שלב:
- מיפוי מידע ומאגרים: זיהוי סוגי המידע, היכן נשמר, מי ניגש, ולאילו מטרות.
- ניתוח פערים ותוכנית תיקון: השוואה לדרישות התיקון וקביעת פעולות מתקנות עם לוחות זמנים.
- עדכון מדיניות והודעות: ניסוח מדיניות פרטיות ברורה, טפסי הסכמה במידת הצורך והודעות יידוע.
- מצלמות ושילוט: קביעה מפורשת של מטרות הצילום, צמצום אזורי צילום והצבת שילוט תקני ובולט.
- ניהול מחזור חיים של מידע: כללים לאיסוף מינימלי, הגבלת שמירה, מחיקה מסודרת ותיעוד פעולות.
- אבטחת מידע: בקרות גישה, הצפנה, ניהול הרשאות, יומני שימוש ובדיקות תקופתיות.
- הסכמי עיבוד עם ספקים: התחייבויות לאבטחה, סודיות, סיוע בעמידה בזכויות נושאי המידע ובקרות.
- הכשרת עובדים ובקרה: הדרכות ממוקדות, מודעות לשילוט צילום, והתראות ברורות על חריגות.
דוגמאות מעשיות מהשטח
חנות קמעונאית עם מצלמות
בכניסה לחנות מוצב שלט ברור על קיום מצלמות, מטרות הצילום ופרטי יצירת קשר. אזורי צילום מצומצמים לקופות, מחסן ומעברים רגישים, ללא צילום שירותים או חדרי הלבשה. ההקלטות נשמרות עד 30 יום, עם גישה מוגבלת למנהלים מורשים בלבד ותיעוד גישה במידת האפשר.
קליניקה או מרפאה
המידע כולל פרטים אישיים ולעתים רגישים. יש לנסח הודעת פרטיות מפורטת, להקשיח בקרות גישה לתיקים, לצמצם גישה לעובדים לפי תפקיד, ולבחון היטב שימוש במצלמות באזורים ציבוריים בלבד תוך שילוט בולט.
חברת תוכנה ושירות מקוון
המערכת אוספת כתובות IP, נתוני שימוש ונתוני מיקום. יש להציג מדיניות פרטיות שמסבירה את מטרות העיבוד, את הבסיס החוקי, את משך השמירה ואת זהות הגורמים המקבלים את המידע. מומלץ לתעד לוגים בצורה מידתית ולהגדיר מדיניות מחיקה אוטומטית.
סנקציות וסיכונים באי-עמידה
אי-ציות לתיקון 13 עלול להוביל לפגיעה אמיתית בארגון: קנסות מנהליים משמעותיים, הוראות לתיקון מיידי, עצירת פעילויות מסוימות ופגיעה במוניטין. מעבר לכך, אירוע פרטיות עלול להסיט משאבים ניהוליים יקרים מפרויקטים עסקיים לשיקום ולדיווחים.
- עיצומים כספיים שעשויים להגיע עד מיליוני שקלים בהפרות חמורות.
- צווי תיקון, דרישות להפסקת עיבוד שאינו עומד בדרישות ודרישות לחיזוק אבטחה.
- פגיעה במוניטין, ירידה באמון לקוחות ושימור לקוחות קיים.
ממונה על הגנת הפרטיות
בעסקים גדולים או בעלי פעילות רגישת-מידע ייתכן שתידרש פונקציה ייעודית לניהול פרטיות. תפקיד זה מסייע בבניית נהלים, בהדרכות, בבקרה פנימית ובהתמודדות עם פניות נושאי מידע ואירועי אבטחה. גם אם אין חובה פורמלית, מינוי גורם אחראי פנימי מקל על עמידה שוטפת בדרישות.
שאלות נפוצות בתיקון 13 לחוק הגנת הפרטיות
מהו תיקון 13 ולמי הוא חל?
מדובר בעדכון רחב לחוק הגנת הפרטיות שמחזק את זכויות הציבור ומגדיל את אחריות הארגונים. הוא חל על עסקים וארגונים בישראל שמעבדים מידע אישי של לקוחות, עובדים או ספקים.
האם חייבים להציב שילוט ליד כל מצלמה?
כן. יש להציג שילוט ברור ובולט באזורים מצולמים, המפרט על קיום הצילום, מטרותיו ופרטי יצירת קשר של הגורם האחראי.
לכמה זמן מותר לשמור הקלטות?
מקובל להגביל את שמירת ההקלטות עד 30 יום, כחלק מניהול מחזור חיים של מידע ובהתאם לעקרון המידתיות.
האם צריך לרשום מאגר מידע?
לפי התיקון, מרבית הגופים אינם נדרשים עוד לרשום מאגרי מידע. עם זאת, נדרשת עמידה מלאה בחובות שקיפות, אבטחה ותיעוד פנימי.
כמה עלולים להיות הקנסות?
גובה הקנס תלוי במהות ובהיקף ההפרה, ובמקרים חמורים הוא עשוי להגיע לסכומים של מיליוני שקלים.
למה לבחור בעו"ד אורלי ספיר סחייק
עו"ד אורלי ספיר סחייק היא עורכת דין קניין רוחני בעלת ניסיון משפטי עשיר. היא פועלת בגישה אנושית, ברגישות ובאמפתיה, מקשיבה לצרכים של כל לקוח ומשקפת בשקיפות מלאה את האפשרויות, הסיכונים והצעדים המומלצים. השילוב בין מקצועיות עמוקה לבין יחס אישי מאפשר קבלת החלטות מושכלות ובטוחות, תוך התאמת פתרונות נגישים וברורים לסביבה העסקית.