מה זה תיקון 13? בשפה פשוטה
תיקון 13 הוא עדכון משמעותי לחוק הגנת הפרטיות הישראלי. אם יש לכם עסק שמחזיק מידע על לקוחות - זה רלוונטי אליכם.
בקצרה: מה השתנה?
לפני תיקון 13:
- חובות בסיסיות בלבד
- אכיפה חלשה
- קנסות נמוכים
אחרי תיקון 13:
- חובות מפורטות ומחמירות
- אכיפה פעילה של הרשות להגנת הפרטיות
- עיצומים כספיים על תאגיד של עד 5% מהמחזור השנתי (תקרה הנפוצה בציטוטים: כ-3.2 מיליון ש"ח להפרות החמורות ביותר)
האם זה חל עליי?
כן, אם:
- יש לכם רשימת לקוחות (גם באקסל)
- אתם שומרים פרטי אנשים (שם, טלפון, מייל)
- יש לכם מערכת CRM
- אתם מנהלים ניוזלטר
- יש לכם אתר עם טופס הרשמה
מה צריך לעשות?
עסקים שמאגרם מסווג ברמת אבטחה בסיסית (לרוב: מאגרים שאינם מחזיקים מידע רגיש כהגדרתו ושאינם משותפים בין תאגידים):
- לוודא שיש אבטחה בסיסית
- לתעד איפה המידע נמצא
- להגדיר מי יכול לגשת
עסקים שמאגרם מסווג ברמה בינונית או גבוהה (החזקת מידע רפואי/פיננסי/ביומטרי/פלילי, מאגר משותף בין תאגידים, מאגר עם 100,000+ נושאי מידע או 100+ בעלי הרשאות וכד'):
- למנות DPO - קצין הגנת נתונים
- לכתוב נהלי אבטחה
- להדריך עובדים
- להיערך לדיווח על אירועים
שימו לב: סף 10,000 נושאי מידע הוא סף רישום של מאגר אצל רשם מאגרי המידע — לא ההגדרה לרמת אבטחה.
לוח זמנים האכיפה
| אבן דרך | מועד | |---------|------| | תיקון 13 נכנס לתוקף | 14 באוגוסט 2025 | | תום תקופת החסד למינוי DPO | 31 באוקטובר 2025 | | תחילת אכיפה פעילה ע"י הרשות | סוף 2025 / ינואר 2026 | | מצב נוכחי | אכיפה מלאה, הטלת עיצומים ראשונים |
החוק חל כבר היום — אין "דדליין עתידי לעמידה מלאה". מי שעדיין לא יישם נמצא כבר במצב של חשיפה לאכיפה.
מה קורה אם לא עומדים בדרישות?
- עיצום כספי על תאגיד של עד 5% מהמחזור השנתי (תקרה שמצוטטת בקרב מתרגלים: כ-3.2 מיליון ש"ח להפרה החמורה ביותר)
- צו להפסיק להשתמש במידע
- פרסום ההפרה (נזק למוניטין)
הצעד הראשון שלכם
התחילו במיפוי פשוט:
- איפה יש לכם מידע על אנשים?
- מי יכול לגשת אליו?
- למה אתם צריכים אותו?
צריכים עזרה? צרו קשר לייעוץ ראשוני חינם.