תיקון 13 לחוק הגנת הפרטיות - המדריך המלא לעסקים 2026

מהו תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 לחוק הגנת הפרטיות (התשמ"א-1981) הוא השינוי המשמעותי ביותר בחקיקת הפרטיות בישראל מאז חקיקת החוק המקורי. התיקון נכנס לתוקף באוגוסט 2025 ומחיל חובות חדשות ומשמעותיות על כל עסק המחזיק מאגר מידע.

למי התיקון רלוונטי?

התיקון חל על כל גוף המנהל מאגר מידע, כולל:

• חברות פרטיות בכל גודל
• עמותות ומלכ"רים
• רשויות מקומיות
• גופים ציבוריים
• עצמאים ופרילנסרים

החובות העיקריות לפי תיקון 13

1. מינוי ממונה הגנת פרטיות (DPO)

כל ארגון המנהל מאגר מידע ברמת אבטחה בינונית או גבוהה חייב למנות קצין הגנת נתונים (DPO). הממונה אחראי על:

• פיקוח על עמידה בחוק
• הדרכת עובדים
• טיפול בפניות נושאי מידע
• דיווח לרשות להגנת הפרטיות

2. הודעה על אירועי אבטחה

חובת דיווח מיידית לרשות להגנת הפרטיות תוך 72 שעות מרגע גילוי אירוע אבטחה. האירועים הכוללים:

• דליפת מידע אישי
• גישה לא מורשית למאגר
• אובדן מכשירים המכילים מידע
• מתקפות סייבר

3. זכויות נושאי מידע מורחבות

התיקון מרחיב משמעותית את זכויות האזרחים. החוק מחייב מענה תוך הזמן הסביר הקבוע בחוק; בפועל, סטנדרט התעשייה הוא 30 ימים לרוב סוגי הבקשות:

| זכות | תיאור | זמן תגובה מקובל | |------|-------|-----------| | זכות עיון | לקבל עותק מכל המידע | בדרך כלל עד 30 יום | | זכות תיקון | לתקן מידע שגוי | בדרך כלל עד 30 יום | | זכות מחיקה | "הזכות להישכח" | בדרך כלל עד 30 יום | | זכות ניוד | להעביר מידע לגוף אחר | בדרך כלל עד 30 יום | | זכות התנגדות | להתנגד לעיבוד מסוים | מיידי |

4. תיעוד ומיפוי מאגרי מידע

כל ארגון נדרש לנהל תיעוד מפורט של:

• כל מאגרי המידע בארגון
• סוגי המידע בכל מאגר
• מטרות העיבוד
• גורמים שיש להם גישה
• אמצעי האבטחה

רמות האבטחה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017

חשוב להבחין בין שני מנגנונים שלעיתים מתבלבלים:

1. סף הרישום של מאגר אצל רשם מאגרי המידע (למשל: מאגר המכיל מידע על מעל 10,000 אנשים, מאגר של גוף ציבורי, מאגר המשמש לדיוור ישיר וכו'). זהו סף רישום בלבד ואינו קובע בהכרח את רמת האבטחה.
2. סיווג רמת האבטחה של המאגר על-פי תקנות אבטחת המידע — שמכתיב את חובות האבטחה הנדרשות (כולל חובת DPO).

רמת אבטחה בסיסית

ברירת המחדל: כל מאגר שאינו עונה על הקריטריונים של רמה בינונית או גבוהה. מדובר ברוב מאגרי הקטנים-בינוניים שאינם מחזיקים מידע מסווג כרגיש.

• דרישות אבטחה מינימליות
• אין חובת DPO לפי תקנות אבטחת מידע

רמת אבטחה בינונית

מאגר מסווג ברמה בינונית כאשר מתקיים לפחות אחד מהבאים:

• המאגר מכיל מידע על מצב בריאותי, גנטי או ביומטרי
• המאגר מכיל מידע על דעות, אמונות, חיי מין או נטייה מינית
• המאגר מכיל מידע פיננסי (כולל הרגלי צריכה והערכת אשראי)
• המאגר מכיל מידע על עבר פלילי או נתוני תקשורת
• המאגר משותף בין תאגידים
• המאגר מנוהל בידי גוף ציבורי

דרישות:

• חובת מינוי DPO
• נהלי אבטחה מתועדים
• הדרכות תקופתיות
• בקרת גישה וניטור

רמת אבטחה גבוהה

מאגר ברמה בינונית הופך לרמה גבוהה כאשר מתקיים לפחות אחד מהבאים:

• מספר נושאי המידע במאגר עולה על 100,000
• מספר בעלי ההרשאות (משתמשים מורשים) עולה על 100

דרישות (בנוסף לרמה הבינונית):

• ביקורת אבטחה שנתית עצמאית
• הצפנת מידע במנוחה ובהעברה
• בדיקות חדירה תקופתיות
• ניטור רציף וגיבוי מאובטח

הערה לגבי הסף של 10,000: סף 10,000 נושאי מידע רלוונטי לחובת רישום מאגר אצל רשם מאגרי המידע (לצד קריטריונים נוספים), אך אינו ההגדרה לרמת אבטחה בינונית. מאגר עם 8,000 נושאי מידע המחזיק נתונים רפואיים יסווג ברמה בינונית; מאגר עם 50,000 נושאי מידע ללא רגישות מיוחדת עשוי להישאר ברמה בסיסית.

קנסות ועיצומים

התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה נרחבות:

• עיצום כספי על תאגיד: עד 5% מהמחזור השנתי (מתרגלים מצטטים בדרך כלל תקרה של ~3.2 מיליון ש"ח להפרה החמורה ביותר, אך תקרת ה-5% היא הסעיף המהותי שנקבע בתיקון)
• עיצום על יחיד: סדרי גודל של מאות אלפי שקלים בהפרות החמורות (תקרה של כ-320,000 ש"ח מצוטטת בפרסומי הרשות)
• צו הפסקת פעילות למאגר מידע
• פרסום פומבי של הפרות

לוח זמנים האכיפה של תיקון 13

התיקון התקבל בכנסת ב-5 באוגוסט 2024 ונכנס לתוקף ב-14 באוגוסט 2025. הרשות להגנת הפרטיות פרסמה תקופות חסד מוגבלות לחלק מהדרישות, ולאחר תום תקופות החסד החלה אכיפה פעילה.

| אבן דרך | מועד | משמעות | |---------|------|--------| | כניסה לתוקף | 14 באוגוסט 2025 | תיקון 13 חל על כל בעלי ומחזיקי מאגרי מידע | | תום תקופת חסד למינוי DPO | 31 באוקטובר 2025 | מאז מועד זה ניתן להטיל סנקציות על אי-מינוי | | תחילת אכיפה פעילה | סוף 2025 / ינואר 2026 | הרשות החלה בפתיחת תיקי אכיפה ובהטלת עיצומים | | מצב נוכחי (2026) | אכיפה מלאה | הרשות מטילה עיצומים ראשונים ומבצעת ביקורות יזומות |

אין בחוק "מועד עמידה מלאה באוגוסט 2026". העמידה בדרישות נמדדת מרגע כניסת התיקון לתוקף (14.8.2025), בכפוף לתקופות החסד הספציפיות שפרסמה הרשות.

איך לעמוד בדרישות תיקון 13?

שלב 1: מיפוי מצב קיים

בצעו סקר מקיף של כל מאגרי המידע בארגון. זהו את סוגי המידע, מקורותיו, והשימושים בו.

שלב 2: הערכת פערים

השוו את המצב הקיים לדרישות התיקון. זהו היכן נדרשים שיפורים.

שלב 3: בניית תוכנית עבודה

צרו לוח זמנים מפורט ליישום כל הדרישות, כולל הקצאת משאבים ותקציב.

שלב 4: מינוי DPO

בחרו קצין הגנת נתונים מוסמך - פנימי או חיצוני.

שלב 5: הטמעה והדרכה

יישמו את הנהלים החדשים והדריכו את כל העובדים הרלוונטיים.

סיכום

תיקון 13 מהווה מהפכה בהגנת הפרטיות בישראל. החוק בתוקף מאוגוסט 2025 והרשות להגנת הפרטיות אוכפת אותו באופן פעיל, כולל הטלת קנסות ופתיחת חקירות. ארגונים שטרם התאימו את עצמם חשופים לסנקציות כבדות.

צריכים עזרה בעמידה בדרישות תיקון 13? צוות המומחים של LLUMINATE מספק ליווי מקצועי מלא - ממיפוי ראשוני ועד עמידה מלאה בדרישות.