צ׳קליסט תיקון 13 לעסקים קטנים ובינוניים
12 צעדים שכל עסק שמחזיק מידע אישי חייב לעבור — מהמיפוי הראשוני ועד נוהל דיווח אירוע. בלי משפטית מסובכת.
תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, ומאז אנחנו פוגשים את אותה תגובה כמעט בכל עסק קטן או בינוני: ״זה בטח מכוון לבנקים ולקופות החולים, לא אלינו״. אז לא. אם יש לכם רשימת לקוחות במערכת CRM, תיקי עובדים אצל חשבת השכר, רשימת דיוור או טפסי לידים מהאתר — אתם מנהלים מאגרי מידע, והחוק חל עליכם. מה שכן משתנה לפי גודל ורגישות הוא עומק הדרישות, לא עצם קיומן. החדשות הטובות: לעסק ממוצע, רוב הדרך לעמידה סבירה עוברת דרך רשימה סופית וברורה של משימות. בדיוק בשביל זה כתבנו את הצ׳קליסט הזה — 12 צעדים, בשלושה שלבים, בלי משפטית מסובכת. עוברים עליו סעיף-סעיף, מסמנים מה סגור ומה פתוח, ובסוף יש לכם תוכנית עבודה אמיתית.
חובות הליבה — תיעוד מאגרים, שקיפות, מענה לזכויות נושאי מידע, אבטחת מידע לפי התקנות ודיווח על פרצות — חלות גם על עסק עם חמישה עובדים. תיקון 13 נתן לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים מדורגים, שנגזרים בין היתר מסוג ההפרה והיקף המידע — והרשות אינה מחויבת להתחיל מהגדולים. עסק קטן שמחזיק מידע רגיש חשוף לא פחות, ולעיתים יותר, כי אין לו את השכבות המגוננות של ארגון גדול.
לפני שצוללים לצעדים, שווה לעצור על שאלה שמבלבלת הרבה בעלי עסקים: מה חובה על כולם, ומה חובה רק על חלק? הטבלה הבאה עושה סדר:
| החובה | על מי היא חלה | מה זה אומר בפועל |
|---|---|---|
| תיעוד פנימי של מאגרי מידע | כל מי שמנהל מאגר מידע — כלומר כמעט כל עסק | מסמך הגדרות מאגר עדכני לכל מאגר |
| רישום מאגר ברשות | בעיקר גופים ציבוריים, שירותי דירוג אשראי וסוחרי מידע | רוב העסקים הפרטיים פטורים מרישום — אבל לא מתיעוד |
| מינוי ממונה הגנת פרטיות (DPO) | גופים ציבוריים; מעבדי מידע רגיש בהיקף משמעותי; מאגרים גדולים במיוחד | ממונה פנימי או חיצוני, עם הסמכות והמשאבים לתפקיד |
| מענה לזכויות נושאי מידע | כולם | גישה, תיקון ומחיקה — מענה בתוך 30 יום |
| דיווח על פרצת אבטחה חמורה | כולם | דיווח לרשות ״ללא דיחוי״ |
| תקנות אבטחת מידע 2017 | כולם, לפי רמת הסיווג של המאגר | בקרות בסיסיות, בינוניות או גבוהות |
שלב א — לדעת מה יש
אי אפשר להגן על מידע שלא יודעים שהוא קיים, ואי אפשר לדעת אילו חובות חלות עליכם בלי לדעת מה אתם מחזיקים. ארבעת הצעדים הראשונים הם שלב האבחון — והם הבסיס לכל השאר.
1. מיפוי מאגרי המידע ותיעוד פנימי
מה עושים בפועל: עוברים בשיטתיות על כל מקום שבו יושב מידע אישי — CRM, מערכת שכר, דיוור, אתר, טפסי לידים, קבצי אקסל משותפים, גיבויים וענן. לכל מאגר מתעדים: אילו סוגי מידע נאספים, לאיזו מטרה, כמה רשומות, איפה המידע מאוחסן, אילו ספקים נוגעים בו ומי בארגון ניגש אליו. את התוצאה מרכזים במסמך הגדרות מאגר — זו חובת התיעוד הפנימי שחלה גם על מי שפטור מרישום. סימן שאתם בסדר: יש מסמך אחד עדכני שמופיעים בו כל המאגרים, יש אדם אחד שאחראי לעדכן אותו, ואם שואלים אתכם ״איפה יושב מידע על לקוחות?״ — התשובה לוקחת דקה, לא ישיבה.
2. סיווג רמת האבטחה לפי התקנות
מה עושים בפועל: לכל מאגר קובעים את רמת האבטחה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017: רמה בסיסית — פחות מ-10,000 נושאי מידע וללא מידע רגיש; רמה בינונית — 10,000 נושאי מידע ומעלה, או כל מאגר שכולל מידע רגיש; רמה גבוהה — מאגרים בתחומי בריאות ופיננסים, גופים ציבוריים גדולים או מאגרים של 100,000 נושאי מידע ומעלה. מידע רגיש כולל, בין היתר: מידע רפואי, מידע גנטי, נתונים ביומטריים, נטייה מינית, דעות פוליטיות ועבר פלילי. סימן שאתם בסדר: ליד כל מאגר במסמך המיפוי רשומה רמת אבטחה, ואתם יודעים להסביר במשפט אחד למה זו הרמה שנקבעה.
3. בדיקת חובת רישום המאגר
מה עושים בפועל: בודקים אם אתם בכלל חייבים ברישום ברשות להגנת הפרטיות. תיקון 13 צמצם דרמטית את חובת הרישום — היא חלה היום בעיקר על גופים ציבוריים, שירותי דירוג אשראי וגופים שסוחרים במידע. רוב מוחלט של העסקים הקטנים והבינוניים פטור מרישום — אבל הפטור מרישום אינו פטור מכלום: חובת התיעוד הפנימי מצעד 1 באה במקומו. סימן שאתם בסדר: בדקתם את השאלה, המסקנה (חייבים / פטורים ולמה) כתובה ומתועדת, ואם חלה עליכם חובה — המאגר אכן רשום.
4. בדיקת חובת מינוי ממונה הגנת פרטיות (DPO)
מה עושים בפועל: בודקים אם אתם נכנסים לאחת מקבוצות החובה: גוף ציבורי; ארגון שעיבוד מידע רגיש בהיקף משמעותי הוא חלק מליבת פעילותו — למשל גופי בריאות ופיננסים עם 10,000 נושאי מידע ומעלה; או מאגרים של 100,000 נושאי מידע ומעלה. גם מי שלא חייב יכול למנות ממונה מרצון — ולעסק בלי איש ציות פנימי, ממונה חיצוני הוא לרוב ההשקעה המשתלמת בתחום. לא בטוחים? מחשבון ה-DPO שלנו נותן תשובה ראשונית בשתי דקות. סימן שאתם בסדר: יש החלטה מתועדת — מינוי בפועל, או נימוק כתוב מדוע החובה לא חלה עליכם.
בנינו סקר סיכונים אונליין שממפה אתכם מול ארבעת הצעדים הראשונים ונותן ציון מוכנות מיידי: רמת האבטחה שכנראה חלה עליכם, אינדיקציה לחובת רישום ומינוי ממונה, והפערים הדחופים ביותר. חינם, בלי התחייבות, פחות מחמש דקות.
שלב ב — לסגור את הבסיס
אחרי שיודעים מה יש, סוגרים את ארבע החובות שכל רגולטור — וכל לקוח גדול שעורך ביקורת ספקים — יבדוק ראשונות: שקיפות, זכויות, ספקים והעברות לחו״ל.
5. עדכון מדיניות הפרטיות והודעות היידוע
מה עושים בפועל: משכתבים את מדיניות הפרטיות כך שתשקף את מה שבאמת קורה במידע — לא טמפלייט גנרי שהורד מהאינטרנט. מוודאים שבכל נקודת איסוף (טופס באתר, טופס קליטת עובד, מוקד טלפוני) נמסרת הודעת יידוע: מה נאסף, לאיזו מטרה, האם מסירת המידע היא חובה או רשות, למי הוא יועבר ואילו זכויות יש לנושא המידע. הכול בעברית פשוטה ונגישה. סימן שאתם בסדר: אדם שקורא את המדיניות מבין באמת מה אתם עושים במידע שלו — ואף סעיף בה לא מתאר פרקטיקה שלא קיימת אצלכם, או מסתיר אחת שכן.
6. תהליך מענה לזכויות נושאי מידע — תוך 30 יום
מה עושים בפועל: מגדירים מסלול מסודר לבקשות גישה, תיקון ומחיקה: ערוץ קבלה ברור (כתובת מייל ייעודית או טופס), אימות זהות הפונה, אדם אחראי שמטפל, ותיעוד של כל בקשה והמענה לה. את המענה נותנים בתוך 30 יום. חשוב לתרגם את זה גם לצד הטכני — לדעת בפועל לשלוף, לתקן או למחוק רשומה מכל המערכות, כולל אצל ספקים. סימן שאתם בסדר: מריצים פנייה מדומה של ״לקוח״ שמבקש לעיין במידע שלו — והיא עוברת את כל המסלול, כולל מענה מלא, בהרבה פחות מ-30 יום.
7. הסכמי עיבוד (DPA) מול ספקים
מה עושים בפועל: ממפים את כל הספקים שנוגעים במידע האישי שלכם — לשכת שכר, CRM, מערכת דיוור, ספק אחסון וענן, מוקד שירות, פרילנסרים עם גישה למערכות — ומחתימים כל אחד מהם על הסכם עיבוד מידע: מה מותר לו לעשות במידע, אילו אמצעי אבטחה הוא מחויב להם, מה קורה באירוע אבטחה ומה קורה למידע בסיום ההתקשרות. זו לא פורמליות: אם ספק שלכם נפרץ, האחריות כלפי נושאי המידע לא נעלמת. סימן שאתם בסדר: לכל ספק ברשימת המיפוי יש הסכם חתום עם סעיפי אבטחת מידע — או תאריך יעד קרוב להחתמתו.
8. בדיקת העברות מידע לחו״ל
מה עושים בפועל: בודקים אילו מהספקים והמערכות שלכם מאחסנים או מעבדים מידע מחוץ לישראל — ברוב העסקים זה יכלול לפחות שירות ענן או דיוור אחד. לכל העברה כזו מוודאים שקיים בסיס חוקי לפי דיני העברת המידע לחו״ל: למשל מדינה שמעניקה רמת הגנה נאותה, או מנגנון חוזי מתאים מול הספק. סימן שאתם בסדר: יש רשימה של כל הספקים שמחזיקים מידע בחו״ל, וליד כל אחד מהם כתוב הבסיס החוקי להעברה — לא ״כנראה בסדר, זה ספק גדול״.
שלב ג — להיות מוכנים לרע
השלב האחרון עוסק ביום שבו משהו משתבש. ההבדל בין תקלה מביכה לאירוע רגולטורי חמור נקבע כמעט תמיד לפי מה שהארגון עשה לפני הפרצה, לא אחריה.
9. בקרות אבטחה לפי רמת הסיווג
מה עושים בפועל: מיישמים את הבקרות שרמת הסיווג מצעד 2 מחייבת, ובראשן ארבע: הרשאות גישה — כל עובד ניגש רק למה שהוא צריך לתפקידו, וגישה של עוזבים נחסמת ביום העזיבה; תיעוד פעילות (Logs) — רישום מי ניגש למאגר ומתי, בהתאם לרמת המאגר; גיבויים — סדורים, נבדקים, ומאובטחים בעצמם; הצפנה — למידע רגיש, למחשבים ניידים ולתקשורת. את כל אלה מעגנים בנוהל אבטחת מידע כתוב. סימן שאתם בסדר: עובד שעזב בחודש שעבר כבר לא מצליח להתחבר לשום מערכת, ואתם מסוגלים לשלוף לוג גישה למאגר בלי לפתוח קריאה לספק.
10. נוהל תגובה לפרצה — כתוב
מה עושים בפועל: כותבים נוהל תגובה לאירוע אבטחה שעונה על חמש שאלות: מי מזהה ומדווח פנימית? מי מחליט שמדובר באירוע? מי מכיל טכנית? מי מדווח לרשות להגנת הפרטיות — ומתי מיידעים את נושאי המידע? חשוב לדייק: באירוע אבטחה חמור, הדיווח לרשות נדרש ״ללא דיחוי״ — לא בתוך 72 שעות כמו ב-GDPR. הנוהל כולל רשימת אנשי קשר עדכנית: הנהלה, IT, יועץ משפטי, ספקי מערכות קריטיים. סימן שאתם בסדר: כל חבר הנהלה יודע למי מתקשרים אם מתגלה דליפה בשבת בלילה — בלי לחפש את הנוהל קודם.
11. תרגול שולחני שנתי
מה עושים בפועל: פעם בשנה מכנסים את המנהלים הרלוונטיים לשעה-שעתיים ומריצים תרחיש על הנייר: ״נמצא קובץ לקוחות שלנו בפורום דליפות — מה עכשיו?״ עוברים על הנוהל צעד-צעד, מגלים איפה הוא נשבר (טלפון לא מעודכן, סמכות החלטה לא ברורה, אף אחד לא יודע מה מדווחים לרשות), ומתקנים. נוהל שלא תורגל הוא הנחת עבודה, לא יכולת. סימן שאתם בסדר: יש סיכום כתוב של תרגול מ-12 החודשים האחרונים, כולל לקחים — ולפחות לקח אחד מהם כבר יושם.
12. הדרכת עובדים ומודעות
מה עושים בפועל: רוב אירועי האבטחה מתחילים בטעות אנוש — מייל פישינג, קובץ ששותף לכתובת הלא נכונה, סיסמה ממוחזרת. לכן מטמיעים הדרכת פרטיות ואבטחת מידע בקליטת כל עובד חדש, ורענון שנתי קצר לכולם: מה נחשב מידע אישי, מה אסור לשלוח ולאן, איך מזהים פישינג ולמי מדווחים על חשד. את ההדרכות מתעדים — גם כי התקנות דורשות, וגם כי זו ההוכחה שלכם שעשיתם את המוטל עליכם. סימן שאתם בסדר: עובד חדש לא מקבל גישה למערכות עם מידע אישי לפני שעבר הדרכה, ויש רישום מי עבר מה ומתי.
השורה התחתונה
12 הצעדים האלה הם לא פרויקט של שנה. לעסק קטן או בינוני טיפוסי, שלב א׳ הוא עניין של ימים בודדים, ושלבים ב׳ ו-ג׳ — תוכנית עבודה ממוקדת של שבועות, לא חודשים. הסדר חשוב: מי שמדלג על המיפוי והסיווג בונה את כל השאר על ניחושים. והכי חשוב — כל צעד שסגרתם מקטין סיכון אמיתי כבר היום: מול הרגולטור, מול לקוחות גדולים שדורשים לראות ציות לפני חתימת חוזה, ומול היום שבו משהו ישתבש. עברו על הרשימה, סמנו איפה אתם עומדים — ותתחילו מהפער שהכי כואב.
לא בטוחים איפה להתחיל, או שאין למי להאציל את זה בפנים? Cybertis מלווה עסקים קטנים ובינוניים בעמידה בתיקון 13 מקצה לקצה — מ-Gap Assessment ממוקד לפי בדיוק 12 הצעדים האלה, דרך תוכנית עבודה מתוקצבת ועד ממונה הגנת פרטיות חיצוני. הפגישה הראשונה עלינו.
לשירות עמידה בתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. תחולת החובות המדויקת תלויה בנסיבות הספציפיות של כל ארגון, ובמקרים המתאימים מומלץ להתייעץ עם עורך דין המתמחה בהגנת הפרטיות.*
עמידה בתיקון 13 לחוק הגנת הפרטיות
תיקון 13 בתוקף מ-14 באוגוסט 2025 — והרשות להגנת הפרטיות כבר אוכפת. אנחנו עוזרים לעסקים ולארגונים לבצע Gap Assessment פרטיות, למנות DPO, לעדכן מסמכי מאגרי מידע ולסגור את הפערים לפני שביקורת או אירוע יעשו זאת במקומכם — בלי בהלה ובלי בירוקרטיה מיותרת.
לעמוד השירות המלא