דלגו לתוכן
פרטיות4 במאי 20269 דק׳ קריאה· עודכן: 3 ביולי 2026

רישום מאגרי מידע אחרי תיקון 13 — מה השתנה ומה חובה

חובת הרישום צומצמה אך לא בוטלה. מה כן נדרש, איך לבחון אם מאגר ספציפי חייב רישום, ומה הנייר העקרוני שצריך להכין מראש.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

במשך עשורים, ״רישום מאגר מידע״ היה שם נרדף לציות לחוק הגנת הפרטיות בישראל: כמעט כל ארגון שניהל מידע אישי היה חייב לרשום את מאגריו אצל רשם מאגרי המידע, למלא טפסים, ולעדכן — לפחות בתיאוריה — כל שינוי. בפועל, פנקס המאגרים הפך לאורך השנים למאגר ביורוקרטי עצום שרובו לא שיקף את המציאות: מאגרים נרשמו ונשכחו, ארגונים שלמים לא נרשמו כלל, והרישום עצמו לא שיפר את ההגנה על המידע במאום. תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, שינה את התמונה מן היסוד: חובת הרישום צומצמה דרמטית לשלושה סוגי גופים בלבד — וכל השאר עברו ממשטר של רישום חיצוני למשטר של תיעוד פנימי. במאמר הזה נסביר בדיוק מי עדיין חייב רישום, מה חובת התיעוד הפנימי דורשת בפועל, ואיך בודקים בשלושה צעדים מה חל על מאגר ספציפי אצלכם.

למה זה חשוב דווקא עכשיו

תיקון 13 לא רק שינה את כללי הרישום — הוא העניק לרשות להגנת הפרטיות סמכויות אכיפה חדשות, ובהן עיצומים כספיים מדורגים. אנחנו בעידן אכיפה: ארגון שלא יודע להגיד אם הוא חייב ברישום, ולא מחזיק תיעוד פנימי מסודר של מאגריו, חשוף כבר היום — לא בעתיד תיאורטי.

מה היה ומה השתנה — התמונה המלאה

עד תיקון 13, סעיף 8 לחוק הגנת הפרטיות קבע חובת רישום רחבה: מאגר מידע החייב ברישום היה, למעשה, כמעט כל מאגר — לפי קריטריונים כמו היקף רשומות, מידע רגיש, דיוור ישיר או מידע שנמסר לאחרים. התוצאה הייתה שגם חנות אינטרנטית קטנה וגם קופת חולים גדולה נדרשו, פורמלית, לאותו הליך רישום. תיקון 13 הפך את הלוגיקה: ברירת המחדל היום היא פטור מרישום, וחובת הרישום נשמרה רק למקרים שבהם לרישום הציבורי יש ערך ממשי — גופים ציבוריים, שירותי דירוג אשראי, וגופים שמסחר במידע הוא ליבת פעילותם. במקביל, מה שהיה בעבר טופס שמגישים לרשם הפך לחובת תיעוד פנימית שחלה על כמעט כולם — והיא זו שהרגולטור יבקש לראות בביקורת.

נושאלפני תיקון 13אחרי תיקון 13
ברירת המחדלחובת רישום כמעט לכל מאגר מידעפטור מרישום לרוב המוחלט של המאגרים
מי חייב רישוםקריטריונים רחבים: היקף, מידע רגיש, דיוור ישיר ועודשלושה מקרים בלבד: גופים ציבוריים, שירותי דירוג אשראי ו״סוחרי מידע״
מה נדרש מכל השאררישום אצל רשם מאגרי המידעתיעוד פנימי — מסמך הגדרות מאגר עדכני לכל מאגר
מול מי מתנהליםרשם מאגרי המידע (הליך חיצוני)הארגון עצמו — והתיעוד מוצג לרשות לפי דרישה
המשמעות בביקורתתעודת רישום — גם אם לא שיקפה את המציאותתיעוד חי שנבחן לגופו: מטרות, הרשאות, ספקים ואבטחה
צמצום הרישום אינו צמצום החובות

זו הנקודה שהכי חשוב להפנים: תיקון 13 ביטל את הביורוקרטיה של הרישום — לא את האחריות על המידע. תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 נשארו בתוקף במלואן, וכל חובות התיקון — שקיפות, זכויות נושאי מידע, אבטחה ותיעוד — חלות גם על מאגר שפטור מרישום.

מי עדיין חייב רישום — שלושת המקרים

אחרי תיקון 13, חובת הרישום בפנקס מאגרי המידע חלה על שלוש קטגוריות בלבד. אם הארגון שלכם לא נופל לאחת מהן — אתם פטורים מרישום (אך לא מתיעוד, כפי שנראה בהמשך):

1. גופים ציבוריים

משרדי ממשלה, רשויות מקומיות, תאגידים סטטוטוריים וגופים אחרים שהחוק מגדיר כגוף ציבורי — ממשיכים להיות חייבים ברישום מאגריהם. ההיגיון ברור: המידע שמחזיק גוף ציבורי נאסף מכוח סמכות, לא מכוח הסכמה, ולציבור יש אינטרס מובהק בשקיפות לגבי אילו מאגרים המדינה מנהלת עליו. דוגמאות: מאגר תושבים של רשות מקומית, מאגרי תלמידים במערכת החינוך הציבורית, מאגרים של תאגידי מים וחברות ממשלתיות המוגדרות גוף ציבורי.

2. שירותי דירוג אשראי

גופים שעיסוקם מתן שירות של דירוג או הערכת אשראי — תחום שבו המידע האישי משפיע ישירות על יכולתו של אדם לקבל משכנתה, הלוואה או אפילו עסקת תשלומים. הרגישות הצרכנית הגבוהה והפוטנציאל לפגיעה כלכלית ממשית הצדיקו, בעיני המחוקק, השארת פיקוח רישומי הדוק על הקטגוריה הזו.

3. ״סוחרי מידע״ — המקרה שדורש הכי הרבה תשומת לב

הקטגוריה השלישית היא המורכבת ביותר לניתוח עצמי: מאגר שמכיל מידע על 10,000 אנשים או יותר, ושמטרתו העיקרית היא איסוף מידע לשם מסירתו לאחרים — כדרך עיסוק או בתמורה. כלומר, שני תנאים מצטברים: סף כמותי של 10,000 נושאי מידע, ומבחן מהותי של מטרת המאגר. דוגמאות טיפוסיות: חברות שמוכרות לידים ורשימות תפוצה, שירותי העשרת נתונים (Data Enrichment) שמספקים פרופילים לגורמים שלישיים, ופלטפורמות שמודל ההכנסה שלהן הוא מסירת מידע אישי ללקוחות עסקיים. לעומת זאת, חברה שמעבירה מידע לספק שכר או למערכת CRM לצורך פעילותה שלה — איננה ״סוחרת מידע״, כי המסירה איננה מטרת המאגר אלא אמצעי תפעולי.

אזור אפור? תתייעצו לפני שתחליטו

המבחן של ״מטרה עיקרית״ הוא מהותי ולא טכני. פלטפורמות שיתוף נתונים, מיזמי דאטה שיתופיים ומודלים עסקיים מבוססי-מידע יכולים ליפול משני צידי הקו. אם המודל העסקי שלכם כולל העברת מידע אישי לגורמים שלישיים בהיקף משמעותי — זו החלטה שכדאי לקבל עם ליווי מקצועי, לא עם ניחוש.

חובת התיעוד הפנימי — מסמך הגדרות המאגר

כאן נמצא לב השינוי עבור רוב הארגונים בישראל. הפטור מרישום הוחלף בחובה לנהל מסמך הגדרות מאגר — תיעוד פנימי, עדכני וזמין, לכל מאגר מידע שהארגון מנהל. זה לא מסמך ״לתיוק״: זהו המסמך הראשון שביקורת של הרשות להגנת הפרטיות תבקש לראות, והוא גם הבסיס שממנו נגזרות כל שאר חובות הציות — מרמת האבטחה ועד הסכמי העיבוד. מסמך הגדרות מאגר ראוי צריך לכלול לכל הפחות:

  • מטרות העיבוד. לשם מה נאסף המידע ולאילו שימושים הוא משמש בפועל — לא ניסוח גנרי, אלא המטרות האמיתיות. שימוש במידע למטרה שלא תועדה הוא בעצמו חשיפה משפטית.
  • סוגי המידע במאגר. פרטי זיהוי, פרטי קשר, מידע פיננסי, מידע על בריאות, מידע ביומטרי וכדומה — עם דגש מיוחד על סימון מידע רגיש (בריאות, גנטיקה, ביומטריה, נטייה מינית, דעות פוליטיות, עבר פלילי), כי הוא משפיע ישירות על רמת האבטחה הנדרשת.
  • היקף הרשומות. כמה נושאי מידע יש במאגר — בקירוב סביר ומעודכן. הספים של 10,000 ו-100,000 רשומות הם קווי פרשת מים רגולטוריים.
  • מורשי גישה והרשאות. מי בארגון ניגש למאגר, באיזו רמת הרשאה ולאיזה צורך — כולל עקרון הצמצום: כל עובד רואה רק מה שנדרש לתפקידו.
  • ספקים ומעבדי מידע. כל גורם חיצוני שמעבד את המידע עבורכם — ענן, CRM, שכר, דיוור, תמיכה — כולל אסמכתה להסכם עיבוד (DPA) מולו.
  • העברות מידע לחו״ל. האם מידע מהמאגר יוצא מגבולות ישראל (וכמעט תמיד התשובה היא כן, ולו בגלל שרתי ענן), לאן, ועל בסיס איזו מסגרת חוקית.
  • אמצעי האבטחה. רמת האבטחה שסווגה למאגר לפי תקנות אבטחת מידע, והבקרות המרכזיות שמיושמות בפועל — בקרת גישה, תיעוד פעילות, גיבויים, הצפנה במידת הנדרש.

שימו לב לנקודה אחת שרבים מפספסים: התיעוד צריך להיות חי. מאגר חדש שקם עם קמפיין שיווקי, ספק ענן שהוחלף, פיצ׳ר מוצר שמתחיל לאסוף סוג מידע חדש — כל אלה מחייבים עדכון של המסמך. מסמך הגדרות מ-2025 שלא נגעו בו מאז שווה בביקורת מעט מאוד.

צ׳ק מהיר: שלושה צעדים לבדיקת מאגר ספציפי

יש לכם מאגר ביד — רשימת לקוחות, מערכת HR, בסיס נתונים של אפליקציה — ואתם רוצים לדעת מה חל עליו? עברו על שלוש השאלות הבאות, לפי הסדר:

  1. האם אתם גוף ציבורי, שירות דירוג אשראי, או ״סוחר מידע״? כלומר: האם המאגר מכיל מידע על 10,000 אנשים או יותר ומטרתו העיקרית היא מסירת המידע לאחרים? אם כן לאחד מאלה — חובת רישום בפנקס מאגרי המידע, בנוסף לכל חובות התיעוד והאבטחה. אם לא — המשיכו לצעד הבא.
  2. האם קיים למאגר מסמך הגדרות עדכני? אם אין — זו המשימה הראשונה, לפני כל דבר אחר. אם יש — בדקו מתי עודכן לאחרונה והאם הוא משקף את המציאות הנוכחית: ספקים, הרשאות, סוגי מידע והיקפים.
  3. מה רמת האבטחה שנגזרת מהמאגר? בדקו היקף רשומות וקיום מידע רגיש מול תקנות אבטחת מידע (פירוט בפרק הבא), וודאו שהבקרות שמיושמות בפועל תואמות את הרמה — לא את מה שהיה נוח להניח.
רוצים לעשות את הבדיקה הזו על כל הארגון — בחמש דקות?

בנינו סקר סיכונים אונליין שממפה עבורכם את התמונה: אינדיקציה לחובת רישום, רמת האבטחה שכנראה חלה עליכם, חובת מינוי ממונה והפערים הדחופים ביותר. חינם, בלי התחייבות.

שתי הטעויות הנפוצות — משני הכיוונים

בעבודה עם לקוחות מאז כניסת התיקון לתוקף, אנחנו פוגשים שוב ושוב שתי טעויות מראה — האחת של זהירות-יתר והשנייה של שאננות:

  • ״נרשום ליתר ביטחון.״ ארגונים שממשיכים להגיש רישומים לפנקס למרות שאינם חייבים, מתוך הרגל או תחושה שרישום ״מכסה״ אותם. זו אנרגיה שמושקעת במקום הלא נכון: הרישום לא פוטר מאף חובה מהותית, לא משפר את מעמדכם בביקורת, ובעיקר — הוא בא על חשבון העבודה שבאמת נבחנת היום, שהיא התיעוד הפנימי והאבטחה בפועל.
  • ״פטורים מרישום = פטורים מהכול.״ הטעות המסוכנת יותר. ארגונים ששמעו ש״ביטלו את חובת הרישום״ והסיקו שחוק הגנת הפרטיות כבר לא נוגע להם. ההפך הוא הנכון: תיקון 13 החליף ביורוקרטיה באחריותיות. חובות התיעוד, האבטחה לפי התקנות, השקיפות מול נושאי המידע, הסכמי העיבוד מול ספקים, מינוי ממונה במקרים הרלוונטיים ודיווח על פרצה ״ללא דיחוי״ — כולן חלות במלואן, וסמכויות האכיפה של הרשות רק התרחבו.

ההקשר הרחב: תיעוד, רמות אבטחה — ולמה הכול מתחיל במיפוי

מסמך הגדרות המאגר איננו עומד לבדו — הוא השער לסיווג רמת האבטחה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, שממשיכות לחול על כל מאגר בישראל. עקרונות הסיווג: מאגר עם פחות מ-10,000 רשומות וללא מידע רגיש יסווג בדרך כלל ברמת אבטחה בסיסית; מאגר עם 10,000 רשומות ומעלה או שמכיל מידע רגיש — ברמה בינונית; ומאגרים בתחומי בריאות ופיננסים, גופים ציבוריים גדולים או מאגרים של 100,000 רשומות ומעלה — ברמה גבוהה. כל רמה גוררת סט בקרות מחייב משלה: הרשאות, תיעוד פעילות, נהלים, ובמדרגות הגבוהות גם דרישות מחמירות יותר. בלי מסמך הגדרות מדויק — אין לכם דרך לדעת באיזו רמה אתם, ולכן אין לכם דרך לדעת אם אתם עומדים בתקנות. וזה עוד לפני שאלת מינוי ממונה הגנת פרטיות (DPO), שחובה על גוף ציבורי, על מי שמעבד מידע רגיש בהיקף של 10,000 רשומות ומעלה בתחומי בריאות או פיננסים, ועל מאגרים של 100,000 רשומות ומעלה. שרשרת הציות כולה — רישום או פטור, רמת אבטחה, ממונה, הסכמי עיבוד — מתחילה מאותה נקודה: לדעת אילו מאגרים יש לכם ומה יש בהם.

השורה התחתונה

תיקון 13 החליף פנקס ביורוקרטי בשאלה מהותית: האם הארגון שלכם באמת שולט במידע שהוא מחזיק. עבור הרוב המוחלט של העסקים בישראל, חובת הרישום ירדה מהשולחן — אבל במקומה עומדת חובת תיעוד פנימי שהיא, בפועל, מבחן ניהולי אמיתי יותר. הבשורה הטובה: מיפוי מאגרים ובניית מסמכי הגדרות לארגון קטן או בינוני הם פרויקט של שבועות, לא של שנה. הבשורה הפחות טובה: בעידן שבו לרשות להגנת הפרטיות יש סמכויות עיצום כספי, ארגון שלא יודע לענות על השאלה ״אילו מאגרים יש לכם ומה יש בהם״ — כבר נמצא בפיגור.

Cybertis מלווה חברות ישראליות בעמידה בתיקון 13 מקצה לקצה — ממיפוי מאגרים ובניית מסמכי הגדרות, דרך סיווג רמות אבטחה וסגירת פערים, ועד ממונה הגנת פרטיות חיצוני. הפגישה הראשונה עלינו.

לשירות עמידה בתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. יישום בפועל מחייב בחינה פרטנית של הארגון, ובמקרים המתאימים — התייעצות עם עורך דין המתמחה בהגנת הפרטיות.*

השירות הקשור

עמידה בתיקון 13 לחוק הגנת הפרטיות

תיקון 13 בתוקף מ-14 באוגוסט 2025 — והרשות להגנת הפרטיות כבר אוכפת. אנחנו עוזרים לעסקים ולארגונים לבצע Gap Assessment פרטיות, למנות DPO, לעדכן מסמכי מאגרי מידע ולסגור את הפערים לפני שביקורת או אירוע יעשו זאת במקומכם — בלי בהלה ובלי בירוקרטיה מיותרת.

לעמוד השירות המלא
תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il