שנה של אכיפה: מה הרשות להגנת הפרטיות עשתה בפועל מאז תיקון 13
מ-3 הפרות בשנת 2024 ל-33 הליכי אכיפה ב-2025, עיצום של 75 אלף ש״ח על ביטוח לאומי, פיקוח רוחב בחמישה מגזרים והצהרה על עשרות תיקים ב-2026. דוח שטח על השנה הראשונה של אכיפת תיקון 13: מי נבדק ראשון, מה המפקחים מבקשים — וצ׳קליסט 10 הפריטים שצריכים להיות מוכנים לפני שמגיע מכתב.
ב-10 בדצמבר 2025, פחות מארבעה חודשים אחרי כניסת תיקון 13 לתוקף, פרסמה הרשות להגנת הפרטיות הודעה שסימנה שלב חדש: פתיחת הליכי פיקוח רוחב בו-זמנית בחמישה מגזרים — רשויות מקומיות, חברות מסחר מקוון, אפליקציות בשימוש נרחב, מכוני בדיקות גנטיות וצהרונים. ארגונים שמעולם לא שמעו מהרשות מצאו את עצמם מול שאלון פיקוח עם מועד תגובה מוגדר. שנה קודם לכן עוד אפשר היה לשאול ״האם תיקון 13 באמת ישנה משהו״. היום כבר יש תשובה מהשטח, והמאמר הזה עושה בדיוק את מה שכדאי לעשות שנה אחרי כל רפורמה רגולטורית: בודק מה קרה בפועל — מי נקנס, על מה, באילו סכומים, מי נבדק עכשיו — ומה זה אומר על ההיערכות שלכם לקראת ההמשך.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14 באוגוסט 2025, הפך את הרשות להגנת הפרטיות מרגולטור רישומי לגוף אכיפה מלא: סמכות להטיל עיצומים כספיים מדורגים (מאות אלפי שקלים ויותר, עם הכפלה במאגרים של מעל מיליון נושאי מידע ותקרה כוללת של 5% מהמחזור השנתי), סמכויות פיקוח וחקירה מורחבות למפקחי הרשות, וסמכות לבית משפט להורות על הפסקת עיבוד — ואף על מחיקת מאגר כולו. סקירה מלאה של החובות עצמן תמצאו במדריך ההיערכות לתיקון 13.
ציר הזמן: מהקנסות הראשונים ועד פיקוח הרוחב
האיתות הראשון הגיע עוד לפני כניסת התיקון לתוקף. באפריל 2025 הטילה הרשות קנסות מנהליים של 15,000 ש״ח על משרדי רואי החשבון EY ו-PwC ישראל — על סריקת תעודות זהות של מבקרים בכניסה למשרדים בלי הודעת יידוע כנדרש בסעיף 11 לחוק. הסכומים היו קטנים (אלה עוד היו הכלים הישנים), אבל הבחירה במטרות לא הייתה מקרית: שני שמות גדולים, הפרה שכל ארגון יכול לזהות אצל עצמו, ומסר ברור — גם איסוף ״שגרתי״ בקבלה הוא איסוף מידע לכל דבר.
ב-14.8.2025 נכנס התיקון לתוקף, ובאותו יום השיקה הרשות מרכז מידע ייעודי והבהירה שכל מסמכי ההנחיה הקיימים שלה ממשיכים לחייב. עוד קודם לכן הודיעה הרשות על ארכה: את חובת מינוי ממונה הגנת הפרטיות היא לא תאכוף עד 31.10.2025 — הקלה שנגעה למועד המינוי בלבד, לא ליתר החובות. במקביל הגיע העיצום המשמעותי הראשון: 75,000 ש״ח על המוסד לביטוח לאומי, אחרי שעובד ניצל את הרשאות הגישה שלו למטרות אישיות ב-15 מקרים של עיון במידע שלא כדין. המשמעות המעשית חשובה לכל ארגון: הארגון נושא באחריות גם לשימוש לרעה של עובדיו בהרשאות שניתנו להם כדין.
בספטמבר 2025 פרסמה הרשות טיוטת תקנות למנגנון התראה מינהלית — נסיבות שבהן תימסר התראה במקום עיצום כספי. בדצמבר הגיע המהלך הרחב: פיקוח הרוחב בחמשת המגזרים, ולצדו גל אכיפה ממוקד באתרי מסחר מקוון. לפי דיווח גלובס מסוף דצמבר 2025, ההפרות שנבחנות שם הן בדיוק הדברים שרואים מבחוץ בדפדפן: מדיניות פרטיות חסרה או לא מעודכנת, מנגנוני הסכמה ו-Cookies לקויים, אבטחה חלשה והיעדר הסכמי עיבוד עם ספקים.
וב-2026 עלו ההילוכים: בפברואר הצהיר ראש הרשות, עו״ד גלעד סממה, שתוכנית האכיפה לשנת 2026 כוללת עשרות תיקים שכבר מתנהלים, חלקם בשלב השימוע, ושבחודשים הקרובים יוטלו עיצומים משמעותיים — ״קנסות של מיליוני שקלים״, כלשונו, תוך מדיניות מרוככת כלפי עסקים קטנים כדי לא להביא לקריסתם. בסוף פברואר פרסמה הרשות גילוי דעת מפורט על הסכמה תקפה לעיבוד מידע, ובאפריל 2026 הותקנו רשמית תקנות ההתראה המינהלית — והשלימו את ארגז הכלים האכיפתי.

המספרים: מ-3 הפרות בשנה ל-33 הליכי אכיפה
כדי להבין את קצב השינוי, שווה להסתכל על נתון אחד שפרסם משרד עורכי הדין ש. פרידמן, אברמזון (SFA) בסקירת ״היום שאחרי״ של התיקון: בשנת 2024 קבעה הרשות 3 הפרות בלבד של הוראות החוק, בלי קנסות. בשנת 2025 ננקטו כבר 33 פעולות אכיפה, ובכמחצית מהן הוטלו קנסות בסכומים של 5,000 עד 75,000 ש״ח — רובן על הפרות של הוראות אבטחת מידע, לצד עלייה בהפרות של חובת היידוע לפי סעיף 11. הסכומים עד כה צנועים יחסית, אבל חשוב להבין למה: מדובר בתיקים שנפתחו לפני מדרגות העיצומים החדשות או בשלביהן הראשונים. את התיקים של 2026 הרשות כבר מנהלת עם הכלים החדשים — ושם טווחי החשיפה נראים אחרת לגמרי.
הערכות מומחים שצוטטו בגלובס (דצמבר 2025) ממחישות את סדרי הגודל שעסקים צפויים לפגוש בגל האכיפה הנוכחי:
| תרחיש ההפרה | טווח חשיפה מוערך |
|---|---|
| הפרות בסיסיות במאגר של פחות מ-5,000 נושאי מידע | 5,000–20,000 ש״ח |
| מאגר של כ-100 אלף נושאי מידע | 70,000–200,000 ש״ח |
| מעל 100 אלף נושאי מידע ברגישות מיוחדת | 200,000 עד יותר ממיליון ש״ח |
| אי-דיווח לרשות על אירוע אבטחה חמור | עד 320,000 ש״ח |
ואלה עוד לא התקרות: המדריך המקצועי הרשמי של הרשות לתיקון 13 מדגים עיצום של 500,000 ש״ח על פנייה ל-5,000 אנשים בלי הודעת סעיף 11 במידע רגיש, ו-1.6 מיליון ש״ח על עיבוד בחריגה מהרשאה במאגר רגיש של 200 אלף איש. מי שרוצה להבין גם את צד הדיווח — חובת הדיווח על אירוע אבטחה חמור היא אחת ההפרות שממוקמות במדרגת העיצום הגבוהה ביותר של תקנות אבטחת המידע.
מי נבדק ראשון: ארבעה דפוסים שעולים מהשטח
כשמסתכלים על בחירת המטרות של הרשות בשנה הראשונה — חמשת מגזרי פיקוח הרוחב, גל המסחר המקוון והעיצומים הפרטניים — מצטיירים ארבעה דפוסים ברורים:
- מידע ברגישות מיוחדת בהיקף גדול. מכוני בדיקות גנטיות וצהרונים (מידע על קטינים) הם הדוגמה המובהקת: מעט ארגונים, הרבה מידע מהסוג שהחוק החדש מכפיל בגינו את העיצומים.
- ממשק רחב עם הציבור. אפליקציות פופולריות ואתרי מסחר מקוון נוגעים במיליוני ישראלים — הפרה אחת שם משפיעה על ציבור עצום, והיא גם קלה להוכחה.
- גופים ציבוריים. רשויות מקומיות בפיקוח הרוחב, וביטוח לאומי כעיצום הראשון: המגזר הציבורי מחזיק את המאגרים הרגישים ביותר במדינה, והרשות מסמנת שהוא לא חסין.
- הפרות שנראות מבחוץ. מדיניות פרטיות חסרה, באנר Cookies לקוי, טופס איסוף בלי הודעת יידוע — את כל אלה מפקח יכול לתעד מהדפדפן שלו, בלי צו ובלי ביקור. אלה הפירות הנמוכים של האכיפה, ולכן הם נבדקים ראשונים.
גם המתודולוגיה כבר מוכרת: לפי סקירת משרד שבלת על פעילות הרשות, הליך פיקוח רוחב מתחיל בדרך כלל בשאלון ביקורת שנשלח לארגונים במגזר, ממשיך בניתוח התשובות, ולפי הצורך — דרישות מידע בכתב וביקורות שטח. כלומר: המסמך הראשון שתפגשו הוא שאלון עם מועד תגובה, והאיכות של התשובה הראשונה קובעת במידה רבה אם התיק שלכם נסגר בשקט או מתגלגל להליך אכיפה.
ראש הרשות אמר במפורש שהמדיניות כלפי עסקים קטנים ובינוניים תהיה מרוככת ״כדי למנוע את קריסתם״ — והחוק עצמו קובע תקרות עיצום מיוחדות לעסקים עם מחזור נמוך. אבל ההקלה נוגעת לגובה העיצום, לא לתחולת החובות: חובת היידוע, מסמך הגדרות המאגר, תקנות אבטחת המידע והסכמי העיבוד חלים גם על עסק של חמישה עובדים. ומניסיוננו בליווי ארגונים מול הרשות — הפער שצץ ראשון כמעט תמיד הוא היעדר הסכמי עיבוד מול ספקים ומסמך הגדרות מאגר שלא עודכן שנים.
לא רק מקל: גל ההנחיות שנועד לעזור לכם להתיישר
לצד האכיפה, 2025 הייתה שנת שיא בפרסומי הנחיה של הרשות — וזה חלק מאותה אסטרטגיה: קודם מסבירים, אחר כך אוכפים. בין הפרסומים המרכזיים: מדריך לטכנולוגיות מגבירות פרטיות (PETs) בפברואר, הנחיה על איסוף מספרי תעודות זהות בידי עסקים במרץ, טיוטת חוות דעת על תחולת דיני הפרטיות על מערכות בינה מלאכותית באפריל, המלצות על סקרי סיכונים ומבדקי חדירות במאי, טיוטת גילוי דעת על מינוי ממונה הגנת פרטיות ביולי, וכלי מקוון להערכת סיכוני פרטיות באוקטובר. ב-2026 נוסף גילוי הדעת על הסכמה תקפה, ותקנות ההתראה המינהלית שהותקנו באפריל מעגנות רשמית את האפשרות לקבל התראה במקום עיצום — מסלול שמתגמל ארגונים שמסוגלים להראות היערכות אמיתית ותיקון מהיר. מי שעדיין מתלבט אם הוא בכלל חייב ממונה — המבחנים המעשיים למינוי DPO מרכזים את התמונה.
מה המפקחים מבקשים לראות בפועל
משאלוני הפיקוח, מדרישות המידע ומההפרות שהרשות עצמה פרסמה, אפשר לחלץ רשימה די יציבה של מה שנבדק: איזה מידע אתם אוספים ולאילו מטרות, איפה הוא יושב, מי ניגש אליו, איך הוא מאובטח, מה מספרים ללקוחות — ומה קורה כשמשהו משתבש. אלה עשרת הפריטים שחוזרים שוב ושוב, והם בדיוק מה שצריך להיות מוכן אצלכם לפני שמגיע מכתב:

צ׳קליסט: 10 פריטים שכדאי לסגור כבר השבוע
- מיפוי מאגרים ומסמך הגדרות מאגר עדכני לכל מאגר — מטרות, סוגי מידע, מקורות, העברות.
- מדיניות פרטיות עדכנית באתר ובאפליקציה, שמשקפת את מה שקורה בפועל — לא נוסח מועתק.
- הודעת יידוע לפי סעיף 11 בכל טופס וערוץ איסוף — כולל דלפק הקבלה והטלפון.
- מינוי ממונה הגנת הפרטיות אם אתם חייבים — או תיעוד מנומק של הבדיקה שקבעה שאתם פטורים.
- נוהל אבטחת מידע לפי תקנות אבטחת מידע, מותאם לרמת האבטחה של המאגרים שלכם.
- הסכמי עיבוד חתומים מול כל ספק שנוגע במידע אישי — ענן, CRM, דיוור, שכר.
- ניהול הרשאות גישה מתועד, עם סקירות תקופתיות — הלקח הישיר מעיצום ביטוח לאומי.
- סקר סיכונים ומבדקי חדירות במועדים הנדרשים לרמת האבטחה — הפרה במדרגה הגבוהה ביותר.
- נוהל תגובה ודיווח לאירוע אבטחה חמור, כולל מי מדווח לרשות ובאיזה טופס.
- תיעוד הסכמות ומנגנון Cookies תקין — הסכמה פעילה למטרות לא חיוניות, בהתאם לגילוי הדעת החדש.
אם קראתם את הרשימה והרגשתם שרובה אדומה אצלכם — אל תנסו לסגור הכול במקביל. הסדר שעובד בשטח: קודם מיפוי מאגרים (בלעדיו אי אפשר לדעת מה חל עליכם), אחר כך הפערים שנראים מבחוץ (מדיניות פרטיות, יידוע, Cookies) — כי שם האכיפה מתחילה — ורק אז שכבות העומק של אבטחה והסכמים. סקר הסיכונים המקוון שלנו ייתן לכם תמונת פתיחה בחמש דקות.
השורה התחתונה
השנה הראשונה של תיקון 13 לא הביאה (עדיין) קנסות של מיליונים — היא הביאה משהו חשוב יותר: שיטה. הרשות בנתה מדרגות — קנסות ממוקדים שמסמנים נורמות, פיקוח רוחב שממפה מגזרים שלמים, גל הנחיות שמסיר את טענת ״לא ידענו״, ומנגנון התראה שמתגמל מי שמתיישר. ההצהרות לגבי 2026 מפורשות: עשרות תיקים בהליך, עיצומים משמעותיים בדרך. ארגון שמחכה למכתב כדי להתחיל — יתחיל מאוחר מדי; ארגון שסוגר את עשרת הפריטים שלמעלה נכנס לכל שאלון פיקוח ממקום אחר לגמרי.
Cybertis מלווה ארגונים ישראליים בעמידה בתיקון 13 מקצה לקצה — ממיפוי מאגרים ו-Gap Assessment, דרך התאמת מדיניות, הסכמי עיבוד ואבטחת מידע, ועד שירות ממונה הגנת פרטיות חיצוני וליווי מול הרשות בהליכי פיקוח. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. נתוני האכיפה נכונים למועד הכתיבה (יולי 2026) ומבוססים על פרסומים פומביים; יישום החוק בפועל תלוי בנסיבות הארגון ומחייב בחינה פרטנית.*
עמידה בתיקון 13 לחוק הגנת הפרטיות
תיקון 13 בתוקף מ-14 באוגוסט 2025 — והרשות להגנת הפרטיות כבר אוכפת. אנחנו עוזרים לעסקים ולארגונים לבצע Gap Assessment פרטיות, למנות DPO, לעדכן מסמכי מאגרי מידע ולסגור את הפערים לפני שביקורת או אירוע יעשו זאת במקומכם — בלי בהלה ובלי בירוקרטיה מיותרת.
לעמוד השירות המלא