שנה לתיקון 13 — מדריך עמידה מעשי לעידן האכיפה
תיקון 13 בתוקף מ-14 באוגוסט 2025, ותקופת ההיערכות נגמרה. מה הרשות להגנת הפרטיות יכולה לאכוף היום, אילו פערים חוזרים בשטח, ושבע הפעולות שסוגרות אותם לפי סדר עדיפות.
ב-14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות — הרפורמה המשמעותית ביותר בדיני הפרטיות בישראל מאז שנות ה-80. כמעט שנה אחרי, השאלה שאנחנו שומעים מהנהלות כבר איננה ״איך נערכים״ אלא ״מה קורה למי שלא נערך״. זה שינוי מהותי: תקופת ההיערכות נגמרה, ותקופת האכיפה כאן. במדריך הזה נסכם מה התיקון שינה בפועל, אילו כלים חדשים יש היום לרשות להגנת הפרטיות, מה אנחנו פוגשים בשטח אצל עסקים קטנים ובינוניים — ומהן שבע הפעולות שממקדות תקציב מוגבל במקומות הנכונים.
לחברות ישראליות שמנהלות מידע אישי — לקוחות, עובדים, ספקים או מטופלים — ובעיקר לעסקים קטנים ובינוניים ללא צוות ציות פנימי. אם אתם מעבדים מידע רגיש (בריאות, פיננסים) או מאגרים גדולים, הדרישות שחלות עליכם מחמירות יותר.
מה תיקון 13 שינה — בקצרה
תיקון 13 עדכן את חוק הגנת הפרטיות, התשמ״א-1981, בשלושה צירים מרכזיים: הוא צמצם דרמטית את חובת רישום המאגרים, הרחיב את חובות השקיפות והזכויות של נושאי המידע, והעניק לרשות להגנת הפרטיות סמכויות אכיפה חסרות תקדים — ובהן עיצומים כספיים משמעותיים. חשוב להבין: תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 נשארו בתוקף במלואן, והן עדיין הבסיס המחייב לאבטחת כל מאגר מידע בישראל.
| נושא | לפני תיקון 13 | אחרי תיקון 13 |
|---|---|---|
| רישום מאגרי מידע | חובת רישום רחבה כמעט לכל מאגר | חובה מצומצמת — בעיקר גופים ציבוריים, סוחרי מידע ושירותי דירוג אשראי; כל השאר חייבים בתיעוד פנימי |
| ממונה הגנת פרטיות (DPO) | חובה מצומצמת מאוד | חובת מינוי הורחבה — מאגרים גדולים, מידע רגיש בהיקף משמעותי וגופים ציבוריים |
| זכויות נושאי מידע | עיון ותיקון בסיסיים | גישה, תיקון ומחיקה מורחבים, עם מועדי מענה מחייבים |
| הסכמי עיבוד (DPA) | לא נדרשו במפורש | נדרשים מול ספקים ומעבדי מידע |
| אכיפה | סמכויות מוגבלות | עיצומים כספיים מדורגים, צווי הפסקת עיבוד, וסמכויות חקירה ופיקוח מורחבות |
מה הרשות יכולה לעשות היום — ולמה זה חשוב לכם
השינוי החשוב ביותר מנקודת מבט ניהולית הוא כלכלת הסיכון. לפני התיקון, הסיכון המעשי של אי-ציות היה בעיקר תדמיתי ותביעתי. היום לרשות להגנת הפרטיות יש סמכות להטיל עיצומים כספיים מדורגים — שנגזרים בין היתר מסוג ההפרה, מספר הרשומות שנפגעו ורגישות המידע — לצד סמכות להוציא צווים, לנהל ביקורות פיקוח ולפרסם את ממצאיהן. בנוסף, הפרות מסוימות ממשיכות לשאת גם אחריות פלילית. עבור חברה בינונית, עיצום כספי בסדרי הגודל שהחוק מאפשר הוא אירוע מהותי — לעיתים יותר מהעלות של תוכנית ציות שלמה.
חובות הליבה של תיקון 13 — שקיפות, מענה לזכויות, אבטחת מידע לפי התקנות, הסכמי עיבוד ותיעוד מאגרים — חלות גם על עסק עם עשרה עובדים. מה שמשתנה לפי גודל ורגישות הוא רמת האבטחה הנדרשת וחובת מינוי הממונה, לא עצם התחולה.
מה אנחנו רואים בשטח אחרי שנה
בליווי לקוחות בשנה האחרונה — מסטארטאפים ועד ארגוני בריאות ופיננסים — חוזרים על עצמם אותם פערים, כמעט בכל ארגון שטרם עבר תהליך מסודר:
- אין מיפוי מאגרים. הארגון לא יודע להגיד אילו מאגרי מידע יש לו, איפה הם יושבים, מי ניגש אליהם ולאיזו מטרה נאסף המידע. בלי מיפוי — כל שאר הציות בנוי על חול.
- מדיניות פרטיות שלא עודכנה לתיקון 13. נוסח גנרי מ-2020 שלא משקף את זכויות נושאי המידע החדשות ואת פרטי הממונה (אם מונה).
- אין הסכמי עיבוד מול ספקים. מערכת CRM, שכר, דיוור וענן — כולן מעבדות מידע אישי של הארגון, ולרוב בלי DPA חתום כנדרש.
- נוהל פרצה קיים על הנייר בלבד. אף אחד לא תרגל אותו, אין רשימת אנשי קשר עדכנית, ואיש לא יודע שהדיווח לרשות צריך להיעשות ״ללא דיחוי״.
- הרשאות גישה רחבות מדי. כל עובד רואה הכול, כולל מידע רגיש, בניגוד לעקרון הצמצום שהתקנות דורשות.
״הפער המסוכן ביותר הוא לא טכנולוגי אלא ניהולי: ארגון שלא יודע איזה מידע יש לו, לא יכול להגן עליו — ולא יכול להוכיח לרגולטור שניסה.״
שבע פעולות, לפי סדר — תוכנית עמידה מעשית
אם התקציב והזמן מוגבלים (והם תמיד מוגבלים), זה הסדר שאנחנו ממליצים עליו. הוא בנוי כך שכל שלב מקטין סיכון אמיתי ומייצר תשתית לשלב הבא:
- מיפוי מאגרי מידע ותיעוד פנימי. רשימה מסודרת של כל מאגר: סוגי מידע, מטרות, היקף רשומות, מיקום, ספקים מעורבים והרשאות. גם אם אינכם חייבים ברישום — חובת התיעוד הפנימי חלה עליכם.
- סיווג רמת האבטחה הנדרשת. לפי תקנות אבטחת מידע: בסיסית, בינונית או גבוהה — הסיווג נגזר מהיקף הרשומות ורגישות המידע, וקובע את כל הבקרות בהמשך.
- בדיקת חובת מינוי ממונה הגנת פרטיות. מאגרים גדולים, מידע רגיש בהיקף משמעותי או גוף ציבורי — חובה. לכל השאר, מינוי ממונה (גם חיצוני) הוא לרוב ההשקעה המשתלמת ביותר בתחום. פירטנו את המבחנים במאמר מי חייב למנות DPO לפי תיקון 13.
- עדכון מדיניות הפרטיות והודעות היידוע. בעברית, נגיש, משקף את מה שבאמת קורה במידע — כולל זכויות גישה, תיקון ומחיקה ופרטי יצירת קשר.
- סגירת חוזים מול ספקים (DPA). מיפוי כל מעבדי המידע והחתמתם על הסכמי עיבוד עם התחייבויות אבטחה. זה גם הרגע לבדוק העברות מידע לחו״ל.
- נוהל תגובה לפרצה — כתוב ומתורגל. מי מזהה, מי מחליט, מי מדווח לרשות ומתי מיידעים נושאי מידע. תרגול שולחני אחד בשנה משנה את התמונה כולה.
- בקרות אבטחה לפי רמת הסיווג. בקרת גישה והרשאות מינימליות, תיעוד פעילות (Logs), גיבויים, הצפנה במידת הנדרש — ומסמך נהלים שמתעד את כל אלה.
בנינו סקר סיכונים אונליין שנותן לכם ציון מוכנות מיידי: רמת האבטחה שחלה עליכם, אינדיקציה לחובת רישום ומינוי ממונה, והפערים הדחופים. חינם, בלי התחייבות.
היערכות לביקורת: לחשוב כמו המבקר
כשרשות פיקוח — או לקוח אנטרפרייז שעורך ביקורת ספקים — בוחנת ארגון, היא שואלת בסופו של דבר שלוש שאלות: האם אתם יודעים איזה מידע יש לכם? האם הבקרות שהצהרתם עליהן קיימות בפועל? והאם תוכלו להוכיח זאת במסמכים? ארגון שמחזיק מיפוי מאגרים עדכני, מדיניות חתומה, הסכמי עיבוד מסודרים ותיעוד של תרגול נוהל פרצה — נמצא במקום אחר לגמרי מארגון שמתחיל לחפש מסמכים אחרי שהגיעה פנייה. ההבדל הזה הוא בדיוק מה שקובע אם אירוע רגולטורי מסתיים בהערה או בעיצום.
השורה התחתונה
שנה אחרי כניסת תיקון 13 לתוקף, הציפייה של הרגולטור היא לעמידה — לא לתוכניות. החדשות הטובות: עבור רוב העסקים הקטנים והבינוניים, הפער בין המצב הקיים לעמידה סבירה הוא לא פרויקט של שנה אלא תוכנית עבודה ממוקדת של שבועות בודדים, אם עובדים לפי סדר העדיפויות הנכון. החדשות הפחות טובות: את הפער הזה כבר אי אפשר לדחות בלי לשאת סיכון כספי אמיתי.
Cybertis מלווה חברות ישראליות בעמידה בתיקון 13 מקצה לקצה — מ-Gap Assessment ממוקד, דרך תוכנית עבודה מתוקצבת ועד ממונה הגנת פרטיות חיצוני. הפגישה הראשונה עלינו.
לשירות עמידה בתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. יישום בפועל מחייב בחינה פרטנית של הארגון, ובמקרים המתאימים — התייעצות עם עורך דין המתמחה בהגנת הפרטיות.*
עמידה בתיקון 13 לחוק הגנת הפרטיות
תיקון 13 בתוקף מ-14 באוגוסט 2025 — והרשות להגנת הפרטיות כבר אוכפת. אנחנו עוזרים לעסקים ולארגונים לבצע Gap Assessment פרטיות, למנות DPO, לעדכן מסמכי מאגרי מידע ולסגור את הפערים לפני שביקורת או אירוע יעשו זאת במקומכם — בלי בהלה ובלי בירוקרטיה מיותרת.
לעמוד השירות המלא