דלגו לתוכן
פרטיות5 במאי 202610 דק׳ קריאה

מידע על קטינים: מה עסק (וגם בית ספר וחוג) חייב לדעת

חנות אונליין, מועדון לקוחות של מותג נוער, קייטנה או חוג — כולם מחזיקים מידע על ילדים בלי לחשוב על זה. בדין הישראלי אין סף גיל מפורש להסכמה, אבל יש מסגרת ברורה שרוב העסקים לא מכירים — ותיקון 13 הפך חלק גדול מהמידע הזה לרגיש במיוחד. מדריך מעשי: מזיהוי גיל והסכמה הורית ועד תמונות, מחיקה ותגובה לדליפה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

חנות אונליין של בגדי ילדים שמבקשת תאריך לידה ״כדי לשלוח הפתעה ביום ההולדת״. סטודיו למחול ששומר את הטלפונים של הילדים בקבוצת וואטסאפ ומפרסם תמונות מהמופע בפייסבוק. מורה פרטית עם גיליון של שמות, כתובות וציונים. קייטנה שמעלה אלבום יומי ״להורים״. אף אחד מהם לא חושב על עצמו כ״מנהל מאגר מידע רגיש על קטינים״ — אבל מבחינת הדין הישראלי, בדיוק שם הם נמצאים. במאמר הזה נפרק מה המסגרת המשפטית הישראלית באמת אומרת (ובאיזה מקום היא שותקת), מה שינה תיקון 13, ואיך בונים תוכנית מעשית שמגינה גם על הילדים וגם עליכם.

לא רק בתי ספר: מי מחזיק מידע על קטינים

כשמדברים על ״מידע על ילדים״ הראש הולך למוסדות חינוך — אבל הרשימה ארוכה בהרבה: חנויות e-commerce עם קהל צעיר, אפליקציות ומשחקים, מותגי אופנה ומועדוני לקוחות לנוער, מורים פרטיים, קייטנות, חוגי ספורט, תנועות נוער וצהרונים. למוסדות חינוך מובהקים יש לנו מדריך ייעודי לרגולציה הכפולה שחלה עליהם: אבטחת מידע במוסדות חינוך. המאמר הזה מתמקד בשכבה המשפטית, שרלוונטית לכל השאר.

המסגרת המשפטית: מה ישראל אומרת — ומה היא לא אומרת

כאן צריך להיות כנים, כי הרבה תוכן שיווקי בעברית מציג תמונה שגויה. בניגוד לארה״ב ולאירופה, בדין הישראלי לפרטיות אין כרגע קו גיל מפורש שקובע ״מתחת לגיל X אסור לאסוף מידע מקטין בלי הסכמת הורה״. אבל אל תבלבלו את זה עם ״אין רגולציה״ — יש, והיא מגיעה ממקום כללי יותר.

המקור המרכזי הוא חוק הכשרות המשפטית והאפוטרופסות, תשכ״ב-1962: מי שטרם מלאו לו 18 הוא קטין, ופעולה משפטית שלו טעונה הסכמת נציגו — ההורה או האפוטרופוס — שגם רשאי לבטל פעולה שנעשתה בלעדיו. אבל יש חריג מהותי: פעולה ״שדרכם של קטינים בגילו לעשות כמוה״ אינה ניתנת לביטול, אלא אם היה בה נזק של ממש. כלומר, החוק מבדיל בין פעולה יומיומית רגילה לגיל לבין פעולה חריגה או בעלת השלכות.

איך מיישמים חוק כללי על איסוף מידע?

הרשות להגנת הפרטיות נשענת על עקרון ההסכמה מדעת שבחוק. בגילוי הדעת שלה בנושא הסכמה היא מדגישה שכאשר שירות מכוון בעיקרו לאוכלוסייה בעלת מאפיינים מיוחדים — ובכללם קטינים — יש להתאים את אופן הצגת המידע ואת אופן קבלת ההסכמה. הרעיון המנחה: ככל שהילד צעיר יותר, גדל הספק ביכולתו לתת הסכמה מדעת אמיתית — ובגילים הצעירים ההסכמה המשמעותית היא של ההורה. אין מספר קסם בחוק, אבל יש עיקרון ברור: הסכמה של ילד בן 8 שווה מעט מאוד; של נער בן 17 — הרבה יותר.

והתמונה עשויה להשתנות: משרד המשפטים והרשות להגנת הפרטיות קידמו טיוטת תיקון 15 לחוק, שנועדה להסדיר פרק ייעודי לפרטיות קטינים — כולל הבחנה בין גילים ובין סוגי פעולות. נכון לכתיבת שורות אלה מדובר בטיוטה שטרם עברה בכנסת, ואסור להסתמך עליה כדין מחייב — אבל הכיוון ברור, ועסק שבונה נכון היום ייכנס לתיקון 15 מוכן.

מה שינה תיקון 13 — ולמה זה נוגע במיוחד לילדים

גם בלי סעיף ״קטינים״ ייעודי, תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, שינה את כללי המשחק. הסיבה היא לא הגיל אלא תוכן המידע: התיקון הרחיב את הגדרת ״מידע בעל רגישות מיוחדת״ — בין היתר מידע רפואי, גנטי, ביומטרי, מצב כלכלי ונתוני מיקום. והמידע שנאסף על ילדים נופל לקטגוריות האלה בתדירות גבוהה: אלרגיות ותרופות בחוג, הערכות בריאות בקייטנה, נתוני מיקום באפליקציה, נסיבות משפחתיות שמשתפים מול צהרון או מורה. מאגר שנשמע ״תמים״ הוא לעיתים קרובות מאגר של מידע רגיש במיוחד — עם כל החובות והסיכונים הנלווים.

לרגישות הזו יש מחיר כשמשהו משתבש: מסגרת העיצומים של תיקון 13 מכפילה את הסכומים כשמדובר במידע בעל רגישות מיוחדת. עיבוד שלא כדין, למשל, מחושב לפי 4 ₪ לכל נושא מידע — או 8 ₪ אם המידע רגיש במיוחד, עם רצפה של 200,000 ₪; הדוגמה של הרשות עצמה: עיבוד לא מורשה במאגר של 200,000 בעלי מידע רגיש — עיצום של 1.6 מיליון ₪. כשל בדיווח על אירוע אבטחה חמור מגיע עד 320,000 ₪ במאגר ברמת אבטחה גבוהה. עסק קטן לא מדבר בהכרח על מיליונים — אבל בהחלט על עשרות עד מאות אלפי שקלים, לצד תביעות אזרחיות (עד 10,000 ₪ ללא הוכחת נזק) ופגיעה תדמיתית.

וזה לא תיאורטי. בדצמבר 2025 הכריזה הרשות על מבצע פיקוח הרוחב הראשון שלה מאז תיקון 13 — ובין חמשת המגזרים שנבחרו: אפליקציות פופולריות, מסחר אלקטרוני וצהרונים, בדיוק הזירות של מידע על ילדים. בפיקוח קודם על פלטפורמות לימודיות מצאה הרשות ליקויים ב-23 מתוך 24 גופים שנבדקו, והדגישה את פערי הכוחות המובנים בין מחזיק המאגר לבין הקטין. הרגולטור מסתכל בדיוק לכיוון הזה.

מפת נגיעות במידע על קטינים לפי סוג עסק — חנות אונליין, אפליקציה, מותג נוער, מורה פרטי, קייטנה וחוג ספורט, וסוגי המידע שכל אחד אוסף
מי מחזיק מידע על קטינים, ואיזה סוג מידע — כולל היכן הוא הופך לרגיש במיוחד. מקור: ניתוח Cybertis לפי חוק הגנת הפרטיות ותיקון 13.

ההקשר הבינלאומי: למה עסק ישראלי חייב להכיר את COPPA ואת GDPR

אם השירות שלכם נגיש למשתמשים מחוץ לישראל — אפליקציה, משחק, חנות שמוכרת לחו״ל — שני חוקים זרים חלים עליכם לפי מיקום המשתמש, לא לפי מיקום העסק. וכאן, בשונה מישראל, יש קווי גיל מפורשים:

מסגרתסף הגילהעיקרון
COPPA (ארה״ב)מתחת לגיל 13אסור לאסוף מידע אישי מילד מתחת ל-13 בלי הסכמת הורה מאומתת (verifiable); שיטת האימות נגזרת מרמת הסיכון.
GDPR סעיף 8 (אירופה)13–16 (ברירת מחדל 16)בשירותים מקוונים לילדים נדרשת הסכמת הורה מתחת לגיל שקבעה המדינה — בין 13 ל-16.
ישראל (היום)אין סף מפורשחלים עקרון ההסכמה מדעת וחוק הכשרות המשפטית: ככל שהילד צעיר יותר — ההסכמה המשמעותית היא של ההורה.

המסקנה: אם ילדים אמריקאים מתחת ל-13 או אירופאים מתחת ל-16 עשויים להשתמש בשירות שלכם, אתם צריכים מנגנון הסכמה הורית מאומת — גם אם הדין הישראלי לא מחייב אותו במפורש. אימוץ סטנדרט COPPA/GDPR הוא ממילא הכנה טובה לתיקון 15 כשיגיע.

שיווק לקטינים ומועדוני לקוחות: המבחן המעשי

כאן נפגשות שתי מסגרות: חוק הגנת הפרטיות וחוק ה״ספאם״ (תיקון 40 לחוק התקשורת), שדורש הסכמה מפורשת מראש לדיוור פרסומי. עכשיו נוסיף את שאלת הכשרות: מי בכלל יכול לתת את ההסכמה הזו? ילד בן 9 שממלא טופס הצטרפות למועדון של מותג אופנה ומאשר קבלת הודעות — האם ההסכמה שלו תקפה? מבחינת הכשרות המשפטית, ככל שהילד צעיר יותר, ההסכמה שלו רופפת יותר וניתנת לביטול על ידי ההורה. עסק שמסתמך עליה בונה על יסוד חלש.

מבחן השדה למועדון לקוחות של ילדים

לפני שאתם קולטים ילד למועדון, שאלו: (1) האם אני יודע שזה קטין? אם הקהל שלי הוא ילדים — כן, ואי-ידיעה לא תעזור. (2) האם ההסכמה היא של ההורה או של הילד? לדיוור ולמידע רגיש — צריך את ההורה. (3) האם אני באמת צריך את כל מה שאני מבקש? חודש ויום לידה מספיקים לברכת יום הולדת — השנה המלאה, הת״ז והכתובת הם נטל, לא נכס.

התוכנית המעשית: מזיהוי גיל ועד מחיקה

1. זיהוי גיל — בכנות

השאלה הראשונה היא לא ״איך מזהים גיל״ אלא ״האם אני בכלל צריך לדעת״. אם השירות מכוון במובהק לילדים — אתם כבר יודעים שהמשתמשים קטינים, ואי אפשר ״לעצום עיניים״. אם הוא מכוון לכלל הציבור אבל עלולים להצטרף אליו ילדים, כדאי סינון גיל בכניסה. שימו לב: הרשות להגנת הפרטיות הזהירה שדווקא מערכות אימות גיל אגרסיביות (סריקת ת״ז, זיהוי פנים) עלולות לפגוע בפרטיות של כולם. הכלל: התאימו את חוזק אימות הגיל לרמת הסיכון של השירות — לא יותר.

2. הסכמה הורית שבאמת עובדת

לא כל הסכמה נולדה שווה. את רמת האימות מתאימים לרמת הסיכון של מה שאתם עושים עם המידע:

  • סיכון נמוך (רישום לניוזלטר של החוג): הסכמה הורית פשוטה — טופס חתום או אישור במייל של ההורה.
  • סיכון בינוני (מידע מזהה, תמונות, שיתוף עם ספקים): הסכמה מפורשת ומתועדת של ההורה — מה נאסף, לשם מה, לכמה זמן, ואפשרות לחזור בו.
  • סיכון גבוה (מידע רגיש, צד ג׳, שימוש שיווקי): אימות מחוזק של זהות ההורה — למשל אישור מחשבון בוגר מאומת, לא ״לחצתי שאני מעל 18״.

3. מזעור — הכלל הכי חשוב אצל ילדים

עקרון מזעור המידע תקף לכולם, אבל אצל ילדים הוא קריטי: כל שדה מיותר הוא מידע רגיש שיישאר במערכת שנים. חזרו לדוגמת מועדון יום ההולדת — האם אתם באמת צריכים תאריך לידה מלא ומספר ת״ז? כמעט לעולם לא: לברכה מספיקים חודש ויום, לזיהוי מספיק שם וטלפון של הורה. ת״ז של ילד הוא מהמידע המסוכן ביותר להחזיק — הוא נלווה אליו לכל החיים ואי אפשר ״להחליף״ אותו. המבחן לכל שדה בטופס: אם הוא ידלוף מחר בבוקר — מה זה עושה לילד? אם התשובה מפחידה, אל תאספו אותו.

4. תמונות של ילדים — הסכמה ספציפית וניתנת לביטול

תמונות של ילדים הן קטגוריה בפני עצמה — כאן החשיפה פומבית ובלתי הפיכה. פרסום תמונה של ילד בעמוד הפייסבוק של החוג, באלבום הקייטנה או באתר בית הספר הוא עיבוד מידע לכל דבר, ודורש הסכמה. שלוש נקודות מהשטח: (1) ההסכמה צריכה להיות ספציפית — ״לפרסם תמונות מהמופע השנתי ברשתות״, לא ״להשתמש בתמונות״ באופן גורף. (2) ניתנת לביטול — הורה יכול לחזור בו, ואתם צריכים מנגנון הסרה. (3) הרשות להגנת הפרטיות, בהמלצותיה בנושא שיתוף תמונות ילדים ברשת (Sharenting), הזהירה שהחשיפה עוקבת אחרי הילד לכל חייו, פוגעת ביכולתו לעצב זהות משלו, ועלולה להגיע לגורמים עוינים ולשמש להונאה וגניבת זהות.

5. שמירה ומחיקה — משמעת שנועדה למחוק את הילדות

מידע שנאסף על ילד בגיל 8 יכול לרדוף אותו אל תוך הבגרות אם לא מוחקים אותו. עסק שמחזיק רשומות של תלמידים לשעבר או חברי מועדון שמזמן בגרו יושב על מאגר שאין לו סיבה קיומית — רק סיכון. הכלל: לכל סוג מידע קבעו תקופת שמירה, ומחקו בסופה. חוג שילד עזב לפני שלוש שנים לא צריך את פרטיו; קייטנה לא צריכה את התמונות משנת 2019. משמעת מחיקה היא הדרך הפשוטה ביותר לצמצם את מה שיכול לדלוף — ראו את המדריך לתקופות שמירה ומחיקת מידע.

אירוע אבטחה עם מידע של קטינים: כשהנזק גדול יותר

דליפה של מידע על ילדים היא לא ״עוד דליפה״: ת״ז של ילד יכול לשמש לגניבת זהות במשך עשרות שנים לפני שמישהו יבחין, ותמונות ופרטים אישיים של קטינים הם חומר גלם לפגיעה ולסחיטה. מאגר ברמת אבטחה בינונית או גבוהה חייב לדווח לרשות להגנת הפרטיות על ״אירוע אבטחה חמור״ באופן מיידי עם גילויו. וכשמדובר בילדים יש שכבה נוספת: יידוע ההורים — ההורה הוא מי שיצטרך לנקוט צעדים בפועל (החלפת סיסמאות, מעקב, דיווח). תוכנית תגובה לאירוע בעסק שנוגע בילדים חייבת לענות מראש: מי מודיע להורים, מתי, ומה בדיוק אומרים.

צ׳קליסט לכל עסק שנוגע במידע של ילדים

  1. מפו איזה מידע על קטינים אתם מחזיקים — טפסים, וואטסאפ, ענן, אקסל. סמנו מה רגיש במיוחד (בריאות, מצב משפחתי, מיקום, ת״ז).
  2. מחקו כל שדה מיותר — עברו על כל טופס רישום; תאריך לידה מלא, ת״ז וכתובת של ילד הם ברירת מחדל לחשוד בה.
  3. וודאו שההסכמה היא של ההורה — לדיוור, למידע רגיש ולשיתוף עם ספקים. התאימו את חוזק האימות לרמת הסיכון.
  4. הפרידו הסכמה לתמונות — ספציפית, מתועדת וניתנת לביטול, עם מנגנון הסרה בפועל.
  5. קבעו תקופות שמירה ומחקו בסופן — אל תחזיקו נתונים של ילדים שכבר עזבו את החוג / הקייטנה / המועדון.
  6. בדקו את הספקים שלכם — מי מאחסן את המידע? חתמו הסכם עיבוד ודרשו הוכחות אבטחה. שם הרשות מצאה את הכשלים החמורים ביותר.
  7. אם אתם נגישים לחו״ל — התייחסו ל-COPPA (מתחת ל-13) ול-GDPR סעיף 8 (13–16) לפי מיקום המשתמשים.
  8. הכינו תגובה לאירוע שכוללת יידוע הורים — מי מדווח לרשות, מי להורים, ומה אומרים.
עץ החלטה להסכמה הורית: האם ידוע שהמשתמש קטין, מה רמת הסיכון של המידע, וסוג ההסכמה הנדרש בהתאם
עץ החלטה: מתי נדרשת הסכמה הורית ובאיזו רמת אימות. מקור: Cybertis, לפי עקרון ההסכמה מדעת וחוק הכשרות המשפטית.

השורה התחתונה

הדין הישראלי לא נותן לכם מספר גיל נוח להיתלות בו — וזו בדיוק הסיבה לחשוב, לא רק לסמן תיבות. מידע על ילד הוא לרוב רגיש יותר, מסוכן יותר לאורך זמן, ותחת עינו של רגולטור שכבר בודק את הזירה הזו. עסק — או חוג, או קייטנה — שמזער את מה שהוא אוסף, וידא שההסכמה היא של ההורה ומחק בזמן, לא רק עומד בחוק: הוא עושה את הדבר הנכון עבור מי שהכי פחות מסוגל להגן על עצמו.

Cybertis מלווה עסקים וארגונים שנוגעים במידע של קטינים — ממיפוי מאגרים ומזעור, דרך מנגנוני הסכמה הורית ומדיניות פרטיות, ועד היערכות לתיקון 13 ולפיקוח הרשות. הפגישה הראשונה עלינו.

לשירות פרטיות והגנת מידע

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. הדין בנושא פרטיות קטינים מתפתח (ובכללו טיוטת תיקון 15), והיישום תלוי בנסיבות הספציפיות של כל ארגון ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il