מידע גנטי וביומטרי לפי תיקון 13: הקטגוריה שמכפילה את הסיכון
סיסמה שדלפה מאפסים בשתי דקות; גנום או טביעת אצבע שדלפו — נשארים לתמיד. תיקון 13 מכניס מידע גנטי וביומטרי לקטגוריה החמורה ביותר ומכפיל עליהם את הקנס. מה אומרים חוק מידע גנטי ותיקון 13, מי מחזיק את המידע הזה בישראל, ומה ארגון וצרכן צריכים לעשות.
תחשבו על כל האירועים שבהם המידע שלכם נחשף. סיסמה שדלפה — מאפסים אותה בשתי דקות. מספר כרטיס אשראי שנגנב — הבנק מנפיק חדש, והישן מת. אפילו מספר תעודת זהות, שקשה יותר להחליף, אפשר לנטר ולהגן עליו. אבל יש שני סוגי מידע שלא ניתן לאפס לעולם: הגנום שלכם וטביעת האצבע שלכם. טביעת אצבע שדלפה מתבנית ביומטרית של מעביד — נשארת אותה טביעת אצבע עד סוף חייכם. רצף DNA שהודלף ממכון גנטי — לא רק שלכם הוא, אלא של הילדים, ההורים והאחים שלכם, שמעולם לא נתנו את הסכמתם. זו בדיוק הסיבה שתיקון 13 לחוק הגנת הפרטיות מכניס את שני סוגי המידע האלה לקטגוריה החמורה ביותר — ״מידע בעל רגישות מיוחדת״ — ומכפיל עליהם את חשיפת הקנס. במאמר הזה נסביר למה אי-ההפיכות (irreversibility) היא הנכס שמגדיר את כל הדיון, מה בדיוק אומר החוק, ומה ארגון וצרכן צריכים לעשות בפועל.
תיקון 13 הרחיב את הגדרת המידע הרגיש. הקטגוריה כוללת, בין היתר: מידע רפואי, מידע גנטי, נתונים ביומטריים מזהים, נתוני מיקום, נטייה מינית, דעות פוליטיות ואמונות דתיות, עבר פלילי, נתוני שכר ומידע פיננסי, והערכות אישיות. שני הסוגים שבמוקד המאמר — גנטי וביומטרי — חולקים תכונה ייחודית שאין לשאר: הם קבועים ובלתי הפיכים. לכן, כשמדובר בהם, כל מנגנוני הענישה של החוק פועלים בתעריף הכפול.
אי-ההפיכות: המידע היחיד שאי אפשר לשנות
בעולם אבטחת המידע יש היררכיה שקטה של נזק. בתחתית — מידע שאפשר לחדש: סיסמאות, אסימוני גישה, מספרי כרטיס. באמצע — מידע שמתיישן: כתובת מגורים, מקום עבודה, מצב משפחתי. הכול משתנה עם הזמן, וחשיפה של נתון ישן שווה פחות. בראש ההיררכיה יושבים שני סוגי מידע שלא זזים לעולם: המבנה הגנטי, שנקבע בלידה ומלווה אתכם עד המוות, והמאפיינים הביומטריים — טביעת אצבע, תבנית פנים, טביעת קול — שכמעט ואינם משתנים לאורך החיים.
המשמעות המעשית קריטית. כשמאגר סיסמאות דולף, הנזק נעצר ברגע שכולם מחליפים סיסמה. כשמאגר תבניות פנים של 50 אלף לקוחות דולף — אין ״החלפה״. הפנים של אותם אנשים יישארו אותם פנים, וכל מערכת זיהוי פנים עתידית שתיפול לידי תוקף תוכל להצליב אותן. מאגר גנטי שהודלף הוא הגרסה הקיצונית: הוא חושף נטיות למחלות תורשתיות, קרבה משפחתית, ומידע שאפילו הנבדק עצמו אולי לא יודע. זו הסיבה שהרשות להגנת הפרטיות (הרשות) מתייחסת לשני הסוגים כאל המקרה החמור ביותר — ולמה תיקון 13 מכפיל עליהם את הסנקציה.
מה אומר החוק: ההגדרות המשפטיות
מידע ביומטרי מזהה לפי החוק הוא נתון המאפשר לזהות אדם באופן ייחודי על בסיס מאפיין ביולוגי או התנהגותי — תבנית טביעת אצבע, תבנית פנים (face template), טביעת קול (voiceprint), גיאומטריית כף היד ועוד. חשוב להבחין: הרגישות היא בתבנית הביומטרית — הייצוג המתמטי שממנו אפשר לשחזר זיהוי — לא בהכרח בתמונת המקור. ארגון שאוגר תבניות פנים מנהל מידע ברגישות מיוחדת, גם אם ״רק שמר את התמונות״.
מידע גנטי נשען על חוק ייעודי משלו — חוק מידע גנטי, התשס״א-2000 — שקדם לתיקון 13 בעשרים שנה ומגדיר משטר הגנה נפרד ומחמיר. החוק מגדיר ״מידע גנטי״ כמידע על אדם שהופק מבדיקת DNA, ו״דגימת DNA״ כחומר הביולוגי שממנו הוא מופק. הוא קובע שני עקרונות ליבה שכל ארגון המחזיק מידע כזה חייב להכיר, ושנסקור מיד: משטר הסכמה מדעת בכתב, וחומה סטטוטורית שמפרידה בין מידע גנטי לבין מעבידים ומבטחים.
ארגון שמחזיק מידע גנטי כפוף במקביל לשני משטרים: חוק מידע גנטי 2000 (הסכמה, שימוש, איסורי העברה) וחוק הגנת הפרטיות אחרי תיקון 13 (אבטחה, עיצומים, חובות מנהל מאגר). זו לא בחירה — שניהם חלים יחד. הפרה של דרישת אבטחה תיגזר מתיקון 13; הפרה של דרישת הסכמה תיגזר מחוק מידע גנטי. תכננו ציות לשניהם.
המתמטיקה של החשיפה הכפולה
כאן נכנס לתמונה שדרוג הסנקציה. לפי המדריך המקצועי הרשמי של הרשות לתיקון 13, עיצום כספי בגין עיבוד מידע שלא כדין — עיבוד החורג מהמטרה, ללא הרשאה או ממקור לא חוקי — עומד על 4 ש״ח לכל נושא מידע, אך 8 ש״ח כאשר מדובר במידע בעל רגישות מיוחדת, עם רצפה של 200,000 ש״ח לכל הפרה. במידע גנטי וביומטרי, אתם תמיד בתעריף הכפול. וזה עוד לפני הכפלה נוספת: כל הסכומים בסולם הסנקציות מוכפלים שוב למאגרים עם מעל מיליון נושאי מידע.
בואו נמחיש בתרחיש קונקרטי. חברה מפעילה מערכת זיהוי פנים עם מאגר של 50,000 לקוחות. מתגלה שהיא עיבדה את תבניות הפנים מעבר למטרה שלשמה נאספו — למשל, שיווקה אותן לצד שלישי. החישוב: 50,000 × 8 ש״ח = 400,000 ש״ח. אילו היה מדובר במידע רגיל (לא ברגישות מיוחדת), התעריף היה 4 ש״ח והחשיפה הייתה חצי — 200,000 ש״ח. עצם היות המידע ביומטרי הכפיל את החשיפה. הרשות עצמה נותנת דוגמה מקבילה במדריך: עיבוד לא מורשה במאגר רגיש של 200,000 איש → 1,600,000 ש״ח.
| גודל מאגר ביומטרי/גנטי | עיבוד לא כדין (8 ₪/נושא) | אילו היה מידע רגיל (4 ₪) |
|---|---|---|
| 10,000 נושאי מידע | 200,000 ₪ (הרצפה) | 200,000 ₪ (הרצפה) |
| 50,000 נושאי מידע | 400,000 ₪ | 200,000 ₪ |
| 200,000 נושאי מידע | 1,600,000 ₪ | 800,000 ₪ |
| מעל 1,000,000 נושאי מידע | מוכפל שוב ×2 | מוכפל שוב ×2 |

מי מחזיק מידע גנטי בישראל
השאלה הראשונה שכל ארגון צריך לשאול היא ״האם אנחנו בכלל מחזיקים מידע כזה?״ — והתשובה מפתיעה לא מעט גופים. מחזיקי מידע גנטי בישראל כוללים:
- מכונים גנטיים ומעבדות בדיקה. אלה בליבת העניין — וחשוב לדעת: ב-10.12.2025 הרשות הכריזה על מסע פיקוח רוחב ראשון מאז תיקון 13, בחמישה מגזרים, ומכוני בדיקות גנטיות היו מפורשות אחד מהם. מי שמחזיק מידע גנטי נמצא כבר עכשיו על מפת האכיפה.
- חברות בדיקות DNA צרכניות. הענף שבו הצרכן ״יורק לתוך מבחנה״ ומקבל דוח מוצא ובריאות. השחקנית הישראלית הגדולה בתחום היא MyHeritage, ונרחיב עליה בהמשך.
- מרפאות פוריות וגנטיקה. אבחון טרום-לידתי, בדיקות סקר גנטיות, טיפולי פוריות — כולם מייצרים מידע גנטי רגיש על נבדקים ועל עוברים.
- גופי מחקר ואקדמיה. ביו-בנקים, מחקרים גנומיים ומאגרי דגימות — כפופים במלואם למשטר ההסכמה של חוק מידע גנטי.
מי מחזיק תבניות ביומטריות בישראל
מידע ביומטרי מפוזר הרבה יותר — ולעיתים קרובות ארגונים אוגרים אותו בלי לחשוב שזה ״מידע בעל רגישות מיוחדת״:
- מקומות עבודה. שעוני נוכחות בטביעת אצבע או פנים הם המקרה הנפוץ ביותר — ולרוב גם המיותר ביותר. הרחבנו על החלופות והדין המדויק במאמר על שעון נוכחות ביומטרי בעסק.
- מנעולים חכמים, חדרי כושר וסטודיו. כניסה בטביעת אצבע או בזיהוי פנים למתקנים — כל אחת מהן תבנית ביומטרית מאוחסנת.
- בנקים וחברות פיננסיות. אימות לקוח בטביעת קול (voice-ID) במוקדים הטלפוניים הפך נפוץ, וכל תבנית קול היא מידע ביומטרי מזהה.
- המאגר הביומטרי הלאומי. המדינה מנהלת מאגר תמונות פנים במסגרת מערך תיעוד לאומי; זהו הקשר ציבורי נפרד עם הסדרה חקיקתית משלו, שממחיש עד כמה רגישה נתפסת הקטגוריה — אבל הוא אינו פוטר גוף פרטי משום חובה משלו.
החובות המיוחדות: הסכמה, וחומת המעביד-מבטח
כאן חוק מידע גנטי הופך מהותי. הוא לא מסתפק בהסכמה כללית — הוא דורש הסכמה מדעת, ולעריכת בדיקה גנטית למחקר אף הסכמה בכתב (סעיף 11). כלומר, הנבדק חייב לקבל הסבר על מהות הבדיקה, על זכויותיו, ועל השימושים האפשריים במידע, ולהסכים באופן מפורש — לא בהיסח הדעת של סימון תיבה. ארגון שמחזיק מידע גנטי חייב תיעוד הסכמות שיעמוד בבדיקה.
העיקרון השני חשוב במיוחד ומפתיע רבים: חוק מידע גנטי בונה חומה סטטוטורית בין מידע גנטי לבין מעבידים ומבטחים. סעיף 29 אוסר על מעביד לדרוש מעובד או ממועמד לעבודה מידע גנטי, או לדרוש שיעברו בדיקה גנטית — וגם אוסר להפלות מי שסירב. סעיף 30 אוסר על מבטח לשאול מבוטח אם עבר בדיקה גנטית, או לבקש את תוצאותיה, ולהשתמש בהן כדי לדחות או לשנות כיסוי ביטוחי. בשורה התחתונה: לא, מעביד או מבטח אינם רשאים לדרוש תוצאות בדיקה גנטית. זו אחת ההגנות המהותיות ביותר בתחום, ורבים אינם מודעים לה.
ציפיות האבטחה: הרמה הגבוהה ביותר
מאגר שמכיל מידע גנטי או ביומטרי בהיקף משמעותי יסווג כמעט תמיד ברמת האבטחה הגבוהה לפי תקנות אבטחת מידע — הרמה שגוררת את החובות המחמירות ביותר. (מי שאינו בטוח לאיזו רמה שייך המאגר שלו, ראו איך יודעים לאיזו רמת אבטחה המאגר שלכם שייך.) מעבר לחובות הכלליות של הרמה הגבוהה — סקרי סיכונים, מבדקי חדירה, ניהול הרשאות מוקפד ותיעוד — יש ציפיות ספציפיות למידע ביומטרי:
- הגנה על התבנית (template protection). אחסון התבנית הביומטרית בצורה מוצפנת/מגובבת (hashing), כך שגם דליפה של המאגר לא תאפשר שחזור המאפיין הביומטרי המקורי.
- אי-שמירת תמונת גלם. לרוב אין צורך אמיתי לשמור את תמונת הפנים או טביעת האצבע המקורית לאחר הפקת התבנית — שמירתה רק מגדילה את החשיפה.
- מזעור והפרדה. אחסון המידע הביומטרי/גנטי בנפרד ממאגרי הזיהוי (שם, ת״ז), עם בקרת גישה נפרדת ומחמירה — כפי ש-MyHeritage עצמה עשתה עם נתוני ה-DNA, כפי שנראה מיד.
- מדיניות שמירה ומחיקה. קביעת תקופת שמירה מוצדקת ומחיקה ודאית בתום השימוש — שכן במידע בלתי הפיך, כל שנה נוספת של אחסון היא סיכון מצטבר.
הזווית הצרכנית: מה אתם מוסרים כשאתם יורקים למבחנה
ערכת DNA צרכנית היא עסקה שקל לזלזל ברגישותה. אתם מקבלים דוח מוצא משעשע — ומוסרים בתמורה את המידע הבלתי-הפיך ביותר שיש לכם. שלוש נקודות שכל צרכן צריך להבין לפני שהוא פותח את הערכה:
- תנאי השימוש (ToS) ושיתוף למחקר. רבות מחברות ה-DNA מציעות ״opt-in״ לשיתוף הנתונים למחקר. זו לרוב בחירה נפרדת מעצם הבדיקה — קראו מה סימנתם.
- גישת אכיפת חוק — הוויכוח שאינו תיאורטי. בפרשת ה-Golden State Killer בארה״ב (2018), חוקרים איתרו חשוד באמצעות העלאת DNA מזירת פשע למסד הגנאלוגי הפתוח GEDmatch והצלבתו עם קרובי משפחה. בעקבות הביקורת, GEDmatch הפכה את גישת המשטרה ל-opt-in — ורוב המשתמשים בחרו שלא. חברת FamilyTreeDNA, לעומת זאת, ספגה ביקורת חריפה לאחר שהתברר ששיתפה נתונים עם רשויות אכיפה, והעמידה מנגנון opt-out בלבד. הלקח: מדיניות הגישה של החברה קובעת הכול.
- פרטיות של קרובים. זו הנקודה שהכי קל לפספס. ה-DNA שלכם חושף מידע גם על ההורים, האחים והילדים שלכם — שמעולם לא הסכימו. כשאתם מוסרים גנום, אתם חושפים גם רצף גנטי משפחתי שאינו רק שלכם.
ב-2018 חוותה MyHeritage אירוע אבטחה: קובץ עם כ-92 מיליון כתובות דוא״ל וסיסמאות מגובבות (hashed) של משתמשים שנרשמו עד אוקטובר 2017 נמצא בשרת חיצוני. חשוב לדייק — נתוני ה-DNA עצמם לא נחשפו. לפי הודעת החברה, נתוני ה-DNA ועצי המשפחה מאוחסנים במערכות מופרדות עם שכבות אבטחה נוספות, ולא כרטיסי אשראי ולא מידע גנטי נכללו בקובץ. זו דוגמה חיה לעיקרון ההפרדה — ולמה הוא עובד: גם כשמאגר ההזדהות דלף, המידע הבלתי-הפיך נשאר מאחורי חומה נפרדת.
למה דליפה גנטית היא המקרה החמור מכולם
כדי להבין למה הרשות מתייחסת למידע הזה בחומרה הגבוהה ביותר, דמיינו את תרחיש הדליפה. במאגר סיסמאות — הנזק זמני. במאגר גנטי — הנזק קבוע ומתפשט: המידע חושף נטיות למחלות תורשתיות, מה שעלול להשפיע על יכולת ביטוח (ובדיוק בגלל זה החוק בנה את החומה הסטטוטורית מול מבטחים); הוא פוגע לא רק בנבדק אלא במשפחתו הביולוגית; והוא בלתי הפיך — אין ״ריסֶט״. שילוב של קביעוּת, השלכה משפחתית ופוטנציאל אפליה הוא שמסביר למה תיקון 13 מכפיל את הסנקציה, ולמה מסע הפיקוח של הרשות מכוון במפורש למכונים הגנטיים.
צ׳קליסט ביקורת לארגון — לביצוע השבוע
אם אתם ארגון, עברו על חמש השאלות האלה. אם התשובה לראשונה היא ״כן״ — השאר אינן אופציונליות.
- האם אנחנו בכלל מחזיקים מידע גנטי או ביומטרי? מפו כל מערכת — שעון נוכחות, זיהוי פנים, voice-ID, מעבדה, מאגר מחקר. הרבה ארגונים מגלים שהתשובה ״כן״ בלי שידעו.
- מהו הבסיס החוקי? האם יש הסכמה מדעת (ובמידע גנטי — בכתב, לפי חוק מידע גנטי)? האם קיימת חלופה פחות פולשנית שהיינו חייבים לשקול?
- האם תיעוד ההסכמות שמור ובר-הצגה? לא מספיק שהסכימו — צריך להוכיח את זה מול הרשות.
- מהי מדיניות השמירה? כמה זמן אנחנו שומרים, ומתי אנחנו מוחקים ודאית? האם אנחנו שומרים תמונות גלם מיותרות?
- מהי ״תוכנית אי-ההפיכות״? מה קורה אם המאגר הזה דולף מחר? האם התבניות מוגנות/מגובבות? האם המידע הביומטרי מופרד ממאגרי הזיהוי? אין דרך ״לאפס״ — ולכן ההגנה חייבת להיות מובנית מראש.
צ׳קליסט לצרכן — לפני שקונים ערכת DNA
- קראו את מדיניות גישת אכיפת החוק של החברה: opt-in, opt-out, או ברירת מחדל פתוחה?
- בדקו אם שיתוף הנתונים למחקר מסומן כברירת מחדל, ובטלו אם אינכם רוצים בו.
- ודאו שהחברה מפרידה בין נתוני ה-DNA לבין פרטי החשבון (כפי שעולה מהמקרה של MyHeritage).
- הפעילו אימות דו-שלבי על החשבון — כי אירוע אבטחה על מאגר ההזדהות אפשרי גם כשה-DNA עצמו מוגן.
- זכרו שאתם חושפים גם קרובי משפחה — שקלו האם זו החלטה שהם היו רוצים שתקבלו עבורם.
השורה התחתונה
מידע גנטי וביומטרי הם היוצא מן הכלל של עולם אבטחת המידע: המידע היחיד שאי אפשר לאפס, לשנות או לבטל. תיקון 13 מכיר בזה ומכפיל עליו את הסנקציה; חוק מידע גנטי מוסיף עליו משטר הסכמה מחמיר וחומה מול מעבידים ומבטחים; והרשות כבר מכוונת אליו את מסע האכיפה. ארגון שמחזיק מידע כזה — אפילו רק שעון נוכחות ביומטרי אחד — חייב לדעת שהוא במגרש החמור ביותר, ולתכנן את ההגנה בהנחה שאין ״ריסֶט״ ביום שאחרי.
Cybertis מלווה ארגונים המחזיקים מידע גנטי וביומטרי בהתאמה לתיקון 13 ולחוק מידע גנטי — ממיפוי המאגרים והבסיס החוקי, דרך בדיקת ההסכמות ומדיניות השמירה, ועד הקשחת האבטחה ברמה הגבוהה. הפגישה הראשונה עלינו.
לשירות התאמה לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. תחולת חוק מידע גנטי ותיקון 13 על ארגון מסוים תלויה במאפייני המאגר ובסוג הפעילות, ומחייבת בחינה פרטנית.*