דלגו לתוכן
פרטיות5 בספטמבר 202510 דק׳ קריאה

חוק הגנת הפרטיות הישראלי ב-2026: מפת הדרכים המלאה לעסק

חוק מ-1981, תקנות אבטחת מידע מ-2017 ותיקון 13 שנכנס לתוקף ב-14.8.2025 — שלוש שכבות רגולציה שכל עסק ישראלי כפוף להן היום. מפה אחת שמחברת הכול: ההגדרות החדשות, מי חייב ממונה, מדרגות העיצומים עם הסכומים האמיתיים, מה הרשות אכפה בפועל בשנה הראשונה — וחמשת הצעדים שמתחילים השבוע.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

בסוף דצמבר 2025 קיבלו חנויות אונליין ישראליות פנייה שרבות מהן לא ציפו לה: הרשות להגנת הפרטיות פתחה מבצע אכיפה על אתרי מסחר אלקטרוני, ובחנה בין השאר מדיניות פרטיות חסרה או לא מעודכנת, מנגנוני עוגיות והסכמה לקויים, אבטחה חלשה והסכמי עיבוד חסרים מול ספקים. בעל עסק שקיבל פנייה כזו ומנסה להבין מה בדיוק נדרש ממנו מגלה מהר שהתשובה מפוזרת על פני שלוש שכבות של חקיקה משלושה עשורים שונים: חוק משנת 1981, תקנות משנת 2017, ותיקון דרמטי שנכנס לתוקף ב-14 באוגוסט 2025 — עם עיצומים כספיים שמגיעים למיליוני שקלים. המאמר הזה הוא מפת הדרכים: תמונה אחת שמחברת את כל החלקים, עם הפניות למדריכים מעמיקים בכל תחנה.

שלוש שכבות, מסגרת אחת

חוק הגנת הפרטיות, התשמ״א-1981 הוא המסגרת: מה זה מאגר מידע, מה מותר לאסוף ומה חובה לומר לאדם שממנו אוספים. תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 קובעות איך מאבטחים את המידע בפועל, לפי רמות אבטחה מדורגות. תיקון 13, בתוקף מ-14.8.2025, עדכן את ההגדרות, שינה את חובות הרישום והמינוי — ובעיקר נתן לרשות להגנת הפרטיות שיניים אמיתיות.

השכבה הראשונה: החוק מ-1981 — הבסיס שעדיין תקף

חוק הגנת הפרטיות נחקק ב-1981, הרבה לפני שלמישהו היה מאגר לקוחות בענן, אבל המושגים שלו הם עדיין השלד של כל התחום. החוק מגדיר מהו מאגר מידע, קובע שניהול מידע אישי כפוף לעקרון צמידות המטרה — משתמשים במידע רק למטרה שלשמה נאסף — ומעניק לכל אדם זכויות מול מי שמחזיק מידע עליו: זכות לעיין במידע, לבקש תיקון ובמקרים מסוימים מחיקה.

החובה המוכרת ביותר מהחוק המקורי היא חובת היידוע לפי סעיף 11: כשפונים לאדם כדי לקבל ממנו מידע אישי, חובה לומר לו אם קיימת חובה חוקית למסור את המידע או שהמסירה תלויה ברצונו, מהי מטרת האיסוף ולמי המידע יימסר. זו לא פורמליות — כפי שנראה בהמשך, הפרת סעיף 11 היא אחת ההפרות שהרשות אוכפת בפועל, והיא מתומחרת בתיקון 13 לפי מספר האנשים שאליהם פניתם.

השכבה השנייה: תקנות אבטחת מידע (2017) — איך מאבטחים בפועל

תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, תרגמו את החוק לדרישות תפעוליות. העיקרון המרכזי שלהן: לא כל מאגר שווה. התקנות מסווגות מאגרים לרמות אבטחה מדורגות — מאגר בניהול יחיד, רמה בסיסית, רמה בינונית ורמה גבוהה — לפי סוג המידע, מספר נושאי המידע ומספר בעלי ההרשאה. ככל שהרמה גבוהה יותר, הדרישות מחמירות: מסמך הגדרות מאגר, נוהל אבטחה, ניהול הרשאות, אמצעי הגנה פיזיים ולוגיים, ביקורות תקופתיות ועוד. סיווג הרמה הוא ההחלטה שממנה נגזר כמעט הכול — הרחבנו על עצי ההחלטה במדריך לאיזו רמת אבטחה המאגר שלכם שייך.

חובה אחת מהתקנות שכל עסק חייב להכיר: לפי תקנה 11(ד), מאגר ברמת אבטחה בינונית או גבוהה שחווה אירוע אבטחה חמור חייב לדווח עליו לרשות להגנת הפרטיות מיידית עם גילויו, ולדווח גם על צעדי הטיפול. מאז תיקון 13, אי-דיווח כזה יושב במדרגת העיצומים הגבוהה ביותר של הפרות התקנות. איך נראה תהליך דיווח נכון, מי מחליט מה ואילו מסמכים מכינים מראש — פירטנו במדריך דיווח אירוע פרצה לפי תיקון 13.

ציר זמן של חוק הגנת הפרטיות הישראלי: החוק ב-1981, תקנות אבטחת מידע ב-2017, כניסת תיקון 13 לתוקף ב-14.8.2025 ועידן האכיפה ב-2026
ארבע תחנות, מסגרת אחת: מהחוק של 1981 ועד עידן האכיפה של 2026

השכבה השלישית: תיקון 13 — השינוי הגדול ביותר מאז 1981

תיקון 13 התקבל באוגוסט 2024 ונכנס לתוקף, אחרי שנת היערכות, ב-14 באוגוסט 2025. הוא לא ״עוד תיקון״: הוא שינה את הגדרות היסוד של החוק, ביטל את חובת הרישום עבור רוב המגזר הפרטי, יצר חובת מינוי ממונה הגנת פרטיות — ובנה מנגנון עיצומים כספיים שהופך את אי-הציות מסיכון תיאורטי לסיכון פיננסי מוחשי.

הגדרות חדשות: מהו ״מידע״ ומהו מידע בעל רגישות מיוחדת

לפי המדריך המקצועי הרשמי של הרשות להגנת הפרטיות לתיקון 13, ההגדרה של ״מידע״ הורחבה לכל נתון על אדם מזוהה או ניתן לזיהוי — כולל זיהוי באמצעות מזהה או נתוני מיקום. במקביל נולדה קטגוריה חדשה, ״מידע בעל רגישות מיוחדת״, שמכפילה את החשיפה בעיצומים: מידע רפואי, גנטי, ביומטרי, נתוני מיקום, נטייה מינית, דעות פוליטיות ואמונות דתיות, עבר פלילי, נתוני שכר ומידע פיננסי, והערכות אישיות. עסק ממוצע שמחזיק קורות חיים עם ציפיות שכר, או נתוני בריאות של לקוחות — מחזיק מידע בעל רגישות מיוחדת, גם אם מעולם לא חשב על עצמו ככזה.

סוף עידן הרישום, תחילת עידן ההודעה

חובת רישום המאגרים — הביורוקרטיה המזוהה ביותר עם החוק הישן — בוטלה כמעט לחלוטין עבור המגזר הפרטי. רישום נותר בעיקר לגופים ציבוריים (למעט מאגרי עובדים בלבד) ולמי שעיקר עיסוקו איסוף מידע אישי לשם מסירתו לאחרים כעסק או בתמורה — ״סוחרי מידע״ — עם 10,000 נושאי מידע ומעלה. במקום הרישום נולדה חובת הודעה חדשה: מאגר שמכיל מידע בעל רגישות מיוחדת על יותר מ-100,000 אנשים (ואינו חייב רישום) חייב להודיע לרשות בתוך 30 יום, כולל פרטי בעל השליטה במאגר, פרטי הממונה ומסמך הגדרות המאגר. מי בדיוק נשאר חייב רישום, מה בודקים ואיפה טועים לשני הכיוונים — במדריך רישום מאגרי מידע אחרי תיקון 13.

ממונה הגנת פרטיות (DPO): חובה חדשה עם כתובת ברורה

תיקון 13 מחייב מינוי ממונה הגנת פרטיות בארבעה מצבים: כל הגופים הציבוריים; סוחרי מידע (10,000 נושאי מידע ומעלה); מי שעיסוק הליבה שלו כולל ניטור ומעקב שיטתי וקבוע אחר התנהגות, מיקום או פעולות של אנשים בהיקף משמעותי (החוק מציין כדוגמאות חברות סלולר ומנועי חיפוש); ומי שעיסוק הליבה שלו הוא עיבוד מידע בעל רגישות מיוחדת בהיקף משמעותי — כשהחוק קובע במפורש שבנקים, חברות ביטוח, בתי חולים וקופות חולים חייבים. הממונה חייב לדווח ישירות למנכ״ל או לכפוף ישיר שלו, להיות בעל הידע והכישורים הנדרשים וללא ניגוד עניינים — והוא יכול להיות גורם חיצוני. הרשות הודיעה שלא תאכוף את חובת המינוי עד 31.10.2025 — תקופת חסד שכבר הסתיימה. כדי לבדוק אם אתם חייבים, עם דוגמאות לפי סוג עסק, קראו את מי חייב למנות ממונה הגנת פרטיות לפי תיקון 13.

שינוי מבני נוסף ששווה לציין: האחריות האישית של ״מנהל המאגר״ לאבטחת מידע בוטלה — החובות חלות היום על בעל השליטה במאגר, כלומר על הארגון עצמו. הכתובת ברורה, וכך גם החשיפה.

מדרגות העיצומים: כמה עולה כל הפרה

זה החלק שהופך את תיקון 13 ממסמך משפטי לשורה בניהול הסיכונים של העסק. הסכומים שלהלן לקוחים מהמדריך המקצועי הרשמי של הרשות להגנת הפרטיות:

סוג ההפרהסכום העיצוםדוגמה מהמדריך הרשמי
אי-רישום מאגר חייב רישום / אי-הודעה לרשות₪150,000 (מוכפל מעל מיליון נושאי מידע)
הפרת חובת היידוע (סעיף 11) בפנייה לאנשים₪50 לאדם (₪100 במידע רגיש במיוחד), מינימום ₪30,000פנייה ל-5,000 אנשים ללא יידוע, במידע רגיש — ₪500,000
עיבוד מידע שלא כדין (חריגה ממטרה, ללא הרשאה, מקור לא חוקי)₪4 לנושא מידע (₪8 במידע רגיש), מינימום ₪200,000עיבוד לא מורשה במאגר רגיש של 200,000 איש — ₪1,600,000
פגיעה בזכויות עיון, תיקון ומחיקה₪15,000
הפרות ממונה הגנת פרטיות / ממונה אבטחה / דיוור ישיר₪2 לנושא מידע (₪4 במידע רגיש), מינימום ₪20,000 (₪40,000 ברגיש)גוף ציבורי עם מאגר רגיש של 100,000 איש ללא ממונה — ₪400,000
הפרת תקנות אבטחת מידע (שלוש מדרגות)₪20,000 / ₪40,000 / ₪80,000 ברמה בינונית; ₪80,000 / ₪160,000 / ₪320,000 ברמה גבוהההמדרגה העליונה כוללת אי-ביצוע סקרי סיכונים ומבדקי חדירות ואי-דיווח על אירוע חמור

וכמה כללים רוחביים שחשוב להכיר: כל הסכומים במאגרים של יותר ממיליון נושאי מידע — מוכפלים. מנגד, יש מנגנון הפחתה: דיווח עצמי והפסקת ההפרה, צעדים מתקנים או מינוי ממונה מרצון מזכים בהפחתות של 10%–30% לנסיבה, עד תקרה של 70% הפחתה, ויש תקרות מיוחדות לעסקים קטנים וזעירים. סך העיצום מוגבל ל-5% מהמחזור השנתי של המפר. ובצד האזרחי: תיקון 13 קבע פיצוי סטטוטורי ללא הוכחת נזק עד ₪10,000 על שורת הפרות, וביטל את ההתיישנות המקוצרת — תביעות פרטיות מתיישנות היום אחרי שבע שנים, כרגיל.

מדרגות העיצומים הכספיים לפי תיקון 13: סכומי עיצום לפי סוג ההפרה, מתוך המדריך הרשמי של הרשות להגנת הפרטיות
מקור: המדריך המקצועי הרשמי של הרשות להגנת הפרטיות לתיקון 13 (עודכן 17.08.2025)

אכיפה בפועל: מה קרה בשנה הראשונה

השאלה שכל עסק שואל היא ״אבל האם באמת אוכפים?״ — והתשובה, נכון ל-2026, היא כן, בהדרגה ובשיטתיות. עוד לפני כניסת התיקון לתוקף, באפריל 2025, קנסה הרשות את משרדי רואי החשבון EY ו-PwC ישראל ב-₪15,000 כל אחד — על סריקת תעודות זהות של מבקרים בכניסה למשרדים בלי היידוע הנדרש לפי סעיף 11. באוגוסט 2025 הוטל על ביטוח לאומי עיצום של ₪75,000, אחרי שעובדת השתמשה בהרשאות הגישה שלה למטרות אישיות — 15 מקרים של גישה לא מורשית למידע.

ואז הגיע השלב השיטתי: ב-10 בדצמבר 2025 הכריזה הרשות על מבצע פיקוח הרוחב הראשון מאז כניסת התיקון לתוקף, בחמישה מגזרים — רשויות מקומיות, חברות מסחר אלקטרוני, אפליקציות פופולריות, מכוני בדיקות גנטיות וצהרונים. במקביל התנהל מבצע האכיפה על אתרי eCommerce שתיארנו בפתיחה. לפי הערכות מומחים שצוטטו בגלובס, החשיפה בפועל נעה מ-₪5,000–20,000 בהפרות בסיסיות במאגרים קטנים (פחות מ-5,000 נושאי מידע), דרך ₪70,000–200,000 במאגרים של כ-100,000 איש, ועד ₪200,000 עד יותר ממיליון שקל במאגרים רגישים גדולים — ואי-דיווח על אירוע אבטחה יכול לעלות עד ₪320,000. ניתוח מעמיק של דפוסי האכיפה ומה הם אומרים על סדר העדיפויות שלכם — במדריך שנה לתיקון 13: מדריך עמידה מעשי לעידן האכיפה.

התובנה מהשטח: הפיקוח מתחיל במסמכים, לא בשרתים

בביקורות שאנחנו מלווים, השאלות הראשונות של הרשות הן כמעט תמיד תיעודיות: מסמך הגדרות מאגר, סיווג רמת אבטחה, נוהל אבטחה, זהות הממונה, הסכמי עיבוד מול ספקים. עסק עם אבטחה טכנית סבירה אבל בלי תיעוד נראה למפקח כמו עסק שלא נערך בכלל. המשמעות המעשית: העבודה על הניירת היא לא ״בירוקרטיה בשביל הרגולטור״ — היא קו ההגנה הראשון שלכם, והיא גם מה שמזכה בהפחתות עיצום אם משהו בכל זאת קורה.

מה עסק צריך לעשות עכשיו: חמשת הצעדים

אחרי כל המפה — הנה המסלול. חמישה צעדים, לפי סדר, שאפשר להתחיל השבוע:

  1. מיפוי מאגרי המידע. רשימה של כל המקומות שבהם יושב מידע אישי: CRM, מערכת שכר, קורות חיים, מצלמות, אתר, ספקי SaaS. בלי מיפוי, כל שאר ההחלטות הן ניחוש.
  2. סיווג רמת האבטחה. לכל מאגר קובעים רמה לפי תקנות אבטחת מידע — סוג המידע, מספר נושאי המידע ומספר המורשים — ומזה נגזרות דרישות האבטחה והתיעוד.
  3. בדיקת חובות מינוי והודעה. האם אתם חייבים ממונה הגנת פרטיות? האם יש לכם מאגר עם מידע רגיש במיוחד על יותר מ-100,000 איש שמחייב הודעה לרשות? אלה שאלות של שעה — עם השלכות של מאות אלפי שקלים.
  4. סגירת שכבת המסמכים. מדיניות פרטיות עדכנית, נוסחי יידוע לפי סעיף 11 בכל נקודת איסוף, מסמכי הגדרות מאגר ונוהלי אבטחה, והסכמי עיבוד מול כל ספק שנוגע במידע.
  5. נוהל תגובה לאירוע — כתוב ומתורגל. מי מזהה, מי מחליט אם זה אירוע חמור, מי מדווח לרשות ומתי. ברגע האמת אין זמן לבנות את זה מאפס — כך נראה תהליך דיווח נכון.

לעסקים קטנים ובינוניים שרוצים גרסה מפורטת של המסלול הזה, צעד אחר צעד עם 12 משימות, בנינו צ׳קליסט תיקון 13 ייעודי ל-SMB.

השורה התחתונה

חוק הגנת הפרטיות של 2026 הוא לא החוק המנומנם של 1981. שלוש השכבות — החוק, תקנות אבטחת המידע ותיקון 13 — מתחברות למערכת אחת עם היגיון ברור: דעו איזה מידע יש לכם, אבטחו אותו לפי הרמה הנדרשת, מנו אחראי כשנדרש, ותהיו מסוגלים להוכיח את כל זה כשמפקח מתקשר. הרשות להגנת הפרטיות כבר הוכיחה שהיא משתמשת בכלים החדשים — מקנסות פרטניים ועד פיקוח רוחב בחמישה מגזרים — ומי שממתין ״לראות איך זה מתפתח״ פשוט מהמר על כסף של העסק.

Cybertis מלווה עסקים ישראליים לעמידה מלאה בתיקון 13 — ממיפוי המאגרים וסיווג רמות האבטחה, דרך שירות ממונה הגנת פרטיות חיצוני, ועד נוהלי תגובה ומוכנות לביקורת הרשות. הפגישה הראשונה עלינו.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. החובות החלות על כל ארגון תלויות במאפייני המידע והפעילות שלו ומחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il