דלגו לתוכן
פרטיות24 באוקטובר 202510 דק׳ קריאה

מדיניות פרטיות לאתר ישראלי: מה חובה שיהיה בה (ומה סתם מועתק מארה״ב)

רוב האתרים הישראליים מריצים מדיניות פרטיות שהועתקה מתבנית אמריקאית — שמבטיחה ״זכות להישכח״ ו-Do Not Sell, אבל משמיטה את חובת היידוע של סעיף 11, את זכות העיון והתיקון ואת ההסרה מדיוור ישיר שהדין הישראלי דורש. אחרי תיקון 13, ובעקבות פיקוח הרוחב של הרשות על אתרי מסחר בדצמבר 2025, זו כבר לא בעיה תיאורטית: המדריך של הרשות מדגים עיצום של 2,000,000 ₪ על איסוף מידע דרך אתר בלי יידוע. מדריך מעשי עם עשרת רכיבי החובה וצ׳קליסט לתיקון המדיניות השבוע.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

זה קורה כמעט בכל אתר ישראלי חדש: האתר מוכן, שבוע לפני העלייה לאוויר מישהו נזכר ש״צריך מדיניות פרטיות״. מעתיקים תבנית מאתר אמריקאי, או מבקשים מ-ChatGPT ״מדיניות פרטיות סטנדרטית״, מחליפים את שם החברה — וסוגרים משימה. התוצאה: עמוד שמסביר לגולשים על הזכויות שלהם לפי חוק קליפורני (CCPA), מצטט ״בסיסים משפטיים לעיבוד״ מתוך ה-GDPR, מבטיח ״זכות להישכח״ — ולא מקיים אף אחת מהדרישות של חוק הגנת הפרטיות הישראלי. עד לא מזמן זה עבר בשקט. אבל מאז שנכנס לתוקף תיקון 13 באוגוסט 2025, מדיניות הפרטיות הפכה מ״עמוד שאף אחד לא קורא״ לאחד הדברים הראשונים שהרשות להגנת הפרטיות בודקת — ובדצמבר 2025 היא עשתה בדיוק את זה, במבצע פיקוח רוחבי על אתרי מסחר ישראליים.

רגע, איפה כתוב בחוק ״מדיניות פרטיות״?

בשום מקום — וזה בדיוק העניין. חוק הגנת הפרטיות לא דורש מסמך בשם ״מדיניות פרטיות״; הוא דורש יידוע: סעיף 11 לחוק מחייב כל מי שפונה לאדם כדי לאסוף עליו מידע אישי עבור מאגר מידע למסור לו, בשעת הפנייה, שורת פרטים מוגדרת. באתר אינטרנט, כל טופס הוא פנייה כזו — יצירת קשר, הרשמה לניוזלטר, צ׳קאאוט בחנות. עמוד מדיניות הפרטיות הוא הכלי המעשי המקובל לקיים את חובת היידוע הזו באופן מרוכז — אבל רק אם כתוב בו מה שהחוק הישראלי דורש, לא מה שתבנית אמריקאית מכילה.

למה תבנית מועתקת היא לא סתם מיותרת — אלא מזיקה

אפשר לחשוב שמדיניות מועתקת היא ״יותר טוב מכלום״. מניסיוננו בסקירת אתרים של עסקים ישראליים — ההפך הוא הנכון, משתי סיבות. הראשונה: התבנית מבטיחה זכויות שהדין הישראלי לא מעניק באותה צורה. ״זכות להישכח״ גורפת, ניידות מידע (Data Portability), כפתור ״Do Not Sell״ — אלה מנגנונים של ה-GDPR וה-CCPA. מדיניות היא הצהרה פומבית; כשהיא מבטיחה ללקוח זכות שאין לכם תהליך לקיים, יצרתם התחייבות שתיתפסו עליה ברגע הלא נכון — בפנייה של לקוח, בבדיקה של הרשות או בהליך משפטי.

הסיבה השנייה חמורה יותר: התבנית משמיטה את מה שהחוק הישראלי כן דורש. תבנית אמריקאית לא תגיד לגולש אם חלה עליו חובה חוקית למסור את המידע או שהמסירה תלויה בהסכמתו, לא תפרט את זכויות העיון והתיקון לפי סעיפים 13–14 לחוק הישראלי, ולא תכלול את זכות ההסרה מדיוור ישיר לפי סעיף 17ו. ולרוב היא גם באנגלית משפטית צפופה — באתר שכל קהל היעד שלו קורא עברית. במילים אחרות: העמוד קיים, אבל חובת היידוע לא מתקיימת.

השוואה בין תבנית מדיניות פרטיות אמריקאית לבין דרישות הדין הישראלי — מה מיותר ומה חסר
המדיניות המועתקת: מה יש בה ולא רלוונטי בישראל, ומה חסר בה למרות שהחוק דורש. מקור: חוק הגנת הפרטיות והמדריך המקצועי של הרשות להגנת הפרטיות לתיקון 13

העוגן המשפטי: חובת היידוע בסעיף 11 — אחרי תיקון 13

סעיף 11 לחוק הגנת הפרטיות הוא הבסיס המשפטי של כל מדיניות פרטיות ישראלית. תיקון 13 הרחיב את חובת היידוע, וכיום פנייה לאדם לקבלת מידע אישי לשם עיבודו במאגר מידע חייבת לכלול, לפי המדריך המקצועי של הרשות להגנת הפרטיות, את כל הפרטים הבאים:

  1. חובה או הסכמה — האם חלה על האדם חובה חוקית למסור את המידע, או שהמסירה תלויה ברצונו ובהסכמתו — ומהי תוצאת אי-ההסכמה (תוספת של תיקון 13).
  2. המטרה שלשמה מבוקש המידע.
  3. למי יימסר המידע ומטרות המסירה.
  4. קיומה של זכות עיון במידע האישי לפי סעיף 13 (תוספת של תיקון 13).
  5. קיומה של זכות לבקש תיקון של המידע האישי לפי סעיף 14 (תוספת של תיקון 13).

ולצד החובה — סנקציה מוגדרת. לפי מדרג העיצומים של תיקון 13, פנייה לאנשים מסוימים לאיסוף מידע ללא יידוע כנדרש גוררת עיצום כספי של 50 ₪ לכל אדם שנעשתה אליו פנייה (100 ₪ אם מדובר במידע בעל רגישות מיוחדת), עם רצפה של 30,000 ₪ להפרה. הדוגמה של הרשות עצמה במדריך: פנייה ל-5,000 איש בלי יידוע, בנוגע למידע רגיש — עיצום של 500,000 ₪. וזה לא נשאר על הנייר: עוד לפני כניסת התיקון לתוקף, באפריל 2025, הטילה הרשות קנסות על משרדי EY ו-PwC ישראל בגין סריקת תעודות זהות של מבקרים בלי היידוע שסעיף 11 דורש.

הדוגמה שכל בעל אתר צריך להכיר: 2,000,000 ₪

כשהפנייה נעשית לקבוצה בלתי מסוימת של אנשים — והמדריך של הרשות נוקב במפורש בדוגמה ״כגון באמצעות לינק באתר אינטרנט״ — חל מסלול עיצום נפרד: 2 ₪ לכל נושא מידע במאגר (4 ₪ במידע רגיש). בדוגמה של הרשות: איסוף מידע דרך אתר בלי יידוע לפי סעיף 11, למאגר עם 500,000 איש ומידע רגיש — עיצום של 2,000,000 ₪. טופס באתר בלי יידוע הוא לא ״פרט טכני״ — הוא ההפרה שהרשות בחרה להדגים איתה את החוק. ובנוסף לעיצום המנהלי, כל אדם שנפגע יכול לתבוע פיצוי ללא הוכחת נזק של עד 10,000 ₪ — והתיישנות התביעה עומדת כיום על שבע שנים.

מה הרשות חיפשה באתרי המסחר בדצמבר 2025 — רשימת הביקורת שלכם

ב-10 בדצמבר 2025 הודיעה הרשות להגנת הפרטיות על מבצע פיקוח הרוחב הראשון מאז כניסת תיקון 13 לתוקף, בחמישה מגזרים — ובהם חברות מסחר מקוון. לפי דיווח גלובס, ההפרות שנבחנו באתרי המסחר כוללות בדיוק את מה שהמאמר הזה עוסק בו: מדיניות פרטיות חסרה או לא מעודכנת, מנגנוני עוגיות והסכמה לא תקינים, אבטחת מידע חלשה והיעדר הסכמי עיבוד עם ספקים. סקירה מלאה של פעילות האכיפה — בשנת האכיפה הראשונה של תיקון 13.

אם הופכים את ממצאי הפיקוח לרשימת בדיקה עצמית, אלה ארבע השאלות שכדאי לשאול על האתר שלכם השבוע:

  • האם יש מדיניות פרטיות — והאם היא מעודכנת? מדיניות מ-2021 שלא שמעה על תיקון 13 נחשבת בעיני הרשות למדיניות לא מעודכנת.
  • האם מנגנון העוגיות וההסכמה משקף את המציאות? באנר שמציג ״קבל/דחה״ אבל לא חוסם כלום — גרוע יותר מאי-הצגת באנר, כי הוא מצג שווא.
  • האם המידע שנאסף באתר מאובטח? תעבורה מוצפנת, גישה מוגבלת לנתוני טפסים, ספקי סליקה מוכרים.
  • האם יש הסכמי עיבוד עם הספקים? חברת הדיוור, ה-CRM, פלטפורמת החנות — כל מי שמחזיק עבורכם מידע אישי של לקוחות.

מדיניות פרטיות ישראלית, סעיף אחרי סעיף

אז מה כן צריך להיות בעמוד? להלן עשרת הרכיבים שאנחנו בודקים בכל סקירת מדיניות פרטיות של אתר ישראלי. הם מכסים את דרישות סעיף 11, את זכויות נושא המידע ואת מה שהרשות בחנה בפיקוח בפועל:

עשרת רכיבי החובה במדיניות פרטיות של אתר ישראלי לפי חוק הגנת הפרטיות ותיקון 13
עשרת הרכיבים של מדיניות פרטיות ישראלית תקינה. מקור: חוק הגנת הפרטיות (ס׳ 11, 13–14, 17ו) והמדריך המקצועי של הרשות להגנת הפרטיות לתיקון 13
  1. מי אנחנו ואיך פונים אלינו. שם העסק המלא (כולל ח.פ. אם רלוונטי), והכי חשוב — ערוץ פנייה אמיתי בענייני פרטיות: כתובת מייל שמישהו באמת קורא.
  2. איזה מידע נאסף — באמת. פירוט קונקרטי: שדות הטפסים, מידע שנאסף אוטומטית (כתובת IP, נתוני שימוש), כלי אנליטיקס, פיקסלים ועוגיות. לא ״אנו עשויים לאסוף מידע מסוגים שונים״ — אלא מה נאסף בפועל אצלכם.
  3. חובה או הסכמה — ומה קורה אם מסרבים. הרכיב שכמעט תמיד חסר בתבניות: הבהרה שמסירת המידע תלויה בהסכמה (באתר מסחרי זה כמעט תמיד המצב), ומה תוצאת אי-המסירה — למשל, שבלי כתובת למשלוח אי אפשר להשלים הזמנה.
  4. מטרות האיסוף. לשם מה כל פריט מידע משמש: אספקת השירות, תמיכה, שיווק, שיפור האתר. מטרה שלא כתובה כאן — אסור להשתמש במידע בשבילה.
  5. למי המידע נמסר. ספקי הסליקה, חברת המשלוחים, מערכת הדיוור, ה-CRM, ספקי אחסון וענן — ואם חלקם מחוץ לישראל, אמירה מפורשת על העברת מידע לחו״ל בהתאם לתקנות ההעברה.
  6. כמה זמן המידע נשמר. לא חייבים טבלה משפטית מדוקדקת, אבל כן גישה מוצהרת: שמירה כל עוד נדרש למטרה, מחיקה או התממה לאחר מכן, ושמירת מסמכים חשבונאיים לפי הדין.
  7. זכויות נושא המידע לפי הדין הישראלי. זכות העיון (סעיף 13) וזכות התיקון והמחיקה (סעיף 14) — עם הסבר קצר איך מגישים בקשה ומה המועדים. הפרת הזכויות האלה היא עיצום של 15,000 ₪ לפי מדרג תיקון 13.
  8. הצהרת אבטחת מידע. אמירה עניינית: המידע מאוחסן במערכות מאובטחות, הגישה מוגבלת, מיושמות בקרות בהתאם לתקנות אבטחת מידע. בלי הבטחות ״אבטחה מוחלטת״ — אין דבר כזה, וגם זו התחייבות שתיתפסו עליה.
  9. הסרה מדיוור ישיר. סעיף 17ו לחוק מקנה לכל אדם זכות לדרוש הסרה מרשימת דיוור ישיר — והמדיניות צריכה לומר את זה ולהסביר איך: לינק הסרה בכל דיוור וערוץ פנייה ישיר.
  10. תאריך עדכון וגרסה. תאריך ״עודכן לאחרונה״ גלוי בראש העמוד. מדיניות בלי תאריך משדרת בדיוק את מה שהיא: מסמך שאף אחד לא תחזק.

עוגיות בישראל: בלי חוק באנרים — אבל לא בלי כלום

נתחיל באמת שכדאי לומר בקול: בישראל אין חוק עוגיות כמו באירופה. חובת הבאנר נולדה מדירקטיבת ה-ePrivacy האירופית, שאין לה מקבילה ישראלית. אבל מכאן ועד ״אפשר להתעלם מעוגיות״ הדרך ארוכה: תיקון 13 הרחיב את הגדרת ״מידע״ לכל נתון על אדם מזוהה או ניתן לזיהוי — כולל באמצעות מזהה או נתוני מיקום. מזהי עוגיות ומזהי פרסום יכולים בהחלט להיות מידע אישי, ואז עקרונות היידוע וההסכמה חלים עליהם. הרשות פרסמה בפברואר 2025 טיוטת חוות דעת בנושא הסכמה, ובפיקוח של דצמבר 2025 בחנה במפורש ״מנגנוני עוגיות והסכמה לא תקינים״. השורה התחתונה: פירוט כן של העוגיות והכלים במדיניות — חובה; באנר — לא דרישת דין ישראלית כשלעצמה, אבל אם כבר שמים אחד, הוא חייב לעשות את מה שהוא מציג.

מבחן ההתאמה: המדיניות מול המציאות

הבדיקה הכי שימושית שאנחנו עושים בסקירות אתרים אורכת עשר דקות: פותחים את המדיניות בחלון אחד ואת האתר בחלון שני — ומצליבים. כל טופס מופיע במדיניות? כל פיקסל וכלי אנליטיקס שמוטמע בקוד מוזכר? כל ספק שמקבל מידע מפורט? מדיניות שמתארת כלים שאינכם משתמשים בהם — או מחסירה כאלה שכן — גרועה ממדיניות חסרה: היא ראיה כתובה לכך שהמסמך דקורטיבי.

עברית, נגישות — ותחזוקה שוטפת

מדיניות פרטיות מקיימת את חובת היידוע רק אם נושא המידע יכול באמת לקרוא ולהבין אותה. באתר שקהלו ישראלי זה אומר עברית — לא רק גרסה אנגלית ״ליתר ביטחון״; קישור זמין מכל עמוד (פוטר) ובסמוך לכל טופס איסוף, לא עמוד קבור שמגיעים אליו רק מגוגל; ותאריך עדכון גלוי. ומעבר לנגישות — תחזוקה: מדיניות היא מסמך חי, ואלה הטריגרים שמחייבים עדכון שלה:

  • כלי חדש באתר — פיקסל פרסום, צ׳אטבוט, כלי אנליטיקס, מערכת המלצות.
  • ספק חדש שמקבל גישה למידע אישי — מערכת דיוור, CRM, מוקד שירות במיקור חוץ (וזה גם הרגע לחתום איתו על הסכם עיבוד).
  • פיצ׳ר חדש שאוסף מידע — מועדון לקוחות, אזור אישי, אפליקציה.
  • שינוי עסקי מהותי — מיזוג, רכישה או מכירת פעילות, שמשנים מי שולט במאגר ולאן המידע עובר.
  • שינוי רגולטורי — כמו תיקון 13 עצמו: מדיניות שנוסחה לפני אוגוסט 2025 כמעט בוודאות דורשת עדכון.

ומתי צריך גם מדיניות GDPR?

אם האתר שלכם פונה גם למשתמשים באיחוד האירופי — מוכר אליהם, מציג מחירים ביורו, מריץ קמפיינים לקהל אירופי — ייתכן שה-GDPR חל עליכם במקביל לדין הישראלי, ואז תצטרכו לכסות גם את דרישותיו: בסיסים משפטיים, זכויות מורחבות, ולעיתים נציג באיחוד. זה לא אומר להעתיק מדיניות אירופית לכולם — זה אומר לדעת מה מה-GDPR באמת חל על עסק ישראלי ולבנות מסמך שעונה לשתי המסגרות בלי לערבב ביניהן.

צ׳קליסט: לתקן את מדיניות הפרטיות השבוע

  1. פתחו את המדיניות הנוכחית ובדקו: יש תאריך עדכון? עברית? זכויות עיון ותיקון לפי הדין הישראלי? אם לא — אתם עובדים עם תבנית מועתקת.
  2. מפו את כל נקודות איסוף המידע באתר: טפסים, צ׳קאאוט, ניוזלטר, צ׳אט, כלי אנליטיקס ופיקסלים.
  3. מפו את הספקים שמקבלים מידע אישי (סליקה, דיוור, CRM, אחסון) וסמנו מי מהם בחו״ל ועם מי אין הסכם עיבוד.
  4. כתבו או עדכנו את המדיניות לפי עשרת הרכיבים שבמאמר — בעברית, בגובה העיניים, על בסיס מה שקורה באתר בפועל.
  5. ודאו שליד כל טופס באתר יש הפניה למדיניות, ושבכל דיוור שיווקי יש מנגנון הסרה עובד.
  6. הגדירו ערוץ פנייה בענייני פרטיות (כתובת מייל ייעודית) וקבעו מי עונה לפניות עיון, תיקון והסרה — ובאיזה מועד.
  7. קבעו תזכורת לבדיקת התאמה (מדיניות מול אתר) אחת לחצי שנה, ואחרי כל הטמעת כלי חדש.

השורה התחתונה

מדיניות פרטיות טובה היא לא עמוד משפטי לקישוט — היא הדרך שבה אתר ישראלי מקיים את חובת היידוע של סעיף 11, נערך לפיקוח מהסוג שהרשות כבר מפעילה בפועל, ובונה אמון עם לקוחות. ההבדל בין תבנית מועתקת למסמך אמיתי הוא לא אורך ולא ז׳רגון — הוא התאמה: למה שהאתר שלכם באמת אוסף, למי שהוא באמת מוסר, ולמה שהחוק הישראלי באמת דורש.

Cybertis מלווה עסקים ישראליים בהיערכות מלאה לתיקון 13 — ממיפוי מאגרי המידע ונקודות האיסוף באתר, דרך כתיבת מדיניות פרטיות שמשקפת את הפעילות בפועל, ועד הסכמי עיבוד עם ספקים ותהליכי מענה לפניות נושאי מידע. הפגישה הראשונה עלינו.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. ניסוח מדיניות פרטיות בפועל תלוי במאפייני העסק, בסוגי המידע הנאספים ובקהל היעד, ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il