הבהרה חשובה
המידע המוצג במאמר זה אינו מהווה תחליף לייעוץ משפטי מקצועי ואינו מהווה עצה או הנחיה משפטית.
כל מי שמבצע את הפעולות המתוארות במדריך זה עושה זאת על אחריותו הבלעדית בלבד. אינטלינט ועורכי המדריך אינם נושאים באחריות משפטית, כלכלית או אחרת בגין כל פעולה שתבוצע על ידי בעל אתר או בונה אתר בהתבסס על המידע במדריך זה. מומלץ בחום להתייעץ עם עורך דין מתמחה בתחום הגנת הפרטיות לפני ביצוע כל פעולה משמעותית.
על מי חלה האחריות?
נקודה קריטית לבוני אתרים ובעלי אתרים:
החובה החוקית והאחריות המשפטית לעמידה בדרישות חוק הגנת הפרטיות חלה על בעל האתר ולא על בונה האתר. בעל האתר הוא זה שנושא באחריות המלאה לעמידה בחוק, ואילו בונה האתר אחראי רק ליישם את ההנחיות שמעביר לו בעל האתר.
כמו בתחום הנגישות, גם כאן החובה היא על מי שמפעיל את האתר ואוסף את המידע, ולא על מי שבונה את האתר מבחינה טכנית.
מה משתנה עבור בעלי אתרים?
שינויים מרכזיים במושגים
התיקון מעדכן הגדרות מרכזיות בחוק:
מידע אישי – ההגדרה הורחבה והיא כוללת כעת "כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי", כולל מזהים טכנולוגיים כמו:
- כתובת IP
- מזהה מכשיר
- עוגיות (Cookies)
- נתוני מיקום
מידע בעל רגישות מיוחדת – ההגדרה החדשה החליפה את "מידע רגיש" וכוללת:
מידע על צנעת חיי המשפחה ונטייה מינית
מידע רפואי ומידע גנטי
מזהה ביומטרי
מידע על עבר פלילי
דעות פוליטיות ואמונות דתיות
נתוני שכר ופעילות פיננסית
נתוני מיקום
מדיניות פרטיות – מה נדרש ואיך לעשות
חובת עדכון מדיניות הפרטיות
כל בעל אתר חייב לעדכן את מדיניות הפרטיות שלו בהתאם לדרישות החוק החדש. המדיניות חייבת לכלול:
פירוט סוגי המידע שנאסף
מטרות השימוש במידע
עם מי המידע נשתף
זכויות הגולש (עיון, תיקון, מחיקה)
פרטי איש קשר לפניות
מידע על אבטחת המידע
איך להכין מדיניות פרטיות תקינה?
3 אפשרויות מומלצות:
- ניסוח באמצעות AI/GPT – יש לספק לכלי הבינה המלאכותית מידע מדויק על העסק ולבקש ניסוח מדיניות פרטיות לפי תיקון 13
- התייעצות עם עורך דין מתמחה – הדרך המומלצת ביותר לעסקים עם מאגרי מידע משמעותיים
- שימוש במערכת אוטומטית – ניתן להשתמש במערכת של עו"ד אביטל שיפמן ב-eLegal.io שמאפשרת יצירת מדיניות פרטיות מותאמת וקבלת עדכונים אוטומטיים.
גילוי נאות: אין לאינטלינט קשר עסקי עם עו"ד אביטל שיפמן ואנו לא מקבלים עמלה על הפנייה. ההמלצה ניתנת מתוך ראייה מקצועית בלבד, לאחר שבחנו את השירות ומצאנו שהוא יכול לסייע לבעלי עסקים להימנע מבעיות משפטיות.
טפסים ותיבות סימון – הדרישות החדשות
חובת היידוע המורחבת
תיקון 13 מרחיב משמעותית את חובת ההיידוע. כעת, כל פנייה לאדם לאיסוף מידע אישי חייבת לכלול:
מידע חובה:
האם קיימת חובה חוקית למסור את המידע או שמסירתו וולונטרית
המטרה שלשמה מבוקש המידע
למי יימסר המידע ומטרות המסירה
שם בעל השליטה במאגר ודרכי התקשרות
זכות העיון במידע האישי (סעיף 13)
זכות בקשת תיקון המידע (סעיף 14)
תוצאת אי-ההסכמה למסירת המידע
דרישת תיבת הסימון
לכל טופס באתר יש להוסיף:
תיבת סימון שאינה מסומנת מראש
טקסט שמסביר מה יעשה עם המידע
קישור למדיניות הפרטיות
דוגמה לטקסט:
"☐ אני מאשר/ת כי הפרטים שמסרתי ישמשו לצורך טיפול בפנייתי, יצירת קשר איתי, ומתן מענה לשאלותיי, בהתאם למדיניות הפרטיות של האתר. ידוע לי כי אם לא אתן את הסכמתי, לא ניתן יהיה לטפל בפנייתי. (שדה חובה)"
עוגיות ובאנרים – מה חובה ומה מומלץ
המצב החוקי נכון לאוגוסט 2025
חשוב לדעת: לפי הידוע לנו נכון לכתיבת שורות אלו (אוגוסט 2025), אין חובה חוקית בישראל להציג פופאפ לניהול עוגיות (Cookies) דוגמת אלה הנפוצים באתרים אירופיים.
מה כן נדרש?
חובה: באנר הודעה פשוט שמציין שנאספים פרטים בהתאם למדיניות הפרטיות עם קישור אליה.
נוסח מומלץ לבאנר:
"באתר זה נעשה שימוש בטכנולוגיות איסוף מידע כגון Cookies, לרבות על ידי צדדים שלישיים, כדי לספק לך חוויית גלישה טובה יותר וכן למטרות סטטיסטיקה, איפיון ושיווק. המשך הגלישה באתר מהווה הסכמתך לכך. למידע נוסף בנושא ואפשרות לנהל את השימוש באמצעים הללו, ראו את מדיניות הפרטיות המעודכנת שלנו."
דוגמא מהאתר שלנו:
כלים שכדאי לציין בבאנר
הבאנר צריך לציין באופן כללי את הכלים שבהם האתר משתמש:
- Google Analytics
- פייסבוק פיקסל
- Google Tag Manager
- כלי צ'אט (כמו Intercom, Zendesk)
- כלי הזנת מידע נוספים
השלכות על עסקים – חובת מינוי ממונה
מי חייב למנות ממונה על הגנת הפרטיות (DPO)?
כל גוף ציבורי (משרדי ממשלה, רשויות מקומיות, קופות חולים, אוניברסיטאות)
מי שעוסק במסחר מידע – מאגר מידע שמטרתו העיקרית איסוף מידע לשם מסירתו לאחר כדרך עיסוק, עם מידע על יותר מ-10,000 איש
מי שמבצע ניטור שיטתי – עיסוק העיקרי כולל ניטור שוטף של בני אדם (חברות סלולר, מנועי חיפוש)
מעבדי מידע רגיש בהיקף ניכר – בנקים, חברות ביטוח, בתי חולים
תפקידי הממונה:
לשמש סמכות מקצועית ומוקד ידע
להכין תכנית הדרכה בתחום הגנת הפרטיות
לכין תכנית בקרה שוטפת על עמידה בחוק
לשמש איש קשר עם הרשות להגנת הפרטיות
קנסות וסנקציות – מה הסיכונים?
עיצומים כספיים חדשים
התיקון מציב סמכויות אכיפה חסרות תקדים לרשות להגנת הפרטיות, כולל עיצומים כספיים משמעותיים:
הפרות הנוגעות לאתרים:
| סוג הפרה | גובה העיצום | דוגמה |
|---|---|---|
| אי-רישום מאגר החייב ברישום | 150,000 ₪ | אתר שאוסף מידע ללא רישום נדרש |
| הפרת חובת היידוע | 50 ₪ לכל אדם (100 ₪ למידע רגיש) | טופס ללא הסבר על השימוש במידע |
| אי-מתן זכות עיון | 15,000 ₪ | סירוב לתת ללקוח לראות את המידע שלו |
| הפרת תקנות אבטחה | 20,000-320,000 ₪ | תלוי ברמת האבטחה הנדרשת |
במאגרים גדולים (מעל מיליון נושאי מידע) – הקנסות מוכפלים!
פיצויים ללא הוכחת נזק
התיקון מאפשר לכל אזרח לתבוע פיצוי של עד 10,000 ₪ ללא הוכחת נזק בגין הפרות מסוימות של החוק.
צעדים פרקטיים שניתן לבצע כבר עכשיו
פעולות מיידיות לבעלי אתרים
1. עדכון מדיניות הפרטיות
- וודאו שמדיניות הפרטיות באתר מעודכנת לפי תיקון 13
- הוסיפו קישור במקום בולט בפוטר האתר
2. הוספת תיבות סימון לטפסים
- הוסיפו לכל טופס תיבת סימון שאינה מסומנת מראש
- כתבו הסבר ברור על השימוש שייעשה במידע
- הוסיפו קישור למדיניות הפרטיות
3. הוספת באנר עוגיות (Cookies)
- הציגו הודעה על שימוש בכלי איסוף מידע
- צרפו קישור למדיניות הפרטיות
- ציינו את הכלים העיקריים (Google Analytics, Facebook Pixel וכו')
4. בדיקת מאגרי המידע
- זהו איזה מידע נאסף באתר
- בדקו אם יש חובת רישום או הודעה לרשות
- וודאו שאתם יודעים על כל הכלים שפועלים באתר
פעולות מתקדמות
5. הכנה להתמודדות עם פניות גולשים
- הכינו נוהל לטיפול בבקשות עיון במידע
- הכינו נוהל לטיפול בבקשות תיקון ומחיקה
- הגדירו איש קשר אחראי בארגון
6. ביטחון ואבטחה
- וודאו שיש תעודת SSL לכל האתר
- בדקו שמידע רגיש מוצפן במסד הנתונים
- הגבילו גישה למידע אישי לעובדים הרלוונטיים בלבד
חובות ספציפיות לבוני אתרים
מה בוני אתרים צריכים לדעת ולהסביר ללקוחותיהם
חובות הסברה ללקוחות:
1. הסבר על חלוקת האחריות
- הבהר ללקוח שהאחריות החוקית היא שלו ולא של בונה האתר
- הסבר את ההבדל בין התפקידים: בונה מבצע, בעל אתר אחראי
- ציין שהחובות דומות לתחום הנגישות
2. זיהוי כלי איסוף המידע
- רשום רשימה של כל הכלים שהותקנו באתר (גוגל אנליטיקס, פייסבוק פיקסל וכו')
- הסבר ללקוח איזה מידע כל כלי אוסף
- וודא שהלקוח מבין את המשמעויות החוקיות
3. תיעוד מלא
- תעד את כל הכלים והמערכות שהותקנו
- ספק ללקוח מדריך על אופן עדכון המידע בעתיד
- השאר מסמכי העברה מפורטים
4. יעוץ בנושא טפסים
- הסבר ללקוח על הדרישה להוספת תיבות סימון
- הכן נוסחים מוכנים לשדות הסכמה בטפסים
- וודא שהטפסים תואמים את דרישות החוק
למי לפנות לייעוץ משפטי:
בוני אתרים מומלץ להכיר עורך דין מתמחה בתחום כדי להפנות אליו לקוחות, או להמליץ על שירותי מדיניות פרטיות אוטומטיים מקצועיים.
מה יקרה במידה ולא תעמדו בחוק?
תביעות אזרחיות פרטיות
זכויות חדשות לגולשים:
- כל אזרח יכול לתבוע פיצוי של עד 10,000 ₪ ללא הוכחת נזק
- תקופת ההתיישנות הוארכה מ-2 שנים ל-7 שנים
- אפשרות לתביעות ייצוגיות בהיקף גדול
דוגמה למקרה קיצוני:
אתר עם 100,000 משתמשים שלא עמד בחובת היידוע עלול לעמוד בפני תביעות של עד מיליארד שקל (100,000 × 10,000 ₪).
חקירות והליכי אכיפה
סמכויות חדשות לרשות להגנת הפרטיות:
- סמכויות חקירה מורחבות
- אפשרות לצו חיפוש ותפיסה
- הפסקת פעילות עיבוד מידע
- חקירות פליליות בהפרות חמורות
השלכות על העסק
השלכות מיידיות:
- פגיעה חמורה במוניטין החברה
- הליכים משפטיים ממושכים ויקרים
- צורך בהשקעה בטיפול בהליכים
- אובדן אמון לקוחות
השלכות ארוכות טווח:
- קשיים בהתקשרויות עסקיות חדשות
- בעיות בגיוס השקעות
- חשש של שותפים עסקיים
- פגיעה בערך החברה
עבירות פליליות חדשות בתיקון 13:
- עיבוד מידע ללא הרשאה – עד 3 שנות מאסר
- הטעיה מכוונת בפנייה לאיסוף מידע – עד 3 שנות מאסר
- הפרעה לחוקרי הרשות – עד 6 חודשי מאסר
שאלות ותשובות
האם אתר תדמית פשוט עם טופס יצירת קשר חייב בעמידה בחוק?
כן. כל מי שאוסף מידע אישי, גם אם זה רק שם ואימייל בטופס יצירת קשר, חייב בעמידה בדרישות החוק, כולל הוספת תיבת סימון והסבר על השימוש במידע.
מה קורה אם האתר מתארח בחו"ל?
אם אתם חברה ישראלית או פונים לקהל ישראלי, החוק חל עליכם גם אם האתר מתארח בחו"ל. אין "פרצות" ברגולציה החדשה.
איזה מידע נחשב "מידע בעל רגישות מיוחדת"?
המידע כולל מידע רפואי, פיננסי, ביומטרי, נתוני מיקום, דעות פוליטיות, אמונות דתיות, עבר פלילי, צנעת חיי המשפחה ומידע שחל עליו חובת סודיות.
האם נדרש להציג פופאפ לניהול עוגיות כמו באירופה?
לפי המסמכים הרשמיים של משרד המשפטים שבחנו, לא נמצאה דרישה ספציפית להציג פופאפ לניהול עוגיות. עם זאת, יש דרישה כללית לחובת היידוע בכל איסוף מידע אישי, כולל באמצעים טכנולוגיים. מומלץ להתייעץ עם עורך דין לגבי הפרשנות המדויקת בנושא זה.
כמה עולה קנס על הפרת חובת היידוע?
50 ₪ לכל אדם שהפנייה נעשתה אליו (100 ₪ אם מדובר במידע רגיש). הקנס המינימלי הוא 30,000 ₪. עבור אתר שפנה ל-10,000 איש ללא הסבר נכון – הקנס יכול להגיע ל-500,000 ₪.
האם עסק קטן עם 50 לקוחות צריך לרשום מאגר מידע?
ככל הנראה לא. התיקון מצמצם משמעותית את חובת הרישום. רק גופים ציבוריים וסוחרי מידע (מעל 10,000 איש) חייבים ברישום.
מה קורה למאגרים שכבר רשומים?
מאגרים שנרשמו לפני התיקון ימשיכו להיות רשומים אלא אם בעל המאגר יבקש במפורש למחוק אותם מהמרשם.
איך אני יודע אם אני צריך למנות ממונה הגנת פרטיות?
החובה חלה בעיקר על גופים ציבוריים, בנקים, חברות ביטוח, וחברות שעיסוקן העיקרי כרוך בניטור שיטתי של אנשים או עיבוד מידע רגיש בהיקף ניכר. רוב האתרים הרגילים לא יחויבו במינוי ממונה.
האם אני יכול להשתמש בגוגל אנליטיקס ללא הסכמה מפורשת?
נכון למועד כתיבת המדריך, ניתן להשתמש בגוגל אנליטיקס עם הודעה כללית בבאנר ובמדיניות הפרטיות, ללא צורך בהסכמה פעילה של הגולש. עם זאת, מומלץ לעקוב אחר הנחיות הרשות להגנת הפרטיות.
מה ההבדל בין "בעל השליטה במאגר" ל"מחזיק"?
"בעל שליטה במאגר" הוא הארגון שקובע את מטרות עיבוד המידע (זה בדרך כלל בעל האתר/העסק). "מחזיק" הוא גורם חיצוני שמעבד מידע עבור בעל השליטה (כמו חברת אירוח או מערכת CRM חיצונית).
כמה זמן יש לי לתקן ליקויים אם הרשות מצאה הפרה?
זה תלוי בסוג ההפרה. חלק מהעיצומים יוטלו ללא אזהרה מוקדמת, בעוד שבחלק מהמקרים הרשות תיתן הזדמנות לתיקון. מומלץ לא להסתמך על אזהרות ולעמוד בחוק מלכתחילה.
האם עסק שמוכר לחו"ל בלבד עדיין צריך לעמוד בחוק הישראלי?
אם החברה ישראלית או יש לה פעילות בישראל, היא תהיה כפופה לחוק הישראלי גם אם מוכרת רק לחו"ל. יש להתייעץ עם עורך דין לגבי המקרה הספציפי.
מהן הזכויות החדשות של הגולשים?
הזכויות כוללות זכות עיון במידע האישי (סעיף 13), זכות תיקון מידע שגוי (סעיף 14), וזכות להגשת תביעה לפיצוי של עד 10,000 ₪ ללא הוכחת נזק על הפרות מסוימות של החוק.
האם יש הקלות לעסקים קטנים?
כן. התיקון קובע הפחתות בקנסות לעסקים קטנים (מחזור שנתי 4-10 מיליון ₪) ולעסקים זעירים (מחזור עד 4 מיליון ₪). כמו כן, בכל מקרה לא יוטל עיצום העולה על 5% מהמחזור השנתי.
רשימת פעולות (Checklist) לבעלי אתרים
דחוף לעכשיו:
- עדכון מדיניות פרטיות: ודא שהמדיניות מתאימה לתיקון 13
- הוספת קישור בפוטר: קישור בולט למדיניות הפרטיות
- תיבות סימון בטפסים: הוסף לכל טופס תיבת סימון לא מסומנת מראש
- הסבר בטפסים: כתב הסבר ברור על השימוש במידע שיאסף
- באנר עוגיות: הוסף באנר שמודיע על שימוש בכלי איסוף מידע
- זיהוי כלי איסוף: רשום רשימה של כל הכלים באתר (גוגל אנליטיקס וכו')
בטווח הבינוני (3-6 חודשים):
- בחינת חובת רישום: בדק אם המאגר שלך חייב ברישום או הודעה
- נוהל טיפול בפניות: הכן נוהל לטיפול בבקשות עיון ותיקון מידע
- מינוי איש קשר: הגדר מי יטפל בפניות הקשורות לפרטיות
- ביקורת אבטחה: בדק שהמידע מוגן כראוי (SSL, הצפנה וכו')
- הדרכת צוות: ודא שהצוות יודע איך להתמודד עם בקשות הגולשים
התאמות מתקדמות (לפי הצורך):
- בחינת מינוי DPO: בדק אם אתה חייב למנות ממונה הגנת פרטיות
- עדכון הסכמי ספקים: ודא שספקים חיצוניים עומדים בחוק
- ביקורת תקופתית: קבע לוח זמנים לבחינה תקופתית של עמידה בחוק
- תכנית המשכיות: הכן תכנית להתמודדות עם פריצת אבטחה
צריכים עזרה?
שירותי אינטלינט בנוגע לתיקון מס' 13 לחוק הגנת הפרטיות
אם אתם זקוקים לסיוע ביישום הדרישות החדשות, אינטלינט מציעה שירותי ייעוץ והטמעה על בסיס שעתי.
צרו קשר לקבלת הצעת מחיר מותאמת לעסק שלכם.
סיכום
תיקון 13 לחוק הגנת הפרטיות מביא שינוי מהותי בדרך שבה עסקים מתייחסים למידע לקוחותיהם. אמנם השינויים נדמים מורכבים, אבל עם הכנה נכונה וביצוע הצעדים הנדרשים, ניתן לעמוד בדרישות החוק ולהמשיך לפעול בביטחון.
זכרו: החובה והאחריות היא של בעל האתר, לא של בונה האתר. הקפידו על יישום נכון של הדרישות, ובמקרה של ספק – פנו לייעוץ משפטי מקצועי.
הכנו את עצמכם היום – אל תחכו לרגע האחרון!
מקורות
מקורות ממשלתיים רשמיים
- תיקון 13 לחוק הגנת הפרטיות – Gov.il
- מדריך מקצועי תיקון מס' 13 – משרד המשפטים
- שאלות ותשובות – רישום מאגרי מידע
- שאלות ותשובות – תיקון מס' 13 כללי