דלגי לתוכן הראשי
הגנתא
מד חוסן
מד חוסן
הגנת הפרטיות · מדריך לעסקים

תקציר תיקון 13
לחוק הגנת הפרטיות

באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות - הרפורמה המקיפה ביותר בחוק מאז חקיקתו. התיקון משפיע על כל עסק בישראל המחזיק במידע אודות בני אדם. כאן נסקור את השינויים המרכזיים שצריך להכיר, ומה לעשות כעת.

בתוקף מאוגוסט 2025 רלוונטי לכל עסק עיצומים וחשיפה אזרחית

מאת הגנתא

01

בקצרה

באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, התשמ"א־1981 - הרפורמה המקיפה ביותר בחוק מאז חקיקתו. התיקון משפיע על כל עסק בישראל המחזיק במידע אודות בני אדם, מעסקים קטנים ועוסקים פטורים ועד תאגידים גדולים.

במאמר זה נסקור את עיקרי השינויים שצריך להכיר - מהגדרות מעודכנות, דרך חובת מינוי ממונה הגנת פרטיות, חובות יידוע והסכמה מורחבות וזכויות נושאי המידע, ועד עיצומים כספיים משמעותיים וחשיפה לתביעות אזרחיות - ומה כדאי לעשות כעת.

02

מה צריך להכיר?

תיקון 13 הוא רפורמה רחבה לחוק הגנת הפרטיות - הוא מעדכן הגדרות יסוד, מוסיף חובות חדשות על עסקים ומחזק משמעותית את כלי האכיפה של הרשות:

הגדרות ממונה הגנת פרטיות יידוע והסכמה זכויות נושאי מידע עיצומים ואכיפה

אלה עיקרי השינויים:

1עדכון ושינוי הגדרות

עודכנו מספר הגדרות יסוד המהוות את הבסיס לחוק ולתקנות. ההגדרות המעודכנות מרחיבות את תחולת החוק. להרחבה ראו פרק "הגדרות רלוונטיות" בתחתית העמוד.

2מינוי ממונה הגנת פרטיות (DPO)

עסקים שפעילותם כרוכה בסיכון גבוה לפרטיות נדרשים למנות ממונה הגנת פרטיות, שתפקידו להבטיח קיום הוראות החוק והתקנות ולקדם את השמירה על הפרטיות ואבטחת המידע. החייבים במינוי: עסק שמטרתו איסוף מידע לשם מסירתו לאחר (סחר במידע) עם מעל 10,000 אנשים במאגר; עסק שפעילותו מחייבת ניטור שוטף ושיטתי של אנשים בהיקף ניכר (מיקום, פעולות, התנהגות וכו'); עסק שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר; בנקים, חברות ביטוח, בתי חולים וקופות חולים; וגוף ציבורי או מחזיק במאגר של גוף ציבורי.עיצום כספי: 4 ₪ בגין כל אדם במאגר עם מידע אישי, ו־8 ₪ בגין כל אדם במאגר עם מידע בעל רגישות מיוחדת. לדוגמה: קליניקה פרטית עם מידע על 20,000 לקוחות חשופה לעיצום של כ־160,000 ₪, כיוון שהיא אוספת מידע בעל רגישות מיוחדת.

3הסכמה וחובת יידוע מורחבת

פנייה לאדם לקבלת מידע אישי חייבת להיות מלווה בהודעה המפרטת: אם חלה חובה חוקית למסור את המידע או שמסירתו תלויה בהסכמה; מה תוצאת הסירוב למסור; מטרת האיסוף; שם בעל השליטה ודרכי ההתקשרות עמו; למי יימסר המידע ולאילו מטרות; וכן את זכויות העיון והתיקון לפי סעיפים 13 ו־14 לחוק. כמו כן חובה לקבל את הסכמת האדם לעיבוד המידע. פעילות במאגר בניגוד להנחיה זו אסורה.עיצום כספי: 50 ₪ בגין כל אדם במאגר עם מידע אישי, ו־100 ₪ בגין כל אדם עם מידע בעל רגישות מיוחדת. לדוגמה: סוכן ביטוח / רופא / עו"ד / רו"ח המחזיק מידע על 1,500 לקוחות חשוף לעיצום של כ־150,000 ₪, כיוון שהוא אוסף מידע בעל רגישות מיוחדת.

4עיבוד מידע שלא כדין

עיבוד בניגוד למטרה שנקבעה כדין - אסור להשתמש במידע למטרות אחרות שלא נקבעו ושוקפו מראש לאדם. עיבוד ללא הרשאה - אסור לעבד מידע ללא הרשאת בעל השליטה במאגר או בחריגה ממנה. איסור גורף על עיבוד במאגר בלתי חוקי - אסור לעבד מידע, או לתת לאחר לעבד עבורך, אם המידע נוצר, התקבל, נצבר או נאסף בניגוד לחוק או לכל דין אחר.עיצום כספי: 4 ₪ בגין כל אדם עם מידע אישי, ו־8 ₪ בגין כל אדם עם מידע בעל רגישות מיוחדת - בגין כל סעיף בנפרד.

5זכויות נושאי המידע

כל אדם רשאי לפנות אליך בבקשה לעיין במידע האישי שלו המוחזק אצלך, לבקש לתקן מידע שגוי, או לבקש את מחיקתו. נדרש מענה בתוך 30 ימים מיום קבלת הפנייה.עיצום כספי: 15,000 ₪ בגין כל סעיף שלא יושם.

6עיצומים כספיים משמעותיים וחשיפה לתביעות אזרחיות

הרשות הוסמכה להטיל עיצומים כספיים שיכולים להגיע למאות אלפי ₪ לכל סעיף הפרה, ואף מיליוני ₪ בעבירות חמורות - לרבות הפרות הקשורות לתקנות אבטחת המידע. בנוסף, החוק מאפשר תביעה אזרחית של עד 10,000 ₪ ללא הוכחת נזק לכל אדם הכלול במאגר - כלומר פוטנציאל לתביעה ייצוגית.

נקבעו נסיבות המאפשרות הפחתת עיצום, כגון: המפר הפסיק את ההפרה מיוזמתו ודיווח עליה לרשות, או ששילם פיצוי בשל אותן הפרות.

7חובת רישום וחובת הודעה לרשות

נקבעה חובת רישום מאגר אצל רשם המאגרים, החלה בעיקר על גופים ציבוריים ועל סוחרי מידע (איסוף לשם מסירה לאחר) עם מעל 10,000 בני אדם. כמו כן נקבעה חובת הודעה לרשות, בתוך 30 ימים, למי שמעבד מידע בעל רגישות מיוחדת על 100,000 אנשים ומעלה.

8הארכת תקופת ההתיישנות

בוטלה תקופת ההתיישנות המקוצרת (שנתיים) שחלה עד כה על תביעות אזרחיות בגין פגיעה בפרטיות והפרות החוק, והיא הוארכה לתקופה של 7 שנים.

9עבירות פליליות (מאסר)

לצד העבירות הקיימות, התיקון הוסיף פרק עבירות פליליות הכולל, בין היתר: עיבוד מידע ללא הרשאת בעל השליטה או בחריגה ממנה; פנייה לאדם לקבלת מידע ללא מסירת הפרטים הנדרשים או תוך מסירת פרטים כוזבים בכוונה להטעות; הפרעה לרשות, לחוקר או למפקח מטעמה במילוי תפקידם; והטעיית הרשות, מפקח או מומחה חיצוני מטעמה.

לא בטוחים אילו חובות חלות על העסק שלכם תחת תיקון 13? דברו איתנו - שיחת היכרות ללא עלות ←

03

מי אחראי על היישום?

האחריות העליונה מוטלת בראש ובראשונה על בעל השליטה במאגר המידע - כלומר על העסק עצמו, ולא על בעל תפקיד ספציפי בעסק.

04

למה זה רלוונטי לעסק שלך?

עסקים רבים אינם מודעים לכך שהם "בעלי שליטה במאגר מידע" לפי החוק. אם הנך:

  • שומר רשימת לקוחות (כולל שם, ת"ז, דוא"ל, טלפון, היסטוריית רכישות)
  • מחזיק נתוני עובדים או נתוני מועמדים שלא נקלטו לעבודה
  • שומר פרטי יועצים ונותני שירותים (כולל חשבוניות וקבלות)
  • מפעיל מצלמות אבטחה שמצלמות אנשים
  • מקבל בוואטסאפ או בדוא"ל מסמכים הכוללים מידע אישי אודות אנשים

הנך בעל שליטה במאגר מידע ולכן דיני הגנת הפרטיות חלים עליך.

לא בטוחים אם אתם נחשבים בעלי שליטה במאגר מידע? דברו איתנו - שיחת היכרות ללא עלות ←

05

מיתוסים נפוצים

מיתוס

"עסק קטן ועוסק פטור או מורשה לא חייבים לעמוד בחוק."

שגוי

החוק חל על כל מי שמחזיק מאגר מידע הכולל מידע אישי של לקוחות, עובדים או נותני שירותים - ללא קשר לגודלו. עסקים קטנים אמנם פטורים מחלק מהחובות, אך לא מכולן.

מיתוס

"רק חברות עם אלפי לקוחות צריכות להתעסק עם זה."

שגוי

החוק חל על כל בעל שליטה במאגר מידע, ללא קשר לגודלו - גם על עסקים קטנים ואף על עוסקים פטורים ומורשים. למשל: קבלת הסכמה לאיסוף המידע, מענה לבקשות עיון, תיקון ולעיתים מחיקה.

מיתוס

"אם אני שומר את הקבצים רק במחשב שלי, אני לא צריך לעמוד בחוק."

שגוי

החוק חל על מאגרי מידע דיגיטליים - המחשב שלך, הדוא"ל, הוואטסאפ, הקבצים השמורים והמערכות ושירותי הענן שבהם אתה משתמש - כולם נחשבים מאגרי מידע, ככל שנשמר בהם מידע אישי אודות אנשים.

מיתוס

"רואה החשבון / עורך הדין שלי יטפל בזה."

תלוי בו

רוב רואי החשבון ועורכי הדין הנותנים שירותים שוטפים אינם מתמחים באבטחת מידע ובהגנת פרטיות, ולרוב אינם בעלי הידע המקצועי המתאים לעמידה בדרישות הסף של החוק. לכן יש לבחור איש מקצוע שזה תחום עיסוקו.

06

מה לעשות עכשיו?

  1. עבור על המידע האישי שברשותך

    האם המידע כולל רשימת לקוחות, עובדים או נותני שירותים מעבר לשם וטלפון? האם אתה מחזיק צילומי אבטחה? קבצי אקסל עם פרטים אישיים? האם למערכות שיש לך הרשאה אליהן יש מידע אישי? אם כן - סביר שיש לך מאגר מידע כמוגדר בחוק.

  2. הוסף הודעת הסכמה בכל נקודת איסוף

    בכל טופס, אתר אינטרנט או פנייה שבהם נאסף מידע אישי, הצג הודעה קצרה בהתאם לאמור לעיל. שמור תיעוד של ההסכמות - התיעוד הוא הבסיס להוכחת עמידה בחוק.

  3. עבד מידע כדין

    אין להשתמש במידע למטרות שלא יידעת עליהן את האדם, אין לאסוף או לעבד מידע שהגיע אליך שלא כדין או ללא הרשאת בעל השליטה, ואין לתת לאחר לעבד עבורך מידע שלא התקבל כחוק.

  4. היערך למענה לבקשות למימוש זכויות

    קבע מי בעסק אחראי לקבל בקשות עיון, תיקון או מחיקה, ודאג שתוכל להשיב עליהן בתוך 30 ימים כנדרש בחוק.

  5. בדוק את חובתך במינוי ממונה הגנת פרטיות (DPO)

    רוב העסקים הקטנים פטורים, אך אם עיקר עיסוקך הוא עיבוד מידע בהיקף נרחב או מעקב שיטתי אחר אנשים - ייתכן שחלה עליך החובה. במקרה של ספק, היוועץ באיש מקצוע.

  6. בדוק חובות רישום והודעה

    מרבית העסקים הקטנים אינם חוצים סף זה. אך אם העסק עוסק בסחר במידע עם מעל 10,000 אנשים - עליך לרשום את המאגר; ואם הוא מעבד מידע בעל רגישות מיוחדת על 100,000 אנשים ומעלה - עליך להודיע לרשות בתוך 30 ימים.

אם הדברים אינם ברורים או מוכרים לך - מומלץ לשכור את שירותיו של איש מקצוע. לקביעת פגישה ללא עלות ←

07

איך הגנתא יכולה לסייע לך לעמוד בחוק?

הגנתא מציעה כלים ושירותים פרקטיים לעסקים שצריכים לעמוד בדיני הגנת הפרטיות בישראל, למשל:

סקר פערים מלא

בדיקה מקצועית מקיפה של עמידתך בכל סעיפי החוק ותקנות הגנת הפרטיות (אבטחת מידע).

שירותי DPO / CISO

ממונה הגנת פרטיות ו/או ממונה אבטחת מידע - ליווי וייעוץ מקצועי שוטף לעסק שלך.

ייעוץ פרטני

ייעוץ ספציפי המותאם לעסק שלך. קביעת פגישה ללא עלות.

שירותים נוספים

מגוון שירותים נוספים כמפורט בעמוד השירותים שלנו.

התחל/י את מד החוסן ← לעמוד השירותים ← לקביעת פגישה ללא עלות ←
08

הגדרות רלוונטיות

בעל שליטה במאגר מידע
מי שקובע, לבד או עם אחר, את מטרות עיבוד המידע שבמאגר המידע, או ארגון/אדם שהוסמך בחיקוק לעבד מידע במאגר מידע. למשל עסק הקובע שמטרת מאגר לידים נועדה לשם מסירתו לאחר. בעל השליטה יהיה העסק עצמו ולא בעל תפקיד ספציפי בעסק.
מידע אישי
כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין. למשל: באמצעות שם, מספר זהות, מזהה ביומטרי (כגון: טביעת אצבע), נתוני מיקום (כגון: GPS), מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.
מידע בעל רגישות מיוחדת
מידע אישי הכולל: מידע רפואי, מצב בריאותי, נתוני שכר, צנעת חיי המשפחה, נטייה מינית, מידע גנטי או ביומטרי, דעות פוליטיות, אמונות דתיות, עבר פלילי, מוצא, נתוני מיקום ועוד.
מאגר מידע
אוסף של מידע אישי המעובד באמצעי דיגיטלי, למעט חריגים שפורטו בחוק. למשל: שמירה של פרטי הלקוחות וההזמנות שביצע - זהו מאגר מידע אודות לקוחות.
מחזיק
גורם חיצוני לבעל השליטה במאגר, המעבד עבורו את המידע. למשל: ספק שירותי ענן או ספק CRM.
עיבוד
כל פעולה המבוצעת על מידע אישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
09

מקורות מקצועיים

  • חוק הגנת הפרטיות, התשמ"א־1981 (כולל תיקון 13) - נוסח החוק.
  • הרשות להגנת הפרטיות - גילויי דעת והנחיות מקצועיות.
הערה משפטית: מאמר זה הוא תקציר המספק מידע מקצועי כללי בלבד ואינו מהווה ייעוץ משפטי. החוק והתקנות מורכבים ויישומם תלוי במאפיינים הייחודיים של כל עסק. מומלץ להתייעץ עם מומחה בתחום הגנת הפרטיות לפני איסוף מידע אישי ו/או קבלת החלטות עסקיות.
© 2018-2026 הגנתא - כל הזכויות שמורות. אין להעתיק או לשנות תוכן זה ללא רשות מפורשת בכתב.

שתפו את המאמר

לא בטוח/ה איפה להתחיל?

מד החוסן הוא שאלון חינמי קצר של 10 שאלות בדיני הגנת הפרטיות. תוצאות אישיות יתקבלו תוך מספר דקות.

ללא התחייבות, ללא עלות.

התחל/י את מד החוסן לתיאום שיחה

רוצים לדבר? שיחת ייעוץ ראשונית קצרה ללא התחייבות → קביעת פגישה