דלגי לתוכן הראשי
הגנתא
מד חוסן
מד חוסן
אבטחת מידע · מדריך לעסקים

הנחיות לקביעת רמת האבטחה של מאגר מידע

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 אינן מטילות חובות אחידות על כל מאגר מידע. הן מסווגות כל מאגר מידע לאחת מארבע רמות - מאגר מידע המנוהל בידי יחיד, רמה בסיסית, בינונית או גבוהה - ולפי הסיווג נגזרות חובות האבטחה. מדריך זה מסביר כיצד נקבעת רמת האבטחה, מהם הספים והתנאים שבתוספות לתקנות, ומה הפערים מול חוק הגנת הפרטיות לאחר תיקון 13.

בתוקף מ-2017 רלוונטי לכל עסק עדכני לתיקון 13

מאת הגנתא

01

בקצרה

חובת אבטחת המידע קבועה בסעיף 17 לחוק הגנת הפרטיות, אך עיקר הפירוט המעשי שלה נמצא בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עיקרון היסוד של התקנות הוא מידתיות: היקף חובות האבטחה אינו אחיד, אלא נגזר מרמת הסיכון של מאגר המידע. לכן הצעד הראשון בכל יישום של התקנות הוא לקבוע נכון את רמת האבטחה החלה על מאגר המידע.

התקנות מגדירות ארבע קטגוריות בסדר עולה של חומרה: מאגר מידע המנוהל בידי יחיד (החובות המופחתות ביותר), רמה בסיסית, רמה בינונית ורמה גבוהה. הסיווג נקבע לפי שלושה צירים מרכזיים: מיהו בעל מאגר המידע ומה מטרתו, אילו סוגי מידע נכללים בו (ובפרט האם יש בו מידע רגיש), וכן היקפי מאגר המידע - מספר נושאי המידע ומספר בעלי ההרשאה. קביעה שגויה של הרמה חושפת את העסק הן לאבטחה חסרה והן לחשיפה אכיפתית, שהתחזקה מאוד עם כניסת תיקון 13 לתוקף באוגוסט 2025.

02

מה צריך להכיר?

הסיווג של רמת האבטחה של מאגר מידע נקבע באמצעות ההנחיות המפורטות בתוספות הראשונה והשנייה לתקנות הגנת הפרטיות (אבטחת מידע).

הרמה נקבעת לפי הצירוף המחמיר ביותר. הסיווג אינו בחירה אלא תוצאה של תכונות מאגר המידע. כאשר מתקיימות תכונות של כמה רמות, חלה הרמה הגבוהה מביניהן. בנוסף, הרמה אינה קבועה: שינוי בהיקף מאגר המידע (גידול במספר האנשים במאגר המידע או במספר בעלי ההרשאה לגשת למידע) או בסוגי המידע שבו עשוי להעלות את מאגר המידע לרמה גבוהה יותר, ולכן יש לבחון את הסיווג מחדש בעת שינוי מהותי.

מנוהל בידי יחיד בסיסית בינונית גבוהה

אלה העקרונות והספים המרכזיים שיש להכיר כדי לסווג נכון את מאגר המידע:

1מאגר מידע המנוהל בידי יחיד - המסלול המקל

זהו מסלול מקל לעסקים קטנים. הוא מתאים למאגר מידע שמנהל אדם אחד (או חברה בבעלות אדם אחד), ושרק אותו אדם ועוד שני אנשים לכל היותר רשאים ובאפשרותם להשתמש בו. על מאגר מידע כזה חלות החובות הקלות ביותר. עם זאת, מסלול זה לא חל ב-3 מקרים:

  • סחר במידע - אם אוספים מידע למאגר המידע לשם מסירתו לאחר כדרך עיסוק (כולל שירותי דיוור ישיר);
  • כמות אנשים - אם יש במאגר המידע מידע על 10,000 אנשים או יותר;
  • חובת סודיות - אם אותו יחיד כפוף לחובת סודיות מקצועית לפי דין או אתיקה מקצועית (למשל סוכן ביטוח, רופא, עורך דין).

2מאגר מידע שחלה עליו רמת האבטחה הבינונית - התוספת הראשונה

מאגר מידע מסווג ברמת אבטחה בינונית אם מתקיים בו אחד מאלה:

  • סחר במידע - אם אוספים מידע למאגר המידע לשם מסירתו לאחר כדרך עיסוק (כולל שירותי דיוור ישיר);
  • גוף ציבורי - בעליו הוא גוף ציבורי (למשל משרד ממשלתי, מוסד מדינה או רשות מקומית, גוף הממלא תפקיד ציבורי על פי דין, או גוף שקבע שר המשפטים בצו);
  • מידע רגיש - יש בו מידע רגיש (ראו הרשימה למטה).
מהו מידע רגיש? לפי התוספת, אחד מאלה:
  • מידע על צנעת חייו האישיים, כולל התנהגותו ברשות היחיד;
  • מידע רפואי או על מצב נפשי;
  • מידע גנטי;
  • דעות פוליטיות או אמונות דתיות;
  • עבר פלילי;
  • נתוני תקשורת כגון: נתוני מנוי, נתוני מיקום ונתוני תעבורה הנוגעים לתקשורת בזק (כגון פרטי המנוי, מיקום ציוד הקצה, מזהי הצדדים לתקשורת ומועדה), למעט תוכן השיחה או ההודעה עצמה;
  • מידע ביומטרי;
  • הרגלי צריכה שיש בהם כדי להעיד על כל האמור לעיל או על אישיותו, אמונתו או דעותיו;
  • מידע כלכלי (נכסים; חובות; התחייבויות כלכליות, היכולת לעמוד בהן ומידת העמידה בהן; מצב כלכלי או שינוי בו).
חריגים: מאגר מידע בעל רמת אבטחה בינונית רק בשל מידע רגיש (תת סעיף 3) יסווג ברמת אבטחה בסיסית באחד משני המקרים:
  • מספר בעלי ההרשאה לגשת למידע אצל בעל השליטה במאגר המידע אינו עולה על 10; או
  • המידע הרגיש כולל לכל היותר: מידע רפואי או על מצב נפשי, עבר פלילי, נתוני תקשורת, מידע ביומטרי מסוג תמונת פנים בלבד ומידע כלכלי אודות עובדי העסק או ספקיו ומשמש לניהול העסק בלבד.

3מאגר מידע שחלה עליו רמת האבטחה הגבוהה - התוספת השנייה

מאגר מידע מסווג ברמת אבטחה גבוהה אם מתקיימים בו שני אלה יחד:

  • הוא עומד באחד מתנאי הרמה הבינונית:
    • סחר במידע - אם אוספים מידע למאגר המידע לשם מסירתו לאחר כדרך עיסוק (כולל שירותי דיוור ישיר); או
    • מידע רגיש - יש בו מידע רגיש (ראו הרשימה למעלה);
  • ובנוסף מתקיים בו אחד מהספים הבאים:
    • יש בו מידע על 100,000 אנשים ומעלה; או
    • מספר בעלי ההרשאה לגשת למידע אצל בעל השליטה במאגר המידע עולה על 100.

4מאגר מידע שחלה עליו רמת האבטחה הבסיסית

מאגר מידע מסווג ברמת אבטחה בסיסית אם:

  • הוא אינו מאגר מידע המנוהל בידי יחיד;
  • הוא אינו מאגר מידע ברמת אבטחה בינונית;
  • הוא אינו מאגר מידע ברמת אבטחה גבוהה;
  • או שהוא נכנס לאחד החריגים של רמת האבטחה הבינונית.

התרשים הבא מסכם את אופן קביעת רמת האבטחה, שלב אחר שלב:

כן לא לא כן כן לא לא כן מאגר מידע מנוהל בידי יחיד? יחיד + עד 2 בעלי הרשאה נוספים, ואינו אחד מאלה: (1) סוחר במידע; (2) מחזיק מידע אודות 10,000+ אנשים; (3) חייב בסודיות על פי דין או אתיקה מקצועית. מאגר מידע המנוהל בידי יחיד חובות מופחתות מתקיים תנאי מהתוספת הראשונה? (1) סחר במידע / דיוור ישיר (2) בעלות גוף ציבורי (3) מידע רגיש מאגר מידע בעל רמת אבטחה בסיסית חובות בסיסיות חל סייג שמוריד לבסיסית? רלוונטי רק אם כולל מידע רגיש (3) ויש: (1) עד 10 בעלי הרשאה אצל בעל השליטה במאגר המידע; או (2) רק חלק מסוגי המידע הרגיש שפורטו בתוספת הראשונה, על עובדים או ספקים והמידע משמש לניהול העסק בלבד מאגר מידע בעל רמת אבטחה בסיסית חובות בסיסיות מתקיים תנאי מהתוספת השנייה? עומד בתנאי סחר במידע או מידע רגיש מהתוספת הראשונה, וגם: (1) מעל 100,000 אנשים; או (2) מעל 100 בעלי הרשאה מאגר מידע בעל רמת אבטחה בינונית חובות מוגברות מאגר מידע בעל רמת אבטחה גבוהה חובות מקסימליות בכל צומת - אם מתקיימות תכונות של כמה רמות, חלה הרמה הגבוהה מביניהן.

לא בטוחים באיזו רמת אבטחה מצויים מאגרי המידע שלכם? דברו איתנו ←

03

פערים מול תיקון 13

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 ושינה באופן מהותי את מסגרת החוק - אך הוא לא תיקן את תקנות אבטחת המידע משנת 2017. כתוצאה מכך, מנגנון קביעת רמת האבטחה (ארבע הרמות, התוספות והספים) ממשיך לחול כלשונו מכוח התקנות, בעוד שחלק מהמושגים שעליהם הוא נשען עודכנו בחוק. אלה הפערים שנוגעים ספציפית לקביעת רמת האבטחה:

1"מידע רגיש" (תקנות) מול "מידע בעל רגישות מיוחדת" (חוק)

אחד הקריטריונים המרכזיים לסיווג לרמה בינונית או גבוהה הוא קיומו של מידע רגיש, לפי הרשימה הסגורה שבתוספת הראשונה לתקנות. תיקון 13 הכניס לחוק מונח חדש - "מידע בעל רגישות מיוחדת" - שהיקפו רחב יותר ואינו חופף במדויק לרשימה של "מידע רגיש" המוגדר בתקנות. כתוצאה מכך, לעיתים עלול להיווצר פער בין הגדרת רמת האבטחה של מאגר מידע לצורך העיצום הכספי (החוק) לעומת רמת האבטחה של מאגר מידע לצורך הטמעת היבטי אבטחת מידע (התקנות).

כך לדוגמה: התקנות מגדירות כ"מידע רגיש" גם מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכליות ומידת עמידתו בהן - ואילו החוק מצמצם ומגדיר רק מידע אישי על נתוני שכר של אדם ועל פעילותו הפיננסית. כמו כן, התקנות מתייחסות להרגלי צריכה של אדם שיש בהם כדי ללמד על מידע רגיש אחר כמפורט בתקנות או על אישיותו של אדם, אמונתו או דעותיו - ואילו החוק אינו מתייחס כלל להרגלי צריכה.

2הרחבת ההגדרה: מ"מידע" ל"מידע אישי"

עד תיקון 13 הוגדר בסעיף 7 לחוק "מידע" כ"נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו". תיקון 13 החליף הגדרה זו בהגדרה רחבה של "מידע אישי" - כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי. "אדם הניתן לזיהוי" הוא מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, בין היתר באמצעות פרט מזהה כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום או מזהה מקוון, או נתון הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי. המשמעות: כמעט כל נתון הנוגע לאדם הניתן לזיהוי, המוחזק או מעובד במאגר מידע, כפוף לחוק הגנת הפרטיות ולתקנותיו - כך שיותר אוספי מידע נכנסים לגדרם.

שימו לב: נכון למועד פרסום מדריך זה התקנות טרם עודכנו בעקבות תיקון 13. ייתכנו עדכוני חקיקה ותקינה נוספים, ולכן יש לעקוב אחר פרסומי הרשות להגנת הפרטיות ולבחון את הסיווג בהתאם.

04

מי אחראי על היישום?

האחריות לקביעת רמת האבטחה וליישום החובות הנגזרות ממנה מוטלת על בעל השליטה במאגר המידע - העסק עצמו.

05

למה זה רלוונטי לעסק שלך?

עסקים רבים אינם מודעים לכך שהם "בעלי שליטה במאגר מידע" לפי החוק. אם הנך:

  • שומר רשימת לקוחות (כולל שם, ת"ז, דוא"ל, טלפון, היסטוריית רכישות)
  • מחזיק נתוני עובדים או נתוני מועמדים שלא נקלטו לעבודה
  • שומר פרטי יועצים ונותני שירותים (כולל חשבוניות וקבלות)
  • מפעיל מצלמות אבטחה שמצלמות אנשים
  • מקבל בוואטסאפ או בדוא"ל מסמכים הכוללים מידע אישי אודות אנשים

הנך בעל שליטה במאגר מידע ולכן דיני הגנת הפרטיות חלים עליך. עליך לקבוע את רמת האבטחה של מאגרי המידע שבשליטתך כדלקמן:

  • על פי התקנות, לשם הבנה אילו היבטי אבטחה נדרשים ליישום;
  • על פי החוק, לשם הבנה מה החשיפה לעיצומים כספיים.
06

מיתוסים נפוצים

מיתוס

"אני בוחר לעצמי רמת אבטחה נמוכה כדי לחסוך בעלויות"

שגוי

הרמה אינה נתונה לבחירה. היא נקבעת בדין לפי תכונות מאגר המידע - בעליו, סוגי המידע שבו והיקפיו. סיווג נמוך מהמתחייב הוא הפרה של התקנות.

מיתוס

"יש לי עסק קטן, אז ממילא חלה עליי הרמה הבסיסית בלבד"

שגוי

גודל העסק אינו המבחן. עסק קטן המחזיק מידע רגיש (כגון מידע רפואי) או שמטרתו דיוור ישיר עשוי לחול עליו רמה בינונית או גבוהה, ללא קשר למחזור או למספר העובדים.

מיתוס

"קבעתי את הרמה פעם אחת, וזה תקף לתמיד"

שגוי

הסיווג דינמי. גידול במספר נושאי המידע או בעלי ההרשאה, או הוספת סוגי מידע חדשים, עשויים להעלות את הרמה. יש לבחון מחדש בכל שינוי מהותי.

מיתוס

"אני מאחסן הכל במערכת אצל ספק, אז האחריות לקביעת רמת האבטחה וליישומה היא של הספק"

שגוי

האחריות נותרת על בעל השליטה במאגר המידע. אחסון במערכת חיצונית או אצל ספק חיצוני אינו מעביר את האחריות מבעל השליטה במאגר המידע לספק, ואף בעל השליטה נדרש להעריך את סיכוני הספק ולפקח עליו.

מיתוס

"תיקון 13 ביטל את תקנות אבטחת המידע"

שגוי

התקנות בתוקף מלא. תיקון 13 שינה והרחיב את החוק והגביר את האכיפה, אך מנגנון קביעת רמת האבטחה ממשיך לחול מכוח תקנות 2017.

07

מה לעשות עכשיו?

  1. מפו את מאגרי המידע בעסק

    ערכו רשימה של כל מאגרי המידע שבשליטתכם/בבעלותכם - לקוחות, עובדים, מועמדים לעבודה, נותני שירותים, מצלמות וכו'.

  2. ערכו מסמך הגדרות מאגר

    לכל מאגר מידע יש לערוך מסמך הגדרות מאגר לפי תקנה 2 לתקנות הגנת הפרטיות (אבטחת מידע). במסמך יש להגדיר את: מטרות איסוף המידע, סוגי המידע הכלולים בכל אחד מהם, סיכוני האבטחה, מספר בני האדם הכלולים במאגר, מספר בעלי ההרשאה לגשת למידע ועוד.

  3. קבעו את רמת האבטחה של כל מאגר מידע לפי הצירוף המחמיר ביותר

    פעלו בהתאם להנחיות המופיעות במדריך זה לצד ההנחיות הקיימות בתקנות הגנת הפרטיות (אבטחת מידע). כאשר מתקיימות תכונות של כמה רמות, החילו את הרמה הגבוהה ביניהן, ותעדו את ההחלטה ואת נימוקיה.

  4. בנו תוכנית עבודה בהתאם לחבילת החובות התואמת לרמת האבטחה שהוגדרה

    לכל רמת אבטחה ישנה חבילת חובות שונה - ממסמך הגדרות מאגר המידע ויישום אבטחה פיזית במאגר מידע המנוהל בידי יחיד ועד סקר סיכונים ומבדקי חדירות במאגר מידע בעל רמת אבטחה גבוהה. ודאו שאתם מיישמים את כלל הדרישות החלות בהתאם לרמת האבטחה שנקבעה.

אם הדברים אינם ברורים או מוכרים לך - מומלץ לשכור את שירותיו של איש מקצוע. לקביעת פגישה ללא עלות ←

08

איך הגנתא יכולה לסייע לך לקבוע וליישם את רמת האבטחה?

הגנתא מציעה כלים ושירותים פרקטיים לעסקים שצריכים לעמוד בדיני הגנת הפרטיות בישראל, למשל:

מד חוסן

שאלון חינמי של 10 שאלות לאינדיקציה ראשונית על רמת החוסן של העסק אל מול התקנות. בדיקה קצרה, תובנות מיידיות.

סקר פערים מלא

בדיקה מקצועית מקיפה של עמידתך בכל סעיפי החוק ותקנות אבטחת המידע, לפי רמת האבטחה החלה.

שירותי DPO / CISO

ממונה הגנת פרטיות ו/או ממונה אבטחת מידע - ליווי וייעוץ מקצועי שוטף.

ייעוץ פרטני

ייעוץ ספציפי המותאם לעסק שלך. קביעת פגישה ללא עלות.

התחל/י את מד החוסן ← לעמוד השירותים ← לקביעת פגישה ללא עלות ←
09

הגדרות רלוונטיות

בעל הרשאה
יחיד שיש לו גישה למידע ממאגר המידע, למערכות מאגר המידע או לרכיב הנדרש להפעלתו, על פי הרשאת בעל השליטה במאגר המידע או המחזיק.
בעל שליטה במאגר מידע
מי שקובע, לבד או עם אחר, את מטרות עיבוד המידע שבמאגר המידע, או ארגון/אדם שהוסמך בחיקוק לעבד מידע במאגר מידע. למשל עסק הקובע שמטרת מאגר לידים נועדה לשם מסירתו לאחר. בעל השליטה יהיה העסק עצמו ולא בעל תפקיד ספציפי בעסק.
גוף ציבורי
משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין; וכן גוף ששר המשפטים קבע בצו, באישור ועדת החוקה, ושנקבעו בו סוגי המידע שאותו גוף רשאי למסור ולקבל.
מאגר מידע
אוסף של מידע אישי המעובד באמצעי דיגיטלי, למעט חריגים שפורטו בחוק. למשל: שמירה של פרטי הלקוחות וההזמנות שביצע - זהו מאגר מידע אודות לקוחות.
מחזיק
גורם חיצוני לבעל השליטה במאגר, המעבד עבורו את המידע. למשל: ספק שירותי ענן או ספק CRM.
מידע אישי
כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין. למשל: באמצעות שם, מספר זהות, מזהה ביומטרי (כגון: טביעת אצבע), נתוני מיקום (כגון: GPS), מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.
מידע בעל רגישות מיוחדת
מידע אישי הכולל: מידע רפואי, מצב בריאותי, נתוני שכר, צנעת חיי המשפחה, נטייה מינית, מידע גנטי או ביומטרי, דעות פוליטיות, אמונות דתיות, עבר פלילי, מוצא, נתוני מיקום ועוד.
מידע רגיש
מידע על צנעת חייו של אדם, מידע רפואי או נפשי, מידע גנטי, דעות פוליטיות או אמונות דתיות, עבר פלילי, נתוני תקשורת, מידע ביומטרי, הרגלי צריכה ומידע כלכלי.
נושא מידע
האדם שהמידע האישי הוא אודותיו - לקוח, עובד, מועמד לעבודה, מטופל או נותן שירותים.
סקר סיכונים ומבדקי חדירות
חובות החלות על מאגר מידע ברמת אבטחה גבוהה. סקר סיכונים - סקר לאיתור סיכוני אבטחת מידע, שבעקבותיו נבחן הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה ומתוקנים הליקויים שהתגלו. מבדקי חדירות - בדיקות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים. שניהם נערכים אחת לשמונה עשר חודשים לפחות.
עיבוד
כל פעולה המבוצעת על מידע אישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
10

מקורות מקצועיים

הערה משפטית: מאמר זה הוא תקציר המספק מידע מקצועי כללי בלבד ואינו מהווה ייעוץ משפטי. החוק והתקנות מורכבים ויישומם תלוי במאפיינים הייחודיים של כל עסק. מומלץ להתייעץ עם מומחה בתחום הגנת הפרטיות לפני איסוף מידע אישי ו/או קבלת החלטות עסקיות.
© 2018-2026 הגנתא - כל הזכויות שמורות. אין להעתיק או לשנות תוכן זה ללא רשות מפורשת בכתב.

שתפו את המאמר

לא בטוח/ה איפה להתחיל?

מד החוסן הוא שאלון חינמי קצר של 10 שאלות בדיני הגנת הפרטיות. תוצאות אישיות יתקבלו תוך מספר דקות.

ללא התחייבות, ללא עלות.

התחל/י את מד החוסן לתיאום שיחה

רוצים לדבר? שיחת ייעוץ ראשונית קצרה ללא התחייבות → קביעת פגישה