DPO DPO Israel
פתח כ-Markdown

תיקון 13 לחוק הגנת הפרטיות בישראל, בלי ערפל

מעודכן: מאי 2026

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, הוא הרפורמה המקיפה ביותר בדיני הפרטיות בישראל מאז חקיקת החוק המקורי. הוא נכנס לתוקף ב-14 באוגוסט 2025, ויוצר חובות חדשות לכל ארגון בישראל שמעבד מידע אישי — כולל חובת מינוי ממונה הגנת פרטיות (DPO), עיצומים כספיים של מיליוני ש"ח, ואחריות פלילית למקבלי החלטות. במדריך הזה: מה השתנה, מי חייב DPO, מה אומרים גילויי הדעת של הרשות להגנת הפרטיות, ומה לעשות עכשיו.

שולחן עבודה לתכנון מוכנות תיקון 13 — ציר אירועים, מסמכים וניהול ראיות

תוכן עניינים

  1. 01. מה זה תיקון 13?
  2. 02. מי חייב DPO?
  3. 03. מה השתנה?
  4. 04. עיצומים וסיכונים
  5. 05. גילויי דעת של הרשות
  6. 06. מה צריך לעשות עכשיו
  7. 07. צ׳ק־ליסט 90 יום
  8. 08. דגשים לפי סקטור
  9. 09. טעויות נפוצות

מה זה תיקון 13?

תיקון 13 הוא הרפורמה הגדולה ביותר בחוק הגנת הפרטיות, התשמ"א-1981, מאז שנחקק. הוא אושר בכנסת ב-7 באוגוסט 2024 ופורסם ברשומות, וכניסתו לתוקף נדחתה בשנה כדי לאפשר היערכות - 14 באוגוסט 2025.

המטרה: להתאים את החוק לעידן הדיגיטלי, לקרב אותו לעקרונות ה-GDPR האירופי, ולתת לרשות להגנת הפרטיות שיניים אכיפתיות אמיתיות.

מי חייב למנות ממונה הגנת פרטיות (DPO)?

חובת המינוי חלה על חמש קטגוריות:

  1. גופים ציבוריים - משרדי ממשלה, רשויות מקומיות, מועצות אזוריות, קופות חולים, בתי חולים ציבוריים, וכל גוף שמופיע בתוספת לחוק.
  2. מחזיקים במידע עבור גופים ציבוריים - חברות שמעבדות מידע אישי בעבור גוף ציבורי (ספקי SaaS, חברות outsourcing, וכד').
  3. סוחרי מידע - גופים שעיסוקם המרכזי הוא איסוף ומכירת מידע, ושמחזיקים מעל 10,000 רשומות.
  4. גופים המבצעים ניטור שיטתי בהיקף נרחב - מעקב התנהגותי, נתוני מיקום, פרופיילינג בסחר אלקטרוני.
  5. גופים המעבדים מידע רגיש בהיקף נרחב - בנקים, חברות ביטוח, מערכי בריאות, ולרוב גם ארגונים גדולים שמעבדים מידע רפואי, פיננסי, או על קטינים.

פירוט מלא ומחשבון: מי חייב למנות DPO.

מה השתנה? עיקרי הרפורמה

שמונה שינויים מרכזיים שצריך להכיר:

  • חובת מינוי DPO - לא הייתה קיימת בחוק הישראלי. עכשיו - חובה.
  • צמצום חובת רישום מאגרים - רק סוחרי מידע וגופים ציבוריים חייבים רישום. השאר - פטורים מרישום אבל לא מיתר החובות.
  • עקרון צמידות המטרה - מידע שנאסף למטרה אחת אסור לעבד למטרה אחרת. שינוי משמעותי לארגונים שעשו "אגירת מידע לכל מטרה".
  • הסכמה מדעת - הסכמה חייבת להיות מודעת, מפורשת, וניתנת לחזרה. גילוי דעת רשמי של הרשות מ-2026 פירש את זה בקפדנות.
  • עיצומים כספיים - הרשות יכולה להטיל קנסות של מאות אלפים עד מיליוני ש"ח, ללא הליך משפטי.
  • אחריות פלילית - פרק עבירות חדש בחוק, עם אחריות אישית למקבלי החלטות.
  • סמכויות אכיפה מורחבות - הרשות יכולה לערוך ביקורות, לדרוש מסמכים, להטיל סנקציות ולפרסם הפרות.
  • חובות דיווח - דיווח על אירועי אבטחת מידע משמעותיים תוך פרק זמן קצר.

עיצומים וסיכונים

זה החלק שגורם למנכ"לים להזיע. תיקון 13 הביא לישראל שיטת אכיפה מנהלית רחבה:

  • עיצום כספי בסיסי - עשרות אלפי ש"ח עד מאות אלפים, לפי חומרת ההפרה.
  • עיצום מועבה - עד מיליוני ש"ח לארגונים גדולים שביצעו הפרה רוחבית.
  • אחריות פלילית - במקרים חמורים, מקבלי החלטות (מנכ"ל, בעלי שליטה) חשופים אישית.
  • פרסום מפר - הרשות מפרסמת רשימת ארגונים שהפרו, וזה פוגע במוניטין.
  • אובדן אמון לקוחות - אירוע דליפת מידע ציבורי = פגיעה ישירה ב-LTV ובמותג.

גילויי דעת של הרשות - חובת קריאה

הרשות פרסמה (וממשיכה לפרסם) "גילויי דעת" שמבהירים איך היא מפרשת את החוק. אלה מסמכים שמכוונים את האכיפה:

  • הסכמה בדיני הגנת הפרטיות - גרסה סופית פורסמה ב-25/2/2026.
  • מינוי ממונה הגנת פרטיות - טיוטה פורסמה ב-23/7/2025, גרסה סופית בקרוב.
  • גילויי דעת נוספים בנושאי DPIA, ניטור עובדים, ועוד - בהמשך.

קריאה של גילויי הדעת חיונית - הם המקור הרשמי לפרשנות החוק.

מה צריך לעשות עכשיו - לפי גודל הארגון

לארגון שעדיין לא התחיל - הצעדים הראשונים:

  1. בדיקת חובת מינוי - האם הארגון חייב DPO? השתמשו במחשבון שלנו או בקריטריונים המלאים.
  2. מיפוי מאגרים - אילו מאגרי מידע יש בארגון? מי מחזיק? מי בעל השליטה?
  3. סקר פערים - איפה הארגון עומד מול דרישות תיקון 13?
  4. מינוי DPO (אם חייב) - פנימי או חיצוני. אם חיצוני מתאים לכם, הנה השירות שלי.
  5. תוכנית עבודה - תוכנית מפורטת לסגירת פערים, עם לוחות זמנים ותקציב.

צ׳ק־ליסט 90 יום להיערכות לתיקון 13

הטעות הנפוצה היא להתחיל ממסמך מדיניות. בפועל מתחילים מבעלות, מאגרים וסיכון. תוכנית טובה ל-90 יום נראית כך:

בשבוע הראשון

  • ממנים בעלים פנימי לתהליך: מנכ"ל, יועמ"ש, מנהל תפעול או ועדת היגוי קצרה.
  • בודקים אם יש חובת DPO לפי חמש הקטגוריות הסטטוטוריות, ולא לפי תחושת בטן.
  • אוספים רשימת מערכות, ספקים ומאגרי מידע קיימים: CRM, הנה"ח, HR, אתר, מצלמות, מערכות לקוחות.

בחודש הראשון

  • מבצעים מיפוי מאגרים ראשוני: סוגי מידע, מטרות, הרשאות, ספקים, שמירה ומחיקה.
  • מזהים פעילויות בסיכון גבוה: מידע רפואי/פיננסי, קטינים, ניטור, פרופיילינג, AI או העברות לחו"ל.
  • מחליטים אם נדרש ממונה הגנת פרטיות חיצוני, מינוי פנימי, או ליווי נקודתי.

ברבעון הראשון

  • סוגרים פערי יסוד: כתבי מינוי, מדיניות פרטיות, נוהל אירוע, הרשאות, חוזי DPA וספקים קריטיים.
  • מגדירים שגרת דיווח להנהלה: מה נסגר, מה נדחה, מי אחראי, ומה הסיכון שנשאר פתוח.
  • בונים תוכנית שנתית: הדרכות, DPIA לפרויקטים רגישים, ביקורת ספקים ורענון מסמכים.

איפה תיקון 13 פוגש סקטורים שונים

תיקון 13 אינו מתנהג אותו דבר בכל ארגון. אותה חובת יסוד מתורגמת לסיכונים שונים לגמרי לפי סוג הגוף:

  • רשויות מקומיות ותאגידים עירוניים - כמעט תמיד חובת DPO, מידע על תושבים, רווחה, חינוך, גבייה ומכרזים. ראו DPO לרשויות מקומיות.
  • קיבוצים ואגודות שיתופיות - חברים, רווחה, מרפאה, חינוך, הרחבה ותאגידים תחת מבנה קהילתי רגיש. ראו תיקון 13 לקיבוצים.
  • ספקי מגזר ציבורי - גם גוף פרטי יכול להפוך ל"מחזיק מידע" של גוף ציבורי ולהידרש לרמת תיעוד ובקרה גבוהה. ראו DPO לספקי מגזר ציבורי.
  • SaaS וסטארטאפים - תיקון 13, GDPR, SOC 2 ושאלוני Enterprise נפגשים באותו תהליך מכירה. ראו DPO ל-SaaS וסטארטאפים.
  • עמותות, בריאות וחינוך - תקציב מוגבל לא מבטל מידע רגיש: תורמים, מטופלים, תלמידים, מתנדבים ועובדים.

טעויות שחוזרות שוב ושוב

  • מינוי על הנייר - יש שם של DPO, אבל אין סמכויות, זמן, תוצרים או נתיב דיווח להנהלה.
  • מיפוי חלקי - ממפים רק את המערכות "הגדולות" ושוכחים Excel, WhatsApp, מצלמות, טפסים וספקי SaaS קטנים.
  • חוזי ספקים חלשים - ספקים מעבדים מידע אישי בלי DPA, בלי הגדרת תפקיד, בלי SLA לאירועים ובלי זכות ביקורת.
  • אין בעלות ניהולית - כל אחד חושב שהיועמ"ש, ה-IT או הספק החיצוני מטפל בזה. בפועל אף אחד לא מחזיק תוכנית עבודה.

שאלות נפוצות

מתי נכנס תיקון 13 לתוקף?
תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025, שנה לאחר אישורו בכנסת. תקופת אי-אכיפה למינוי DPO הסתיימה ב-31/10/2025.

האם תיקון 13 מבטל את חובת רישום מאגרי מידע?
התיקון מצמצם משמעותית את חובת הרישום. רק שני סוגי מאגרים חייבים רישום: מאגרים של סוחרי מידע ומאגרים של גופים ציבוריים. השאר פטורים מרישום, אבל לא מהחוק עצמו.

מה ההבדל בין תיקון 13 ל-GDPR?
תיקון 13 קרוב יותר ל-GDPR ממה שהיה - יש דמיון במונחים (בקר, מעבד, נושא מידע), בחובות (DPO, DPIA, דיווח אירועים), ובעיצומים. אבל יש שונות: אין זכות לשכחה מלאה, ההגדרות של "מידע רגיש" שונות במקצת, והרשות הישראלית פועלת לפי תקנות מקומיות.

איזה מידע נחשב "רגיש מיוחד" לפי תיקון 13?
מידע על מצב בריאותי, מצב נפשי, גנטיקה, אמונה דתית, דעות פוליטיות, נטייה מינית, עבר פלילי, ביומטריה ייחודית, ומידע כלכלי. עיבוד כזה בהיקף נרחב מחייב DPO.

מה זה DPIA ומתי צריך?
DPIA (Data Protection Impact Assessment) - תסקיר השפעה על פרטיות. נדרש כשפעילות עיבוד מידע נושאת סיכון גבוה לפרטיות: עיבוד שיטתי בהיקף נרחב, ניטור מתמשך, מערכות AI לקבלת החלטות אוטומטיות, או עיבוד מידע רגיש.

להבין זה לא מספיק. צריך גם לעשות.

בואו נדבר על איפה הארגון שלכם עומד.

לקבוע שיחת היכרות