← חזרה למאמרים
הגנת פרטיות 6 יוני 2026 אלון אלישע, עו"ד

תיקון 13 לחוק הגנת הפרטיות: המדריך המלא לבעלי עסקים בישראל

תיקון 13 נכנס לתוקף באוגוסט 2025, אבל רוב בעלי העסקים עדיין לא יודעים מה בדיוק חל עליהם — ומה ההבדל בין חובות שחלות על כולם לבין חובות שחלות רק על חלק. מדריך זה מסביר את ההבחנה הזו, סעיף-סעיף.

תוכן עניינים

  1. מה זה תיקון 13 ולמה הוא חל עליך
  2. ההבחנה המרכזית: התאמה רגולטורית מול חובת DPO
  3. חובות שחלות על כל עסק
  4. מתי חייבים למנות ממונה הגנת פרטיות
  5. עיצומים כספיים ותביעות
  6. 5 טעויות שעסקים עושים
  7. צעדים מעשיים להתאמה
  8. שאלות נפוצות

מה זה תיקון 13 ולמה הוא חל עליך

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, הוא התיקון המקיף ביותר שנעשה לחוק מאז חקיקתו. התיקון נכנס לתוקף ב-14 באוגוסט 2025 והוא מטיל חובות חדשות על כל גורם שאוסף, מעבד או מחזיק מידע אישי.

המילה "כל" היא המפתח. לא מדובר רק בחברות טכנולוגיה או בנקים. גם בעל מסעדה עם רשימת לקוחות באקסל, גם רואה חשבון עם תיקיות לקוחות, גם מאמן כושר עם קבוצת וואטסאפ — כל מי שמחזיק שם, טלפון, אימייל או כל פרט מזהה אחר של אדם, חייב לעמוד בדרישות החוק.

מה נחשב "מידע אישי" לפי החוק? כל נתון שמאפשר לזהות אדם: שם, מספר טלפון, כתובת אימייל, מספר תעודת זהות, כתובת מגורים, תמונה, כתובת IP, נתוני מיקום, ומידע על התנהגות גלישה.

ההבחנה המרכזית: התאמה רגולטורית מול חובת DPO

זו הנקודה שרוב בעלי העסקים מפספסים. החוק מבחין בין שתי רמות חובה:

רמה 1 — התאמה רגולטורית (חלה על כולם)

כל עסק שאוסף מידע אישי חייב לעמוד בחובות בסיסיות: מדיניות פרטיות, באנר עוגיות, הודעות פרטיות, הסכמי עיבוד מול ספקים, ונוהל לטיפול בבקשות עיון ומחיקה. אלה חובות שחלות ביום הראשון, על כל עסק, ללא קשר לגודלו.

רמה 2 — חובת מינוי ממונה הגנת פרטיות (DPO)

שכבה נוספת שחלה רק על גורמים מסוימים. מי שנכנס לקטגוריה הזו חייב למנות ממונה הגנת פרטיות — תפקיד עצמאי עם דרישות כשירות ספציפיות. אי-מינוי הוא הפרה עצמאית עם עיצום כספי נפרד.

הטעות הנפוצה ביותר: בעלי עסקים שמעלים מדיניות פרטיות גנרית מהאינטרנט וחושבים שהם מוגנים. מדיניות פרטיות שלא מתארת בדיוק מה העסק שלכם אוסף, למי מעביר, ואיך מגן — לא שווה את הנייר שהיא כתובה עליו.

חובות שחלות על כל עסק

ללא קשר לסוג העסק או גודלו, תיקון 13 מחייב:

מדיניות פרטיות מותאמת

חובה לפרסם באתר מדיניות פרטיות נגישה שמפרטת: אילו סוגי מידע נאספים, למה הם נאספים, כמה זמן הם נשמרים, למי הם מועברים, ומה זכויות המשתמש. המדיניות חייבת להיות ספציפית לעסק — לא תבנית גנרית.

באנר עוגיות

כל אתר שמשתמש בעוגיות לא חיוניות — Google Analytics, Facebook Pixel, Hotjar, או כל כלי מעקב אחר — חייב לקבל הסכמה מפורשת מהמשתמש לפני הטעינה. הבאנר חייב לכלול שלוש אפשרויות: אישור, דחייה, והגדרות לפי קטגוריות.

הודעת פרטיות בנקודות איסוף

בכל טופס שאוסף מידע — טופס צור קשר, הרשמה לניוזלטר, טופס ליד — חייבת להופיע הודעה שמסבירה מה המטרה, למי המידע יועבר, ומה זכויות המשתמש.

הסכמי עיבוד מול ספקים חיצוניים

כל ספק חיצוני שמקבל מידע אישי — חברת ענן, שירות דיוור, מערכת CRM, סליקה — חייב לחתום על הסכם עיבוד מידע. ההסכם מגדיר: סודיות, מטרות שימוש מותרות, חובת מחיקה, ואחריות.

נוהל בקשות עיון ומחיקה

לכל אדם הזכות לבקש לעיין במידע שנאסף עליו, לתקן אותו, או למחוק אותו. העסק חייב לטפל בבקשה תוך 30 יום. היעדר נוהל כתוב = הפרה.

מקור חקיקתי מדיניות פרטיות: תיקון 13, פרק 7. באנר עוגיות: פרק 8. הודעת פרטיות: סעיף 11 + פרק 9. הסכמי עיבוד: פרק 10. עיון ומחיקה: סעיפים 13-14.

מתי חייבים למנות ממונה הגנת פרטיות (DPO)

סעיף 17ב1 לחוק קובע ארבע קטגוריות שבהן חלה חובת מינוי ממונה הגנת פרטיות:

קטגוריה סעיף דוגמאות
גוף ציבורי 17ב1(א)(1) עירייה, מועצה אזורית, חברה ממשלתית, עמותה ציבורית
מסירה או סחר במידע 17ב1(א)(2) חברות דאטה, מוכרי רשימות, מתווכי מידע
ניטור שוטף או פרופיילינג 17ב1(א)(3) אפליקציות מעקב, מצלמות אבטחה בהיקף, פרסום ממוקד
עיבוד מידע רגיש כעיסוק מרכזי 17ב1(א)(4) קליניקות, בתי חולים, חברות ביטוח, משרדי רווחה

מה נדרש מהממונה?

DPO חיצוני — האפשרות שרוב העסקים לא מכירים החוק מאפשר למנות ממונה הגנת פרטיות חיצוני — עורך דין או מומחה שמשמש כ-DPO לעסק ללא העסקה ישירה. זה פתרון יעיל לעסקים שחייבים DPO אבל לא בהיקף שמצדיק משרה פנימית.

עיצומים כספיים ותביעות

תיקון 13 הכניס שני מנגנוני אכיפה שלא היו קיימים בצורה אפקטיבית לפני כן:

עיצומים כספיים מנהליים

רשות הפרטיות רשאית להטיל עיצומים כספיים ללא צורך בהליך פלילי:

תביעות אזרחיות ללא הוכחת נזק

כל אדם שנפגע מהפרה רשאי לתבוע פיצוי של עד 10,000 ש"ח ללא צורך להוכיח נזק ממשי (ובהפרה מכוונת — כפל פיצוי). מספיק להוכיח שהייתה הפרה. בתביעה ייצוגית, הסכומים מצטברים.

חשוב להבין: אי-ידיעה אינה הגנה. עסק שלא ידע על החובות ולא עמד בהן — חשוף בדיוק כמו עסק שהתעלם מהן במכוון.

5 טעויות שעסקים עושים

1. מדיניות פרטיות גנרית

מדיניות שהורדה מהאינטרנט ומתארת עסק דמיוני לא עונה על דרישות החוק. המדיניות חייבת לתאר בדיוק מה העסק שלכם אוסף, למה, ממי, לכמה זמן, ולמי מעביר.

2. באנר עוגיות חלקי

באנר שאומר "אנחנו משתמשים בעוגיות, לחצו אישור" — לא מספיק. חסרה אפשרות דחייה, חסרות הגדרות לפי קטגוריות (הכרחיות, אנליטיות, שיווקיות), וחסר מנגנון שבאמת חוסם טעינת סקריפטים לפני ההסכמה.

3. התעלמות מספקים חיצוניים

הרבה עסקים משתמשים ב-Google Analytics, Mailchimp, Monday, סליקת אשראי — ולא חתמו על הסכם עיבוד מידע עם אף אחד מהם. כל ספק שמקבל מידע אישי חייב הסכם.

4. אין נוהל לבקשות מחיקה

לקוח שולח אימייל "תמחקו את כל המידע עליי" — ואין נוהל, אין אחראי, אין לוח זמנים. תוך 30 יום חייבים לתת מענה. בלי נוהל כתוב, זו הפרה מובנית.

5. חובת DPO שלא מזוהה

עסקים שמבצעים ניטור שוטף (מצלמות, אנליטיקס מתקדם, פרסום ממוקד) או מעבדים מידע רגיש — ולא יודעים שהם חייבים DPO. אי-מינוי הוא הפרה עצמאית.

צעדים מעשיים להתאמה

ציות לתיקון 13 לא חייב להיות מורכב. הנה סדר העדיפויות:

  1. אבחון מצב — בדקו מה אתם אוספים, מאיפה, ממי, לאן מעבירים, ומה כבר קיים. זה השלב הכי חשוב.
  2. מדיניות פרטיות מותאמת — לא תבנית. מסמך שמתאר את העסק שלכם בדיוק.
  3. באנר עוגיות תקני — עם חסימה טכנית אמיתית של סקריפטים לפני הסכמה.
  4. הודעות פרטיות בטפסים — בכל נקודה שאוספים מידע.
  5. הסכמי עיבוד עם ספקים — רשימת ספקים + הסכם לכל אחד.
  6. נוהל עיון ומחיקה — מי מטפל, תוך כמה זמן, איך מתעדים.
  7. בדיקת חובת DPO — האם אתם נכנסים לאחת מארבע הקטגוריות.
כמה זמן לוקח? עסק קטן עם אתר וטופס צור קשר — ניתן להתאים תוך ימים. עסק עם ספקים חיצוניים, CRM, ושיווק דיגיטלי — שבוע עד שבועיים. גוף שחייב DPO — תהליך ממושך יותר שכולל מיפוי מאגרים, הדרכת עובדים, ותוכנית ציות.

שאלות נפוצות

מה זה תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 הוא התיקון המקיף ביותר שנעשה לחוק הגנת הפרטיות, התשמ"א-1981. התיקון נכנס לתוקף ב-14 באוגוסט 2025 ומטיל חובות חדשות על כל גורם שאוסף, מעבד או מחזיק מידע אישי — כולל עסקים קטנים.

האם תיקון 13 חל על עסקים קטנים?

כן. תיקון 13 חל על כל מי שמחזיק מידע אישי — גם אם מדובר ברשימת לקוחות באקסל, קבוצת וואטסאפ, או טופס צור קשר באתר. אין סף מינימלי של גודל עסק.

מתי חייבים למנות ממונה הגנת פרטיות (DPO)?

חובת מינוי DPO חלה על ארבע קטגוריות: גופים ציבוריים (סעיף 17ב1(א)(1)), גורמים שמוסרים או סוחרים במידע (17ב1(א)(2)), גורמים שמבצעים ניטור שוטף או פרופיילינג (17ב1(א)(3)), וגורמים שעיבוד מידע רגיש הוא עיסוקם המרכזי (17ב1(א)(4)).

מה העיצומים הכספיים בגין הפרת תיקון 13?

עיצומים כספיים של עד 5% מהמחזור השנתי. בנוסף, ניתן לתבוע פיצוי של עד 10,000 ש"ח ללא הוכחת נזק לכל הפרה (כפל בהפרה מכוונת) — ובתביעה ייצוגית הסכומים מצטברים.

מה ההבדל בין התאמה רגולטורית לבין חובת DPO?

התאמה רגולטורית חלה על כל עסק: מדיניות פרטיות, באנר עוגיות, הודעות פרטיות, הסכמי עיבוד עם ספקים. חובת DPO היא שכבה נוספת שחלה רק על גופים מסוימים — ציבוריים, סוחרי מידע, מנטרים, ומעבדי מידע רגיש בהיקף.

מה נדרש לציות בסיסי לתיקון 13?

ציות בסיסי כולל: פרסום מדיניות פרטיות מותאמת באתר, באנר עוגיות עם אישור/דחייה/הגדרות, הודעת פרטיות בכל טופס שאוסף מידע, הסכמי עיבוד עם ספקים חיצוניים, ונוהל לטיפול בבקשות עיון ומחיקה תוך 30 יום.

האם אפשר למנות DPO חיצוני?

כן. החוק מאפשר מינוי ממונה הגנת פרטיות חיצוני — עורך דין או מומחה פרטיות שמשמש כ-DPO ללא העסקה ישירה. זה פתרון מקובל לעסקים שחייבים DPO אבל לא בהיקף שמצדיק משרה פנימית.

מה קורה אם לא עומדים בדרישות?

רשות הפרטיות רשאית להטיל עיצומים כספיים מנהליים ללא הליך פלילי. כל אדם שנפגע רשאי לתבוע פיצוי ללא הוכחת נזק. אי-ידיעה אינה הגנה — ההפרה עצמה מספיקה.

האם קבוצת וואטסאפ של לקוחות נחשבת מאגר מידע?

כן. כל אוסף מסודר של פרטים מזהים — כולל קבוצת וואטסאפ, אקסל, או אפילו פנקס טלפונים — עשוי להיחשב כמאגר מידע לפי החוק ולחייב עמידה בחובות תיקון 13.

רוצים לדעת מה חל עליכם?

כלי בדיקה ללא עלות שסורק את האתר שלכם ומאבחן תוך דקה: האם אתם חייבים רק התאמה רגולטורית או גם מינוי DPO.

בדקו עכשיו — ללא עלות

קראו גם ←

בדיקת ציות לתיקון 13 — כלי אבחון מקוון

סריקה טכנולוגית + אבחון מקצועי של עורך דין. ללא עלות, ללא הרשמה.

כתיבת צוואה בישראל: המדריך המלא

מה קורה אם אין צוואה? סוגי צוואות, טעויות נפוצות, ואיך להתחיל.

ייפוי כוח מתמשך — הגנה על הרצון שלכם

עריכת מסמכים משפטיים שמגנים על רצונכם גם כשאתם לא יכולים להחליט בעצמכם.

אלון אלישע, עורך דין

משרד עורכי דין אלישע | משפט אזרחי-מסחרי, הגנת פרטיות, אנרגיה

054-9260698 | elisha-law.com