מדריך לבעלי עסקים ואתרים

תיקון 13 לחוק הגנת הפרטיות - מה העסק שלך חייב לעשות עכשיו?

עודכן: אפריל 2026 בתוקף מ: 14 באוגוסט 2025

ב-14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות - הרפורמה המקיפה ביותר בדיני הפרטיות בישראל מאז חקיקת החוק ב-1981. התיקון חל על כל עסק שאוסף מידע אישי, קטן כגדול - כולל אתרי WordPress עם טפסי יצירת קשר פשוטים.

הרשות להגנת הפרטיות כבר יצאה למבצע אכיפה פעיל - אתרי סחר קיבלו מכתבי התראה. תקופת "החסד" הסתיימה.

מה תיקון 13 דורש מהעסק שלך?

החוק אינו מסתכם בדרישה אחת - מדובר במכלול חובות שחלות על כל מי שמנהל מאגר נתונים, גם אם הוא קטן:

ניהול מאגר מידע

כל עסק שאוסף נתוני לקוחות חייב לנהל מסמך הגדרות מאגר, נוהל אבטחת מידע, ומסמך מיפוי מערכות.

הסכמה מפורשת ומתועדת

יש לקבל הסכמה אקטיבית וברורה לאיסוף ושימוש במידע (ללא תיבות מסומנות מראש), ולשמור תיעוד של ההסכמה.

שקיפות מלאה

בעת איסוף המידע יש להבהיר: איזה מידע נאסף, לאיזו מטרה, כמה זמן יישמר, עם מי עשוי להיות משותף, והאם מסירתו חובה או רשות.

זכות עיון ומחיקה

לקוחות רשאים לעיין במידע שנשמר עליהם ולבקש תיקון או מחיקה, בכפוף להוראות הדין.

אבטחת מידע

יש ליישם אמצעי אבטחת מידע מתאימים, כולל בקרת גישה והצפנה, ולתעד אירועי אבטחה בהתאם להוראות הדין.

ספקים חיצוניים

גם כאשר נעשה שימוש בשירותים חיצוניים (כגון מערכות דיוור או אנליטיקה), אחריות המידע נשארת אצל העסק, ויש להסדיר בהסכמים מתאימים.

מידע רגיש במיוחד

נושאי מידע המוגדרים כבעלי רגישות מיוחדת (קטינים או מידע אישי) מחייבים זהירות מוגברת, שקיפות מלאה, ואמצעי הגנה מחמירים.

צמצום נתונים

יש לשמור מידע רק כל עוד הוא נדרש למטרה שלשמה נאסף, ולהימנע מאיסוף מיותר. כאשר אין בו צורך יש למוחקו או להופכו לאנונימי.

מדיניות פרטיות לא מספיקה - וגם סרגל עוגיות לא

טעות נפוצה: בעלי אתרים רבים חושבים שדי בעמוד "מדיניות פרטיות" כדי לעמוד בחוק. זה לא נכון.

מדיניות פרטיות מסבירה ללקוח מה אתה עושה עם הנתונים שלו - אבל לא מוכיחה שהוא הסכים. החוק דורש תיעוד פעיל של ההסכמה: מתי, לאיזה טופס, ומה בדיוק אושר.

בנוסף, נדרש סרגל הסכמה לעוגיות עם אפשרות דחייה ממשית, וקישור ישיר למדיניות הפרטיות. הסרגל חייב להופיע לפני שמניחים עוגיות - לא אחרי.

דוגמה לסרגל עוגיות תקני:

אנו משתמשים בעוגיות לשיפור חוויית הגלישה. מדיניות פרטיות

עיצומים מינהליים - מה זה אומר בפועל?

תיקון 13 העניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים מינהליים - כלומר קנסות שהרשות מטילה ישירות, ללא צורך בהליך משפטי, בדיוק כמו קנס על חגורת בטיחות: שוטר רושם בצד הדרך - לא מחכים לבית משפט - מקבלים דרישת תשלום.

בנוסף, תיקון 13 מאפשר לכל אזרח לתבוע פיצוי אזרחי בגין הפרות מסוימות - למשל אם אותו לקוח מצא שלא קיבל הסכמה תקינה, לא מומשה זכות עיון, או לא נמחק מידע לפי בקשה. עורכי דין כבר מזהירים מפני גל תביעות ייצוגיות בתחום זה בדומה למה שקרה עם חוקי הנגישות.

רשימת פעולות - מה לעשות עכשיו

  • לוודא שבכל טופס באתר יש תיבת הסכמה שאינה מסומנת מראש
  • להוסיף סרגל עוגיות עם אפשרות דחייה וקישור למדיניות פרטיות
  • לעדכן את מדיניות הפרטיות לפי הדרישות החדשות
  • לרכז את כל נתוני הלקוחות במקום אחד עם תיעוד הסכמות
  • להגדיר נוהל לטיפול בבקשות עיון ומחיקה
  • לוודא שהאתר מאובטח (SSL, עדכוני מערכת)
  • לבדוק את ספקי הצד השלישי שמקבלים מידע מהאתר
  • לכתוב מסמך הגדרות מאגר בסיסי

הכלי הרשמי לבדיקה עצמית

הרשות להגנת הפרטיות פרסמה כלי דיגיטלי חינמי שמאפשר לכל עסק לבדוק את רמת הסיכון שלו ולקבל המלצות מותאמות:

קישורים רשמיים

מה הפתרון המעשי לאתר WordPress?

הדרך הפשוטה ביותר לעמוד בדרישות היא לרכז את כל ניהול הלקוחות במקום אחד עם תיעוד אוטומטי. SuperBook CRM הוא תוסף WordPress שמטפל בדיוק בזה - מיפוי אוטומטי של טפסי Elementor ו-Contact Form 7, תיעוד הסכמות עם חותמת זמן, וניהול כרטיסי לקוח במקום אחד, לביצוע מחיקה כוללת.

שאלות ותשובות

האם תיקון 13 חל גם על עסק קטן עם אתר פשוט?
כן. החוק חל על כל גוף שמחזיק מאגר מידע - גם עסק עם טופס יצירת קשר בסיסי שאוסף שם ואימייל. הגודל פחות חשוב מסוג המידע שנאסף.
מה ההבדל בין עיצום מינהלי לתביעה אזרחית?
עיצום מינהלי הוא קנס שהרשות להגנת הפרטיות מטילה ישירות - ללא בית משפט, ללא עורך דין, ממש כמו דוח חניה. תביעה אזרחית היא הליך נפרד שלקוח יכול להגיש בנוסף. שניהם אפשריים במקביל.
האם מדיניות פרטיות באתר מספיקה?
לא. מדיניות פרטיות היא תנאי הכרחי אך לא מספיק. נדרשים גם: סרגל הסכמה לעוגיות עם אפשרות דחייה, תיעוד פעיל של הסכמות לקוחות בטפסים, ומנגנון לטיפול בבקשות עיון ומחיקה.
מה קורה אם לקוח מבקש שאמחק את הנתונים שלו?
אתה מחויב לפעול על הבקשה ולתעד שביצעת את המחיקה. אם הנתונים מפוזרים בדוא"ל, אקסל ותוספים שונים - זה הופך לסיוט לוגיסטי. לכן כדאי לרכז הכל מראש.
האם אני חייב למנות ממונה הגנת פרטיות (DPO)?
לא בהכרח. החובה חלה על גופים ציבוריים, חברות שעיסוקן העיקרי הוא עיבוד מידע רגיש בהיקף נרחב, או עסקים המבצעים ניטור שיטתי של אנשים. עסקים קטנים עם אתר WordPress רגיל - בדרך כלל לא. מומלץ לבדוק בכלי הרשמי של הרשות.
אני משתמש ב-Google Analytics - האם זה בעיה?
כן, זה מחייב טיפול. Google Analytics אוסף מידע על גולשים ומעביר אותו לשרתי גוגל. אתה חייב לציין זאת בסרגל העוגיות, לאפשר דחייה, ולציין אותו במדיניות הפרטיות. הסכמה חייבת להתקבל לפני שהכלי מתחיל לאסוף.
מה זה "מסמך הגדרות מאגר" ואיך כותבים אחד?
זהו מסמך פנימי שמתאר את מאגר הנתונים שלך - מה נאסף, למה, מי ניגש אליו, איפה הוא מאוחסן, וכמה זמן נשמר. לעסקים קטנים זה יכול להיות מסמך Word פשוט של עמוד-שניים. הרשות פרסמה תבנית להורדה.
האם הרשות כבר אוכפת בפועל?
כן. לפי דיווחי גלובס, הרשות יצאה למבצע אכיפה רחב שבמוקדו אתרי סחר מקוונים. אתרים כבר מקבלים מכתבי התראה. תקופת החסד הראשונית הסתיימה.
מאיפה מתחילים אם לא יודעים מה המצב שלי?
הכלי הדיגיטלי של הרשות להגנת הפרטיות מאפשר לבצע בדיקה עצמית חינם. הוא שואל שאלות על סוג העסק, סוג המידע הנאסף ואופן הניהול שלו - ומחזיר המלצות מותאמות. לכלי הבדיקה הרשמי ←

התחום מתפתח במהירות - הרשות להגנת הפרטיות ממשיכה לפרסם הנחיות חדשות. מומלץ לעקוב אחר אתר הרשות לעדכונים שוטפים.

רוצה לראות איך SuperBook CRM מטפל בדרישות תיקון 13 אוטומטית?

קראו על הפתרון שלנו ←

המידע במאמר זה הוא לידע כללי בלבד ואינו מהווה ייעוץ משפטי. ניתן להתייעץ עם מומחה הפרטיות שלנו או עורך דין המתמחה בדיני פרטיות.