תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 ומחיל על כל עסק ישראלי שמחזיק מאגר נתונים, גם רשימת לקוחות באקסל. במאמר: 4 החובות החדשות, 5 צעדי יישום מעשיים, ו-FAQ על קנסות, DPO ומחיקת נתונים ישנים.
⚡ TL;DR, תקציר מהיר
החשיפה: קנסות מנהליים עד 3.2 מיליון ₪ לעבירה + פיצוי סטטוטורי 10,000 ₪ לאדם ללא הוכחת נזק.
4 חובות חדשות: הצפנה ובקרת גישה, הסכמה מפורשת ומתועדת, מחיקה תוך 30 יום, דיווח על פרצות תוך 72 שעות.
5 צעדים מיידיים: מיפוי מאגרים, הצפנת קבצים, בקרת גישה לפי תפקיד, עדכון טפסי הסכמה, נוהל אירוע פרצה.
החשוב מכל: מי שמנהל מאגר לקוחות בלי הצפנה ובלי תיעוד הסכמה, לא חי בסיכון תיאורטי, רק מחכה שמישהו ישים לב.
תיקון 13 הגנת הפרטיות: מה כל עסק ישראלי חייב לבצע עכשיו
לקוח שרשימת הפרטים שלו שמורה אצלכם באקסל, בלי הצפנה, בלי בקרת גישה, יכול לתבוע אתכם 10,000 ₪ היום. לא בגלל שנפרצתם. לא בגלל שנגרם לו נזק. רק בגלל שלתיקון 13 הגנת הפרטיות יש סעיף שמאפשר פיצוי ללא הוכחת נזק. מנהל חשבונות עם 500 שמות בקובץ, עשו את החשבון.
למה זה קורה עכשיו, ולמה זה לא עבר מתחת לרדאר
תיקון 13 הוא הרפורמה הגדולה ביותר בחוק הגנת הפרטיות הישראלי מאז 1981. הוא נכנס לתוקף ב-14 באוגוסט 2025 ומיישר קו עם ה-GDPR האירופאי, אבל עם מנגנוני אכיפה ישראליים ייחודיים שחלים גם על עסקים קטנים.
לפי כלכליסט, "רוב העסקים הקטנים והבינוניים בישראל לא ערוכים לחוק החדש". הרשות להגנת הפרטיות (PPA) קיבלה כעת סמכות מנהלית להטיל קנסות של עד 3.2 מיליון ₪ לעבירה. בנוסף, בית משפט יכול לפסוק פיצויים סטטוטוריים של עד 10,000 ₪ לאדם, ללא הוכחת נזק. שתי אלה ביחד יוצרות חשיפה לתביעות ייצוגיות שרוב עסקי ה-SMB לא מכירים ולא התכוננו אליהן.
מה שמפתיע עסקים רבים: מתיקון 13 לא פטורים. כל ארגון שמנהל מאגר נתונים, רשימת לקוחות, תיקי עובדים, מנויים לניוזלטר, נכנס לתחולה. ה"מאגר הקטן" של פעם כבר לא קיים לפי ההגדרה החדשה.
תיקון 13 להגנת הפרטיות: מה בדיוק דורשים מהעסק שלכם
ארבע חובות עיקריות נכנסו לתמונה שרוב עסקי ה-SMB לא היו רגילים אליהן:
אבטחת מידע חוקית, לא רק מומלצת. לאבטחת מידע יש עכשיו פרטים מחייבים: הצפנת נתונים גם במנוחה וגם בתנועה, בקרת גישה מוגדרת, כלומר מי רואה מה ומתי, ותיעוד כל גישה למאגרים רגישים. הרשות להגנת הפרטיות פרסמה מדריך מלא ליישום תקנות אבטחת מידע, זמין להורדה מאתר gov.il, שמפרט בדיוק מה נדרש מכל רמה של מאגר. אם עוד לא קראתם אותו, זה המסמך שצריך להיות על השולחן שלכם.
הסכמה מפורשת ומתועדת. הסכמה כללית כמו "קראתי ואישרתי" לתנאי שימוש, לא מספיקה יותר. כל איסוף מידע חייב הסכמה ספציפית, מוסברת, ותיעוד שלה. ניוזלטר, טופס פנייה, מאגר לקוחות, כולם.
זכות מחיקה תוך 30 יום. לקוח שביקש להימחק ממאגר הנתונים שלכם, יש לבצע זאת תוך 30 יום ולתעד. לא משנה אם מדובר בלקוח ישן שסיים את ההתקשרות לפני שנים.
חובת דיווח על פרצות תוך 72 שעות. אירוע שחשף מידע אישי מחייב דיווח לרשות תוך 72 שעות. בלי דיווח בזמן: קנס נפרד, על גבי הקנס על הפרצה עצמה.
טבלת עיצומים: כמה תעלה הפרת תיקון 13 לעסק שלכם?
הקליניקה לזכות הפרטיות בפקולטה למשפטים באוניברסיטת תל אביב פרסמה מסמך מסכם של כל גובהי העיצומים שבסמכות הרשות להגנת הפרטיות לפי תיקון 13. הטבלאות שלהלן הן תקציר של עיקרי הדברים, הנוסח המחייב הוא נוסח החוק.
עיצומים לפי סוג ההפרה
| קטגוריה | סוג ההפרה | גובה העיצום |
|---|---|---|
| 1. רישום והודעה | אי-רישום מאגר או אי-מתן הודעה לרשות | 150,000 ₪ (מאגר רגיל) / 300,000 ₪ (מעל מיליון אנשים) |
| 2. הפרת זכויות נושאי מידע | סירוב לזכות עיון או תיקון מידע | 15,000 ₪ לכל הפרה |
| 3. הפרת חובת יידוע | פנייה לקבלת מידע ללא יידוע כנדרש | 50 ₪ לפנייה (רגיל) / 100 ₪ (רגיש), מינימום 30,000 ₪ |
| 4. הפרות מהותיות | פנייה לקבוצה בלתי מסוימת ללא יידוע, אי-מינוי ממונה אבטחת מידע | 2 ₪ לאדם במאגר (רגיל) / 4 ₪ (רגיש) |
| 5. הפרות מהותיות חמורות | אי-הפסקת פגיעה בפרטיות לפי הוראת הרשות | 4 ₪ לאדם (רגיל) / 8 ₪ (רגיש) |
| 6. אבטחת מידע | הפרת תקנות אבטחת מידע | 4,000 ₪ (בסיסית) / 80,000 ₪ (בינונית) / 320,000 ₪ (גבוהה) / 640,000 ₪ (גבוהה + מעל מיליון איש) |
| 7. צמידות מטרה | שימוש במידע בניגוד למטרת המאגר | 2,000 עד 320,000 ₪ לפי רמת האבטחה |
מקסימום עיצום לפי גודל עסק
זה הסעיף הקריטי ל-SMB: גם אם החישוב מגיע לסכום אסטרונומי, יש תקרה לפי גודל המחזור השנתי.
| סוג העסק | תקרת עיצום מקסימלית |
|---|---|
| עסק זעיר (מחזור עד 4 מיליון ₪) | עד 70,000 ₪ לכל הפרה |
| עסק קטן (מחזור 4 עד 10 מיליון ₪) | עד 140,000 ₪ לכל הפרה |
| כל סוגי העסקים | לא יותר מ-5% מהמחזור השנתי |
הפחתות אפשריות בעיצום
הרשות יכולה להפחית את גובה הקנס אם העסק עומד בתנאים מסוימים, וההפחתות מצטברות:
| פעולה | הפחתה |
|---|---|
| היעדר הפרות קודמות במשך 3 שנים | 10% |
| היעדר הפרות קודמות במשך 5 שנים | 20% |
| הפסקה יזומה ודיווח על ההפרה | 30% |
| נקיטת פעולות להפסקת ההפרה והפחתת נזק | 20% |
| מינוי ממונה הגנת פרטיות לפי החובה ה"רכה" | 10% |
המסמך המלא זמין להורדה כ-PDF, מקור: הקליניקה לזכות הפרטיות, הפקולטה למשפטים על שם בוכמן, אוניברסיטת תל אביב.
5 צעדים שהעסק שלכם חייב לבצע לפני שמגיע הפיקוח
1. מפו את כל המאגרים שאתם מחזיקים
כתבו: אילו נתוני לקוחות ועובדים אתם מחזיקים, היכן הם שמורים, CRM, אקסל, גוגל שיטס, תיבת מייל, ומי יש לו גישה. זה הצעד הראשון שהרגולטור מבקש, וזה הצעד שרוב העסקים מדלגים עליו.
2. הצפינו כל קובץ שמכיל מידע אישי
קבצי אקסל עם פרטי לקוחות, תיקיות עובדים, מאגרי CRM, כולם דורשים הצפנה. לאבטחת מידע ברמה זו לא נדרשת השקעה גדולה: כלים ב-Microsoft 365 כמו Azure Information Protection ו-Microsoft Purview עושים את זה אוטומטית כשמוגדרים נכון.
3. הגדירו בקרת גישה, מי רואה מה
מנהל מכירות לא צריך לראות תיקי שכר. נציגת שירות לקוחות לא צריכה גישה לנתוני אשראי. ממאגר הנתונים של החברה יכולים לצאת נזקים חמורים אם כולם רואים הכל. הגדירו הרשאות לפי תפקיד, ותעדו את ההחלטות.
4. עדכנו טפסי הסכמה ומדיניות פרטיות
אם מדיניות הפרטיות באתר שלכם נכתבה לפני 2024, היא לא עומדת בתיקון 13. עדכנו אותה. כל טופס יצירת קשר חדש חייב לכלול הסכמה מפורשת, ספציפית, ומוסברת.
5. הכינו נוהל לאירוע פרצת מידע
"מה עושים אם נפרצנו?", שאלה שרוב בעלי העסקים לא יודעים לענות עליה. בפרצת מידע יש לכם 72 שעות לדווח. הכינו מראש: מי מקבל ההחלטה, מי מדווח לרשות, ומה מספר הקשר. לפי המדריך הרשמי של הרשות להגנת הפרטיות, תיעוד מוקדם של נהלי אירוע מפחית משמעותית את חשיפת הקנסות.
איך SouliTek עוזרת לעסקים לעמוד בתיקון 13
הדרישות הטכניות של תיקון 13 להגנת הפרטיות, הצפנה, בקרת גישה, גיבוי מאובטח, ניטור אירועים, הן בדיוק מה שאנחנו מגדירים כחלק משירותי הניהול השוטפים שלנו: Microsoft 365 Managed, גיבוי ענן, ואבטחת מידע. אנחנו עוזרים לעסקים למפות את המאגרים, להגדיר הרשאות, ולוודא שהנתונים מוצפנים ומגובים לפי הסטנדרטים הרגולטוריים. לאבטחת מידע ראויה לא צריך להתחיל מעורך דין, אפשר להתחיל מהצד הטכני.
רוצים לדעת איך זה עובד אצלכם? השאירו פרטים וניצור קשר
שאלות נפוצות
האם תיקון 13 לחוק הגנת הפרטיות חל על עסק עם רשימת לקוחות של 200 איש?
כן. תיקון 13 חל על כל ארגון שמחזיק מאגר נתונים עם מידע אישי, ללא הגבלת גודל. רשימת לקוחות באקסל, CRM בסיסי, מנויים לניוזלטר, כולם בתחולה. העובדה שמדובר במאגר נתונים קטן לא פוטרת מדרישות ההצפנה, בקרת הגישה, ותיעוד ההסכמה.מה הקנס שאני יכול לקבל אם לא אעמוד בחוק הגנת הפרטיות?
הרשות להגנת הפרטיות יכולה להטיל קנסות מנהליים של עד 3.2 מיליון ₪ לעבירה. בנוסף, בפרצת מידע כל אדם שמידעו נחשף יכול לתבוע עד 10,000 ₪ ללא הוכחת נזק, מה שפותח פתח לתביעות ייצוגיות. עסק עם 500 לקוחות שמידעם לא אובטח נכון חשוף תיאורטית לחשיפה של מיליוני שקלים. לפרטים נוספים ולבדיקת מצב הציות של העסק שלכם, ניתן לפנות ל-SouliTek בטלפון 055-318-1616.האם אני חייב למנות ממונה הגנת פרטיות, DPO?
חובת מינוי DPO רשמי חלה על גופים ציבוריים, סוחרי מידע, וארגונים שעיקר פעילותם עיבוד מידע רגיש בהיקף נרחב. עסק SMB רגיל אינו חייב DPO פורמלי. אבל הוא כן חייב מדיניות פנימית כתובה, תיעוד של פעילות עיבוד מידע, ומישהו שיודע לענות על שאלות הרשות. היעדר תיעוד, גם ללא DPO, יכול להוביל לקנסות.יש לי קבצי לקוחות ישנים שאני לא משתמש בהם, מה עושים לפי החוק?
לפי תיקון 13 להגנת הפרטיות, אין לשמור מידע אישי מעבר לנדרש. מאגר נתונים שאין בו עוד צורך עסקי, יש למחוק בצורה מאובטחת ולתעד את המחיקה. העברה לסל המחזור לא מספיקה. מחיקה נכונה ומתועדת מגינה עליכם בעת בדיקה רגולטורית ומפחיתה את חשיפת הקנסות.עסק שממשיך לנהל מאגר לקוחות בלי הצפנה ובלי תיעוד הסכמה לא "חי בסיכון תיאורטי", הוא רק מחכה שמישהו ישים לב.
מקורות
- What Israel's Amendment 13 Means for Businesses in 2025, BigID
- Israel marks a new era in privacy law: Amendment 13, IAPP
רוצים לוודא שהעסק שלכם עומד בתיקון 13?
המומחים שלנו ב-SouliTEK ישמחו לבצע סקירה מקצועית ולהתאים עבורכם תוכנית פעולה.
יוצא עולם הסייבר ההתקפי עם למעלה מ-10 שנות ניסיון בשירותי IT לארגונים. מוביל את SouliTek במתן שירותי מחשוב מנוהלים ואבטחת מידע לעסקים קטנים ובינוניים בישראל.
LinkedIn