תיקון 13 לחוק הגנת הפרטיות, שאושר באוגוסט 2024 נכנס לתוקף בהרחבה החודש (אוגוסט 2025) ומחייב כל עסק בישראל, קטן כגדול, להתמודד עם נושא הגנת הפרטיות. מדובר בעדכון עמוק שמסמל שינוי, ממצב שבו פרטיות הייתה המלצה למצב שבו היא חוק שיש לו שיניים.
זוכרים שעד לא מזמן הגנת הפרטיות נתפסה כמעין המלצה מנומסת? אז זהו, שהחל מעכשיו הכללים משתנים. באוגוסט 2024 אישרה הכנסת את תיקון מספר 13 לחוק הגנת הפרטיות, והתיקון נכנס לתוקף מלא באוגוסט 2025. מדובר ברפורמה המקיפה והגדולה ביותר מאז שחוק הגנת הפרטיות נחקק לפני כ-43 שנה שמקרבת את ישראל לסטנדרטים הבינלאומיים המחמירים של הגנת מידע. השורה התחתונה ברורה ומה שהיה פעם בגדר “נחמד אם תקפידו על פרטיות” הופך כעת לחובה חוקית מוחלטת, בליווי סנקציות כואבות למי שמתעלם. לרשות להגנת הפרטיות יש מעתה שיניים חדות בדמות סמכויות אכיפה נרחבות כולל קנסות כבדים שיכולים להגיע למיליוני שקלים על הפרות של החוק.
למי תיקון 13 חשוב?
לכולם. בין אם אתם עסק קטן, חברה בינונית או תאגיד ענק, התיקון הזה נוגע אליכם. תיקון 13 משנה את כללי המשחק בעולם העסקי: אין יותר התעלמות מהגנת מידע כאילו זה עניין לביורוקרטיה בלבד. מעכשיו, מי שלא יעמוד בדרישות החוק עלול לשלם ביוקר, פשוטו כמשמעו. הרשות להגנת הפרטיות יכולה לערוך ביקורות פתע, לחקור לעומק, ולהטיל עיצומים כספיים וקנסות שעלולים למוטט עסקים קטנים ולהכאיב משמעותית גם לגדולים. אפילו תביעות פרטיות ללא הוכחת נזק (עד 10,000 ש”ח לתביעה) נכנסו לתמונה ובמקרי קיצון ישנן גם עבירות פליליות חדשות. במילים אחרות, תם העידן שבו אפשר היה להרים גבה ולהמשיך כרגיל והתעלמות מהפרטיות עכשיו פשוט מסוכנת מדי לעסק.
למה כדאי להתאים את העסק שלכם לתיקון 13 כבר עכשיו?
כי השינוי הזה הוא לא “עוד חוק” שכתוב בקטן איפשהו אלא הוא משפיע ישירות על האופן שבו אתם מנהלים את המידע על הלקוחות, העובדים וכל מי שקשור לעסק. תיקון 13 מחייב אתכם לבחון מחדש כיצד אתם אוספים, שומרים ומשתמשים במידע אישי, ולוודא שאתם עומדים בדרישות החדשות כדי להימנע מהפתעות לא נעימות בהמשך. החדשות הטובות הן שאם תבינו בדיוק מה השתנה ומה המשמעות המעשית של השינוי ותיערכו מראש, תוכלו להתגונן מסנקציות ולהפוך את העמידה בחוק ליתרון תחרותי. במאמר הזה נפרט מה השתנה בתיקון 13, איך זה משפיע בפועל על העסק שלכם, ומה אפשר לעשות כבר עכשיו כדי להכין את הקרקע. כך תוכלו להמשיך לנהל את העסק בראש שקט, בידיעה שאתם מוגנים ועומדים בדרישות החוק החדש וללא הפתעות מיותרות.
הגיע הזמן להתייחס לפרטיות בדיוק כמו לכל חובה עסקית אחרת ואנחנו כאן כדי לעזור לכם להבין ולנווט בעולם החדש הזה בביטחון.
מה חידש תיקון 13?
- הרחבה
תיקון 13 לחוק הגנת הפרטיות לא רק עדכן את ההגדרות, אלא שינה מהותית את נקודת המבט על מה נחשב מידע אישי. אם בעבר היה מדובר בעיקר בשם, תעודת זהות וטלפון, היום גם כתובת IP, מיקום גיאוגרפי, היסטוריית גלישה, מזהים דיגיטליים ואפילו התנהגות אונליין נכנסים תחת ההגדרה. מעבר לכך, התיקון מייצר קטגוריה מיוחדת של “מידע רגיש במיוחד”, הכוללת נתונים ביומטריים (כגון טביעת אצבע או זיהוי פנים), מידע גנטי, עבר פלילי, נטייה מינית, נתונים רפואיים ופרטים פיננסיים. משמעות ההגדרה הרחבה היא שכל עסק שמחזיק או אוסף נתונים מסוג זה מחויב ברמה גבוהה יותר של שמירה, אבטחה ושקיפות מול הלקוחות.
- צמצום החובה לרישום מאגרים
לפני תיקון 13, כמעט כל מאגר (אפילו רשימת לקוחות בסיסית) היה חייב ברישום אצל רשם מאגרי המידע. החובה הזו יצרה עומס בירוקרטי מיותר ופגעה בעיקר בעסקים קטנים ובינוניים. התיקון משנה את הגישה: לא כל מאגר חייב ברישום, אלא רק מאגרים שעומדים בתנאים מסוימים, למשל גופים ציבוריים, חברות שמחזיקות מידע רגיש במיוחד על עשרות אלפי אנשים או עסקים שסוחרים במידע אישי בהיקפים גדולים. המשמעות היא הקלה מהותית לעסקים קטנים. עם זאת חשוב להדגיש כי גם אם מאגר לא חייב ברישום, הוא עדיין כפוף לכל הדרישות המהותיות של החוק – החל באיסוף שקוף ובהסכמה מודעת, ועד חובת אבטחת מידע ברמה נאותה.
- אכיפה משמעותית
עד לתיקון 13, החוק אמנם הציב כללים, אבל בפועל לא הייתה לרשות להגנת הפרטיות יכולת אמיתית לאכוף אותם. כעת התמונה השתנתה לחלוטין. לפי הפורום לעתיד הפרטיות, התיקון מעניק לרשות סמכויות חדשות שמכניסות “שיניים” לחוק: אפשרות להטיל קנסות מנהליים גבוהים, להוציא צווי הפסקת פעילות במקרים של הפרה, ואף לאפשר לאזרחים לדרוש פיצוי ללא הוכחת נזק. כלומר, לא צריך להוכיח שנגרם נזק כספי כדי לקבל פיצוי ועצם הפגיעה בפרטיות מספיקה. זהו שינוי דרמטי שמעלה את רמת האחריות על כל עסק ומייצר הרתעה אמיתית.
- חובת מינוי DPO
אחת החובות החדשות שמביא איתו התיקון היא מינוי ממונה הגנת פרטיות (Data Protection Officer – DPO) בארגונים גדולים. מדובר בתפקיד מקביל לקצין הגנת מידע ב-GDPR האירופי. הממונה צריך להיות עצמאי, בעל ידע מקצועי בתחום דיני הפרטיות ואבטחת מידע, וללא ניגוד עניינים מול הנהלת החברה. לפי פרסומים של המכון הישראלי למדיניות טכנולוגיה, וכן משרדי עורכי הדין Shibolet ו־Barnea, התפקיד של ה-DPO כולל: ליווי ההנהלה בקבלת החלטות, ווידוא שהארגון עומד בהוראות החוק, הדרכת עובדים, לשמש כתובת לפניות הציבור ולהיות נקודת קשר מול הרגולטור. המשמעות היא שבארגונים גדולים, הפרטיות כבר לא עניין צדדי, אלא תחום ניהול מרכזי עם אחריות ברורה.
לאיזה עסקים תיקון 13 רלוונטי?
בשל העובדה שגם עסקים קטנים ובינוניים חייבים לעמוד בדרישות הבסיסיות, ריכזנו עבורכם את הצעדים הנדרשים בטבלה:
| תחום | צעדים פרקטיים |
|---|---|
| מדיניות פרטיות | פרסמו באתר מדיניות פרטיות ברורה ונגישה שמסבירה מה אתם אוספים, למה, כמה זמן שומרים, עם מי משתפים, זכויות המשתמשים ופרטי יצירת קשר. כתבו בשפה פשוטה ובהתאם למה שקורה בפועל. ציינו שימוש בעוגיות צד־שלישי או ניוזלטר. |
| באנר עוגיות | הטמיעו באנר עוגיות (Cookie Banner) לכל עוגיות שאינן חיוניות כמו אנליטיקה או פרסום. אפשרו למשתמש לבחור בהגדרות ולא רק “קבל הכול”. כבדו בחירה של “לא מסכים” ואל תטענו סקריפטי מעקב. נהגו בשקיפות מלאה. |
| טפסי יצירת קשר | שלבו תיבת סימון (Opt-in) בכל טופס לקבלת הסכמה מפורשת. בטפסי ניוזלטר – תיבה נפרדת לדיוור. שמרו תיעוד ההסכמה (זמן, IP וכו’). מומלץ להשתמש גם ב־Double Opt-In. |
| אבטחת מידע | ודאו שהאתר מאובטח: SSL (HTTPS), עדכוני אבטחה שוטפים, סיסמאות חזקות והרשאות מינימליות. הגדירו נוהל פנימי לאבטחת מידע ובצעו בדיקות תקופתיות. הכינו תוכנית תגובה לאירועי אבטחה ודיווח במידת הצורך. |
| ספקי צד שלישי | חתמו על הסכם עיבוד מידע (DPA) עם כל ספק חיצוני שיש לו גישה לנתונים (CRM, צ’אט, שיווק). ודאו שהוא מחויב לשמור על אבטחת המידע ולהתריע על פרצות. ספק שלא מוכן? שקלו להחליפו. |
| אחראי פרטיות | מנו אחראי פרטיות בעסק שיוודא עמידה בחוק, עדכון מדיניות ובחינת השלכות בכל שינוי (פיצ’רים חדשים, קמפיינים). אפשר להיעזר גם ביועצים חיצוניים ל־Privacy Audit תקופתי. |
| מענה לפניות | היו מוכנים לבקשות משתמשים לעיון, תיקון או מחיקה. ודאו שאתם יודעים היכן שמורים הנתונים ואיך לאתר אותם במהירות. הגדירו נוהל לטיפול בפניות כולל אימות זהות. אם אין חובה לשמור מידע – עדיף למחוק לפי בקשה. |
| חינוך הצוות | הדריכו את הצוות לגבי פרטיות ואבטחת מידע. ודאו שכולם יודעים מה מותר ומה אסור (כמו לא להעביר רשימות תפוצה או לשלוח מידע רגיש ללא אבטחה). טפחו תרבות של פרטיות כערך מרכזי בארגון. |
איך נינג'ה מרקטינג יכולים לעזור?
ב־נינג’ה מרקטינג אנחנו מאמינים שהתאמה לרגולציה היא לא רק חובה אלא גם הזדמנות לבניית אמון ולמיתוג חיובי. לכן השירותים שלנו כוללים:
בניית אתרים מותאמים לחוק: טפסים עם Opt-in, דפי מדיניות פרטיות ברורים ובאנרי עוגיות מותאמים כדי לקדם בטיחות ואמון.
אוטומציה שיווקית חוקית: דיוורים, CRM ואינטגרציה שיווקית עם שמירה על פרטיות הלקוח.
SEO ושקיפות: תוכן אותנטי, מדיניות שקופה שמופיעה גם למשתמש וגם בגוגל
ניהול קמפיינים ממומנים: התאמת פיקסלים וכלי מעקב למדיניות חוקית גם ברשתות חברתיות וגם בגוגל.
תוכן וסושיאל: פוסטים שמציגים את המחויבות שלכם לפרטיות ויוצרים אמון במותג.
לסיכום
תיקון 13 הוא לא עוד שינוי קליל וכל עסק בישראל צריך להבין: פרטיות היא לא רק “Nice to have” מדובר בחובה למחויבות עסקית ואמון עם הלקוחות.
אם כבר השקעתם בבניית מוניטין כעסק שמכבד את פרטיות הלקוחות, זה הזמן להפוך את זה להכוח שיווקי. אצלנו תמצאו שילוב של שיווק חכם, כלי דיגיטליים מתקדמים ותשומת לב לפרטים (Privacy-by-Design).
רוצים להפוך את הציות לתקנות הרשות להגנת פרטיות לכלי שיווקי?
לחצו ליצירת קשר עם המאסטרים של עם נינג’ה מרקטינג ונבנה עבורכם תוכנית שיווקית עמוסה בתנועה, אמון והגנת פרטיות.
