תיקון 13 לחוק הגנת הפרטיות: מדריך קצר לבעלי עסקים בעידן הדיגיטלי

(הטקסט בלשון זכר לנוחות, אבל פונה לגברים ונשים כאחד).

בתאריך 14 באוגוסט 2025 נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות. מדובר בשינוי משמעותי שנוגע לכולנו, ומביא את החוק לעידן שבו כמעט כל שירות, גם של עסק קטן או עצמאי, מתבסס על מערכות מידע דיגיטליות: החל מרשימות לקוחות ומערכות גבייה, דרך תיקי לקוח ועד למערכות ניהול תורים.

המטרה של תיקון 13 היא כפולה. מצד אחד הוא נועד להבטיח הגנה טובה יותר על המידע האישי שכל אחת ואחד מאיתנו חולקים עם עסקים. מצד שני הוא נותן לרשות להגנת הפרטיות כלים יעילים יותר לאכוף את החוק, כך שעסקים שלא יעמדו בו יחושו את ההשלכות גם ברמת הרגולציה וגם מבחינה כלכלית.

אם יש לך לקוחות, עובדים, מטופלים, מבוטחים או אפילו מתעניינים, ואתה שומר עליהם מידע באופן דיגיטלי, התיקון הזה כבר רלוונטי עבורך, גם אם אינך נחשב "ארגון גדול". חשוב שתדע מה המשמעות עבור העסק שלך ואיך להיערך בהתאם, כדי לשמור על פרטיות הלקוחות וגם על השקט הנפשי שלך.

שינוי הגישה: לא רק “לא לפגוע”, אלא גם להראות איך עובדים

תיקון 13 מבסס בפועל גישה של אחריותיות: לא מספיק להגיד “אנחנו שומרים על פרטיות הלקוחות”. החוק מצפה שתדע להסביר, וגם להראות, במסמכים ובתהליכים – איך אתה עושה את זה.

המשמעות היא שכל בעל עסק שמחזיק מידע אישי צריך לדעת לענות על שאלות כמו:

• מה המטרה שלשמה המידע נאסף?

• אילו סוגי מידע נשמרים?

• מי רשאי להיכנס למערכות?

• מה עושים כאשר אדם מבקש לעיין במידע עליו או לתקן אותו?
  

בצד השני של המשוואה נמצאת האכיפה. הרשות להגנת הפרטיות קיבלה סמכויות רחבות להטיל עיצומים כספיים על מי שמפר את החוק והתקנות. בנוסף, נקבע בחוק שבמקרים מסוימים אדם יכול לתבוע פיצוי של עד עשרת אלפים שקלים בלי להוכיח שנגרם לו נזק כספי, והרשות יכולה להטיל עיצום מנהלי קבוע של חמשה עשר אלף שקלים על הפרות מסוימות שקשורות לזכויות עיון, תיקון ומחיקה. במקרים חמורים במיוחד קיימת גם אחריות פלילית.

כל זה יוצר מציאות שבה לא מספיק “לקוות לטוב”. צריך להיערך בצורה מסודרת.

מידע אישי ומידע בעל רגישות מיוחדת - על מה אנחנו מדברים?

החוק מגדיר “מידע אישי” כמידע על אדם מזוהה, או אדם שניתן לזהותו במאמץ סביר, באופן ישיר או עקיף. זה יכול להיות שם, מספר זהות, כתובת, טלפון, דואר אלקטרוני, מספר לקוח במערכת, או כל פריט שמחובר לאדם מסוים.

מעל ההגדרה הזו, תיקון 13 מדגיש שכבה נוספת: “מידע בעל רגישות מיוחדת”. כאן נמצאים הנתונים שהחוק רואה כרגישים במיוחד: מידע על מצב בריאות, מידע על עבר פלילי, נתוני שכר ופעילות פיננסית, דעות פוליטיות, אמונות דתיות, פרטים הנוגעים לחיי משפחה ולצנעת חייו של אדם, נטייה מינית, נתונים ביומטריים ומידע שחלה עליו חובת סודיות לפי דין. הרשימה נקבעת בחוק והיא רשימה סגורה.

עבור הרבה עסקים זה הלב של הסיפור: ברגע שאתה מלווה אנשים בעניינים רפואיים, כלכליים, משפחתיים, רגשיים או משפטיים, אתה עובד בפועל עם מידע בעל רגישות מיוחדת, והחובות שלך לפי תיקון 13 הופכות משמעותיות יותר.

חשוב גם לזכור שהחוק מדבר על “עיבוד” מידע אישי כמעט לכל פעולה: קבלה, איסוף, שמירה, עיון, העתקה, מסירה, העברה ומתן גישה. לא צריך “מערכת ענקית” כדי להיכנס למסגרת הזו, מספיק תיקי לקוח בענן, מערכת לניהול פגישות, או שיתוף מידע עם ספק חיצוני.

לקוחות: שקיפות בסיסית וזכויות ברורות

כשאתה מבקש מידע מלקוח, מבחינתך זה חלק מתהליך העבודה: פתיחת תיק, קביעת פגישה, שליחת מסמכים, גבייה. מבחינת החוק, מהרגע שהמידע הזה נשמר כחלק מהפעילות העסקית, הוא חלק ממאגר מידע, ונכנסות לפעולה חובות של שקיפות וזכויות.

ברגע האיסוף אתה צריך להסביר ללקוח, בצורה ברורה ולא חבויה: למה אתה מבקש את המידע, האם הוא חייב למסור אותו או שזו בחירה שלו, מה יקרה אם יסרב, למי המידע עשוי להימסר (למשל מערכות חיצוניות או ספקים), ואילו זכויות יש לו ביחס למידע שנשמר עליו, ובעיקר הזכות לעיין במידע והזכות לבקש לתקן אותו.

בהמשך הדרך, לכל אדם קיימת זכות לפנות אליך ולבקש לראות איזה מידע שמור עליו, לתקן מידע שאינו נכון, אינו שלם או אינו מעודכן, ובמקרים מסוימים גם לבקש מחיקה, בעיקר כאשר מדובר בדיוור ישיר או מידע שכבר איננו נחוץ למטרה המקורית. הוא רשאי גם לבקש שלא להשתמש במידע שלו לשיווק ודיוור.

הקושי מתחיל במצבים נפוצים מאוד: למשל כאשר מידע על לקוח אחד נמצא באותו מסמך או מערכת יחד עם מידע על אנשים אחרים, בני זוג, ילדים, צדדים להליך משפטי, עובדים נוספים. מצד אחד, אסור להתעלם מהזכות שלו לעיין ולקבל תשובה מסודרת. מצד שני, אסור למסור לו בטעות מידע על אחרים. טיפול לא נכון בבקשה אחת עלול להוביל גם לפגיעה בזכות שלו וגם בפגיעה בפרטיות של אחרים, ולהפוך במהירות לנושא רגולטורי וכספי, בגלל המנגנון של פיצויים ללא הוכחת נזק ועיצומים קבועים.

מאגרי מידע - מהקלסרים של פעם למערכות של היום

כדי להבין מה החוק דורש, כדאי רגע לחזור לתמונה הישנה: פעם הכול היה בקלסרים. קלסר לקוחות, קלסר עובדים, קלסר ספקים, קלסר מטופלים. כל קלסר כזה היה “מאגר”: אוסף מסודר של נתונים על אנשים, שמטפלים בו לצורך מתמשך מסוים. היום הקלסרים הפכו למערכות: מערכת לקוחות, מערכת הנהלת חשבונות, מערכת לתיאום פגישות, מערכת לניהול תיקים, רשימת דיוור. אבל בעיני החוק, העיקרון נשאר אותו עיקרון: כל מקום שבו נשמר מידע אישי כחלק מהפעילות העסקית, בצורה דיגיטלית ומסודרת, הוא מאגר מידע.

תיקון 13 מקל מאוד על חובת רישום המאגרים במרשם הרשמי. רוב המאגרים של מגזר העסקים הפרטי כבר לא חייבים ברישום. חובת הרישום נשארה בעיקר לגופים ציבוריים ולגופים שעוסקים בסחר במידע. יחד עם זאת, אם יש לך מאגר שלא חייב ברישום, ובו מידע בעל רגישות מיוחדת על יותר ממאה אלף אנשים, יש חובה מפורשת להודיע על כך לרשות בתוך שלושים ימים.

הדבר החשוב באמת, גם למי שלא חייב ברישום, הוא להבין מה יש לו “בקלסרים הדיגיטליים” שלו: איזה מאגרים קיימים, מה המטרה של כל מאגר, איזה סוגי מידע נכנסים אליו, מי רשאי להיכנס, ולאן המידע “ממשיך משם”, למשל לספקים חיצוניים.

כאן נכנס לתמונה מסמך הגדרות המאגר: מסמך מחייב, שמרכז באופן מסודר את מהות המאגר, מטרתו, סוגי המידע שנאספים בו, מי הם נושאי המידע ומהם עיקרי השימושים. התקנות מבהירות מתי חובה להחזיק במסמך כזה, וחשוב להדגיש כי כל ארגון, גם קטן, נדרש להחזיק מסמך הגדרות מאגר כתוב, ברור ונגיש. את המסמך יש לעדכן עם כל שינוי מהותי באופן ניהול המידע, או לכל הפחות אחת לשנה, כדי להבטיח שהוא משקף את המצב הקיים בארגון.

עובדים: המידע עליהם, והמגע שלהם במידע של אחרים

עובדים אינם “פנים ארגוני” בלבד. גם הם נחשבים נושאי מידע, והמידע שנשמר עליהם, במערכות שכר, משאבי אנוש, נוכחות, הערכות ביצוע - הוא מידע אישי. לעיתים יש שם גם מידע בעל רגישות מיוחדת, כמו מידע רפואי, נתוני שכר או הערכות מקצועיות אישיות.

החוק מצפה שגם כאן יהיה שימוש במידע רק לצורך יחסי העבודה, אבטחה מתאימה, ושקיפות סבירה מול העובד לגבי מה נאסף, למה, מי רואה ומה נשמר לאורך זמן. רצוי שחוזי העבודה והנהלים יתייחסו במפורש לפרטיות ולסודיות, גם מהצד של העובד וגם מהצד של המעסיק.

במקביל, העובדים הם מי שנוגעים במידע על לקוחות, מטופלים, מבוטחים ותיקים רגישים. תקנות אבטחת המידע מחייבות לקבוע נהלים ברורים למי מותר לגשת לאיזה מידע, ולהדריך את בעלי ההרשאות על החובות שלהם. הדרכה כזו יכולה למנוע חלק גדול מהטעויות שמובילות להפרות, ופשוט להסביר לעובדים מה מותר ומה אסור לעשות עם מידע אישי.

ספקים, מערכות חיצוניות וענן - המידע יוצא, האחריות נשארת

כמעט כל עסק היום עובד עם מערכות וספקים חיצוניים: תוכנות לניהול לקוחות, מערכות דיוור, הנהלת חשבונות בענן, שירותי תיוק דיגיטלי, שירותי גיבוי, ועוד.

החוק מבחין בין בעל השליטה במאגר, מי שקובע את מטרות העיבוד ואת האמצעים העיקריים, בדרך כלל בעל העסק - לבין מי שמחזיק במאגר או מעבד אותו בפועל, למשל ספק חיצוני. גם כאשר חלק מן העיבוד נעשה אצל הספק, האחריות כלפי נושאי המידע לא “עוברת” אליו לגמרי.

לכן חשוב לדעת מי הם הספקים שעובדים עם המידע, איזה מידע יוצא אליהם, ואילו התחייבויות הם נותנים לגבי אבטחה, שימוש, העברה לצדדים נוספים ומשך שמירת המידע. הרבה סיכונים ניתנים לצמצום רק מעצם הכניסה להסכם ברור, במקום להניח שהכול “מובן מאליו”.

נהלים, בחינת סיכונים ותפקיד ממונה על אבטחת פרטיות

כדי שהכול לא יישאר ברמת עיקרון, תיקון 13 ותקנות אבטחת המידע מדברים על ניהול מסודר: מסמכי מאגר מידע, מדיניות פרטיות, נוהל אבטחת מידע, תיעוד הרשאות, ותיעוד של הדרכות ופניות. זה מה שהופך “כוונה טובה” למסגרת שיכולה לעמוד גם בבדיקה של הרשות וגם בשאלות של לקוחות.

הבנה של רמת הסיכון האמיתית לא נשענת על תחושת “אנחנו קטנים”. היא נשענת על תמונה ברורה: איזה מידע יש, על מי, כמה ממנו רגיש, מי נוגע בו, באילו מערכות, ולאן הוא זורם. מתוך זה אפשר לבצע בחינה מקצועית של הסיכונים לפרטיות, ולראות מה החוק והתקנות מצפים ממך ברמת האבטחה והסדר.

בנקודה הזו נכנס תפקיד כמו ממונה על אבטחת פרטיות חיצונית: אדם שמכיר את תיקון 13 ואת תקנות הרגולציה, ומתרגם אותם למציאות שלך - אילו מסמכים חייבים להיות, איפה רמת הסיכון גבוהה, ואיך אפשר לסדר את הדברים בצורה הדרגתית ולא קיצונית.

ממונה על הגנת הפרטיות – מתי חובה, ומתי זה פשוט נכון לעשות

תיקון 13 קובע שבחלק מהגופים יש חובה למנות ממונה על הגנת הפרטיות: גופים ציבוריים, גופים שעיסוקם העיקרי הוא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק, גופים שעוסקים בניטור שיטתי של בני אדם, וגופים שהעיסוק המרכזי שלהם הוא עיבוד מידע בעל רגישות מיוחדת בהיקף נרחב.

לא כל עסק קטן או בינוני נכנס אוטומטית לחובה הזו. אבל יש עסקים שנמצאים על הגבול, למשל כאלה שמטפלים באופן שוטף במידע רפואי או פיננסי רגיש על קהל גדול, או כאלה שעוסקים בפועל בשירותי דיוור וסגמנטציה מתקדמת. במקרים כאלה, חשוב לבדוק אם אתה כבר בתוך החובה או לא - ולא להסתמך על “כנראה שלא”.

גם אם בסופו של דבר מתברר שאין עליך חובה למנות ממונה על הגנת הפרטיות, זה לא פוטר אותך מכל מה שתיקון 13 דורש: מסמכי מאגר, מדיניות ונהלים, טיפול בפניות, התייחסות לספקים, הדרכת עובדים. כאן נכנסת חבילת שירותי ההקמה שאני מציעה: ליווי מרוכז שנועד לעזור לך להעמיד את התשתיות והמסמכים שהחוק מצפה לראות, באופן שמתאים לגודל ולמציאות של העסק שלך.

רוצה לדעת איפה אתה עומד מול תיקון 13 – בלי לנחש?

אם בזמן הקריאה עברה לך המחשבה:

• יש אצלנו הרבה מידע רגיש, אבל אני לא באמת יודע אם אנחנו מסודרים”,

• או “אני לא בטוח אם אנחנו חייבים ממונה, או פשוט צריכים סוף סוף לעשות סדר”,

• או “אני מפחד מקנסות אבל לא יודע מאיפה להתחיל” 

אתה לא לבד.

כממונה על אבטחת פרטיות חיצונית, אני מלווה עסקים קטנים ובינוניים שרוצים להבין איפה הם עומדים מול תיקון 13, בלי להיבהל ובלי לטאטא את זה הצידה. אנחנו ממפים יחד את המצב, בודקים אם קיימת חובה למנות ממונה על הגנת הפרטיות, רואים אילו מסמכים ונהלים חסרים, ומגדירים צעדים ריאליים, מה חובה עכשיו, מה אפשר לדחות, ומה כדאי לעשות כדי לצמצם סיכון.

אם אתה רוצה לדעת בביטחון איפה העסק שלך נמצא ביחס לתיקון 13, אפשר לקבוע איתי שיחת היכרות ללא עלות במשך כ־חמש עשרה דקות. בשיחה נעבור יחד על כמה שאלות מפתח, ותצא עם תמונת מצב הרבה יותר ברורה לפני שאתה מחליט על הצעד הבא.