תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ושינה את כללי המשחק. אם הארגון שלכם מנהל מאגר מידע — וכמעט כל ארגון מנהל — אתם חייבים לדעת מה השתנה ומה נדרש מכם בפועל. במאמר הזה: צ׳קליסט מעשי של 14 פריטים לפי סדר עדיפויות, עם הסברים שמנהלים שאינם טכניים יכולים ליישם.
למה תיקון 13 משנה את כל התמונה
לפני תיקון 13, חוק הגנת הפרטיות בישראל (1981) היה מסגרת כללית בלי אכיפה ממשית. ארגונים רשמו מאגרים — או לא — ולא קרה כלום. תיקון 13 שינה את זה: הוא מוסיף חובות קונקרטיות, סנקציות כספיות, וסמכויות אכיפה לרשות להגנת הפרטיות.
שלוש ההשפעות העיקריות: - **חובת מינוי ממונה (DPO)** לגופים שמעבדים מידע בהיקף משמעותי - **חובת DPIA** — הערכת השפעה על פרטיות לפני כל פרויקט חדש שמערב מידע אישי - **קנסות מנהליים** — הרשות יכולה להטיל קנסות ללא הליך פלילי
הצ׳קליסט: 14 צעדים ליישום
1. מיפוי מאגרי מידע
כל הארגון. כל מקום שמאוחסן בו מידע אישי: CRM, מערכת שכר, מערכת לקוחות, קבצי Excel ב-OneDrive, גיבויים ישנים, מערכות ארכיון. בלי מיפוי לא מתחילים.
השקיעו שבועיים-שלושה במיפוי מסודר. תוצרת: גיליון עם שם המאגר, סוג המידע, סוג נושאי המידע, תקופת שמירה, מי ניגש, ואיפה הוא מאוחסן פיזית.
2. DPIA לכל מאגר חדש או שינוי מהותי
הערכת השפעה על פרטיות (Data Protection Impact Assessment). חובה לפני כל פרויקט שמכניס מידע חדש או משנה מבנה קיים. לא מדובר בתהליך ביורוקרטי — מדובר בשאלות מעשיות: מה אוספים? למה? כמה זמן שומרים? מי ניגש? מה הסיכון לנושא המידע?
3. מינוי DPO או vDPO
תיקון 13 מחייב מינוי ממונה הגנת פרטיות לגופים שעומדים בקריטריונים. עסקים קטנים שלא עומדים בסף יכולים למנות ממונה וולונטרית — ואנחנו ממליצים לעשות את זה. שתי אפשרויות: - **DPO פנימי** — עלות של ₪120,000–200,000 בשנה. מתאים לחברות מעל 200 עובדים עם עיבוד מידע מורכב. - **vDPO (ממונה חיצוני)** — תשלום חודשי לפי היקף. מתאים לרוב העסקים הקטנים-בינוניים.
4. עדכון מדיניות פרטיות
מסמך מדיניות הפרטיות שלכם חייב לשקף את המציאות. לא מדובר בתבנית שמעתיקים מגוגל — מדובר במסמך שמפרט בדיוק: אילו נתונים אתם אוספים, למה, על סמך מה (הסכמה? חוזה? אינטרס לגיטימי?), כמה זמן שומרים, ולמי מעבירים.
5. ניהול הסכמות
כל מקום שבו אתם אוספים הסכמה — טופס באתר, טופס הרשמה, הסכם שירות — ההסכמה צריכה להיות: חופשית, מדעת, ספציפית, וניתנת לביטול. חשוב: הסכמה שכבולה לתנאי שירות אחרים אינה הסכמה כדין.
6. זכויות נושאי מידע
תיקון 13 מחזק את זכויות הפרט: זכות עיון, תיקון, מחיקה, הגבלת עיבוד, וניוד מידע. חייבים לבנות תהליך פנימי שעונה על בקשות תוך 30 יום.
שאלות שצריך לענות עליהן: מי מטפל בבקשות? איך מזהים את המבקש? איך מגיעים לכל המידע הרלוונטי? מה עושים כשבקשה לא ברורה?
7. ניהול ספקי משנה (עיבוד על ידי צד שלישי)
אם מידע אישי מגיע לספקים — ספק ענן, חברת שכר, חברת שיווק — חייב הסכם עיבוד מידע (DPA) שמגדיר מה הספק רשאי לעשות ומה לא. רוב הספקים הגדולים (Microsoft, Google) מספקים DPA מוכן. ספקים מקומיים? תצטרכו לנסח.
8. אבטחת מידע טכנית
תיקון 13 מחייב אמצעי אבטחה סבירים. מה זה אומר בפועל: - הצפנת מידע בנייח ובמעבר - גישה מבוססת תפקיד (RBAC) - MFA לכל מערכת שמכילה מידע אישי - ניטור גישה ולוגים - גיבויים מוצפנים עם בדיקות שחזור
9. דיווח על אירועי אבטחה
חובת דיווח לרשות להגנת הפרטיות על אירוע אבטחה שגרם או עלול לגרום נזק לנושאי מידע. התהליך: זיהוי האירוע, הערכת חומרה, דיווח לרשות תוך 72 שעות (כלל אצבע), ובמקרים חמורים — גם הודעה לנושאי המידע.
10. הכשרת עובדים
כל עובד שנוגע במידע אישי צריך להבין: מה מותר ומה אסור, איך מזהים אירוע אבטחה, ולמי לפנות. הכשרה שנתית מינימלית, עם תיעוד של מי עבר ומתי.
11. תקופת שמירה ומחיקה
לכל סוג מידע — תקופת שמירה מוגדרת. בתום התקופה — מחיקה. לא "אולי נצטרך". לא "נשמור ליתר ביטחון". מחיקה אקטיבית, מתועדת, כולל גיבויים.
12. רישום פעולות עיבוד
תיעוד מתמשך: אילו פעולות עיבוד מבוצעות, על ידי מי, מתי, ולאיזו מטרה. זה הבסיס שמאפשר לענות על שאלות של הרשות בביקורת.
13. ממשל ובקרה
סקירה רבעונית — לא שנתית — של כל הנושאים למעלה. מה השתנה? אילו מאגרים חדשים נוצרו? אילו ספקים חדשים נכנסו? האם התהליכים עובדים?
14. מוכנות לביקורת
הרשות יכולה לבצע ביקורת. מה היא תחפש: תיעוד מאגרים, DPIAs, הסכמי ספקים, פרוטוקולים, לוגים. שמרו הכל מסודר ונגיש — לא בתיקייה שאף אחד לא יודע איפה היא.
מה קורה אם לא מיישמים
הרשות להגנת הפרטיות קיבלה סמכויות אכיפה חדשות: - **קנסות מנהליים** — ללא צורך בהליך פלילי - **צווי תיקון** — חובה לתקן ליקויים בלוח זמנים - **פרסום פומבי** — שם הארגון שהפר יכול להתפרסם
מעבר לקנסות — הפרה יכולה לגרום לנזק תדמיתי, אובדן לקוחות, ותביעות אזרחיות מנושאי מידע.
איך DLTS עוזרת ביישום תיקון 13
אנחנו מלווים עסקים בתהליך מלא: מיפוי ראשוני, מינוי vDPO חיצוני, כתיבת מדיניות, הטמעת אמצעים טכניים, והכנה לביקורת. התהליך לוקח 60–90 יום — תלוי בגודל הארגון ומורכבות מאגרי המידע.
[צרו קשר לפגישת ייעוץ ראשונית](/contact)
שאלות נפוצות
**מאיזה גודל ארגון חייבים למנות DPO?** החוק מגדיר קריטריונים לפי היקף עיבוד המידע, לא לפי מספר עובדים. ארגון קטן שמעבד מידע רגיש (רפואי, פיננסי) בהיקף משמעותי עשוי להיות חייב. ארגון גדול שלא מעבד מידע אישי — לא. כלל אצבע: אם יש לכם מעל 10,000 רשומות של אנשים — כדאי מאוד לבדוק.
**מה ההבדל בין תיקון 13 ל-GDPR?** תיקון 13 שואב השראה מ-GDPR אבל מותאם לדין הישראלי. ההבדלים העיקריים: היקף הקנסות שונה, מבנה הרשות שונה, והגדרות מסוימות (כמו "מידע רגיש") שונות. ארגון שכבר עומד ב-GDPR קרוב מאוד לעמידה בתיקון 13 — אבל לא זהה.
**כמה זמן לוקח ליישם את כל הצ׳קליסט?** לארגון בגודל 50–200 עובדים — 60 עד 90 יום בליווי מקצועי. הצעד הראשון (מיפוי) הוא הארוך ביותר: שבועיים עד חודש. שאר הצעדים יכולים לרוץ במקביל.
עדכון 2026: אכיפה מוגברת
הרשות להגנת הפרטיות הגבירה אכיפה ב-2025-2026. חקירות יזומות, קנסות, ודרישות תיקון. עסקים שהתעלמו מתיקון 13 — מקבלים מכתבים.
3 טעויות שרוב העסקים עושים
- **טופס יצירת קשר בלי Checkbox הסכמה** — כל מידע שנאסף צריך הסכמה מפורשת למטרה ספציפית.
- **שליחת ניוזלטר למי שלא הסכים** — גם אם הם לקוחות. צריכים Opt-In מפורש.
- **שמירת מידע ללא הגבלה** — חייבים Retention Policy: כמה זמן שומרים כל סוג מידע, ומתי מוחקים.
קראו גם: [DPO כשירות](/blog/dpo-sherut-la-asakim) | [Consent Management](/blog/consent-management-la-asakim)