תיקון 13 לחוק הגנת הפרטיות: מהפכה בדיני הפרטיות בישראל

ניתוח מעמיק של הרפורמה המשמעותית ביותר בדיני הפרטיות מאז 1981

מידע על המאמר:
📅 תאריך אישור: 5 באוגוסט 2024
⏰ תחולה: אוגוסט 2025 (שנה מיום הפרסום)
📚 מקורות: חוק הגנת הפרטיות תיקון 13, הרשות להגנת הפרטיות
🎯 קהל יעד: עורכי דין, ממוני אבטחת מידע, מעסיקים, ציבור הרחב

      🔑 נקודות מפתח – מה חשוב לדעת
      התיישנות הוארכה משנתיים ל-7 שנים – שינוי דרמטי המאפשר הגשת תביעות אזרחיות גם שנים לאחר הפרת פרטיות
עיצומים כספיים עד מיליוני שקלים – הרשות להגנת הפרטיות קיבלה סמכות להטיל קנסות משמעותיים
חובת מינוי ממונה הגנת פרטיות (DPO) – ארגונים רבים יידרשו למנות גורם מקצועי ייעודי
ביטול רישום מאגרים לרוב החברות – הקלה משמעותית בנטל הרגולטורי
התאמה ל-GDPR האירופי – צעד משמעותי להכרה בינלאומית

    

רקע: למה נדרש תיקון 13?

חוק הגנת הפרטיות, התשמ"א-1981, נחקק לפני 43 שנים, בעידן שבו האינטרנט טרם נולד, טלפונים סלולריים היו פיקציה, ומושגים כמו "רשתות חברתיות", "מידע ביומטרי", או "מזהים מקוונים" לא היו קיימים. החוק, שנותר כמעט ללא שינויים מהותיים במשך עשרות שנים, לא התאים עצמו למציאות הטכנולוגית המודרנית ולאיומי הסייבר הגוברים.

תיקון 13, שאושר במליאת הכנסת ב-5 באוגוסט 2024, הוא התיקון המקיף והמשמעותי ביותר שנערך בחוק מאז חקיקתו. התיקון מהווה מהפכה אמיתית בדיני הפרטיות הישראליים, ומבקש לגשר על הפער בין החקיקה המיושנת לבין האתגרים העכשוויים של העידן הדיגיטלי.

ציר הזמן של תיקון 13

2016-2020: הליכי חקיקה ראשוניים, עבודת ועדות, דיונים ציבוריים

2021-2023: גיבוש הנוסח הסופי, דיונים בוועדת החוקה של הכנסת

5 באוגוסט 2024: אישור סופי במליאת הכנסת בקריאה שנייה ושלישית

אוגוסט 2025: כניסת התיקון לתוקף (שנה מיום הפרסום)

🕐 שינוי תקופת ההתיישנות: מ-2 שנים ל-7 שנים

השינוי המשפטי המשמעותי ביותר לזכויות נפגעי פרטיות

לפני התיקון: תקופת ההתיישנות לתביעות אזרחיות בגין הפרת פרטיות הייתה שנתיים בלבד מיום שנודע לנפגע על ההפרה.

לאחר התיקון: תקופת ההתיישנות הוארכה ל-7 שנים, בהתאמה לתקופת ההתיישנות הכללית בדיני נזיקין.

מדוע השינוי כה משמעותי?

1. הפרות פרטיות מתגלות באיחור: במקרים רבים, נפגעי הפרות פרטיות לא מתוודעים להפרה מיד בעת התרחשותה. דליפות מידע מסיביות, שימוש לא מורשה במידע אישי, או הפרות פרטיות מתמשכות עשויות להתגלות רק שנים לאחר שהחלו. תקופת ההתיישנות של שנתיים בלבד שללה מנפגעים רבים את האפשרות לתבוע פיצויים.

2. התאמה לדיני נזיקין: ההרחבה ל-7 שנים מיישרת קו עם חוק ההתיישנות, תשי"ח-1958, הקובע תקופת התיישנות של 7 שנים לתביעות נזיקין כלליות. השינוי משקף הכרה בכך שהפרת פרטיות היא סוג של נזק אישי הדורש הגנה ארוכת טווח.

3. הרתעה מוגברת: הארכת תקופת ההתיישנות יוצרת חשיפה משפטית ארוכה יותר למפרים פוטנציאליים. ארגונים וחברות יידרשו "לחיות" עם האחריות להפרות פרטיות למשך 7 שנים, דבר היוצר תמריץ משמעותי לשמירה קפדנית יותר על מידע אישי.

⚠️ השלכות מעשיות למעסיקים וחברות:

• שמירת מסמכים: חובה לשמור מסמכים ונהלי פרטיות למשך 7 שנים לצורך הגנה בפני תביעות עתידיות.
• ביטוח אחריות מקצועית: יש לוודא שפוליסות הביטוח מכסות תביעות פרטיות גם בדיעבד ל-7 שנים.
• תיעוד הסכמות: הסכמות לעיבוד מידע חייבות להישמר בתיעוד מדויק למשך 7 שנים.
• חקירות פנימיות: בעת גילוי חשד להפרת פרטיות, יש לבצע חקירה מיידית ותיעוד מלא.

דוגמאות מעשיות לשינוי בהתיישנות

תרחיש	לפני תיקון 13	אחרי תיקון 13
דליפת מידע מחברת טכנולוגיה ב-2020, שהתגלתה רק ב-2023	❌ לא ניתן לתבוע (עברו יותר משנתיים)	✅ ניתן לתבוע עד 2027
מעסיק העביר קורות חיים של מועמד לחברה אחרת בלי הסכמה ב-2019	❌ התיישן ב-2021	✅ ניתן לתבוע עד 2026
חברת ביטוח השתמשה במידע רפואי שלא כדין ב-2018	❌ התיישן ב-2020	✅ ניתן לתבוע עד 2025

💰 עיצומים כספיים: מהפכה באכיפה

אחד השינויים המשמעותיים ביותר בתיקון 13 הוא הענקת סמכות לראש הרשות להגנת הפרטיות להטיל עיצומים כספיים (קנסות מנהליים) בגין הפרות של החוק ושל תקנות אבטחת המידע. עד לתיקון, הרשות לא הייתה מוסמכת להטיל עיצומים כספיים כלל, דבר שהפך את האכיפה לבלתי אפקטיבית.

גובה העיצומים הכספיים

סכומי העיצומים משתנים בהתאם לסוג ההפרה, חומרתה, והיקף הנפגעים:

סוג הפרה	סכום עיצום בסיסי	מכפלה
הפרות פרטניות (סירוב לזכות עיון, אי תיקון מידע)	5,000-20,000 ₪	לפי מספר הנפגעים
הפרות כלפי הרשות (אי שיתוף פעולה, הטעיה)	10,000-50,000 ₪	-
הפרות הנוגעות לכלל המאגר (אי מינוי ממונה, אי רישום)	50,000-100,000 ₪	-
הפרות זכויות מהותיות (הפרת צמידות מטרה, עיבוד לא חוקי)	80,000-160,000 ₪	לפי מספר בני אדם במאגר
מאגרים עם מיליון נושאי מידע ומעלה	כפל הסכום	עד 640,000 ₪ להפרה

📊 דוגמה חישובית:

חברת טכנולוגיה עם מאגר של 500,000 משתמשים שלא מינתה ממונה הגנת פרטיות וגם הפרה את עקרון צמידות המטרה:
• הפרה 1 (אי מינוי ממונה): 100,000 ₪
• הפרה 2 (צמידות מטרה): 160,000 ₪ × 500,000 = עד עשרות מיליוני שקלים (במכפלה)
סה"כ: עשרות מיליוני שקלים פוטנציאלית

מנגנון דו-שלבי – אפשרות לריפוי

בחלק מההפרות, התיקון קובע מנגנון "דו-שלבי" הנותן למפר הזדמנות לתקן את ההפרה לפני הטלת העיצום:

שלב א': הרשות מודיעה למפר על ההפרה ומעניקה לו שהות סבירה (בדרך כלל 30-60 יום) לתקן אותה.
שלב ב': רק אם המפר לא תיקן את ההפרה בתוך השהות שניתנה, תוטל עיצום כספי.

מנגנון זה חל על הפרות כגון אי מינוי ממונה אבטחת מידע, אי רישום מאגר (במקרים שבהם עדיין חלה חובת רישום), ואי עמידה בחובות מסוימות של הודעה לנושאי מידע.

הפחתת עיצומים – תמריצים לשיתוף פעולה

התיקון קובע מנגנון להפחתת סכומי העיצומים בנסיבות מסוימות:

דיווח מרצון: אם המפר דיווח לרשות על ההפרה מיוזמתו – הפחתה של עד 30%
הפסקת ההפרה: אם המפר הפסיק את ההפרה מיד עם גילויה – הפחתה של עד 20%
שיתוף פעולה: אם המפר שיתף פעולה מלאה עם החקירה – הפחתה של עד 15%
עסקים קטנים: לעסקים עם מחזור שנתי נמוך – הפחתות נוספות

👤 ממונה הגנת פרטיות (DPO) – חובה חדשה

לראשונה בישראל, תיקון 13 מטיל חובה חוקית למנות ממונה על הגנת הפרטיות (Data Protection Officer - DPO) בארגונים מסוימים. זהו שינוי מהותי שנועד ליצור תרבות ארגונית של הגנה על פרטיות ולהבטיח קיום עקבי של דרישות החוק.

מי חייב למנות ממונה הגנת פרטיות?

1. כל גוף ציבורי (למעט גופים ביטחוניים שלהם הסדר נפרד)
2. Data Brokers – גופים שעיסוקם העיקרי איסוף מידע אישי למכירה/מסירה לאחרים, ויש במאגרם מידע על יותר מ-10,000 בני אדם
3. ניטור שיטתי – ארגונים שעיסוקם כולל מעקב או התחקות שיטתית אחר אנשים בהיקף ניכר (למשל: חברות מעקב GPS, ספקי שירותי חיפוש מקוון)
4. עיבוד מידע רגיש בהיקף ניכר – בנקים, חברות ביטוח, בתי חולים, קופות חולים, ארגוני HR גדולים

תפקידי ממונה הגנת הפרטיות

ממונה הגנת פרטיות ממלא תפקידים מרכזיים בארגון:

ייעוץ והדרכה: מייעץ להנהלה ולעובדים בנושאי הגנת פרטיות ומכין תוכניות הדרכה
בקרה שוטפת: מפקח על יישום נהלי פרטיות ואבטחת מידע בארגון
בדיקת ציות: בודק עמידה בהוראות החוק ומדווח להנהלה על ממצאים וליקויים
טיפול בפניות: מטפל בפניות של נושאי מידע הנוגעות לזכויותיהם
איש קשר: משמש כנקודת התקשרות בין הארגון לרשות להגנת הפרטיות
ניהול נהלים: מוודא קיומם של נוהל אבטחת מידע ומסמך הגדרות מאגר עדכניים

כישורי הממונה ועצמאותו

⚖️ דרישות מקצועיות וניגוד עניינים:

• ידע מקצועי: ידע מעמיק בדיני הגנת הפרטיות, הבנה בטכנולוגיה ואבטחת מידע
• היכרות עם הארגון: הבנת תחומי הפעילות, אופי עיבוד המידע והסיכונים
• דיווח ישיר: דיווח למנכ"ל או לעובד בכיר הכפוף ישירות אליו
• עצמאות: הממונה לא ימלא תפקיד נוסף שעלול להעמידו בניגוד עניינים (למשל, לא יהיה גם מנהל IT או מנהל שיווק)
• גורם חיצוני: ניתן לשכור ממונה חיצוני (יועץ, עו"ד, חברת ייעוץ)

📋 צמצום חובת רישום מאגרים – הקלה רגולטורית

אחד השינויים המשמעותיים להקלה על המגזר העסקי הוא ביטול כמעט מוחלט של חובת רישום מאגרי מידע עבור חברות פרטיות.

המצב לפני תיקון 13

החוק בנוסחו הקודם חייב רישום של כמעט כל מאגר מידע, לרבות:

מאגרי מידע רגיש (בריאות, עבר פלילי, דעות פוליטיות)
מאגרי מידע המשמשים לשירותי דיוור ישיר
מאגרי מידע של גופים ציבוריים

חובה זו הטילה נטל כבד על חברות, בפרט חברות קטנות ובינוניות, והייתה בלתי מתאימה לעידן הדיגיטלי.

המצב לאחר תיקון 13

חובת רישום תיוותר רק עבור:

גופים ציבוריים (למעט מאגרי עובדים בלבד)
Data Brokers – גופים שעיסוקם המרכזי איסוף מידע למכירה, עם יותר מ-10,000 נושאי מידע

חובת הודעה (ולא רישום מלא) תחול על:

גופים המעבדים מידע רגיש במיוחד על יותר מ-100,000 בני אדם. החובה כוללת הודעה לרשות עם פרטי בעל השליטה, פרטי ממונה הגנת הפרטיות (אם מונה), והעתק ממסמך הגדרות המאגר.

💡 השלכה מעשית:

חברת סטארטאפ עם 50,000 משתמשים שמעבדת מידע רגיל (שם, אימייל, מספר טלפון) – לא תידרש ברישום או בהודעה.
אותה חברה אם היא מעבדת גם מידע ביומטרי/רפואי של 150,000 משתמשים – תידרש בהודעה פשוטה לרשות.
בנק עם 2 מיליון לקוחות – לא יידרש ברישום (אלא אם כבר רשום מרצונו).

🔐 התאמת ההגדרות לעידן הדיגיטלי

תיקון 13 מעדכן ומרחיב הגדרות מרכזיות בחוק, תוך התאמתן למונחים הנהוגים ב-GDPR ובחקיקה מודרנית:

מידע אישי (Personal Data)

הגדרה חדשה: "כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין, לרבות באמצעות פרט מזהה כגון:

שם, מספר זהות
מזהה ביומטרי (טביעת אצבע, זיהוי פנים)
נתוני מיקום
מזהה מקוון (כתובת IP, עוגיות, מזהי מכשיר)
נתונים הנוגעים למצב פיזי, בריאותי, כלכלי, חברתי, תרבותי"

מידע בעל רגישות מיוחדת (Sensitive Data)

התיקון מרחיב את רשימת סוגי המידע הרגיש ומתאים אותה לסטנדרטים בינלאומיים:

מידע גנטי וביומטרי
מידע רפואי ובריאותי
דעות פוליטיות, אמונות דתיות
עבר פלילי
נתוני שכר ופעילות פיננסית
הערכת אישיות מקצועית (למשל בתהליכי גיוס)
נתוני מיקום המלמדים על מידע רגיש אחר

בעל שליטה במאגר (Data Controller)

הגדרה חדשה: "מי שקובע לבדו או יחד עם אחר את מטרות עיבוד המידע שבמאגר המידע, או גוף שהוא או בעל תפקיד בו הוסמך בחיקוק לעבד מידע"

ההגדרה דומה למונח "Controller" ב-GDPR, אך בשינוי חשוב: אין צורך שבעל השליטה יקבע גם את אופן העיבוד, רק את מטרותיו.

מחזיק במאגר (Data Processor)

הגדרה חדשה: "גורם חיצוני לבעל השליטה במאגר המידע המעבד מידע עבורו"

זוהי הגדרה ברורה יותר מההגדרה הקודמת, הדומה למונח "Processor" ב-GDPR. דוגמאות: ספק ענן, חברת שכר, ספק CRM חיצוני.

⚖️ השלכות על עולם העבודה והמעסיקים

תיקון 13 משפיע באופן משמעותי על מעסיקים וניהול משאבי אנוש:

1. ביטול רישום מאגרי עובדים

חדשות טובות: רוב המעסיקים לא יידרשו עוד לרשום את מאגרי העובדים שלהם ברשם מאגרי המידע. זהו נטל רגולטורי משמעותי שהוסר.

⚠️ שימו לב:

אם מאגר העובדים שלכם כבר רשום, תצטרכו לבקש מהרשות למחוק אותו מהפנקס כדי שלא להיות כפופים יותר לחובות רישום.

2. נוהלי IT וניטור עובדים

מעסיקים שמנטרים שימוש של עובדים במערכות החברה (אימייל, גלישה באינטרנט, מיקום) חייבים בנוהל מקיף שכולל:

הודעת פרטיות ברורה לעובדים
הסכמה מדעת ומפורשת
הגדרת מטרות הניטור ומגבלותיו
מינוי ממונה הגנת פרטיות (מומלץ מאוד גם אם לא חובה)
שמירת יומני ניטור למשך 7 שנים

3. הרחבת חובת היידוע

מעסיקים חייבים ליידע עובדים ומועמדים לעבודה על:

האם מסירת המידע היא חובה חוקית או וולונטרית
מטרות איסוף המידע
תוצאות אי מסירת המידע (למשל: "אי מסירת פרטי חשבון בנק תמנע תשלום שכר")
שם המעסיק ודרכי התקשרות
זכות עיון וזכות תיקון של העובד במידע

4. נתוני מיקום של עובדים

שימוש ב-GPS לניטור מיקום עובדים (למשל נהגים, שליחים, אנשי שטח) מהווה עיבוד של מידע בעל רגישות מיוחדת ודורש:

הסכמה מפורשת בכתב
הגבלת השימוש רק לצורכי עבודה לגיטימיים
אבטחת מידע מוגברת
שקיפות מלאה כלפי העובדים

🌍 התאמה ל-GDPR והכרה בינלאומית

אחת ממטרות המרכזיות של תיקון 13 היא התאמת החוק הישראלי לרגולציית ה-GDPR האירופית. ב-2024, האיחוד האירופי העניק לישראל החלטת תאימות (Adequacy Decision), המכירה בדיני הפרטיות הישראליים כשקולים לאירופיים.

מה משמעות ההכרה?

העברת מידע חופשית: חברות אירופיות יכולות להעביר מידע אישי לישראל ללא הגבלות נוספות
יתרון תחרותי: חברות ישראליות נהנות מיתרון בעבודה מול לקוחות אירופיים
השקעות זרות: הכרה זו מעודדת השקעות של חברות טכנולוגיה אירופיות בישראל
מרכזי R&D: חברות רב-לאומיות יכולות להקים מרכזי מחקר ופיתוח בישראל בביטחון רגולטורי

📅 לוח זמנים ליישום

אוגוסט 2024: פרסום החוק ברשומות

אוגוסט 2024 - אוגוסט 2025: תקופת הערכות לארגונים

מיפוי מאגרי מידע ותהליכי עיבוד
בדיקת צורך במינוי ממונה הגנת פרטיות
עדכון הודעות פרטיות והסכמות
הכנת נהלי פרטיות ואבטחת מידע

אוגוסט 2025: כניסת התיקון לתוקף – תחילת אכיפה פעילה

אוגוסט 2025 ואילך: פרסום הנחיות מפורטות מהרשות להגנת הפרטיות, תקנות משלימות

✅ רשימת פעולות מומלצת לארגונים

צעדים מיידיים שכדאי לנקוט כבר עכשיו:

סקר ציות: מיפוי כל מאגרי המידע בארגון, סוגי המידע, מטרות העיבוד, ומחזיקים חיצוניים
הערכת חובת מינוי ממונה: בדיקה האם הארגון נכנס לקטגוריות המחייבות מינוי ממונה הגנת פרטיות
עדכון הודעות פרטיות: התאמת הודעות הפרטיות לדרישות החדשות (תוצאות אי הסכמה, זכויות נושאי מידע)
בדיקת נהלי אבטחת מידע: וידוא קיומם של נוהל אבטחת מידע ומסמך הגדרות מאגר מעודכנים
הכשרת עובדים: הדרכה של העובדים בנושאי פרטיות ואבטחת מידע
בדיקת פוליסות ביטוח: וידוא שפוליסות אחריות מקצועית מכסות תביעות פרטיות ל-7 שנים אחורה
שמירת מסמכים: הקמת מערך לשמירת הסכמות, הודעות פרטיות, ונהלים למשך 7 שנים
בחינת חובת רישום/הודעה: בדיקה האם הארגון נדרש להודיע לרשות או לבקש מחיקת רישום קיים

🔮 מבט קדימה: תיקון 14 ומה הלאה?

חשוב לזכור שתיקון 13 הוא רק שלב ראשון ברפורמה הכוללת בדיני הפרטיות. תיקון 14, שצפוי להיות מוגש לכנסת בעתיד הקרוב, יכלול שינויים נוספים ומשמעותיים:

בסיסים חוקיים נוספים לעיבוד מידע: מעבר להסכמה, יתווספו בסיסים כמו "אינטרס לגיטימי", "חוזה", "חובה חוקית" – בדומה ל-GDPR
הרחבת זכויות נושאי מידע: זכויות נוספות כמו "זכות למחיקה" (Right to be Forgotten), "זכות לניידות מידע", "זכות להתנגדות"
הסדרת פרופיילינג וקבלת החלטות אוטומטיות: כללים מיוחדים לשימוש באלגוריתמים ובינה מלאכותית
הסדרת העברת מידע לחו"ל: כללים מפורטים יותר להעברת מידע אישי למדינות זרות

רוצים להכין את הארגון שלכם לתיקון 13?

אנו ממליצים להתייעץ עם עורך דין מומחה בדיני פרטיות או עם יועץ אבטחת מידע מוסמך

חזור לדף הבית למדריך דין מהותי

סיכום

תיקון 13 לחוק הגנת הפרטיות מהווה מהפכה אמיתית בדיני הפרטיות הישראליים. השינויים המשמעותיים ביותר כוללים:

      הארכת תקופת ההתיישנות מ-2 ל-7 שנים – מעניקה לנפגעי הפרות פרטיות זמן ראוי לתבוע את זכויותיהם
עיצומים כספיים עד עשרות מיליוני שקלים – יוצרים הרתעה אפקטיבית ומעודדים ציות לחוק
חובת מינוי ממונה הגנת פרטיות – מבטיחה קיום מקצועי ושיטתי של דרישות הפרטיות בארגונים
ביטול רישום מאגרים לרוב החברות – מקלה משמעותית על הנטל הרגולטורי
התאמה ל-GDPR – מחזקת את מעמדה של ישראל כמדינה מובילה בהגנת פרטיות

    

הארגונים והמעסיקים נדרשים להיערך כבר עכשיו לקראת כניסת התיקון לתוקף באוגוסט 2025. השקעה בתשתיות, בהכשרה, ובמינוי אנשי מקצוע מתאימים תבטיח עמידה בדרישות החוק, תמנע עיצומים כספיים כבדים, ותגן על הזכויות של נושאי המידע.

כתב ויתור: מאמר זה מספק מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מקצועי ספציפי לנסיבותיכם, אנא פנו לעורך דין מומחה בדיני פרטיות.
מקורות: חוק הגנת הפרטיות תיקון 13 (2024), הרשות להגנת הפרטיות, משרד המשפטים.