משילות מידע מרכז הידע המקצועי
רגולציה · ישראל

חוק הגנת הפרטיות ותיקון 13

תיקון 13, שנכנס לתוקף באוגוסט 2025, הוא המהפכה הגדולה ביותר בדיני הפרטיות בישראל מאז 1981.

קצת היסטוריה

חוק הגנת הפרטיות נחקק ב-1981, וב-2017 נוספו לו תקנות אבטחת המידע. תיקון 13 מעדכן את החוק לעידן הדיגיטלי ומקרב אותו לסטנדרט האירופי (GDPR), עם דגש על אכיפה אמיתית.

1981 חוק הגנת הפרטיות 2017 תקנות אבטחת מידע אוג׳ 2025 תיקון 13 נכנס לתוקף
מ-1981 ועד תיקון 13: מעבר מרישום בירוקרטי לאכיפה ממוקדת.

עיקרי תיקון 13

  • ביטול חובת רישום המאגרים הגורפת, והחלפתה בדיווח ממוקד על מאגרים גדולים או רגישים.
  • עדכון מונחי יסוד: "בעל שליטה", "מחזיק" והגדרת "מידע בעל רגישות מיוחדת".
  • הרחבת חובת היידוע של ארגונים כלפי נושאי המידע.
  • מנגנון לפנייה לרשות לקבלת חוות דעת מקדימה (Pre-ruling).
  • אפשרות לפסיקת פיצויים ללא הוכחת נזק, בתנאים מסוימים.

סמכויות אכיפה וקנסות

זה הלב של התיקון. הרשות להגנת הפרטיות קיבלה סמכויות פיקוח ואכיפה חסרות תקדים: פתיחת הליכים מנהליים, הטלת עיצומים כספיים ואף צעדים פליליים. הקנסות המנהליים מגיעים למיליוני שקלים, ונקבעים לפי חומרת ההפרה, מספר נושאי המידע, האם ההפרה נמשכת, וגודל המאגר או רגישות המידע.

לא רק מקל: הרשות רשאית להסתפק ב"התראה מנהלית" במקום קנס, בנסיבות כמו הפרה ראשונה, הוראה חדשה או חוסר בהירות משפטית. הכיוון הוא אכיפה מדורגת, לא קנס אוטומטי.

חובת מינוי ממונה הגנת פרטיות (DPO)

חובה חדשה ומרכזית: מינוי ממונה שאחראי על ייעוץ, בקרה והטמעת תרבות פרטיות. החובה חלה על:

  • גופים ציבוריים.
  • סוחרי מידע (Data Brokers) עם מעל 10,000 רשומות.
  • גופים שמבצעים ניטור שיטתי של בני אדם.
  • גופים שעיבוד מידע רגיש הוא חלק מליבת פעילותם, כמו בנקים, קופות חולים וחברות ביטוח.

בשל החידוש, הרשות העניקה ארכת חסד לאכיפת חובת ה-DPO עד 31 באוקטובר 2025.

מה נדרש מארגונים בפועל

מעבר למינוי DPO, ארגונים נדרשים ליישם מנגנונים טכנולוגיים שמבטיחים את הזכות למחיקת מידע ("הזכות להישכח"), להגביל החזקת מידע שאינו נחוץ עוד למטרתו, ולשאת באחריות אקטיבית על דיוק ועדכניות המידע.

הדרישות האלה מתחברות ישירות לתחומי ידע כמו שושלת נתונים (לאיתור מידע למחיקה) וסיווג ואבטחה, ומקבילות במידה רבה לGDPR האירופי.