1. מיטל בן-ברוך - משרד עורכי דין
2. מאמרים
3. תיקון מס’ 13 לחוק הגנת הפרטיות

תיקון מס’ 13 לחוק הגנת הפרטיות

המהות, החובות המרכזיות והשלכות מעשיות

מבוא

תיקון מס’ 13 לחוק הגנת הפרטיות, התשפ”ד-2024, הוא הרפורמה המקיפה ביותר בדין הישראלי מאז חקיקת החוק (1981). הוא נכנס לתוקף ביום 14.8.2025, ומטרתו להתאים את ההסדרה למציאות הדיגיטלית, להעצים את הגנת המידע האישי ולחזק את כלי האכיפה של הרשות להגנת הפרטיות.

עיקרי החידושים בתיקון

1) עדכון הגדרות היסוד

• “מידע אישי” הוגדר מחדש כ“נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי”, לרבות זיהויים מקוונים ונתוני מיקום.

• “מידע בעל רגישות מיוחדת” מחליף את “מידע רגיש” וכולל, בין היתר: נתונים על בריאות, מזהים ביומטריים, עבר פלילי, דעות פוליטיות/אמונות דתיות, הערכות אישיות מקצועיות, נתוני שכר ופעילות פיננסית, נתוני מיקום ותעבורה, וכן מידע שחובה לשמור עליו בסוד לפי דין.

2) מרישום להודעה

התיקון מצמצם משמעותית את חובת רישום מאגרי מידע ומוסיף חובת הודעה לרשות לגבי מאגרים מסוימים. אי-מסירת הודעה על מאגר החייב בהודעה היא הפרה מינהלית (עיצום של 150,000 ₪; מוכפל מעל מיליון נושאי מידע).
בטופס ההודעה הרשמי בולטת הדרישה לציין את המועד שבו מספר נושאי המידע בעלי מידע רגיש-במיוחד עלה על 100,000 — רמז ברור לסף הדיווח המעשי.

3) חובת מינוי ממונה על הגנת הפרטיות (DPO)

מעוגנת חובת מינוי DPO בגופים ציבוריים ובקבוצות גופים פרטיים שעיסוקם כרוך בסיכון גבוה לפרטיות (לרבות עיסוק בהיקף ניכר במידע בעל רגישות מיוחדת או פעילות מעקב שיטתית).
מסמך ה“גילוי דעת” מפרט מבחני יישום ונותן דוגמאות נפוצות למעקב שיטתי/מקוון.

4) הוראות מהותיות, איסורים נורמטיביים וחובת יידוע מורחבת

התיקון מעגן איסורים נורמטיביים חדשים לעיבוד מידע שלא כדין ומרחיב את חובת היידוע בעת איסוף מידע (לרבות מטרת העיבוד, למי יימסר המידע, וקיום זכויות העיון והתיקון).

5) אכיפה מינהלית, עיצומים ופיצוי ללא הוכחת נזק

• מדרג עיצומים חדש — למשל, בעבירות הודעה/רישום: 150,000 ₪ (וכפל מעל מיליון נושאי מידע).

• בעבירות על תקנות אבטחת מידע — תעריפי בסיס לפי רמת האבטחה (20,000/80,000 ₪; בקבוצות מסוימות 40,000/160,000 ₪).

• פיצויים ללא הוכחת נזק עד 10,000 ₪ הורחבו לעילות נוספות (למשל, הפרת חובת היידוע/עיון/תיקון).

מה נחשב “מידע בעל רגישות מיוחדת”?

ליבת הרשימה מצויה בחוק: צנעת חיי משפחה ונטייה מינית; בריאות; מידע גנטי; מזהה ביומטרי; מוצא; עבר פלילי; דעות פוליטיות/אמונות דתיות; הערכת אישיות מקצועית. התוספת במדריך הממשלתי מדגישה גם נתוני שכר/פעילות פיננסית ונתוני מיקום/תעבורה, וכן מידע הכפוף לחובת סודיות סטטוטורית.

החובות המהותיות השוטפות — דגש על אבטחת מידע

גם לאחר שינויי הרישום/הודעה, החובות המהותיות נשארות בעינן ואף מתחזקות. בין היתר:

• מסמך הגדרות מאגר ונוהל אבטחה ארגוני; מינוי ממונה אבטחת מידע (ככל שנדרש); מיפוי מערכות וסקרי סיכונים.

• ניהול הרשאות, זיהוי ואימות (סיסמאות, אמצעי חזק ברמות בינונית/גבוהה), בקרה ותיעוד גישה.

• תיעוד ותגובה לאירועי אבטחה, ובכלל זה שמירת נתוני התיעוד (לוגים) 24 חודשים לפחות.

• אבטחת תקשורת (FW/AV, הקשחה בממשקים), עדכוני תוכנה שוטפים והקשחת מערכות.

• מיקור-חוץ/מחזיקים: הסכמי עיבוד מפורטים (מטרה, מערכות, משך והשבה), התחייבויות סודיות ודיווח שנתי.

• ביקורות תקופתיות וסקרי סיכונים (הנחיה תפעולית נפוצה: אחת ל-18 חודשים לכל הפחות, לפי המדריך).

חובות מותנות וטריגרים נפוצים

הודעה לרשות

חובת הודעה חלה, בין היתר, כאשר מאגר כולל מידע בעל רגישות מיוחדת בהיקף המגיע לספי הדיווח; בטופס ההודעה נדרש לציין את המועד שבו עברתם את רף 100,000 נושאי מידע. אי-עמידה בחובת ההודעה גוררת עיצום.

מינוי DPO

חובה בגופים ציבוריים ובארגונים פרטיים מסוימים שעיסוקם מייצר סיכון מוגבר (לרבות עיבוד נרחב של מידע רגיש-במיוחד או ניטור שיטתי ומתמשך). מסמך ה“גילוי דעת” מסייע בפירוט מבחנים ודוגמאות יישומיות.

אכיפה, עיצומים ודוגמאות

הפרות על תקנות אבטחת המידע ממוסגרות במדרג עיצומים לפי רמות אבטחה; קבוצות מסוימות כוללות חובות תיעוד, גיבוי, נהלי אבטחה ומסמכי הגדרות מאגר — עם תעריפי בסיס נפרדים ושיעורי רצפה.
בנוסף קיימות נוסחאות “לפי ראש” בעבירות איסוף/יידוע, עם רצפת עיצום גבוהה יותר במידע רגיש-במיוחד.

מה המשמעות לעסקים קטנים?

גם עסק קטן שאינו מגיע לרף הדיווח/מינוי, מחויב לעמוד במלוא ההוראות המהותיות (ניהול חוקי, אבטחה, זכויות נושאי מידע, יידוע וכד’). פטור מרישום או היעדר חובת הודעה אינם פוטרים מהחובות המהותיות.

מתודולוגיית יישום פרקטית (תמצית)

1. מיפוי מאגרים ותהליכים; 2) קביעת רמת אבטחה ויישום נוהל אבטחה ומסמך הגדרות מאגר; 3) בדיקת ספי הודעה/מינוי; 4) עיגון הסכמי מחזיקים; 5) ניהול זכויות נושאי מידע; 6) ביקורות, לוגים (24 חודשים) והפקת לקחים.

סיכום

תיקון 13 יוצר שכבת הגנה עדכנית ומשמעותית על פרטיותנו, אך גם דורש מבעלי מאגרים — קטנים כגדולים — להתנהל באופן ממושמע, מתועד ומבוקר. ארגון שיבחן נכון את ספי החובה (הודעה/מינוי), ייישם את תקנות האבטחה הלכה למעשה, ויקפיד על יידוע ושמירת זכויות — יצמצם חשיפה לעיצומים ולתביעות ויחזק אמון לקוחות.

צרו קשר וקבעו פגישה לקבלת אפיון, ניתוח וייעוץ כולל לגבי החובות החלים על העסק שלכם לפי חוק הגנת הפרטיות.