← הבלוג

תיקון 13: מה כל עסק חייב לעשות — והקנסות אם לא

AYIT Cyber Security

החוק החדש להגנת הפרטיות כבר בתוקף, הרשות כבר יצאה לאכיפה, וזה כבר לא נוגע רק לתאגידי הענק. אם העסק שלך אוסף פרטי לקוחות, מועמדים לעבודה או ספקים — החובות החדשות חלות עליך כבר עכשיו.

תיקון 13 הוא העדכון המשמעותי ביותר לחוק הגנת הפרטיות מאז שנחקק ב-1981. הוא נכנס לתוקף ב-14 באוגוסט 2025, ובמילים של ראש הרשות להגנת הפרטיות — הוא "תמחר מחדש את הזכות לפרטיות". בעבר הפרה של החוק עלתה לעסק עשרות אלפי שקלים במקרה הרע; היום הרשות מוסמכת להטיל עיצומים בסדר גודל של מיליוני שקלים. הנה מה שצריך לדעת — בלי פאניקה ובלי ז'רגון.

מה השתנה, ולמה זה נוגע גם אליך

מבחינה עסקית, השינוי הוא לא רק בגובה הקנס. עד היום הרשות בעיקר הנחתה ותיקנה. תיקון 13 הפך אותה לרגולטור עם שיניים — סמכות לחקור, לדרוש מסמכים, להורות על הפסקת עיבוד מידע, ולקנוס ישירות. בשביל בעל עסק זה אומר דבר אחד: הגנת הפרטיות עברה מ"נחמד שיש" לסעיף ניהול סיכונים אמיתי — כמו בטיחות בעבודה או עמידה בתקני כבאות.

ונקודה שחשוב להבין: אין תקופת חסד כללית. החובות המהותיות — יידוע לקוחות, אבטחת מידע, ניהול מאגרים — חלות מהיום הראשון. הדחייה היחידה שהייתה נגעה רק למינוי ממונה הגנת פרטיות, והיא הסתיימה ב-31 באוקטובר 2025.

ועוד הבהרה שחוסכת הרבה אי-הבנות: החוק לא מבחין בין "לשמור" מידע ל"לעבד" אותו. נוסח החוק מגדיר "עיבוד" ככל פעולה שנעשית על מידע אישי — כולל עצם האחסון, העיון או מתן הגישה. כלומר גם אם אתה רק מחזיק טפסי 101 ותלושי שכר בארון או בתיקיית רשת ולא "עושה איתם כלום" — מבחינת החוק זה כבר עיבוד, והחובות חלות.

הקנסות — המספרים האמיתיים

זה החלק שמנכ"לים שואלים עליו ראשון, אז נדבר בכסף:

  • 5% ממחזור העסקאות השנתי — תקרת העיצום המנהלי. במקרים חמורים מגיע למיליוני שקלים.
  • 10,000 ₪ — פיצוי שלקוח יכול לתבוע ללא הוכחת נזק. מצטבר לפי מספר הנפגעים.
  • עד 3 שנות מאסר — במקרה של עבירה פלילית. החוק לא מבדיל בין חברה לאדם פרטי שמעבד מידע.

עכשיו לחלק שהופך את כל זה ממילים על הנייר למציאות: הרשות כבר אוכפת. בשנת 2024 נרשמו שלוש הפרות בלבד, ללא קנסות. בשנת 2025 כבר ננקטו 33 פעולות אכיפה — בכמחצית מהן הוטלו קנסות, בסכומים שנעו בין 5,000 ₪ ל-75,000 ₪. רוב ההפרות נגעו דווקא לאבטחת מידע ולאי-עמידה בחובת היידוע. בדצמבר 2025 הרשות הודיעה שהחלה הליכי פיקוח רוחב יזומים על מגזרים שלמים — רשויות מקומיות, חברות סחר אונליין, אפליקציות נפוצות ועוד — וגופים שלא נכללו בגל הראשון צפויים להיכלל בהמשך.

כדי להבין כמה השתנה, שווה להסתכל אחורה. בסוף 2022 הרשות קנסה חברת מאגרי מידע שסחרה במידע של מיליוני ישראלים — והקנס הכולל הסתכם ב-320 אלף ש"ח בלבד, כי התקרה דאז הייתה 25 אלף ש"ח להפרה. זו בדיוק המגבלה שתיקון 13 בא לשבור: היום אותו תיק יכול להיגמר בעיצום הגדול פי כמה וכמה. ידיה של הרשות כבר לא כבולות.

הצעד הראשון — באיזו "רמת אבטחה" העסק שלך נמצא?

לפני שרצים לתקן, צריך לדעת מה בכלל חל עליך. תקנות אבטחת המידע מסווגות כל מאגר מידע לאחת מארבע רמות — לפי מי מנהל אותו, כמה אנשים ניגשים אליו, כמה הוא רגיש, ומה מטרתו. הרמה קובעת אילו מסמכים ובקרות אתה חייב להחזיק.

הטבלה עונה על שאלה אחת: אילו מסמכים ובקרות אבטחה החוק דורש ממך.
רמת אבטחה מי נכנס לקטגוריה מה זה אומר בפועל
מנוהל בידי יחיד מאגר שמנהל אדם אחד (או תאגיד בבעלות יחיד), והגישה אליו מוגבלת לבעלים ולכל היותר עוד שני בעלי הרשאה. מתאים לעסק קטן מאוד שלא מחזיק מידע רגיש. החובות הקלות ביותר: הגנה בסיסית והיגיון בריא. בלי דרישות תיעוד מורכבות.
בסיסית ברירת המחדל לרוב העסקים: כל מאגר שאינו מנוהל בידי יחיד, אינו מכיל מידע רגיש, ולא נכנס לרמות הגבוהות יותר. מסמך הגדרות מאגר, נוהל אבטחת מידע כתוב, ניהול הרשאות גישה, זיהוי משתמשים, ותיעוד אירועי אבטחה.
בינונית מאגר עם יותר מ-10 מורשי גישה, או שמטרתו מסירת מידע לאחר (דיוור ישיר), או של גוף ציבורי, או כל מאגר שמכיל מידע רגיש — רפואי (כולל אישורי מחלה), נתוני שכר ופיננסי, ביומטרי, גנטי או פלילי. רוב תיקי ה-HR נכנסים לכאן. כל מה שבבסיסית, ובנוסף: דיון שנתי באירועי אבטחה, שמירת לוגים 24 חודשים, ודיווח מיידי לרשות על אירוע חמור.
גבוהה מאגרים גדולים או רגישים בהיקף ניכר. כל מה שבבינונית, ובנוסף: סקר סיכונים ומבדקי חדירות אחת ל-18 חודשים, דיון רבעוני, ובקרת כניסה פיזית.

ברשת מסתובבת טעות נפוצה שלפיה "10,000 לקוחות" מכניסים אותך לרמה בינונית. זה לא מדויק — סף ה-10,000 נושאי מידע רלוונטי בעיקר כחריג שמוציא מאגר מקטגוריית "מנוהל בידי יחיד". הטריגר המעשי לרמה הבינונית הוא בדרך כלל מספר מורשי הגישה (מעל 10) או עצם קיומו של מידע רגיש — לא כמות הלקוחות כשלעצמה.

מי בסגמנט הרגיש — וגם מפעל ייצור

קליניקות, יועצים פיננסיים וחברות גיוס מחזיקים מידע רגיש כעיסוק, ולכן קופצים אוטומטית לרמה הבינונית. אבל גם מפעל ייצור "רגיל" מגיע לשם בלי לשים לב — ברגע שהוא מנהל תיקי עובדים עם אישורי מחלה, תלושי שכר ופרטי בנק. החדשות הטובות: זה לא הופך אותך לחברת סייבר. רוב העבודה היא סדר ארגוני — נוהל, הרשאות, יידוע — לא רכש תשתיות יקרות.

שלושת הצעדים המעשיים הראשונים

מעבר לסיווג הרמה, יש שלושה דברים שכמעט כל עסק צריך לסדר:

1. מסמכי החובה

כל "בעל שליטה במאגר" — כל חברה שאוספת ומנהלת מידע אישי לצרכיה — חייב להחזיק שלושה מסמכים: מסמך הגדרות מאגר, נוהל אבטחת מידע, ומסמך מיפוי מערכות. אלה לא פורמליות ריקה; הם המפה שמראה לך (ולרשות) איזה מידע יש לך ואיך הוא מוגן.

2. שקיפות מול הלקוח

בכל נקודה שבה אתה אוסף מידע — טופס באתר, טופס הצטרפות, שיחת מכירה — צריך ליידע את הלקוח מי אוסף את המידע, לשם מה, ומה זכויותיו (לעיין במידע ולתקן אותו). היעדר יידוע תקין הוא אחת ההפרות הנפוצות שהרשות כבר קונסת עליהן.

3. הספקים שלך הם החשיפה שלך

אם אתה מעביר מידע אישי לגורם חיצוני — מערכת CRM, שירות SaaS, מוקד שירות, חברת דיוור — אתה אחראי גם למה שקורה אצלם. החוק דורש הסדרה חוזית (Data Processing Agreement) מול כל ספק כזה. נקודה שעסקים רבים מפספסים, כי קל לשכוח שהמידע "יצא מהבית".

ומה לגבי מינוי ממונה הגנת פרטיות (DPO)?

כאן חשוב לא להתבלבל: חובת מינוי DPO לא נקבעת לפי הטבלה למעלה, אלא לפי סוג הגוף ואופי העיבוד. החובה חלה בעיקר על גופים ציבוריים, על מי שעיסוקו סחר במידע, על מי שמבצע ניטור שיטתי בהיקף ניכר, ועל מי שמעבד מידע רגיש בהיקף ניכר. רוב העסקים הקטנים שמעבדים מידע בסיסי לא חייבים במינוי — אבל אם אתה בסגמנט הרגיש, זו שאלה שכדאי לבדוק לעומק ולא להניח לגביה. תקופת אי-האכיפה הזמנית על סעיף זה כבר הסתיימה.

איפה להתחיל

הצעד הראשון הוא תמיד לדעת איפה אתה עומד: אילו מאגרים יש לך, באיזו רמה הם מסווגים, ואיפה הפערים. זה לא פרויקט ענק — זו בדיקה מסודרת שנותנת לך שקט ותמונה ברורה.

רוצה לבדוק איפה העסק שלך עומד מול תיקון 13? קבע שיחת היכרות (30 דק׳, בחינם, ללא מחויבות) ←

מקורות

המידע נכון ליום הפרסום. פרשנות החוק והנחיות הרשות מתעדכנות מעת לעת, וגובה עיצומים בפועל נקבע לפי נסיבות המקרה — מומלץ לאמת מול הפרסומים העדכניים ולהיוועץ בגורם מוסמך.

תוכן זה הוא מידע כללי ואינו מהווה ייעוץ משפטי. לבחינת חובותיכם הספציפיות לפי תיקון 13 מומלץ להיוועץ בגורם מוסמך.

שאלות נפוצות

מה זה בכלל "מידע בעל רגישות מיוחדת"?

זו קטגוריה שהחוק מגדיר במפורש, והיא רחבה יותר ממה שרובם מניחים. היא כוללת מידע על מצב בריאותי, מידע רפואי או נפשי, מידע גנטי, מידע ביומטרי, מוצא, עבר פלילי, דעות פוליטיות או אמונות דתיות, נתוני מיקום — ותיקון 13 הוסיף גם נתוני שכר ופעילות פיננסית והערכת אישיות מקצועית (למשל מבחני השמה). אם המאגר שלך מכיל אחד מאלה, הוא נחשב רגיש — וזה בדרך כלל מה שמקפיץ אותו לרמת אבטחה בינונית.

אני אוסף אישורי מחלה של עובדים ב-HR — זה מאגר רגיש?

כן. אישור מחלה הוא מידע רפואי, שנכלל ב"מידע בעל רגישות מיוחדת". מאגר תיקי העובדים שלך — שמכיל אישורי מחלה, ולרוב גם נתוני שכר ופרטי בנק — נחשב מאגר רגיש, ולכן ככלל נכנס לרמת האבטחה הבינונית. זה לא אומר שצריך להיבהל; זה אומר שצריך נוהל אבטחה כתוב, ניהול הרשאות ברור למי שניגש לתיקים, ויידוע העובדים. רוב מפעלי הייצור כבר מחזיקים את המידע הזה — העבודה היא להסדיר את האופן שבו הוא נשמר ומי ניגש אליו.

אני שומר פרטי העברות שכר (סכום, חשבון בנק) — זה רגיש?

כן. תיקון 13 הוסיף במפורש נתוני שכר ופעילות פיננסית לרשימת המידע הרגיש. שמירת תלושי שכר, פרטי חשבון בנק וסכומי העברה היא החזקת מידע רגיש — בדיוק כמו אישורי מחלה. מבחינה מעשית זה אומר שמאגר ה-HR והשכר שלך יושב ברמת אבטחה בינונית, ויש לו דרישות תיעוד והרשאות בהתאם.

אבל אני רק שומר את המידע מנהלתית — לא מעבד אותו לצרכי העסק. יש הבדל?

זו אחת התפיסות השגויות הנפוצות ביותר, ולכן חשוב לדייק: החוק לא מבחין בין "שמירה" ל"עיבוד". נוסח החוק מגדיר "עיבוד" ככל פעולה שנעשית על מידע אישי — לרבות אחסונו, העתקתו, עיון בו וגישה אליו. כלומר עצם השמירה של טופס 101 או פרטי חשבון בנק היא כבר "עיבוד" לעניין החוק, גם אם אתה לא עושה במידע שום דבר "פעיל" לצרכי העסק. ההבחנה בין מנהלתי לעסקי לא מקטינה את החובות.

אני חברת ייצור — אני צריך להפוך לחברת הייטק ולקנות תשתיות יקרות?

לא. זו בדיוק הנקודה שחשוב להבין. עמידה בתיקון 13 היא בעיקרה סדר ארגוני, לא תקציב טכנולוגי: נוהל אבטחה כתוב, רשימת הרשאות מסודרת (מי ניגש לתיקי ה-HR), יידוע עובדים, והסכם מול ספק השכר. אלה דברים שמסדירים פעם אחת ומתחזקים. גם העובדה שאתה מחזיק מידע רגיש (שכר, אישורי מחלה) לא הופכת אותך למי שחייב למנות ממונה הגנת פרטיות — חובת הממונה חלה על מי שעיבוד מידע רגיש הוא עיסוקו העיקרי (בנקים, בתי חולים), לא על מפעל שמנהל תיקי עובדים אגב פעילותו. אתה לא צריך להיות חברת סייבר; אתה צריך להיות מאורגן.

מה ההגדרה של "מורשה גישה"?

מורשה גישה הוא כל אדם שיש לו גישה למאגר על פי הרשאה שלך כבעל המאגר — בפועל, כל עובד אצלך שנכנס למערכת שבה שמור המידע. שים לב: ספק חיצוני שמעבד עבורך מידע (למשל תוכנת שכר חיצונית) לא נספר כ"מורשה גישה" שלך לצורך הסף — הוא "מחזיק" נפרד, שמולו צריך הסכם. הספירה הזו חשובה כי יותר מ-10 מורשי גישה היא אחד הטריגרים לרמת אבטחה בינונית.

מי סופג את העיצום — החברה או אדם פרטי?

ככלל, האחריות מוטלת על "בעל השליטה במאגר" — מי שקובע את מטרות עיבוד המידע, שזו בדרך כלל החברה עצמה (האישיות המשפטית), לא אדם פרטי ולא "הרשם". תיקון 13 ביטל את תפקיד "מנהל המאגר" והעביר את מלוא החובות לבעל השליטה. עם זאת — בעבירות פליליות לפי החוק קיימת גם חשיפה אישית של נושאי משרה, ולכן זו לא אחריות שאפשר "להחביא" מאחורי החברה לחלוטין.

האם תיקון 13 חל גם על עסק קטן?

כן. מועד הכניסה לתוקף חל על כל העסקים והארגונים, ללא יוצא מן הכלל. ההבדל הוא ברמת הדרישות — עסק קטן עם מידע לא-רגיש ייפול ברמה הבסיסית עם חובות קלות יחסית, אבל גם הוא חייב להחזיק מסמכי בסיס וליידע לקוחות.

אני חייב למנות ממונה הגנת פרטיות?

לא בהכרח. החובה תלויה בסוג הגוף ובאופי עיבוד המידע — לא בגודל גרידא. גופים ציבוריים, סוחרי מידע, ומי שעיבוד מידע רגיש בהיקף ניכר הוא עיסוקו העיקרי — חייבים. עסק שמעבד מידע בסיסי, או מחזיק מידע רגיש רק אגב ניהול עובדים, לרוב פטור. אם אתה לא בטוח לאיזה צד אתה נופל — זו בדיוק שאלה ששווה לברר מראש.

מה הקנס המקסימלי שאני חשוף אליו?

העיצום המנהלי מוגבל לתקרה של 5% ממחזור העסקאות השנתי, ובמקרים חמורים מגיע למיליוני שקלים. בנפרד, לקוח יכול לתבוע עד 10,000 ₪ ללא הוכחת נזק — וסכום זה מצטבר לפי מספר הנפגעים.

רוצה לדבר על זה? ←