קידום אתרים » בלוג » תיקון 13 לחוק הגנת הפרטיות: המדריך המעשי לבעלי אתרים

תיקון 13 לחוק הגנת הפרטיות: המדריך המעשי לבעלי אתרים

עידן חדש של פרטיות בישראל

ה-14 באוגוסט 2025 הוא תאריך שמסמן עידן חדש בנוף הטכנולוגי בישראל. ביום זה נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – לא עוד עדכון קוסמטי, אלא הרפורמה המקיפה והדרמטית ביותר בחוק מאז ומעולם. מטרתה ברורה: להתאים את החקיקה הישראלית למציאות הדיגיטלית וליישר קו עם הסטנדרטים הגבוהים בעולם, ובראשם תקנת ה-GDPR האירופית.

למה זה קורה עכשיו?

המהפכה הזו נולדה משתי סיבות מרכזיות. ראשית, החוק הישן פשוט לא התאים לעידן של רשתות חברתיות, בינה מלאכותית וכלים אנליטיים מתוחכמים. שנית, וחשוב לא פחות, התיקון חיוני כדי לשמר את מעמדה של ישראל כמדינה עם "הגנה נאותה" (Adequacy) בעיני האיחוד האירופי – תנאי הכרחי לזרימת מידע ולעסקים עם אירופה.

מה זה אומר עבורך?

כבעל עסק או אתר, קטן כגדול, התיקון הוא לא המלצה אלא חובה. התעלמות ממנו חושפת אותך לסיכונים משפטיים וכלכליים חסרי תקדים. מדריך זה יפרק עבורך את השינויים, יסביר את המונחים החדשים ויספק תוכנית פעולה ברורה, צעד אחר צעד, כדי להבטיח שהאתר שלך עומד בדרישות.

כדי להבין את ההבדלים והדמיון, הנה טבלת השוואה מהירה בין תיקון 13 ל-GDPR:

נושא	תיקון 13 (ישראל)	GDPR (האיחוד האירופי)
חובת דיווח על אירוע אבטחה	חובה לדווח לרשות ולנושא המידע במקרים חמורים	חובה לדווח לרשות תוך 72 שעות ולנושא המידע במקרה של סיכון גבוה
עיצומים כספיים	עד מיליוני ש"ח בהתאם להיקף ההפרה	עד 20 מיליון אירו או 4% מהמחזור העולמי
חובת מינוי DPO	חובה לגופים ציבוריים ולחברות שמבצעות עיבוד בהיקף רחב	לא חובה לכל גוף, רק לגופים מסוימים
הבחנה בקר/מעבד	קיימת, עם חובת הסכמים כתובים	קיימת, עם אחריות מוגברת לבקר
חובת הערכת סיכונים	נדרשת הערכה תקופתית	נדרשת הערכת PIA/DPIA במקרים של עיבוד עתיר סיכון
אמצעי אבטחת מידע	מוגדרים בתקנות הרשות	מוגדרים עקרונית, על הארגון להתאים

לב המהפכה של תיקון 13 לחוק הגנת הפרטיות: שפה ואחריות חדשה

השינוי הגדול ביותר הוא המעבר מהתמקדות ב"מאגרי מידע" להתמקדות ב**"עיבוד מידע אישי"**. המשמעות: החוק חל על כל מי שנוגע במידע אישי, לא רק על מי שמחזיק "מאגר" רשום. כדי להבין זאת, חובה להכיר את המונחים החדשים:

מידע אישי: תשכחו ממה שידעתם. לא מדובר רק בשם או טלפון. מעכשיו, כל נתון שניתן לקשר לאדם (במישרין או בעקיפין) הוא מידע אישי. זה כולל כתובות IP, מזהי עוגיות (Cookies), נתוני מיקום והיסטוריית גלישה.
עיבוד: כל פעולה שנעשית על מידע אישי. איסוף, שמירה, ניתוח, שליחה, שיתוף ואפילו מחיקה. שימוש בגוגל אנליטיקס הוא "עיבוד". שליחת ניוזלטר היא "עיבוד". הפעלת פיקסל של פייסבוק היא "עיבוד".
בעל שליטה – (Data Controller) זה אתה, בעל האתר. אתה קובע למה אוספים את המידע (לשיווק, לשיפור שירות) ואיך (באמצעות טופס, פיקסל). האחריות המשפטית הראשית היא שלך.
מחזיק – (Data Processor) גורם חיצוני שמעבד את המידע עבורך. דוגמאות קלאסיות הן גוגל (אנליטיקס, Ads), מטא (פייסבוק), חברות דיוור (Mailchimp), ספקי אחסון ו-CRM.

הבנת החלוקה הזו קריטית. אתה, כ"בעל שליטה", אחראי לוודא שגם ה"מחזיקים" שלך (גוגל, פייסבוק וכו') פועלים לפי החוק.

הבחנה קריטית: מידע חיוני מול מידע לא חיוני

חשוב לדעת שהחוק מפריד בין עיבוד מידע חיוני לבין עיבוד מידע שאינו חיוני. הגולש יכול לסרב לעיבוד מידע שאינו חיוני, ואילו על מידע חיוני קיימת רק החובה ליידע את הגולש.

דוגמאות לעיבוד מידע חיוני באתרים שונים:

הוספת מוצרים ותשלום באתר אי-קומרס.
אתר שמחייב אתכם להקליד פרטים אישיים כדי לתת לכם שירות (לדוגמה, אתרים כמו "הר כסף").
מניפולציה על קובץ שהגולש מעלה (לדוגמה, אתר לשינוי גודל של תמונות).

השריף החדש בעיר: אכיפה, קנסות וסנקציות

אם עד היום חוק הגנת הפרטיות נחשב ל"אות מתה", תיקון 13 לחוק הגנת הפרטיות שינה את כללי המשחק והעניק לרשות להגנת הפרטיות "שיניים" אמיתיות:

קנסות מנהליים גבוהים: הרשות יכולה להטיל קנסות של מאות אלפי שקלים ויותר ישירות על מפרים, ללא צורך בהליך פלילי ארוך.
סמכויות חקירה נרחבות: הרשות יכולה לזמן עובדים לחקירה, לדרוש מסמכים ולהוציא צווים להפסקת פעילות או למחיקת מידע.
תביעות ייצוגיות קלות יותר: אזרחים יכולים לתבוע פיצויים ללא הוכחת נזק, מה שמגביר דרמטית את הסיכון לתביעות אישיות וייצוגיות נגד עסקים. המסר ברור: הסיכון הכרוך באי-ציות הפך לממשי ומיידי.

חשוב להוסיף כי אם מדובר בהפרה בוטה של מידע רגיש שמוגדר בתיקון 13 לחוק (כמו למשל העדפות מיניות או מצב בריאותי), מדובר בעבירה פלילית שיכולה להביא גם למאסר.

בנוגע להפרות חמורות פחות, ישנם עיצומים כספיים שיכולים להגיע לעשרות אלפי שקלים לעסקים בינוניים או מאות אלפי שקלים לעסקים גדולים. לדוגמה, שימוש במידע שלא למטרה עליה הצהרתם תגרור עיצום כספי בגובה של 50,000 ₪.

ומה עם תביעות אזרחיות?
כאן קיימת נקודה מעניינת: מצד אחד, כמו בחוק הספאם, גם כאן אדם פרטי שנאסף עליו מידע פרטי ללא הסכמתו יכול לתבוע את האתר שהפר את החוק ללא הוכחת נזק.

מצד שני, התוספת לחוק כן מנסה למנוע גל של תביעות המוניות כפי שקרה עקב חוקי הנגישות עבור אתרי אינטרנט לבעלי אתרים שלא היו מודעים לחובה להוסיף הצהרות נגישות.

תובע שינסה להגיש תביעות המוניות יצטרך להתאמץ קצת יותר. למשל, הוא אומנם לא חייב להוכיח נזק, אבל הוא כן חייב להוכיח שהאתר פגע בו.

תוכנית הפעולה שלך: מדריך צעד-צעד

כדי להבטיח יישום תיקון 13 באופן נכון, יש לפעול לפי עיקרון מנחה אחד: נדרשת הסכמה מפורשת (Opt-in). הסכמה שבשתיקה מתה. הנה 5 הצעדים שכל בעל אתר חייב לבצע:

שדרגו את מדיניות הפרטיות

מדיניות הפרטיות הופכת למסמך החשוב ביותר באתר. היא חייבת להיות שקופה, ברורה וספציפית לעסק שלך, ולענות בשפה פשוטה: מה אתם אוספים, למה, עם מי אתם משתפים (לציין את שמות ה"מחזיקים" כמו גוגל ומטא), כמה זמן שומרים, ואיך המשתמש יכול לממש את זכויותיו.

הוסיפו תיבות אישור (צ'קבוקס) לא מסומנות

תיבה קטנה עם השפעה גדולה. בכל טופס באתר (יצירת קשר, ניוזלטר, רכישה) חייבת להיות תיבת אישור שהמשתמש צריך לסמן באופן אקטיבי. לצדה יש לקשר לתנאי השימוש ומדיניות הפרטיות.

התקינו באנר הסכמה לעוגיות (CMP)

אם יש לכם באתר גוגל אנליטיקס, פיקסל של פייסבוק, Hotjar או כל כלי מעקב אחר – רצוי לקבל הסכמה מפורשת לפני שהסקריפטים האלה נטענים. באנר תקין חייב:

להציע כפתורי "קבל הכל" ו"דחה הכל" ברורים ובולטים באותה מידה.
לאפשר למשתמש לבחור אילו סוגי עוגיות הוא מאשר (למשל, שיווק, אנליטיקה).
לוודא ששום סקריפט לא חיוני לא נטען לפני שהמשתמש לחץ "אישור".

בנו תהליך לניהול זכויות משתמשים

"הזכות להישכח" היא כבר לא תיאוריה. אתם חייבים להיות ערוכים לטפל בבקשות מחיקה. הגדירו תהליך פנימי פשוט: קבעו מייל ייעודי לקבלת בקשות, ודאו את זהות הפונה, ומחקו את המידע שלו מכל המערכות שלכם (CRM, רשימות דיוור וכו').

מינוי ממונה הגנת פרטיות (תיקון 13 DPO)

החובה למנות ממונה (DPO) חלה אם אתם: מעסיקים מעל 20 עובדים, גוף ציבורי, או עוסקים בעיבוד מידע רגיש או מעקב שיטתי. הממונה חייב להיות נטול ניגוד עניינים (מנהל שיווק לא יכול להיות DPO). מינוי זה הוא אחת מהדרישות המרכזיות של תקנות הגנת הפרטיות תיקון 13 לגופים הרלוונטיים. ניתן לשכור "ממונה חיצוני" (DPO-as-a-Service), פתרון יעיל לעסקים קטנים ובינוניים המעוניינים לעמוד בדרישותDPO Israel amendment 13 .

ניסוח דף הצהרת הפרטיות

יש הרבה תבניות ונוסחים כלליים לדף הצהרת הפרטיות הכולל הסבר על כל המידע שנאסף ומעובד באתר, אבל הגולש חייב שתהיה לו גישה למדיניות הפרטיות של כל גוף צד שלישי שאתם משתמשים בו.

הבעיה היא שלעיתים מדיניות הפרטיות של צד שלישי לא עונה על כל הדרישות של החוק הישראלי מבחינת היידוע של הגולש. לדוגמה, Consent Mode של גוגל עדיין אוסף מידע מינימלי על הגולש, אבל הדבר לא מצוין במדיניות הפרטיות שלה.

לכן אתם חייבים להיות מודעים לפערי המידע האלו ולבדוק היטב מה כל מערכת חיצונית אוספת על הגולש כדי שתוכלו להוסיף את הסעיפים הללו למדיניות שלכם.

איך מוסיפים את הטופס עצמו לאתר?

במידה ואתם עושים שימוש במערכת ניהול תוכן כמו וורדפרס, ההטמעה של דרישות תיקון 13 לחוק הגנת הפרטיות באתר שלכם היא פשוטה יחסית. יחד עם זאת, אנחנו ממליצים לבצע בדיקה מקצועית על ידי גורם אובייקטיבי.

התוסף המומלץ שלנו לוורדפרס הוא Complianz . קיימות גם גרסאות פרימיום במחיר של כמה עשרות דולרים לאתר שרוצה לעמוד בתקנים של חברות הפרסום הגדולות (ראו בהמשך).

גם ב-Shopify הוא בחינם עבור מי שבונה את החנות שלו. אם כבר פרסמתם אותה, הוא יעלה לכם 2.99$ לחודש (נכון לאוגוסט 2025). מחיר מצחיק כדי להגן על עצמכם מבחינה חוקית.

כיצד התיקון לחוק ישפיע על פונקציות מתקדמות במערכות של גוגל ופייסבוק?

את התשובה לשאלה הזו צריך לחלק לשניים:

1.פונקציות שחייבים לעמוד בדרישות החוק כדי להפעיל אותן.
2.מגבלות של גוגל ופייסבוק שכנראה יוחלו גם על ישראל בשלב מסוים.

דוגמאות לפונקציות שמוגבלות על ידי החוק עצמו ודורשת הסכמה מראש:

יצירת רשימות Remarketing
יצירת קהלים מותאמים אישית בפייסבוק על ידי שליחת מייל וטלפון
User ID בגוגל אנאליטיקס – נעשה על מנת לאסוף מידע על גולש שעובר בין כמה ערוצים (Cross Device)
מעקב אחרי המרות עם פיקסלים של פייסבוק או תג ההמרות של גוגל.

דוגמאות לפונקציות שגוגל ופייסבוק כבר מגבילות במדינות שונות:

הגבלה על קהלים דומים בפייסבוק
הצגה של פרסומות מתואמות אישית במדינות מסוימות (המודעות שיוצגו הן מודעות כלליות ופחות אפקטיביות)

חשוב לציין שפונקציות אלו יכולות להשתנות על פי החוק המקומי

אזהרה קריטית: מה לא לעשות

אל תפעילו כלים כמו "Enhanced Conversions" בגוגל או "Advanced Matching" בפייסבוק מבלי הסכמה מפורשת ונפרדת.
אל תתעלמו מבקשות של משתמשים. חוסר מענה הוא הפרה של החוק.
אל תניחו שבונה האתרים שלכם אחראי. האחריות החוקית, כ"בעל שליטה", היא שלכם בלבד.

סיכום: פרטיות היא לא באג, היא פיצ'ר

לסיכום, תיקון 13 לחוק הגנת הפרטיות (ניתן להוריד את הנוסח המלא של תיקון החוק באתר הרשות להגנת הפרטיות) הוא קריאת השכמה. הוא הופך את כיבוד פרטיות המשתמשים מחובה משפטית להזדמנות עסקית. ארגון שמכבד את פרטיות לקוחותיו בונה אמון, מחזק את המותג ומפגין אחריות. התחילו את תהליך ההתאמה עוד היום. זה לא רק יגן עליכם מפני קנסות, זה יהפוך את העסק שלכם לאמין וטוב יותר.

***הבהרה: המידע במאמר זה כללי ונאסף על ידי מידע קיים ברשת ואינו מהווה ייעוץ משפטי.
לפני נקיטת פעולה כלשהי, מומלץ להיוועץ עם עורך דין. השימוש במידע הוא על אחריות
הקורא בלבד.***

שאלות ותשובות נפוצות בנושא תיקון 13 לחוק הגנת הפרטיות

אז בקצרה, מה אומר תיקון 13 לחוק הגנת הפרטיות?

הוא קובע כללים מחמירים יותר לאיסוף ועיבוד מידע אישי, דורש הסכמה מפורשת מהמשתמשים לכל פעולה (Opt-in), מגדיל משמעותית את הקנסות על הפרות, ומעניק למשתמשים יותר שליטה על המידע שלהם, כולל הזכות למחוק אותו.

האם תיקון 13 לאתרים תדמיתיים חל גם אם האתר שלי רק אוסף לידים?

כן, ברגע שאוספים ומעבדים פרטים אישיים, החוק חל.

מה הדגש המיוחד של תיקון 13 לאתרי מסחר?

באתרי מסחר, חשוב במיוחד לשים לב לתהליך הצ'קאאוט. יש לקבל הסכמה נפרדת (בצ'קבוקס לא מסומן) לעיבוד פרטי התשלום, להסכמה לתנאי השימוש, ולהסכמה לקבלת דיוור שיווקי. אסור לכרוך הסכמות יחד.

מה ההבדל בין הצ'קבוקס בטופס לבאנר העוגיות?

צ'קבוקס הוא הסכמה לשימוש במידע שנשלח בטופס. באנר עוגיות הוא הסכמה למעקב וניתוח פעילות באתר.

אני יכול פשוט להעתיק מדיניות פרטיות מאתר אחר?

לא, המדיניות חייבת לשקף במדויק את איסוף המידע ורשימת הכלים הספציפיים שלך.

אני באמת צריך באנר אם אני משתמש רק בגוגל אנליטיקס?

כן, כי גוגל אנליטיקס אוסף מזהים אישיים ודורש הסכמה מוקדמת.

מה הסיכון הריאלי אם לא אציית לחוק?

הסיכון גבוה וכולל קנסות, תביעות ייצוגיות, פגיעה במוניטין ועצירת פעילות.

האם מנהל השיווק שלי יכול להיות הממונה על הגנת הפרטיות (DPO)?

כנראה שלא, בגלל ניגוד עניינים מובנה בין תפקידו כמנהל שיווק לתפקיד הממונה.

האם אני חייב למחוק מידע של משתמש גם מגיבויים?

יש לבודד את המידע בגיבויים וליידע את המשתמש מתי הוא יימחק סופית.

כמה זמן עליי לשמור תיעוד של הסכמת המשתמש?

יש לשמור תיעוד כל עוד המידע מעובד על סמך ההסכמה, וגם זמן מה לאחר מכן להוכחת עמידה בחוק.

אני מרגיש מוצף. מאיפה להתחיל?

התחל במיפוי: רשום איזה מידע אתה אוסף, למה אתה אוסף אותו ועם מי אתה משתף אותו.

האם מדובר רק בהגנה על הלקוחות?

לא, זו תרבות ארגונית שבונה אמון ומחזקת את המותג. פרטיות היא נכס עסקי.

אילו דרישות חוקיות קיימות לצורך איסוף מידע לצרכים שיווקיים?

נדרשת קבלת אישור מפורש וברור מהמשתמש (Opt-in), כאשר סימון ברירת מחדל מראש אינו נחשב להסכמה תקפה.

האם הוראות התיקון חלות גם על חברות וארגונים מחוץ לישראל?

כן. ההוראות חלות על כל גורם שפונה לקהל בישראל, גם אם פעילותו מתבצעת מחו"ל, לרבות פלטפורמות בינלאומיות כמו פייסבוק וגוגל.

מאמר מעניין ? השיתוף קל, רוצו על זה:

מנהל פרויקטים SEO

ערן סיגל

נשוי +1, הגעתי לתחום ה-SEO לאחר כארבע שנים בניהול קמפיינים ממומנים. גיליתי עולם מרתק שמשלב מקצועיות עם סיפוק, תוך מתן שירות איכותי ללקוחות – וכל זאת עם דגש על קידום אורגני שמייצר תוצאות לאורך זמן.