מאת /
תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות - המדריך המלא למפתחים, ארגוני תוכנה ומנהלי מערכות

כיצד התיקון משנה את כללי המשחק, ומה המשמעות המעשית לעולם התוכנה?

המדריך אינו מהווה תחליף לייעוץ משפטי!

תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2024) הוא הרפורמה המקיפה ביותר שנעשתה בישראל מאז 1981. התיקון מעדכן את ההגדרות, מרחיב את סמכויות האכיפה, מטיל חובות חדשות על ארגונים, ומיישר קו עם סטנדרטים בינלאומיים כמו ה‑GDPR.

תיקון 13 לחוק הגנת הפרטיות אושר בכנסת ב־5 באוגוסט 2024, והוא ייכנס לתוקף באופן רשמי ב־14 באוגוסט 2025. זהו מועד אחיד וברור שנקבע בחוק, והוא מעניק לארגונים בישראל כשנה להיערכות מלאה לדרישות החדשות.

התיקון משפיע ישירות על כל מערכת תוכנה שמחזיקה, מעבדת או משתפת מידע אישי — מאפליקציות מובייל ועד מערכות ענן ארגוניות.

מהו תיקון 13 ולמה הוא נולד?

העולם הדיגיטלי של 2024–2026 שונה לחלוטין מהעולם של 1981 שנת חקיקת החוק המקורי. מאז הופיעו טכנולוגיות וחידושים רבים כמו:

  • אפליקציות מבוססות מיקום

  • בינה מלאכותית

  • ענן ציבורי

  • מאגרי מידע עצומים

  • התקפות סייבר מתוחכמות

  • שיטות לאיסוף מידע פסיבי (Cookies, IP, Device Fingerprinting)

  • ועוד…

החוק הישן לא התאים למציאות זו ולכן תיקון 13 נועד להתאים את ישראל לעידן הדיגיטלי ולחזק את ההגנה על פרטיות האזרחים.

מהם עיקרי השינויים הנובעים מתיקון 13?

על פי המקורות הרשמיים של הרשות להגנת הפרטיות והכנסת, להלן עיקרי השינויים הכלולים בתיקון

1. הגדרות חדשות  למושג "מידע אישי"

התיקון מרחיב משמעותית את ההגדרה של "מידע אישי". ההגדרה החדשה היא "כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי".

דוגמאות למידע אישי כוללות:

  • כתובת IP

  • מזהה מכשיר (Device ID)

  • נתוני מיקום

  • קבצי Cookies

  • מזהה משתמש פנימי במערכת (UserID)

  • מזהה פרופיל ב‑Firebase או AWS Cognito

  • נתוני שימוש באפליקציה (כגון Google Analytics)

בעבר חלק מהנתונים הללו לא נחשבו "מידע אישי". כעת הם כן.

 2. קטגוריה חדש למידע בעל רגישות מיוחדת

הגדרה חדשה מחליפה את המושג "מידע רגיש" ומרחיבה אותו כך שיותם לסטנדרט GDPR. בקטגוריה זו נכלל מידע רפואי, מידע מגנטי, מידע על נטייה מינית, מידע ביומטרי, מידע פלילי, נתוני מיקום מדויקים ונתוני זיהוי ביומטריים (FaceID, טביעת אצבע).

  • לדוגמא אפליקציית כושר שמודדת דופק ושינה — נחשבת כעת כמחזיקה מידע בעל רגישות מיוחדת, ולכן נדרשת לרמת אבטחה גבוהה יותר.
3. הרחבת סמכויות האכיפה

התיקון מעניק לרשות להגנת הפרטיות 

 סמכויות חדשות ורחבות סמכות להטיל עיצומים כספיים משמעותיים

כולל נטלת קנסות על אי‑עמידה בתקנות אבטחת מידע, איסוף מידע ללא בסיס חוקי, שימוש במידע מעבר למטרה המקורית ואי‑דיווח על אירועי אבטחה חמורים

סמכות לחקירה פלילית

חוקרי הרשות יכולים לבצע חקירות, לתפוס חומרי מחשב ולדרוש מסמכים.

סמכות לקבלת צו משפטי

בית משפט יכול להורות על הפסקת עיבוד מידע, מחיקת מידע ואו חסימת מערכת או שירות 

4. שינוי דרמטי בחובת רישום מאגרי מידע

בעבר כמעט כל מאגר היה חייב ברישום. כעת החובה לרישום מאגרי מידע מצומצמת משמעותית.

חובת רישום נשארת רק עבור גופים ציבוריים, מאגרים המשמשים לסחר במידע ומאגרים עם מידע רגיש בהיקף של מעל 100,000 איש (יש חובת הודעה לרשות)

למשל מערכת CRM של בית עסק קטן אינה חייבת ברישום מאגר מידע במידה ואין מידע רגיש בהיקף גדול. באופן דומה מערכת דיוור עם נתוני לקוחות גם אינה חייבת ברישום מאגר מידע אלא אם יש סחר במידע. לעומת זאת אפליקציית בריאות עם 200,000 משתמשים שמנהלת מידע רגיש חייבת ברישום מאגר המידע.

5. חובות אבטחת מידע מחמירות

התיקון מחזק את תקנות אבטחת המידע הקיימות ומטיל חובות חדשות ובכלל זה:

  • ניהול סיכוני אבטחת מידע
  • הצפנת מידע רגיש
  • בקרות גישה מחמירות
  • ניטור ואיתור חריגות
  • תיעוד פעולות גישה (Audit Logs)
  • ניהול ספקים (Vendor Management)
  • בדיקות חדירות תקופתיות

למשל מערכת SAAS שמחזיקה נתוני לקוחות חייבת:

  • לנהל הרשאות לפי עיקרון Least Privilege
  • להצפין מידע במנוחה (At Rest) ובמעבר (In Transit)
  • לתעד גישה של מפתחים ל‑DB
  • לבצע בדיקות חדירות שנתיות
6. חובת דיווח על אירועי אבטחת מידע 

התיקון מחייב דיווח לרשות על אירועי אבטחה חמורים. מהו אירוע חמור?

  • דליפת מידע רגיש
  • פריצה למאגר גדול
  • גישה לא מורשית למידע אישי
  • כופרה שפגעה בנתונים

לדוגמא אם שרת AWS נפרץ עקב מפתח API שנחשף ב‑GitHub, הארגון חייב לדווח לרשות תוך זמן קצר.

7. חובת שקיפות כלפי משתמשי המערכת

ארגונים חייבים לספק מידע ברור על:

  • אילו נתונים נאספים
  • מה מטרת העיבוד
  • למי המידע מועבר
  • מהן זכויות המשתמש
  • כיצד ניתן למחוק מידע

לדוגמא אפליקציית מובייל חייבת להציג מסך הרשאות ברור, מדיניות פרטיות מפורטת ואפשרות למחיקת חשבון משתמש והמידע המשוייך אליו

8. זכויות חדשות למשתמשים

התיקון מחזק את זכויות הפרט:

  • זכות לעיין במידע
  • זכות לתקן מידע
  • זכות למחוק מידע
  • זכות להגביל עיבוד
  • זכות להתנגד לשימוש מסוים

משתמש יכול לבקש למחק את כל המידע שלו מהמערכת והארגון חייב לבצע זאת, אלא אם קיימת חובה חוקית לשמור את המידע.

מהם ההשלכות המעשיות על פיתוח מערכות מידע

להלן דוגמאות מפורטות הממחישות כיצד תיקון 13 משפיע על פיתוח תוכנה בפועל.

דוגמה 1: אפליקציית מובייל לאיסוף מיקום

האפליקציה אוספת מידע אודות מיקום GPS, מזהה מכשיר ונתוני שימוש.

השלכות התיקון:

  1. כל הנתונים נחשבים מידע אישי.
  2. מיקום מדויק = מידע בעל רגישות מיוחדת.
  3. חובה להציג הסבר ברור בעת בקשת הרשאה.
  4. חובה להצפין את נתוני המיקום.
  5. חובה לאפשר למשתמש למחוק את ההיסטוריה.
  6. אם יש מעל 100,000 משתמשים — חובה לדווח על המאגר.
דוגמה 2: אתר מסחר עם Analytics

האתר אוסף כתובות IP, התנהגות משתמש, נתוני רכישה ו Cookies.

השלכות התיקון:

  1. IP נחשב מידע אישי.
  2. Cookies מזהים = מידע אישי.
  3. חובה להציג באנר Cookies.
  4. חובה לתעד מי ניגש ל‑DB.
  5. חובה להגן על נתוני תשלום (PCI + חוק).
דוגמה 3: מערכת רפואית

המערכת מחזיקה מידע רפואי, תוצאות בדיקות ונתוני זיהוי

השלכות התיקון:

  1. כל המידע מוגדר כ"מידע בעל רגישות מיוחדת".

  2. חובה להצפין הכל.

  3. חובה לבצע בדיקות חדירות.

  4. חובה לדווח על כל אירוע אבטחה.

  5. חובה לרשום את המאגר (אם מעל 100,000).

דוגמא 4: המערכת משתמשת בשירותי ענן AWS / Azure / GCP

השלכות התיקון:

  1. חובה לנהל סיכוני ספקים.

  2. חובה לוודא שהמידע לא מועבר למדינות ללא הגנה מספקת.

  3. חובה להגדיר IAM תקין.

  4. חובה לתעד גישה של DevOps ל‑DB.

דוגמה 5: מערכת מבוססת בינה מלאכותית AI

המערכת מאמנת מודל על בסיס נתוני משתמשים.

השלכות התיקון:

  1. חובה להגדיר את מטרת העיבוד.

  2. אסור להשתמש בנתונים למטרה אחרת ללא הסכמה.

  3. חובה לאפשר מחיקת נתונים מהמודל (אתגר טכני!).

  4. חובה לתעד את תהליך העיבוד.

מה ארגוני תוכנה חייבים לעשות עכשיו?

1. מיפוי מידע (Data Mapping)

מיפוי ורישום של מידע המנוהל במערכות השונות

  • אילו נתונים נאספים?
  • היכן הם נשמרים?
  • מי ניגש אליהם?
  • לאן הם מועברים?
2. עדכון מדיניות פרטיות

יש לעדכן את מדיניות הפרטיות הישנה כך שתכלול:

  • מטרות עיבוד
  • סוגי מידע
  • זכויות משתמש
  • פרטי DPO (אם יש) – Data Protection Officer או ממונה על הגנת מידע בארגון
3. חיזוק אבטחת מידע

שימוש במנגנונים שונים לחיזוק אבטחת המידע כגון הצפנת מידע, IAM, ניטור,בדיקות חדירות וניהול סיכונים

4. ניהול ספקים
  1. חוזים עם ספקים צריכים לכלול סעיפי פרטיות.
  2. ביצוע בדיקות לעמידה בתקנים
  3. הגבלת גישה לספקים
5. תיעוד
  1. תיעוד יומן (לוגים) גישה למידע רגיש
  2. הגדרת נהלים
  3. הגדרת תהליך למחיקת חשבון משתמש ומידע
  4. הגדרת תהליכי דיווח על אירועי אבטחה.
6. הכשרת עובדים
  1. להגברת המודעות לפרטיות
  2. מניעת הדלפות
  3. עבודה נכונה עם מידע רגיש

סיכום

תיקון 13 משנה באופן מהותי את הדרך שבה ארגוני תוכנה בישראל צריכים לפתח, לנהל ולאבטח מערכות מידע.

הוא מחייב:

  • תכנון פרטיות כבר בשלב הפיתוח (Privacy by Design)
  • שקיפות מלאה
  • אבטחת מידע ברמה גבוהה
  • תיעוד וניהול סיכונים
  • כיבוד זכויות משתמשים

המשמעות היא שכל מפתח, מנהל מוצר, DevOps, QA ו‑CTO חייבים להבין את התיקון ולהטמיע אותו בפועל.

 

קבלו 2 בונוסים !

כדי לסייע לכם הכנו עבורכם 2 רשימות תיוג שיעזורו לכם ליישם ולבדוק את הדרישות בצורה ברורה, מסודרת ויעילה להורדה לחץ :

רשימת תיוג למפתחי תוכנה
רשימת תיוג לבודק תוכנה (QA)

אולי זה יכול לעניין אותך?

Scroll to Top