top of page
חיפוש

מה המשמעות של 'תיקון 13 לחוק הגנת הפרטיות' לעסקים עם אתר אינטרנט, ומדוע כל עסק זקוק למדיניות פרטיות ואבטחת מידע באתר?

עודכן: 20 באוג׳


ree

הבהרה:

המידע במאמר זה נועד למתן ידע כללי בלבד ואינו מהווה ייעוץ משפטי או ערובה משפטית, שכן אינני עורכת דין ואיני מוסמכת לייעוץ משפטי. כל אחריות משפטית ו/או אחרת חלה על בעל העסק/כל העושה שימוש במידע זה בלבד, ועליו להיוועץ בעורך דין מוסמך לצורך קבלת חוות דעת משפטית מותאמת.


חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024

בחודש אוגוסט 2024 נכנס לתוקף חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד-2024. התיקון מיישר קו עם תקנות בינלאומיות (כמו ה־GDPR באירופה) ומחזק את החובות של בעלי עסקים בכל הקשור לאיסוף, שמירה ועיבוד מידע אישי של לקוחות וגולשים.


חשוב לציין שהתיקון לחוק לא נועד "להקשות" או להעמיס על בעלי עסקים, אלא להסדיר בצורה ברורה את הכללים שנוגעים לאיסוף ושימוש במידע אישי, כך שגם העסק וגם הלקוחות יהיו מוגנים.

המחוקק נתן פרק זמן עד 31 אוקטובר 2025 כדי לאפשר לבעלי עסקים להיערך ולהטמיע את השינויים בצורה הדרגתית. כלומר, יש זמן לטפל בנושאים, ולא מדובר בדרישה מיידית.


במקרה של הפרה, החוק מאפשר לכל אדם שנפגע לפנות לבית המשפט ולדרוש פיצוי של עד 10,000 ש"ח גם ללא הוכחת נזק. עם זאת, ברוב המקרים לעסק יש 30 יום לתקן ליקוי שנמצא (למשל לאפשר מחיקה של נתונים או לעדכן נוסח הודעה) לפני שהוא נחשף לתביעה בפועל.

כלומר, האחריות אמנם על בעל העסק, אבל החוק גם מייצר מסגרת שמאפשרת תיקון והסדרה לפני סנקציות, ולא "מלכודת" שנועדה להפיל עסקים.


בואו נצלול פנימה ונבין את התיקון -


מהו מידע אישי ומידע רגיש לפי החוק?

התיקון מגדיר באופן רחב את המושג "מידע אישי":


"מידע אישי" - נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי… ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי".


עוד נקבעה ההגדרה ל־"מידע בעל רגישות מיוחדת" הכוללת בין היתר:


"מידע אישי על צנעת חייו של אדם… על מצבו הבריאותי, מידע גנטי, מזהה ביומטרי… עבר פלילי, דעות פוליטיות או אמונות דתיות, נתוני שכר, נתוני מיקום ותעבורה…".


המשמעות:

כל טופס יצירת קשר באתר של עסק שבו משתמשים משאירים שם, טלפון, אימייל או אפילו מזהה אונליין (עוגייה, IP, פיקסל) - נחשב כמי שאוסף מידע אישי.


חובת רישום מאגר מידע

סעיף 8א החדש קובע:


"מאגר מידע חייב ברישום בהתקיים אחד מאלה: (1) מטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע על יותר מ־10,000 בני אדם;

(2) בעל השליטה במאגר מידע הוא גוף ציבורי…".


אם באתר שלך או של לקוחותייך נאסף מידע אישי (טופסי יצירת קשר, ניוזלטרים, מערכות CRM, חנויות אונליין וכו'), ייתכן שהמאגר חייב ברישום.


רישום הוא חובה אם:

  • המטרה העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים בתמורה או כדרך עיסוק, כולל שירותי דיוור ישיר.

  • המידע במאגר הוא על יותר מ־10,000 אנשים.

  • מדובר בגוף ציבורי.

  • גם אם אין חובת רישום, קיימות חובות הודעה ודיווח במקרים מסוימים (למשל, כאשר במאגר יש מידע רגיש על מעל 100,000 אנשים).


גם אם אין חובת רישום, יש חובת שקיפות

כאן נכנס סעיף 11 המתוקן:


"על בעל השליטה במאגר מידע למסור לאדם… מטרות העיבוד שלשמן ייעשה שימוש במידע, שמו של בעל השליטה במאגר המידע ודרכי ההתקשרות עימו, קיומן של זכויות עיון ותיקון…".


כלומר:

  • חייבת להיות מדיניות פרטיות באתר שמסבירה איזה מידע נאסף, הסיבות לכך, ואיך ניתן לפנות.

  • בטפסים - חובה לתת הודעת איסוף קצרה, לדוגמה: "פרטיך נמסרים מרצונך וישמשו ליצירת קשר בהתאם למדיניות הפרטיות."

  • אסור להשתמש במידע למטרה אחרת מזו שהוצהרה.

 

אבטחת מידע - חובה טכנית וניהולית

סעיף 17 קובע:

"בעל שליטה במאגר מידע ומחזיק במאגר מידע יבטיחו את אבטחת המידע… שר המשפטים רשאי לקבוע תקנות לעניין האחריות לאבטחת המידע… ובכלל זה הגנה פיזית ולוגית על המאגר, סדרי ניהול וכללי עבודה לעניין הגבלות על גישה של מועסקים למידע".


מה זה אומר טכנית לעסק עם אתר?

  • שימוש ב־SSL/HTTPS בכל האתר.

  • הגבלת גישה למידע (רק למורשים).

  • שימוש בסיסמאות חזקות ואימות דו־שלבי.

  • הצפנת נתונים רגישים במסדי נתונים.

  • גיבויים מאובטחים.


רשימות תפוצה ושירותי דיוור חיצוניים

על פי התיקון:

"בעל שליטה במאגר מידע לא יעבד מידע אישי בעבורו… אלא אם כן המאגר נרשם כדין, או אם נמסרה הודעה לרשות במקרים הנדרשים".


גם רשימת תפוצה קטנה נחשבת מאגר מידע. השימוש בשירותי דיוור חיצוניים (כדוגמת Mailchimp, רב־מסר, סמוב) לא פוטר מאחריות:


בעל העסק (את/ה) = בעל השליטה במידע.

החברה החיצונית = מעבד(ת) מידע עבורך.


כלומר:

  • יש לציין במדיניות הפרטיות שהמידע נשמר ומעובד בשירות חיצוני.

  • יש לוודא שהשירות עומד בתקני אבטחת מידע.

  • יש להבטיח אפשרות להסרה קלה מכל דיוור (חוק הספאם - סעיף 30א הקובע איסור בשליחת הודעה ובה 'דבר פרסומת' לנמען שלא הביע את הסכמתו לכך).

  • אם הרשימה גדולה מ־10,000 - לרשום מאגר מידע ברשות המתאימה.

  • חשוב לזכור שהאחריות המשפטית נשארת של בעל העסק.


סעיף הפיצוי ללא הוכחת נזק

סעיף 15א החדש:

"רשאי בית המשפט לפסוק… פיצויים לדוגמה, בסכום שלא יעלה על 10,000 שקלים חדשים, בשל אותה הפרה".

כלומר: גם בלי להוכיח נזק, עצם ההפרה עצמה מספיקה והאדם יכול לדרוש פיצוי אם העסק אסף מידע בלי הודעה, לא אפשר עיון/מחיקה, או השתמש במידע בניגוד למטרה שהוצהרה. המשמעות היא שרמת הסיכון עלתה משמעותית - כל אתר שאוסף מידע אישי חשוף משפטית, גם אם המידע מינימלי (כמו טופס צור קשר או שימוש ב-Google Analytics).


זה מה שהופך את תיקון 13 לכל כך מחייב - הוא לא "עוד רגולציה", אלא חוק עם שיניים אמיתיות שמייצר אחריות אישית לכל עסק שמחזיק מידע על גולשים.

עם זאת, כאמור, ברוב המקרים לעסק יש 30 יום לתקן ליקוי שנמצא (למשל לאפשר מחיקה של נתונים או לעדכן נוסח הודעה) לפני שהוא נחשף לתביעה בפועל.

כלומר, האחריות אמנם על בעל העסק, אבל החוק גם מייצר מסגרת שמאפשרת תיקון והסדרה לפני סנקציות.

 

מה צריך לעשות בפועל - צ'ק ליסט

1.      מיפוי - אילו נתונים נאספים באתר ובמערכות חיצוניות.

2.      מדיניות פרטיות - לפרסם דף ברור ותקין.

3.      הודעת איסוף והסכמה - להצמיד לטפסים, כולל תיבת הסכמה (צ'קבוקס)

4.      באנר עוגיות - לחסום עוגיות לא חיוניות עד הסכמה.

5.      אחסון מאובטח - במערכות מוכרות (Wix Contacts, Mailchimp, CRM), לא בקובצי Excel פתוחים או מייל פרטי.

6.      מימוש זכויות - לאפשר לכל אדם עיון/תיקון/מחיקה של פרטיו תוך 30 יום.

7.      בדיקת חובת רישום - במיוחד לרשימות תפוצה גדולות/רגישות.

8.      אבטחת מידע טכנית 

  • אתר מאובטח SSL (https://)

  • סיסמאות חזקות ואימות דו־שלבי

  • גיבויים מוצפנים

  • הגבלת גישה רק למורשים



רגישות מיוחדת - מטפלים/ות שימו לב!

ישנם עסקים שבהם טבע המידע הנאסף נחשב לרגיש במיוחד, ולכן רמת החובה שלהם גבוהה יותר לפי חוק הגנת הפרטיות, תיקון 13. מדובר למשל בקליניקות ומטפלים שאוספים מידע בריאותי, במשרדי עורכי דין שמחזיקים נתונים על הליכים פליליים או אזרחיים, בגופים פיננסיים כמו יועצי השקעות או מנהלי תיקי לקוחות, ובמוסדות חינוך וחוגים האוספים מידע על קטינים. במקרים כאלה, החוק מחייב הקפדה יתרה על אבטחת מידע, שקיפות מוגברת, ולעיתים גם חובת רישום מאגר במרשם מאגרי המידע. המשמעות היא שלא מספיק להציג מדיניות פרטיות כללית ובאנר עוגיות, אלא נדרשת מערכת מקיפה לניהול, הגנה ומחיקה של נתונים בהתאם לבקשת הלקוח, כדי להימנע מחשיפה משפטית ואחריות אישית.


אם את/ה מטפל/ת, או עוסק במידע אישי של לקוחות, האתר שלך הוא לא רק "אתר תדמית" - ברגע שיש בו טפסים, פיקסלים או מערכות ניתוח נתונים, הוא הופך לכלי שאוסף מידע רגיש על מטופלים. המשמעות היא חובות חוקיות מחמירות יותר מאשר אצל עסקים רגילים. לדוגמה, ברגע שלמטפל יש באתר טופס צור קשר שבו מטופל כותב “אני רוצה לקבוע פגישה בגלל חרדות/בעיות שינה/בעיות בזוגיות”, זה כבר מידע בריאותי אישי, כלומר מידע רגיש לפי סעיף 7 לחוק.


יתר על כן - גם אם מדובר רק ב שם + טלפון זה מידע אישי. ברגע שנוסף רמז למצב רפואי (כלומר הפרטים נאספו באתר של מטפל לצורך העניין, זה הופך לרגיש).


מה זה אומר בפועל

  1. אבטחת מידע טכנית

    • אחסון נתונים על שרתים מאובטחים (SSL, הצפנה).

    • הרשאות גישה: רק מי שבעל העסק קבע מקבל גישה למידע (למשל המטפל/עורך הדין ולא כל העובדים).

    • גיבויים מאובטחים, בלי לשמור מידע רגיש באקסלים לא מוגנים על המחשב האישי.

  2. ניהול הרשאות ותיעוד גישה

    בתחום הרפואי - מערכת שמאפשרת לדעת מי נכנס, מתי ובאיזה נתון נגע. לדוגמה: סביר שקליניקה לא תוכל להסתפק ב"מחברת ידנית" או בטבלת אקסל על המחשב האישי, אלא תצטרך מערכת ייעודית לניהול מטופלים עם בקרות אבטחה.

  3. מנגנון מחיקה/תיקון תוך 30 יום (סעיף 13 לחוק)

    העסק חייב לאפשר ללקוח לפנות ולבקש מחיקת נתוניו.

    המשמעות: אם הנתונים שמורים במערכת מסודרת (כמו CRM רפואי/פיננסי), אפשר למחוק או לעדכן בלחיצת כפתור. ואם לדוגמה הכל באימיילים או קבצים מפוזרים, העסק עשוי להיות חשוף משפטית כי לא ניתן להבטיח מחיקה מלאה.

  4. רישום מאגר במרשם מאגרי המידע

    סעיף 8א קובע שחלק מהעסקים חייבים ברישום מאגר אצל רשם מאגרי המידע.

    למשל: מטפל שמחזיק קבצים רפואיים, עורך דין שמנהל תיקים פליליים, גוף חינוכי עם נתוני תלמידים.

  5. שקיפות מוגברת

    במדיניות הפרטיות חייב להיות פירוט מדויק: איזה מידע נאסף, למה, מי הגורמים שיכולים לגשת אליו ולכמה זמן נשמר, זה לא יכול להיות טקסט כללי וגנרי.


שורה תחתונה:

"מערכת מיוחדת" משמעה תוכנה/פלטפורמה ייעודית לניהול לקוחות/מטופלים/תיקים עם מנגנוני אבטחה, הרשאות ומחיקה, ולא הסתמכות על מיילים/אקסלים לא מאובטחים. חלק מהעסקים חייבים גם ברישום מאגר אצל רשם מאגרי המידע.



אתרי WIX -  מה צריך לדעת

ב־Wix כל טופס (Contact Form, Wix Forms) נשמר אוטומטית ב־Wix Contacts. פירוש הדבר שנוצר מאגר מידע כשמישהו ממלא טופס. כמו כן וויקס אוספת את האנליטיקות וכתובות המייל, לכן:

  • יש להוסיף הודעת איסוף מתחת לטפסים.

  • יש להוסיף צ'קבוקס להסכמה מפורשת.

  • לא להוריד את הקבצים ל־Excel  במחשב פרטי, אלא לנהל את הנתונים בממשק המאובטח של Wix.

  • הפעלת Cookie Banner, התאמת הטקסט והוספת קישור למדיניות הפרטיות.


    כאן תוכלו למצוא הסבר של וויקס ליצירת מדיניות פרטיות

    כאן רשימת העוגיות של וויקס


מה Wix נותנת כברירת מחדל

  • אתרי וויקס הם אתרים מאובטחים - SSL מוצפן לכל אתר (https).

  • עמידה בסטנדרטים בינלאומיים – Wix מציינת עמידה ב־ISO 27001, ISO 27701, SOC2 Type 2, GDPR, CCPA ועוד.

  • אבטחת שרתים – המידע נשמר בענן מאובטח, עם ניטור רציף והצפנה.

  • כלי ניהול עוגיות ובאנר Cookie consent שמובנה במערכת.

  • אפשרות להסכמי DPA (Data Processing Agreement) עבור מי שעובד עם לקוחות אירופאים/אמריקאים.


מה Wix לא עושה בשבילך

  • לא מנסחת עבורך מדיניות פרטיות - עליך לנסח ולהעלות אותה לאתר ולקשר למקומות רלוונטיים.

  • לא מוסיפה הודעת איסוף אוטומטית בטפסים - יש להוסיף את הנוסח והצ’קבוקס.

  • לא אחראית לרישום מאגר מידע במשרד המשפטים - זו חובת בעל העסק אם נדרש.

  • לא בודקת עבור העסק עמידה בתיקון 13 לחוק הישראלי - האחריות תמיד על בעל האתר/האסק.

  • לא מונעת טעויות אנוש - למשל אם המידע נאסף ונשמר אצל בעל העסק בקובץ אקסל לא מוגן.

    שורה תחתונה

    אתרי Wix מאובטחים ברמה טכנולוגית גבוהה, ועומדים בתקנים בינלאומיים, אך זה לא פוטר את בעל העסק מהחובות לפי חוק הגנת הפרטיות בישראל (תיקון 13).


    עדיין צריך:

  • מדיניות פרטיות בעברית.

  • הודעת איסוף בטפסים.

  • טיפול בעוגיות ופיקסלים.

  • עמידה בדרישות מידע רגיש אם רלוונטי.


אתרי וורדפרס - מה נדרש

 ב־WordPress נדרש להתקין פלאגין מתאים ולהגדיר חסימת סקריפטים עד לקבלת הסכמה מפורשת. ככלל אתר וורדפרס דורש ניהול ואבטחה שוטפת, ומאפשר שליטה מלאה, התקנת תוספי פרטיות מתקדמים והתאמות לעמידה בדרישות חוקיות.



עיבוד מידע אישי עם גוגל אנליטיקס ופייסבוק פיקסל

בכל אתר שמחובר לגוגל אנליטיקס ולפייסבוק פיקסל מופעלים מזהי משתמשים (Client ID) ו־Cookies שמאפשרים

לעקוב אחרי התנהגות. זה נחשב עיבוד מידע אישי (נתוני מיקום, מזהה מקוון), לכן חובה להודיע במדיניות העוגיות שהאתר משתמש ב־Google Analytics, וFacebook pixel וכן חובה לאפשר לגולש לאשר או לדחות טעינתם בבאנר העוגיות.



לסיכום

תיקון 13 לחוק הגנת הפרטיות לא נועד להקשות על בעלי עסקים אלא להסדיר את אופן ניהול המידע האישי, כך שגם הלקוחות וגם העסק יהיו מוגנים. יש פרק זמן להיערכות עד 31 אוקטובר 2025, וברוב המקרים ניתנת אפשרות לתקן ליקויים בתוך 30 יום לפני חשיפה לסנקציות. המשמעות היא שצעדים יחסית פשוטים: פרסום מדיניות פרטיות, הוספת הודעת איסוף בטפסים, התקנת באנר עוגיות והבטחת אבטחת מידע בסיסית, מספיקים כדי לעמוד בדרישות החוק ולצמצם סיכונים משפטיים.


קישורים רשמיים באתר המחוקק:


בהצלחה! 

 

bottom of page