תיקון 13: חוקי הפרטיות בישראל מתיישרים עם העולם

ב-14 באוגוסט 2025, ייכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 – התיקון המשמעותי בחוק מאז 1996, המציב את ישראל בשורה אחת עם המדינות המתקדמות בעולם בתחום הגנת הפרטיות וחל על כל גוף המעבד מידע אישי בישראל או גוף ישראלי הפועל בחו"ל.

התיקון מעדכן את ההגדרות הבסיסיות בחוק, כולל הרחבת הגדרת "מידע אישי", הוספת הגדרה חדשה של "בעל שליטה במידע", הרחבת הגדרת "מחזיק", והוספת הגדרת "עיבוד" (Processor), המרחיבה את תחולת החוק לכל פעולה במידע אישי.

החידוש המשמעותי ביותר הוא חיזוק יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות, שתוכל להטיל עיצומים כספיים משמעותיים במקרה של הפרות. סכומי העיצומים יכולים להגיע למיליוני שקלים, עד לתקרה של 5% מהמחזור של הארגון

משמעות הרחבת ההגדרות היא שהחוק יחול בהקשרים רחבים יותר, על סוגי מידע נוספים (כמו כתובות IP), על כל הספקים החיצוניים עם גישה למידע, ועל מגוון רחב יותר של פעולות. שינויים אלה מקרבים את ישראל לסטנדרטים של ה-GDPR האירופי.

החידוש המשמעותי ביותר הוא חיזוק יכולות הפיקוח והאכיפה של הרשות להגנת הפרטיות, שתוכל להטיל עיצומים כספיים משמעותיים במקרה של הפרות. סכומי העיצומים יכולים להגיע למיליוני שקלים, עד לתקרה של 5% מהמחזור של הארגון.

הקושי העיקרי ביישום פרק העיצומים הוא שהאכיפה עד כה לא הייתה משמעותית, וחלק מהדרישות בתיקון לא זכו להנחיות או פרשנות ברורה. התיקון לא מתיר שיקול דעת לרשות ביחס לעצם הטלת העיצומים או סכומם, למעט רשימה סגורה של הפחתות אפשריות. משטר העיצומים אמור להוות גורם מרתיע וזרז לציות במקרים המובהקים והברורים, כשהיעדר שיקול הדעת עלול לפספס מטרה זו ולגרום להטלת עיצומים דווקא במקרי קצה לא מובהקים.

תיקון נרחב בחוק אמור לשמור טוב יותר עליה. פרטיות האזרחים. צילום: BigStock

תפקיד חדש: ממונה על הגנת הפרטיות בארגונים

תיקון משמעותי נוסף הוא חובת מינוי ממונה על הגנת הפרטיות (DPO) בארגונים מסוימים. הרשות פרסמה טיוטת גילוי דעת המפרטת את דרישות התיקון בנושא. הממונה נדרש לידע מעמיק בדיני הגנת הפרטיות, שליטה בחקיקה הישראלית בתחום והיכרות עם הארגון. CISO בדרך כלל לא יוכל לשמש כ-DPO, בגלל ניגוד עניינים, וה-DPO לא יכול להיות כפוף למנהל מערכות מידע או CTO. 

ארגונים רבים מתקשים ליישם את הדרישה עקב היעדר כמות מספקת של מומחי פרטיות בעלי ידע מעמיק אל מול מספר הגופים החייבים במינוי. מטעם זה, בעת כניסת התיקון לתוקף, ניתן יהיה להטיל עיצומים על הפרת החובות בהקשר ל-DPO רק בגופים ציבוריים וסוחרי מידע, ולא בשאר המקרים בהם חלה חובת מינוי, הגם שאם אכן מונה DPO, יופחתו העיצומים ב-10%.

תיקון 13 אינו ממצה את הנדרש בדיני הפרטיות בישראל. זהו תיקון ראשון בשורה של נושאים שהוגדרו כבוערים והמתחייבים גם מההסדרים מול האיחוד האירופי. השוק מצפה לתיקון הבא, שיסדיר הוראות מהותיות יותר, כגון בסיסים חוקיים נוספים לעיבוד מידע אישי וזכויות נוספות לנושאי המידע.

משרדנו פרסם מדריך מפורט ביחס לתיקון 13 – בו ניתן לעיין כאן.

הכותבת היא עורכת דין, שותפה ומנהלת מחלקת IT והגנת פרטיות בפירמה נשיץ, ברנדס, אמיר