תקציר תיקון 13

תקציר תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף בשנת 2025- החוק מחייב כל אתר או עסק שמחזיק מידע אישי ליישם כללים ברורים לניהולו- מטרת התיקון להבטיח ניהול שקוף, זהיר ומכבד של מידע אישי, תוך שמירה מלאה על זכויות האדם.

מה נחשב מידע אישי

מידע אישי הוא כל פרט שמאפשר לזהות אדם- שם, מספר טלפון, כתובת דוא"ל, כתובת מגורים, מספר זהות, כתובת IP, נתוני שימוש, מיקום, מידע רפואי או נתונים פיננסיים.
מידע רגיש- כמו נתוני בריאות או רקע פלילי- דורש רמת הגנה גבוהה יותר.

עקרונות מרכזיים בתיקון

  • שקיפות- להסביר לגולשים איזה מידע נאסף ולמה.

  • שליטה- לאפשר להם לבחור אם להסכים או לסרב.

  • שימוש מוגבל- לא לנצל את המידע למטרות אחרות.

  • שמירה מוגבלת- למחוק נתונים כאשר אין בהם צורך.

  • אבטחת מידע- להגן על הנתונים באמצעים מתאימים.

  • זכויות המשתמש- לאפשר עיון, תיקון, מחיקה או העברה של מידע.

דרישות מאתרי אינטרנט

  • מדיניות פרטיות ברורה ונגישה בכל עמוד.

  • באנר עוגיות עם אפשרות לאשר הכל, לדחות הכל או לבחור קטגוריות.

  • טפסי הרשמה שמסבירים את מטרת איסוף המידע, עם תיבת סימון ריקה לדיוור.

  • פירוט על שימוש בכלי צד שלישי- לדוגמה Google, Facebook או Outbrain.

  • אפשרות פשוטה ליצירת קשר בנושא פרטיות.

חובות נוספות

  • שמירת מידע רק כל עוד יש צורך- ומחיקה מיידית כשאין צורך.

  • מינוי ממונה פרטיות בגופים ציבוריים ובחברות גדולות.

  • איסור שליחת פרסומות ללא הסכמה מפורשת מראש.

  • חובת דיווח לרשות במקרה של דליפת מידע- ועדכון הנפגעים.

אכיפה וסנקציות

הרשות להגנת הפרטיות מוסמכת להטיל קנסות גבוהים על מפרי החוק.
בנוסף- כל אדם רשאי להגיש תביעה ולקבל פיצוי של עד 50,000 ש"ח, גם ללא הוכחת נזק.

מדריך מלא לעמידה בתיקון 13 לחוק הגנת הפרטיות

 תוכן עניינים
1: הקדמה.
2: עקרונות יסוד של תיקון 13.
3: תחולת החוק – מי חייב לעמוד בדרישות.
4: מהו מידע אישי – הגדרות והרחבות.
5: שקיפות וחובת גילוי – הסבר מלא לגולשים.
6: הסכמה מדעת – מה נחשב הסכמה תקפה.
7: מדיניות פרטיות באתר – מה חייב להופיע בה.
8: שימוש בעוגיות וכלי ניטור – כללים והנחיות.
9: טפסי הרשמה וצור קשר – איסוף מידע בצורה חוקית.
10: שירותי צד שלישי – גוגל, פייסבוק, אאוטבריין ועוד.
11: שמירת מידע ומחיקה – משך הזמן וכללים.
12: אבטחת מידע – דרישות מרכזיות.
13: זכויות המשתמש – עיון, תיקון, מחיקה, ניידות מידע.
14: מתן מענה לבקשות משתמשים – צעדים נדרשים.
15: מינוי ממונה פרטיות – למי זה חובה ומה זה אומר.
16: פרסום ודיוור – מה מותר ומה אסור.
17: פנייה לאדם פרטי מול פנייה לבעל עסק – ההבדלים.
18: ניהול מאגרי מידע – רישום ותיעוד.
19: שימוש בנתונים למחקר ולסטטיסטיקה – איך עושים זאת כחוק.
20: טיפול באירועי אבטחה – דיווח וניהול משברים.
21: אכיפה וקנסות – אילו סנקציות קיימות.
22: סיכום – רשימת פעולות לבעלי אתרים.

תוכן עניינים

הקדמה

העולם הדיגיטלי יצר מציאות חדשה- כמעט כל עסק או ארגון מפעיל אתר אינטרנט או מערכת מקוונת, שבה נאסף מידע אישי על אנשים.
לפעמים מדובר בפרטים בסיסיים כמו שם וטלפון, ולפעמים מדובר במידע רגיש יותר- למשל נתונים רפואיים, פיננסיים או מידע על הרגלי גלישה.

המידע האישי הפך לנכס מרכזי, אך במקביל הוא יוצר סיכון משמעותי כאשר לא מנהלים אותו כראוי. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף בשנת 2025- מטרתו להבטיח ניהול שקוף, מאובטח ומכבד של המידע, תוך שמירה על זכויות כל אדם.

התיקון מחייב בעלי אתרים להציג לגולשים בצורה ברורה איזה מידע נאסף, מהי מטרת השימוש בו, כמה זמן יישמר, ולאילו גורמים חיצוניים עשוי להימסר. בנוסף- החוק מקנה לכל אדם שליטה ממשית במידע שלו, לרבות זכות למחיקה, תיקון או סירוב לשימוש.

במדריך זה נפרט בצורה ברורה את הדרישות העיקריות של תיקון 13. נציג מה בעלי אתרים נדרשים לבצע כדי לעמוד בחוק, מה עליהם להימנע מלעשות, ואילו סנקציות עלולות להיות מוטלות במקרה של הפרה. הדגש המרכזי הוא על צעדים מעשיים שבעלי אתרים יכולים ליישם גם ללא ידע משפטי או טכנולוגי.

פרק 2- עקרונות יסוד של תיקון 13

תיקון 13 מבוסס על שישה עקרונות יסוד שמנחים את כלל ההוראות.

  • שקיפות- כל אדם זכאי לדעת איזה מידע נאסף עליו, באיזה אופן ולמה.

  • שליטה- המשתמש הוא בעל המידע ולכן הוא מחליט אם להסכים לשימוש בו או לסרב.

  • הגבלת שימוש- המידע ישמש אך ורק למטרה שהוגדרה והוסברה מראש.

  • שמירה מוגבלת- מידע יישמר רק לפרק הזמן הנדרש ולא מעבר לכך.

  • אבטחת מידע- חובה להגן על המידע באמצעים מתאימים כדי למנוע דליפה או גישה לא מורשית.

  • זכויות המשתמש- לכל אדם הזכות לעיין במידע שנאסף עליו, לבקש לתקן, למחוק או להעביר אותו לגוף אחר.

פרק 3- תחולת החוק ומי חייב לעמוד בדרישות

תיקון 13 חל על כל גוף שאוסף או מחזיק מידע אישי בישראל. החוק אינו מבחין בין עסק קטן לחברה גדולה- כל אחד מחויב לעמוד בהוראותיו.

מי נכלל בתחולה:

  • עסקים קטנים עם אתר תדמית או חנות מקוונת.

  • חברות גדולות עם מערכות מידע רחבות.

  • עמותות וגופים ציבוריים.

  • נותני שירות מכל סוג שאוספים פרטים אישיים.

פרק 4- מהו מידע אישי הגדרות והרחבות

החוק מגדיר מידע אישי בצורה רחבה. כל פרט שמזהה אדם באופן ישיר או עקיף נחשב מידע אישי.

דוגמאות למידע אישי:

  • שם פרטי ושם משפחה.

  • מספר תעודת זהות או מספר דרכון.

  • כתובת מגורים, כתובת אימייל או מספר טלפון.

  • כתובת IP של המחשב או המכשיר.

  • מיקום גיאוגרפי.

  • נתוני שימוש באתר כמו עמודים שנצפו או משך זמן שהייה.

  • מידע פיננסי כמו הכנסות, הוצאות או חובות.

  • מידע רפואי כמו בדיקות, מרשמים ותיקים רפואיים.

מידע רגיש מוגדר כרמה נוספת המחייבת הגנה גבוהה יותר. דוגמאות למידע רגיש- מצב בריאותי, מצב נפשי, רקע פלילי, דעות פוליטיות, השתייכות דתית.

פרק 5- שקיפות וחובת גילוי הסבר מלא לגולשים

בעלי אתרים חייבים להסביר לגולשים בצורה ברורה מה נעשה עם המידע שלהם.

מה יש להסביר לגולשים.

  • איזה מידע נאסף.

  • למה המידע נאסף.

  • כמה זמן המידע נשמר.

  • למי המידע עשוי להימסר.

  • אילו זכויות עומדות למשתמש לגבי המידע שלו.

איך להציג את ההסבר.

  • מדיניות פרטיות ברורה ונגישה בכל עמוד.

  • בטפסים שבהם נאסף מידע יש לציין במפורש את המטרה.

  • השפה צריכה להיות פשוטה ומובנת, ללא מינוחים משפטיים כבדים.

פרק 6- הסכמה מדעת מה נחשב הסכמה תקפה

אסור לאסוף מידע או להשתמש בו בלי שהמשתמש נתן הסכמה אמיתית.

מהי הסכמה תקפה.

  • המשתמש בחר באופן פעיל לאשר, למשל על ידי סימון תיבה ריקה.

  • ההסכמה ניתנה לאחר שהוסבר מה בדיוק נאסף ולמה.

  • ההסכמה ניתנת לביטול בכל שלב.

דוגמאות להסכמה נכונה.

  • באנר עוגיות שבו המשתמש בוחר אם לאשר הכל, לדחות הכל או לבחור קטגוריות.

  • תיבת סימון ריקה בטופס הרשמה לדיוור.

דוגמאות להסכמה לא תקפה.

  • תיבה שמסומנת מראש בלי בחירה של המשתמש.

  • טקסט ארוך ומסובך שלא מאפשר הבנה אמיתית.

  • חלון קופץ שבו יש רק כפתור אישור אחד ללא אפשרות סירוב.

פרק 7- מדיניות פרטיות באתר מה חייב להופיע בה

כל אתר חייב לפרסם מדיניות פרטיות נגישה וברורה. מטרת המדיניות היא להציג לגולש תמונה מלאה על מה שנעשה עם המידע שלו.

המדיניות צריכה לכלול.

  • פירוט איזה מידע נאסף באתר.

  • מטרות השימוש במידע.

  • משך הזמן שבו המידע נשמר.

  • מי מקבל את המידע- שותפים, ספקים, רשויות.

  • זכויות המשתמש בקשר למידע שלו.

  • דרכי יצירת קשר למימוש הזכויות.

איך להציג את המדיניות.

  • המדיניות חייבת להיות נגישה מכל עמוד באתר, למשל בתפריט התחתון.

  • השפה חייבת להיות ברורה ולא משפטית.

  • מומלץ לנסח את המדיניות בסעיפים קצרים וברורים כדי להקל על הקריאה.

פרק 8- שימוש בעוגיות וכלי ניטור כללים והנחיות

עוגיות הן קבצים קטנים שנשמרים במכשיר של המשתמש ומאפשרים לזהות אותו או לעקוב אחר פעילותו.

החוק מבחין בין שני סוגי עוגיות.

  • עוגיות חיוניות- נחוצות להפעלת האתר, למשל שמירת עגלת קניות או התחברות לחשבון. מותר להשתמש בהן גם בלי אישור.

  • עוגיות לא חיוניות- למשל עוגיות פרסום או עוגיות אנליטיקה. הפעלה שלהן מותרת רק לאחר שהמשתמש נתן הסכמה מפורשת.

מה חייב להיות בבאנר עוגיות.

  • כפתור לאשר את כל העוגיות.

  • כפתור לדחות את כל העוגיות הלא חיוניות.

  • כפתור הגדרות שבו המשתמש יכול לבחור לפי קטגוריות.

פרק 9- טפסי הרשמה וצור קשר איסוף מידע בצורה חוקית

בכל טופס שבו נאסף מידע אישי, בעל האתר חייב להסביר בצורה ברורה מהי מטרת האיסוף.

הדגשים לטפסים.

  • יש לציין במפורש למה המידע נדרש, למשל כדי לחזור ללקוח או לשלוח חשבונית.

  • אין לבקש מידע מיותר מעבר לנדרש.

  • אם מדובר בטופס הרשמה לדיוור יש להוסיף תיבת סימון ריקה שהמשתמש יכול לבחור בעצמו.

  • בטפסים שבהם נאסף מידע רגיש כמו נתוני בריאות או כספים יש לציין בבירור שהמידע רגיש ולהגן עליו באמצעים מתאימים.

פרק 10- שירותי צד שלישי גוגל פייסבוק אאוטבריין ועוד

אתרים רבים עושים שימוש בשירותים חיצוניים לצורך מדידת פעילות או לפרסום מותאם אישית.

דוגמאות לשירותים כאלה.

  • Google Analytics ו Google Tag Manager.

  • Facebook Pixel.

  • Outbrain.

  • מערכות דיוור חיצוניות כמו Mailchimp.

מה יש לפרט במדיניות הפרטיות.

  • אילו שירותי צד שלישי מופעלים באתר.

  • איזה מידע נאסף על ידי אותם שירותים.

  • קישורים למדיניות הפרטיות של אותם שירותים.

  • הסבר למשתמש כיצד ניתן לשלוט בהעדפות האישיות שלו.

פרק 11- שמירת מידע ומחיקה משך הזמן וכללים

החוק קובע שאין לשמור מידע אישי יותר זמן מהמטרה שלשמה נאסף.

עקרונות מרכזיים.

  • שמירה מוגבלת- המידע יישמר רק כל עוד יש צורך אמיתי בו.

  • מחיקה- כאשר המידע אינו דרוש יותר יש למחוק אותו בצורה מאובטחת.

  • נתונים רגישים- מידע רפואי או פיננסי דורש תשומת לב מיוחדת ושמירה לפרק זמן מוגדר בלבד.

  • דוגמאות- נתוני גלישה ניתן לשמור למשך שנה אחת בלבד, מידע לצרכים פיננסיים נשמר בהתאם לדרישות הדין.

פרק 12- אבטחת מידע דרישות מרכזיות

בעל האתר מחויב להגן על המידע האישי באמצעים מתאימים.

מה זה כולל.

  • שימוש בסיסמאות חזקות והחלפתן באופן קבוע.

  • הגנה על מסדי נתונים באמצעות הצפנה.

  • הרשאות גישה מוגבלות לעובדים בלבד.

  • גיבוי נתונים באופן שוטף.

  • ניטור פעולות חריגות וזיהוי ניסיונות פריצה.

מקרה של דליפת מידע עלול להוביל לקנסות משמעותיים ולפגיעה חמורה במוניטין העסק.

פרק 13- זכויות המשתמש עיון תיקון מחיקה ניידות מידע

התיקון מעניק לכל אדם שליטה ממשית במידע האישי שלו.

הזכויות כוללות.

  • זכות לעיין במידע שנאסף עליו.

  • זכות לדרוש תיקון של מידע שגוי.

  • זכות לדרוש מחיקה של מידע שאינו דרוש עוד.

  • זכות להגביל שימוש במידע למטרה מסוימת בלבד.

  • זכות לקבל את המידע כדי להעבירו לגוף אחר.

בעל האתר מחויב לאפשר מימוש זכויות אלה בצורה פשוטה ונגישה.

פרק 14- מתן מענה לבקשות משתמשים צעדים נדרשים

כאשר משתמש פונה בבקשה למימוש זכויותיו, על בעל האתר להגיב בצורה מסודרת.

עקרונות טיפול בבקשות.

  • מתן תשובה בתוך פרק זמן סביר כפי שהחוק דורש.

  • מתן מענה ברור ומפורט.

  • תיעוד פנימי של כל פנייה והטיפול בה.

  • אם הבקשה נדחית יש לנמק ולפרט את הסיבה.

פרק 15- מינוי ממונה פרטיות למי זה חובה ומה זה אומר

החוק מחייב גופים מסוימים למנות ממונה על הגנת הפרטיות.

מי חייב במינוי.

  • גופים ציבוריים.

  • חברות גדולות עם מאגרי מידע נרחבים או רגישים.

  • עסקים המטפלים בכמות משמעותית של מידע רגיש.

תפקיד הממונה.

  • לפקח על יישום החוק בתוך הארגון.

  • לייעץ להנהלה ולגבש מדיניות פרטיות.

  • לשמש כתובת לפניות הציבור.

  • לדווח לרשות להגנת הפרטיות במקרה של אירוע אבטחה חמור.

פרק 16- פרסום ודיוור מה מותר ומה אסור

החוק מגביל את האפשרות לשלוח פרסומות או דיוור שיווקי ללא הסכמה מוקדמת של המשתמש.

כללים מרכזיים.

  • חובה לקבל הסכמה מפורשת מראש לשליחת דיוור שיווקי.

  • ההסכמה חייבת להיות אקטיבית, למשל סימון תיבה ריקה על ידי המשתמש.

  • אסור לשלוח דבר פרסומת ללא הסכמה, גם אם המשתמש השאיר פרטים לצורך אחר.

  • מותר לשלוח הודעות אינפורמטיביות שאינן פרסומיות, למשל הודעות שירות או עדכון טכני.

  • בכל דיוור חייבת להופיע אפשרות ברורה להסרה מיידית.

פרק 17- פנייה לאדם פרטי מול פנייה לבעל עסק ההבדלים

החוק מבחין בין פרסום ללקוחות פרטיים לבין פרסום לבעלי עסקים.

  • פנייה לאדם פרטי- חייבת להיעשות רק לאחר קבלת הסכמה מראש. שליחת פרסומת ללא הסכמה נחשבת לעבירה.

  • פנייה לבעל עסק- החוק מאפשר שליחת הודעה ראשונה גם ללא הסכמה, אך בעל העסק רשאי לבקש הסרה בכל עת ומאותו רגע אסור להמשיך לפנות אליו.

פרק 18- ניהול מאגרי מידע רישום ותיעוד

בעל אתר שמחזיק מאגר מידע מחויב לנהל אותו בהתאם לדרישות החוק.

מה זה כולל.

  • רישום המאגר במרשם מאגרי המידע אם מתקיימים התנאים לכך.

  • תיעוד סוגי המידע שנאספים.

  • תיעוד המטרות שלשמן נאסף המידע.

  • תיעוד מי מקבל גישה למידע ואיזה שימוש מותר לו לבצע.

  • בדיקות תקופתיות כדי לוודא שהמאגר מאובטח ומנוהל לפי החוק.

פרק 19- שימוש בנתונים למחקר ולסטטיסטיקה איך עושים זאת כחוק

החוק מאפשר שימוש במידע אישי לצורכי מחקר או סטטיסטיקה, אך רק לאחר שהמידע עבר תהליך של אנונימיזציה.

כללים לשימוש חוקי.

  • יש להסיר מהמידע פרטים מזהים כדי שלא ניתן יהיה לשייך אותו לאדם מסוים.

  • המידע חייב להיאסף בצורה מרוכזת בלבד.

  • תוצאות המחקר או הנתונים הסטטיסטיים לא יאפשרו לזהות אדם יחיד.

שימוש נכון במידע כזה מספק תובנות חשובות מבלי לפגוע בפרטיות.

פרק 20- טיפול באירועי אבטחה דיווח וניהול משברים

במקרה של אירוע אבטחה כמו פריצה או דליפת מידע, בעל האתר חייב לפעול במהירות.

צעדים נדרשים.

  • זיהוי האירוע ותיעוד מה קרה.

  • בלימת האירוע והגנה על המידע שנותר.

  • הערכת הנזק והיקף הפגיעה.

  • דיווח לרשות להגנת הפרטיות אם מדובר באירוע חמור.

  • עדכון המשתמשים שנפגעו כאשר המידע שלהם דלף.

ניהול נכון של אירוע אבטחה יכול לצמצם נזק משפטי וכלכלי ולחזק את אמון הלקוחות.

פרק 21- אכיפה וקנסות אילו סנקציות קיימות

תיקון 13 לחוק הגנת הפרטיות מעניק לרשות להגנת הפרטיות סמכויות אכיפה רחבות. המשמעות היא שכל בעל אתר שמפר את הוראות החוק עלול להיקנס או להיתבע.

סוגי הסנקציות.

  • קנסות מנהליים- סכומים שיכולים להגיע לעשרות ואף למאות אלפי שקלים בהתאם לחומרת ההפרה ולגודל העסק.

  • תביעות אזרחיות- כל אדם רשאי להגיש תביעה ולקבל פיצוי של עד חמישים אלף שקלים גם בלי להוכיח נזק ממשי.

  • אחריות פלילית- במקרים חמורים במיוחד ניתן להטיל אחריות פלילית על מי שאחראי להפרת החוק.

דוגמאות להפרות שמובילות לסנקציות.

  • איסוף מידע ללא הסכמה תקפה.

  • שימוש במידע למטרה שלא הוסברה מראש.

  • שמירת מידע מעבר לזמן הדרוש.

  • אי מתן מענה לבקשות משתמשים.

  • אבטחת מידע לקויה שהובילה לדליפה או פריצה.

פרק 22- סיכום רשימת פעולות לבעלי אתרים

כדי לעמוד בתיקון 13 לחוק הגנת הפרטיות ולמנוע קנסות או תביעות, כל בעל אתר חייב לבצע צעדים ברורים.

רשימת פעולות עיקריות.

  • להכין ולפרסם מדיניות פרטיות ברורה ונגישה בכל עמוד באתר.

  • להציב באנר עוגיות שמאפשר לגולש בחירה אמיתית.

  • לאסוף מידע אישי רק כאשר יש צורך אמיתי.

  • למחוק מידע כאשר אינו דרוש עוד.

  • להטמיע אמצעי אבטחת מידע מתקדמים.

  • לאפשר לכל אדם לעיין במידע עליו, לתקן, למחוק או להגביל שימוש.

  • להוסיף מנגנון פשוט לפניות בנושא פרטיות.

  • למנות ממונה פרטיות אם העסק גדול או ציבורי.

  • לא לשלוח פרסומות ללא קבלת הסכמה מראש.

  • לתעד את ניהול מאגרי המידע ולבצע בדיקות תקופתיות.