הגנת הפרטיות לעסקים — מה השתנה, מה מחייב עכשיו, ומדוע זה כבר לא עניין של "טכנולוגיה"

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוקטובר 2025, שינה את כללי המשחק לכל עסק שמחזיק מידע על לקוחות, עובדים או ספקים. מי שלא מכיר את החובות החדשות — עלול לגלות אותן בדרך הקשה

הגנת הפרטיות לעסקים — מה השתנה, מה מחייב עכשיו, ומדוע זה כבר לא עניין של "טכנולוגיה"

5 דברים שכדאי לדעת לפני שממשיכים לקרוא

  1. כל עסק שמחזיק רשימת לקוחות, כתובות דוא”ל, פרטי עובדים או כל מידע שמזהה אנשים — מחזיק “מאגר מידע” לעניין חוק הגנת הפרטיות, תשמ”א-1981, וחייב בחובות שנקבעו בו.
  2. פגיעה בפרטיות היא עוולה אזרחית — הנפגע זכאי לפיצויים גם ללא הוכחת נזק ממוני, בסכום שיכול להגיע לעשרות אלפי שקלים לאירוע.
  3. תיקון 13 לחוק, שנכנס לתוקף באוקטובר 2025, הפך את הרשות להגנת הפרטיות לרגולטור בעל שיניים — עם סמכות להטיל עיצומים כספיים של מאות אלפי שקלים ואף מיליוני שקלים על חברות מפירות.
  4. עסקים מסוימים חייבים למנות “ממונה על הגנת הפרטיות” — תפקיד חדש שנוצר בתיקון 13, בדומה ל-DPO הנהוג באירופה לפי ה-GDPR.
  5. דליפת מידע — כולל פריצת סייבר — מחייבת דיווח לרשות ובמקרים מסוימים גם לנפגעים עצמם, בתוך פרק זמן קצוב.

מדוע 2025 היא שנת המפנה

חוק הגנת הפרטיות חוקק ב-1981 — הרבה לפני עידן הסמארטפון, הענן, ומאגרי הלקוחות הדיגיטליים. במשך שנים הוא הצליח לשרוד כמסגרת חוקית, אך רובם של בעלי העסקים הסתכלו עליו כנושא “טכנולוגי” שנוגע בעיקר לחברות גדולות.

תיקון 13, שאושר בכנסת באוגוסט 2024 ונכנס לתוקף במלואו באוקטובר 2025, שינה זאת. הרפורמה נועדה להתאים את הדין הישראלי ל-GDPR האירופי — החקיקה המחמירה ביותר בעולם בתחום הגנת המידע — ולהפוך את הרשות להגנת הפרטיות מגוף עם כוח מוגבל, לרגולטור בעל יכולת אכיפה של ממש.

מה מחייב — החובות המרכזיות לעסקים

חובת יידוע: כל אדם שנאסף מידע עליו — לקוח שממלא טופס, מועמד לעבודה, עובד חדש — חייב לקבל הודעה מפורשת: מה נאסף, לאיזה מטרה, מי מחזיק בו, וכיצד ניתן לממש את הזכות לעיון ולמחיקה. אתר שמאסף כתובות דוא”ל בלי הסבר — כבר מפר.

צמידות מטרה: מידע שנאסף למטרה אחת לא יכול לשמש למטרה אחרת. מי שנרשם לרשימת תפוצה לקבל עדכוני מוצר — לא נתן הסכמה לקבל פרסומות של שותפים עסקיים.

זכות עיון ומחיקה: כל אדם רשאי לבקש לדעת אילו פרטים מוחזקים אצלכם — ולדרוש מחיקה. סירוב ללא הצדקה חוקית — הפרה.

אבטחת מידע: תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, קובעות רמות אבטחה לפי רגישות המאגר. מאגר המכיל מידע רפואי, מצב כלכלי, נתוני עובדים — מחייב אמצעי אבטחה מחמירים יותר מרשימת לקוחות עם שמות וכתובות.

ממונה על הגנת הפרטיות: גופים מסוימים — לרבות חברות הפועלות בהיקף גדול של עיבוד מידע, או עסקים המעבדים מידע בעל “רגישות מיוחדת” — חייבים למנות ממונה על הגנת הפרטיות מכוח תיקון 13.

מה שהרשות יכולה לעשות עכשיו — ולא יכלה לפני כן

לפני תיקון 13, לרשות להגנת הפרטיות הייתה סמכות חקירה, אך כלי האכיפה שלה היו מוגבלים. תיקון 13 שינה זאת מהיסוד:

הרשות יכולה כעת להטיל עיצומים כספיים על חברות מפירות — בסכומים שיכולים להגיע למאות אלפי שקלים לכל הפרה, ובמקרים חמורים למיליונים בצבירה. חברה שלא רשמה מאגר, לא מינתה ממונה כנדרש, ולא סיפקה הודעת פרטיות — עלולה לספוג קנסות מצטברים גבוהים על כל אחת מהפרות אלה.

הרשות יכולה גם להורות על הפסקת עיבוד המידע — צעד שיכול לשתק פעילות עסקית.

תובענות ייצוגיות — סיכון שגדל

בע”א 4110/18 פלונית נ’ קדימה מדע, קבע בית המשפט העליון (השופט עופר גרוסקופף) כי באופן עקרוני ניתן להגיש תביעה ייצוגית בגין הפרת חוק הגנת הפרטיות — כשמדובר בהפרה שנופלת תחת אחת מהקטגוריות המנויות בחוק תובענות ייצוגיות. המדובר בפריצת דרך שפתחה את הפתח לתביעות קבוצתיות בשם עשרות אלפי נפגעים מדליפת מידע.

המשמעות: דליפת מידע בחברה אחת, אפילו עקב תקיפת סייבר, יכולה לבסס עילה לתביעה ייצוגית של כל מי שפרטיו היו במאגר.

הקשר לאירופה — ה-GDPR ועסקים ישראלים

חברות ישראליות שמקבלות מידע מלקוחות, ספקים או שותפים מהאיחוד האירופי — כפופות גם להוראות ה-GDPR. ישראל הוכרה על ידי האיחוד האירופי כמדינה בעלת “הגנה נאותה” על הפרטיות, אך הכרה זו מבוססת על כך שהדין הישראלי יעמוד ברמה מינימלית. תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ”ג-2023, מחילות על מידע שנשלח מאירופה לישראל הוראות נוספות — לרבות חובות מחיקה ויידוע.

חברה ישראלית שמפרה את הוראות ה-GDPR ביחס ללקוחות אירופאים — חשופה לסנקציות שיכולות להגיע עד 4% ממחזורה השנתי הגלובלי.

מה לעשות עכשיו

כל עסק שלא עשה זאת בזמנו — כדאי שיבצע בדיקה:

מיפוי מאגרי מידע — אילו מאגרי מידע קיימים בעסק, מה נמצא בהם, מי ניגש אליהם, ומדוע הם משמשים.

הודעת פרטיות — האם באתר ובטפסים קיימת הודעת פרטיות ברורה? האם ההסכמות לאיסוף מידע נאספות כהלכה?

נוהל לאירועי אבטחה — האם יש בנמצא נוהל ברור למקרה של פריצה או דליפה? מי מדווח, למי, ומתי?

חובות לפי תיקון 13 — האם העסק עומד בדרישות החדשות לממונה על הגנת פרטיות, חובות יידוע מורחבות, ורמות אבטחה עדכניות?

הגנת פרטיות אינה עוד נושא שניתן להניח בצד ל”כשיהיה זמן”. עם כניסת תיקון 13 לתוקף — הפערים בציות הפכו לחשיפה ממשית לקנסות, תביעות ונזק מוניטין.

עסקים שרוצים לוודא שהם עומדים בדרישות החוק החדשות — כדאי לבצע בדיקת ציות לפני שרגולטור מגיע לבדוק בעצמו.

© תדהר צור — משרד עורכי דין | המאמר נועד למידע כללי בלבד ואינו מהווה ייעוץ משפטי פרטני.

צריכים ייעוץ משפטי?

צרו קשר לפגישת ייעוץ ראשונית ונמצא את הפתרון המתאים עבורכם

לתיאום פגישה