מבוא
מישהו שהזין את הפרטים שלו באתר שלכם, קנה מוצר, או נרשם לניוזלטר - שלח לכם מייל וביקש לדעת מה שמור עליו, לתקן פרט שגוי, או למחוק את המידע. אם אתם בעלי עסק, מנהלי אתר, או אחראים על שירות לקוחות - המאמר הזה בשבילכם.
המאמר הזה נכתב עבור עסקים ואתרים שמקבלים, שומרים או משתמשים במידע אישי של לקוחות ומשתמשים. אם אתם כאן מהצד של המשתמש הפרטי, תוכלו לקרוא כאן מה הזכויות שמגיעות לכם.
חוק הגנת הפרטיות, ובעיקר תיקון 13 שנכנס לתוקף ביום 14 באוגוסט 2025, מטיל עליכם חובות ברורות כלפי מי שהמידע שלו שמור אצלכם: לזהות מי מהעסק שלכם אחראי לטיפול בבקשה, להגיב בתוך לוחות זמנים קבועים, ולדעת מתי אתם חייבים לפעול ומתי מדובר בהמלצה בלבד. המאמר הזה מסביר את זה בשפה פשוטה - כולל תבנית מענה שאפשר להתאים ולהשתמש בה כבר היום.
מי מהעסק שלכם חייב לטפל בבקשות - בעל שליטה מול מחזיק
תיקון 13 עדכן את המינוח: המונח "בעל מאגר" הוחלף ב"בעל השליטה במאגר המידע" - מי שקובע, לבד או יחד עם אחרים, את מטרות עיבוד המידע במאגר (בשונה מ-GDPR האירופי, שבו ההגדרה המקבילה כוללת גם את קביעת אמצעי העיבוד). זה כמעט תמיד העסק עצמו: אתן קבעתן למה אספתן את הפרטים, גם אם הביצוע הטכני נעשה בפועל אצל ספק חיצוני.
לעומת זאת, "מחזיק" הוא כל גורם חיצוני שמחזיק או מעבד את המידע מטעמכם - למשל ספק אחסון בענן, מערכת CRM, חברת דיוור, או מוקד שירות חיצוני.
מי מטפל בפועל בבקשת עיון כשהמידע אצל מחזיק? האחריות לניהול הבקשה ולוודא שהיא מטופלת בזמן היא שלכם, כבעלי השליטה במאגר. עם זאת, לפי סעיף 13א לחוק, כשהמידע מוחזק בפועל אצל מחזיק חיצוני (כמו ספק CRM), זכות העיון יכולה להתממש גם ישירות מולו: עליכם להפנות את המבקש אל המחזיק, לציין את מענו, ולהורות לו בכתב לאפשר את העיון. ואם המבקש פנה קודם לכן ישירות למחזיק - על המחזיק להשיב האם הוא מחזיק מידע עליו, ולמסור לו את פרטי בעל השליטה (כלומר, שלכם).
מתי גם מחזיק צריך לדאוג לעצמו: אם אתם פועלים כמחזיק עבור לקוחות עסקיים (למשל, אתם ספק SaaS שמעבד מידע עבור בתי עסק אחרים), חשוב לוודא שיש הסכם מסודר מולם לפי תקנות אבטחת מידע, שמגדיר איך ומתי אתם מעבירים להם מידע כשמגיעה בקשת זכויות. במקרים מסוימים - למשל אם אתם מעבדים מידע עבור גוף ציבורי, או שעיסוקכם העיקרי כולל ניטור שיטתי או עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר - ייתכן שגם עליכם, כמחזיק, חלה חובת מינוי ממונה על הגנת הפרטיות (DPO) בפני עצמכם, בנפרד מהלקוח העסקי שלכם.
| מי אתם | מה אתם חייבים |
|---|---|
| בעל השליטה במאגר (העסק שאסף את המידע) | לנהל את הבקשה ולוודא מענה בתוך לוחות הזמנים הקבועים בחוק; אם המידע מוחזק אצל מחזיק - להפנות את המבקש אליו בכתב ולהורות לו לאפשר עיון |
| מחזיק (ספק חיצוני שמעבד מטעם עסק אחר) | אם המבקש פנה אליכם ישירות - להשיב אם ברשותכם מידע עליו ולמסור את פרטי בעל השליטה; ולפעול לפי הוראת בעל השליטה כדי לאפשר את העיון בפועל |
עיון, תיקון, ומחיקה של מידע שגוי או לא מעודכן
| זכות | מה זה אומר בפועל בשבילכם | האם זו חובה מוחלטת? |
|---|---|---|
| עיון | להראות למשתמש איזה מידע קיים עליו במאגר שלכם, ולמה הוא משמש | חובה לאפשר, בכפוף לחריגים מצומצמים שקבועים בחוק |
| תיקון | לתקן מידע שגוי, לא שלם, לא ברור או לא מעודכן, אם הבקשה מוצדקת | חובה לבצע כשהמידע אכן שגוי - לא שיקול דעת חופשי |
| מחיקה | למחוק מידע שאינו נכון, שלם, ברור או מעודכן | לא גורפת - אתם רשאים לסרב בהצדקה סבירה, אך חייבים להודיע על הסירוב |
זכות המחיקה במאגר דיוור ישיר - חזקה יותר
במאגר המשמש לדיוור ישיר - כלומר פנייה אישית לאדם, המבוססת על השתייכותו לקבוצת אוכלוסין שנקבעה לפי אפיון אחד או יותר - אדם רשאי לדרוש שהמידע המתייחס אליו יימחק מהמאגר, לפי סעיף 17ו לחוק. הזכות הזו קיימת ללא תלות בשאלה אם המידע נכון או שגוי. לא כל רשימת תפוצה "רגילה" נכנסת אוטומטית להגדרה הזו, אך ברוב מערכי השיווק המפולחים כדאי להתייחס לבקשת מחיקה כזו כבקשה שיש לטפל בה במהירות ובזהירות.
מחוץ להקשר של דיוור ישיר, אין בדין הישראלי חובת מחיקה גורפת דומה לזכות "השכחה" ב-GDPR האירופי. אתם רשאים לסרב למחיקה כשיש לכם הצדקה - למשל חשבוניות שחייבים לשמור לפי דיני מיסים, תיעוד שירות לקוחות, או מידע שיש לו נפקות משפטית עתידית. במקרה של סירוב, אתם חייבים להודיע על כך למשתמש ולאפשר לו לצרף הצהרה משלו למידע.
תוך כמה זמן חייבים להשיב
| מצב | לוח הזמנים |
|---|---|
| מענה רגיל לבקשת עיון | תוך 30 יום מהגשת הבקשה (ניתן להאריך ב-15 יום נוספים בנסיבות מיוחדות) |
| שתיקה מעל 21 יום | אם לא אפשרתם עיון תוך 21 יום, הדבר עשוי להיחשב כסירוב לעניין זכות העיון - אף שהמועד הרגיל למענה הוא עד 30 יום |
| בקשת תיקון שהתקבלה | יש לבצע את התיקון בפועל, לא רק להשיב שהיא "התקבלה" |
| בקשה למחיקה ממאגר דיוור ישיר | מומלץ לטפל ללא עיכוב - אין הצדקה סבירה לעיכוב ממושך במקרה הזה |
נקודה חשובה: תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין) קובעות שמותר לכן לגבות תשלום סמלי וקבוע עבור בקשת עיון (סכום נמוך, מתעדכן מעת לעת) - אין לכן שיקול דעת לקבוע סכום גבוה יותר, ואי אפשר להשתמש בתשלום כדי לעכב או להרתיע מבקשים.
4 שלבים לטיפול בבקשה שהגיעה אליכם
שלב 1 - זהו את הבקשה ותעדו אותה. ברגע שמתקבלת פנייה שמזכירה עיון, תיקון או מחיקה של מידע אישי - סמנו אותה ככזו, גם אם היא הגיעה בניסוח לא רשמי לתיבת השירות הכללית. תעדו את תאריך הקבלה - ממנו מתחיל הספירה.
שלב 2 - אמתו זהות ואספו את המידע הרלוונטי. ודאו שהפונה אכן מי שהוא טוען שהוא (בלי לדרוש אימות מוגזם שמעכב שלא לצורך), ואספו את המידע שקיים עליו - כולל אצל ספקים חיצוניים ("מחזיקים") אם רלוונטי.
שלב 3 - השיבו בכתב, בתוך לוח הזמנים. גם אם התשובה היא סירוב חלקי או מלא - יש להשיב בכתב ולפרט את הנימוק.
שלב 4 - שמרו תיעוד. שמרו עותק של הפנייה, התשובה, ותאריכי הטיפול. זה מגן עליכם אם תידרשו להוכיח עמידה בזמנים מול הרשות להגנת הפרטיות או בבית משפט.
תבנית מענה שאפשר להתאים
אישור קבלת בקשה (לשלוח מיד עם קבלת הפנייה):
מענה חיובי (עיון):
מענה עם סירוב מנומק (למשל למחיקה שאינה מוצדקת):
בקשת הארכה (בנסיבות מיוחדות בלבד):
מה קורה אם לא עונים בזמן
התעלמות מבקשת זכויות אינה "ברירת מחדל בטוחה" - היא בעצמה מהווה סירוב, עם כמה מסלולי חשיפה אפשריים:
עיצום כספי מנהלי. לרשות להגנת הפרטיות יש כיום סמכות להטיל עיצומים כספיים על הפרות של החוק, כולל סירוב למתן זכות עיון - שמוגדר במפורש כדוגמה להפרה פרטנית שניתן להטיל עליה עיצום. גובה העיצום נקבע לפי חומרת ההפרה, היקפה, מספר נושאי המידע שנפגעו, רגישות המידע, והאם מדובר בהפרה חוזרת. כבר לפני כניסת תיקון 13 לתוקף הרשות הפעילה סמכויות אכיפה בתחום זכויות נושאי מידע ואבטחת מידע, ולאחר התיקון הסיכון הרגולטורי משמעותי יותר בשל הרחבת סמכויות הפיקוח והעיצומים.
תלונה לרשות להגנת הפרטיות. משתמש שלא קיבל מענה יכול להגיש תלונה ישירות דרך אתר gov.il. הרשות רשאית לבחון את התלונה ולנקוט הליכים, כולל דרישת מידע מכם ישירות.
תביעה אזרחית ופיצוי ללא הוכחת נזק. אם הסירוב עומד בעינו, עומדת למשתמש זכות להגיש תביעה בבית משפט השלום. תיקון 13 הוסיף אפשרות לתביעה אזרחית ללא הוכחת נזק במקרים מסוימים של הפרת זכויות נושאי מידע - לרבות אי-מימוש זכות העיון או התיקון - בסכום של עד 10,000 ₪ לכל הפרה. זהו מסלול נפרד מהמסלול הכללי של פגיעה בפרטיות לפי פרק א' לחוק, שבו עשויים לחול סכומי פיצוי גבוהים יותר. בית המשפט אינו מחויב לפסוק את הסכום המלא בכל מקרה, אך עצם קיומו של מסלול פיצוי כזה הופך התעלמות מבקשה למהלך מסוכן יותר מהתמודדות פרונטלית איתה.
חשוב להבהיר: התרחישים האלה תלויים בנסיבות הספציפיות של כל מקרה, וגם אם הסירוב מוצדק - חובה להודיע עליו ולנמק אותו. מענה מנומק ובזמן, גם כשהתשובה היא "לא", מפחית משמעותית את הסיכון בהשוואה להתעלמות.
איך מכינים את העסק מראש
לא צריך תוכנית מורכבת כדי להתחיל. ארבעה צעדים מעשיים:
- קבעו כתובת פנייה אחת וברורה לנושאי פרטיות (מייל ייעודי, או פרטי ה-DPO אם מונה כזה אצלכם), וציינו אותה במדיניות הפרטיות שלכם. מה מדיניות פרטיות טובה צריכה לכלול לפי תיקון 13 מפרט בדיוק אילו רכיבים חייבים להופיע שם, כולל הסבר לזכויות המשתמשים.
- מנו אחראי פנימי שיודע לזהות בקשת זכויות גם כשהיא לא מגיעה בניסוח "רשמי", ולעקוב אחרי לוח הזמנים.
- תעדו את תהליכי המידע שלכם מראש - איזה מידע יש לכם, איפה הוא נמצא, ואצל אילו ספקים - כדי שכשתגיע בקשה, לא תצטרכו לחפש אותה בבהלה. מדיניות פרטיות היא לא תוכנית פרטיות מסביר איך בונים את המיפוי הזה בפועל.
- ודאו שההסכם עם ספקים חיצוניים כולל מנגנון ברור לבקשות עיון, תיקון ומחיקה - בהתאם לתקנה 15 לתקנות אבטחת מידע, שמחייבת הסדרה מול גורם חיצוני, בדיקת סיכונים, הוראות מתאימות בהסכם, ובקרה על הספק.
שלב נוסף: אוטומציה בסיסית לתזכורות ולוחות זמנים
מעקב ידני אחרי תאריכים הוא המקום שבו הכי קל לטעות - במיוחד כשכמה בקשות מתקבלות במקביל. מעבר לאחראי הפנימי, אפשר לבנות תהליך תזכורות בסיסי, גם בלי ידע טכני, בעזרת כלי אוטומציה כמו Zapier או Make.com. תרשים פשוט לתהליך כזה יכול להיראות כך:
- טריגר - טופס ייעודי באתר, תווית במערכת המייל, או שורה חדשה בגיליון מעקב, שמסמנים שהתקבלה בקשת זכויות.
- חישוב אוטומטי של תאריכי היעד - 21 יום (סף שתיקה=סירוב) ו-30 יום (מועד מענה) מתאריך הקבלה.
- תזכורת אוטומטית לאחראי הפנימי (מייל, Slack או הודעת WhatsApp Business) כמה ימים לפני כל תאריך יעד.
- רישום אוטומטי בגיליון מעקב (Google Sheets או Airtable) עם סטטוס הבקשה - לתיעוד שיעזור לכם אם תידרשו להוכיח עמידה בזמנים.
זו תשתית בסיסית שאפשר להרכיב בגרסה החינמית של רוב כלי האוטומציה תוך שעה-שעתיים, בלי לשנות את מערכות העבודה הקיימות שלכם.
אם אתם רוצים תהליך מותאם באמת למערכות שלכם - טופס יצירת הקשר, ה-CRM, ומערכת שירות הלקוחות - אפשר להתייעץ עם Mindful Web Nerd על הקמת אוטומציה מלאה לתהליך הבקשות של העסק שלכם.
שאלות נפוצות
כל עסק חייב להגיב לבקשת עיון, גם עסק קטן?
כן, ככל שמדובר במאגר מידע שחוק הגנת הפרטיות חל עליו. החובה אינה תלויה בגודל העסק בלבד, אלא בשאלה האם העסק מנהל מאגר מידע כהגדרתו בחוק ומה סוג המידע שהוא מחזיק. מה שכן משתנה לפי גודל העסק וסוג הפעילות הוא, בין היתר, רמת האבטחה הנדרשת ושאלת חובת מינוי DPO.
מה אם אנחנו רק "מחזיקים" מידע עבור עסק אחר?
אם אתם ספק חיצוני (למשל SaaS, CRM או אחסון) שמעבד מידע עבור לקוח עסקי, המשתמש הסופי בדרך כלל יפנה ללקוח שלכם, לא אליכם ישירות. תפקידכם הוא לסייע ללקוח למלא את הבקשה בזמן, לפי ההסכם ביניכם. אם בכל זאת המשתמש פונה אליכם ישירות - לפי סעיף 13א לחוק, עליכם להשיב אם ברשותכם מידע עליו ולמסור לו את פרטי בעל השליטה (הלקוח העסקי שלכם). במקרים מסוימים - למשל עיבוד עבור גוף ציבורי, או עיסוק עיקרי בניטור שיטתי או במידע בעל רגישות מיוחדת בהיקף ניכר - ייתכן שגם עליכם חלות חובות עצמאיות, כולל מינוי DPO.
אפשר לגבות תשלום על טיפול בבקשת עיון?
כן, אך רק תשלום סמלי וקבוע שנקבע בתקנות - לא סכום לפי שיקול דעתכם. אין לכם אפשרות לגבות סכום גבוה כדי להרתיע פניות, וכדאי לאמת את הסכום העדכני מול נוסח התקנות בזמן הפרסום, מכיוון שהוא עשוי להתעדכן.
מה ההבדל בין מחיקה רגילה למחיקה ממאגר דיוור ישיר?
מחיקה "רגילה" (לפי סעיף 14 לחוק) תלויה בכך שהמידע אינו נכון, שלם, ברור או מעודכן - ואתם רשאים לסרב לה בהצדקה סבירה. מחיקה ממאגר המשמש לדיוור ישיר (פנייה אישית המבוססת על שיוך לקבוצת אוכלוסין) מאפשרת לאדם לדרוש שהמידע המתייחס אליו יימחק מהמאגר, לפי סעיף 17ו - ללא תלות בשאלה אם המידע שגוי, ומומלץ לטפל בבקשה כזו במהירות.
חובה למנות DPO רק כדי לטפל בבקשות זכויות?
לא. חובת מינוי DPO תלויה בקריטריונים נפרדים (סוג הארגון, היקף הפעילות וסוג המידע) שאינם קשורים ישירות לעצם קיומן של בקשות זכויות. עם זאת, אם כבר מונה אצלכם DPO, טיפול בבקשות זכויות הוא אחד מתפקידיו המרכזיים. פירוט מלא בפוסט ממונה הגנת פרטיות (DPO): מי חייב, מה התפקיד, ומה הסנקציות.
סיכום
בקשת עיון, תיקון או מחיקה שמגיעה מלקוח או ממשתמש היא לא אירוע חריג - היא זכות שהחוק מקנה לו, ומולה עומדת חובה ברורה שלכם: להגיב בכתב, בתוך לוח הזמנים, ובנימוק כשמדובר בסירוב. הבחנה פשוטה בין "בעל שליטה" ל"מחזיק" עוזרת לדעת מי בעסק (או אצל הספק שלכם) צריך לטפל בבקשה, ותבנית מענה מוכנה מראש חוסכת זמן וטעויות ברגע שהבקשה נוחתת.