מבוא
אם מדיניות הפרטיות באתר שלכם כוללת משפטים כמו "אנו רשאים לשתף מידע עם צדדים שלישיים לצרכי שיפור השירות" - בלי פירוט, בלי תאריך עדכון, ובלי שום ציון של זכויות המשתמשים - כדאי לבדוק אם היא עדיין עומדת בדרישות.
תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 ושינה בצורה מהותית את דרישות השקיפות, היידוע והאחריות סביב עיבוד מידע אישי בישראל. ובפברואר 2026, הרשות להגנת הפרטיות פרסמה גילוי דעת על הסכמה שהוסיף רובד נוסף של דרישות - בעיקר לגבי אופן ניסוח ההסכמה וסיטואציות שבהן נדרשת הסכמה מפורשת.
המאמר הזה הוא לא עוד סקירה של מה תיקון 13 שינה בחוק. הוא מסביר מה לכתוב בפועל במדיניות הפרטיות שלכם: 12 רכיבים שמדיניות פרטיות טובה צריכה לכלול, עם דוגמאות לניסוח שתוכלו להשתמש כדי לבדוק את המסמך הקיים.
הבהרה: לא כל הרכיבים שיוצגו הם חובה מילולית אחת-לאחת בחוק. חלקם נובעים מחובת היידוע, חלקם מתקנות אבטחת מידע ותקנות העברת מידע לחו״ל, וחלקם הם פרקטיקה מומלצת לצורך שקיפות ועמידה סבירה בדרישות הדין.
למה המדיניות הישנה שלכם כנראה לא מספיקה עוד
עד לאוגוסט 2025, מדיניות פרטיות ישראלית "סבירה" יכלה להסתפק בכמה פסקאות כלליות על איסוף מידע. לא היו דרישות מפורשות לגבי מה בדיוק לכלול, ואכיפת הרשות הייתה מוגבלת.
תיקון 13 שינה את המצב בכמה אופנים:
הגדרות רחבות יותר. מזהים דיגיטליים כמו כתובות IP, עוגיות, ומזהי מכשיר יכולים להחשב כ"מידע אישי". אם האתר שלכם משתמש ב-Google Analytics או בפיקסל של Meta - זה מידע אישי שחייב להיות מוזכר.
חובת הודעה מורחבת. החוק דורש למסור מידע ברור יותר על זהות בעל השליטה במאגר המידע, מטרות האיסוף, למי יימסר המידע, ההשלכות של אי־מסירת מידע ודרכי התקשרות. לצד זאת, מומלץ לכלול במדיניות גם עקרונות לשמירת מידע ומחיקתו, כחלק משקיפות וניהול נכון של מידע אישי.
אכיפה פעילה יותר. לרשות להגנת הפרטיות יש כיום סמכות להטיל עיצומים כספיים משמעותיים, בהתאם לסוג ההפרה, מאפייני המאגר והוראות החוק. עדכון המדיניות הוא צעד שמפחית סיכון, אבל הוא לא מחליף ניהול פרטיות בפועל.
מה תיקון 13 שינה - בקצרה
להבנת הדרישות, כדאי להכיר שלושה שינויים מרכזיים:
1. מידע בעל רגישות מיוחדת. הגדרה חדשה ורחבה שכוללת, בין היתר, נתוני בריאות, ביומטריה, נטייה מינית, מוצא, דעות פוליטיות או אמונות דתיות, נתוני מיקום, נתוני שכר ופעילות פיננסית, עבר פלילי ומידע שחלה עליו חובת סודיות לפי דין. עיבוד מידע בעל רגישות מיוחדת מחייב זהירות מוגברת, בסיס חוקי מתאים, שקיפות ברורה, התאמת רמת אבטחת המידע, ולעיתים גם הסכמה מפורשת ונפרדת, במיוחד כאשר אין מקור דין אחר לעיבוד או כאשר מדובר בשימוש שאינו הכרחי לשירות.
2. צמצום חובת רישום מאגרי מידע. תיקון 13 צמצם את חובת הרישום, כך שהיא חלה בעיקר על מאגרי מידע שמטרתם מסירת מידע לאחר כדרך עיסוק או בתמורה, אם יש בהם מידע על יותר מ־10,000 בני אדם, וכן על מאגרי מידע של גופים ציבוריים, בכפוף לחריגים.
חשוב לזכור שהפטור מרישום לא פוטר משאר חובות החוק, כמו יידוע, אבטחת מידע, עבודה נכונה עם ספקים ומימוש זכויות נושאי מידע.
3. זכויות נושאי המידע. זכויות עיון, ותיקון - המדיניות צריכה להסביר למשתמשים כיצד לממש אותן.
12 הסעיפים שמדיניות פרטיות ישראלית טובה צריכה לכלול
12 הסעיפים שמצויינים בהמשך אינם מוגדרים ישירות בחוק אלא נגזרים מההבנה שלנו את דרישות החוק. חלקם נובעים מחובת היידוע, חלקם מתקנות אבטחת מידע ותקנות העברת מידע לחו״ל, וחלקם הם פרקטיקה מומלצת לצורך שקיפות ועמידה סבירה בדרישות הדין.
הרשימה אינה מהווה תחליף לבדיקה משפטית מלאה, ואינה מבטיחה כשלעצמה עמידה בכל הוראות חוק הגנת הפרטיות, התקנות שמכוחו או הנחיות הרשות.
לכל אחד מ-12 הסעיפים תמצאו שני דברים: הסבר קצר על מה החוק דורש, ודוגמת ניסוח שאפשר להתאים ולהכניס ישירות למדיניות שלכם.
1 זהות בעל השליטה במאגר ודרכי ההתקשרות איתו
מה החוק מחייב: המשתמשים חייבים לדעת מי אחראי לנתוניהם. זה כולל שם הגוף המשפטי, כתובת, ופרטי יצירת קשר לשאלות פרטיות.
אם הארגון מינה ממונה על הגנת הפרטיות (DPO), יש לציין גם את פרטי הממונה. שימו לב: חובת המינוי תלויה בסוג הארגון ובהיקף פעילותו - לא כל ארגון חייב.
2 אילו נתונים נאספים
מה החוק מחייב: רשימה ברורה של סוגי המידע שנאסף. לא מספיק "מידע שמסרתם לנו" - יש לפרט.
כללו: שם, כתובת אימייל, מספר טלפון, כתובת IP, עוגיות, היסטוריית גלישה באתר, נתוני מיקום (אם רלוונטי), נתוני תשלום (אם רלוונטי), נתוני רגישות אם נאספים.
3 מטרות האיסוף והשימוש
מה החוק מחייב: לכל סוג מידע - לשם מה הוא נאסף. המטרות צריכות להיות ספציפיות, לא כלליות.
המטרות הנפוצות: מתן השירות, תמיכה, שיפור חוויית המשתמש, שיווק (אם חל), ציות לחוק.
4 הבסיס המשפטי לעיבוד - ובפרט ההסכמה
מה החוק מחייב: לפי החוק הישראלי וגילוי הדעת שפרסמה הרשות בפברואר 2026, הסכמה היא הסכמה מדעת, במפורש או מכללא. לפי גילוי דעת הרשות, כדי שהסכמה תהיה תקפה יש לוודא שנושא המידע מבין למה הוא מסכים, שההסכמה אינה מושגת בכפייה או באמצעות מניפולציה, ושבנסיבות רגישות או מורכבות נדרש גילוי ברור ומפורט יותר.
במקרים של שימושים שאינם הכרחיים לשירות, ובמיוחד שיווק, פרסום ממוקד ועוגיות מעקב, מומלץ ואף לעיתים נדרש מעשית לקבל הסכמה אקטיבית ונפרדת. אין להציג זאת כחובה כללית לכל עיבוד מידע בישראל.
5 מידע בעל רגישות מיוחדת - כיצד הוא מטופל
מה החוק מחייב: אם אתם אוספים מידע בעל רגישות מיוחדת (נתוני בריאות, ביומטריה, מוצא אתני, נטייה מינית, דעות פוליטיות, נתוני מיקום מדויקים) - זה חייב לקבל התייחסות מפורשת ונפרדת.
אם לא אוספים מידע בעל רגישות מיוחדת ,אפשר לציין זאת במפורש.
6 מסירת מידע לגורמים שלישיים
מה החוק מחייב: פירוט של מי, אם בכלל, מקבל את הנתונים. זה כולל ספקי שירות (ענן, CRM, פלטפורמות פרסום), שותפים עסקיים, וגופי ממשל. אין חובה לפרט את השמות המדויקים של כלל הגורמים. במקום זאת, יש להגדיר בבירור את קטגוריות הנמענים (למשל: ספקי שירותי מחשוב ענן, חברות סליקה, ספקי שיווק).
- ספקי שירותי שיווק ותקשורת - לצורך משלוח ניוזלטרים והתאמת פרסום, בכפוף להסכמתכם
- ספקי שירותי סליקה ותשלומים - לצורך עיבוד עסקאות בלבד
- גורמי ממשל ורגולציה - כשקיימת חובה חוקית לכך.
7 העברת מידע מחוץ לישראל
כאשר מידע אישי מועבר, מאוחסן, מעובד או נגיש מחוץ לישראל, יש לבחון את תחולת תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס״א-2001. במדיניות הפרטיות מומלץ לפרט, ברמת שקיפות מתאימה, האם נעשה שימוש בספקים מחוץ לישראל, מה מטרת ההעברה או הגישה, ומה סוגי הגורמים שאליהם המידע מועבר.
אם העסק משתמש בספקי ענן, מערכות דיוור, CRM, אנליטיקה או שירותים אחרים שבהם המידע מאוחסן, מעובד או נגיש מחוץ לישראל, חשוב לציין זאת במדיניות.
8 משך שמירת המידע
החוק והתקנות מחייבים את הארגון לנהל את המידע בהתאם למטרות המאגר ולא לשמור מידע מעבר לנדרש. אף שסעיף 11 אינו מחייב בכל מקרה לפרסם טבלת retention מלאה במדיניות הפרטיות, מומלץ לכלול במדיניות עקרונות שמירה ומחיקה כדי לעמוד בציפיית השקיפות ולהפחית סיכון.
בפועל, רוב הארגונים עדיין לא הגדירו מדיניות מחיקה פנימית וממשיכים לשמור נתונים ללא הגבלת זמן - נוהג שמנוגד לרוח החוק. החוק מחייב בחינה שנתית של מידע שאינו נדרש עוד. ההמלצה: לפני פרסום המדיניות, לבנות פנימית טבלת משך שמירת המידע לפי סוגי מידע - זה גם מגן משפטית וגם מצמצם את הסיכון במקרה של פרצת מידע.
- נתוני לקוחות פעילים - כל עוד הקשר העסקי פעיל, ועד [Y] שנים לאחר סיומו
- מסמכי חשבונאות ותשלומים - 7 שנים, לפי דרישות פקודת מס הכנסה
- מידע שנאסף לשיווק - עד ביטול ההסכמה, ומחיקה תוך [Z] ימים לאחר מכן
בתום תקופות אלו, המידע נמחק או עובר תהליך אנונימזציה.
9 זכויות נושאי המידע
מה החוק מחייב: מדיניות פרטיות צריכה להסביר למשתמשים אילו זכויות יש להם ביחס למידע האישי שנאסף עליהם, ואיך אפשר לממש אותן.
לפי חוק הגנת הפרטיות, לאחר תיקון 13, חשוב במיוחד לציין את זכות העיון במידע ואת הזכות לבקש תיקון של מידע. כאשר האתר משתמש במידע לצורך דיוור ישיר או שיווק, צריך להסביר גם איך אפשר לבקש הסרה ממאגר דיוור ישיר או להגביל מסירת מידע לגורמים מסוימים.
המטרה המעשית היא פשוטה: המשתמשים צריכים להבין למי פונים, מה אפשר לבקש, ומה העסק יעשה עם הפנייה.
הזכויות המרכזיות שכדאי לציין
- זכות עיון: הזכות לבקש לעיין במידע האישי שנשמר על האדם במאגר מידע.
- זכות תיקון או מחיקה מוגבלת: הזכות לבקש לתקן או למחוק מידע אישי שאינו נכון, שלם, ברור או מעודכן.
- זכות הסרה מדיוור ישיר: הזכות לבקש הסרה ממאגר המשמש לדיוור ישיר, או לבקש שהמידע לא יימסר לגורמים מסוימים לצרכים אלה.
אפשרות לפנייה משפטית:
במקרים מסוימים, הפרת הוראות החוק או אי-מימוש זכויות נושאי מידע עשויים לאפשר תביעה אזרחית, כולל אפשרות לפיצוי ללא הוכחת נזק, בהתאם לתנאים הקבועים בחוק.
דוגמת ניסוח:
בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, עומדות לכם זכויות ביחס למידע האישי שנשמר עליכם.
ניתן לבקש לעיין במידע, לתקן או למחוק מידע שאינו נכון, שלם, ברור או מעודכן, ולהסיר אתכם ממאגר המשמש לדיוור ישיר, בהתאם לדין.
למימוש הזכויות ניתן לפנות אלינו כאן: [כתובת דוא"ל / קישור לטופס]. נבחן את הפנייה ונשיב בהתאם להוראות הדין.
10 עוגיות ומעקב דיגיטלי
כאשר עוגיות, פיקסלים או כלי אנליטיקה מאפשרים זיהוי, מעקב, פרסום ממוקד או העברת מידע לצדדים שלישיים, יש להתייחס אליהם כחלק ממערך עיבוד המידע האישי. במקרים של עוגיות שיווק ומעקב שאינן הכרחיות לשירות, הדרך הזהירה והנכונה היא לקבל הסכמה אקטיבית ונפרדת, לצד פירוט ברור במדיניות הפרטיות או במדיניות עוגיות.
ניתן לכלול פירוט עוגיות ישירות במדיניות הפרטיות, או להפנות למדיניות העוגיות המלאה באותו אתר.
11 אבטחת מידע
מה החוק מחייב: החוק מחייב אבטחה ברמה המתאימה לסיווג של מאגר המידע בהתאם לתקנות אבטחת המידע . המדיניות לא צריכה לפרט את כל האמצעים הטכניים, ולעיתים פירוט כזה עלול לפגוע באבטחה. עם זאת, מומלץ לציין שהארגון נוקט אמצעי אבטחה מתאימים, ורק לאחר שבדק שהניסוח משקף את המצב בפועל.
12 עדכון המדיניות ותאריך עדכון אחרון
מה החוק מחייב: המשתמשים חייבים לדעת מתי המדיניות עודכנה לאחרונה, ומה קורה כאשר היא משתנה. אם נעשה שינוי מהותי במטרות השימוש והעיבוד יש לבחון קבלת הסכמה מחדש.
Checklist - 12 הסעיפים בקצרה
| # | סעיף | קיים? |
|---|---|---|
| 1 | זהות בעל השליטה במאגר המידע ודרכי התקשרות | ☐ |
| 2 | פירוט סוגי המידע שנאסף | ☐ |
| 3 | מטרות האיסוף והשימוש | ☐ |
| 4 | הבסיס המשפטי לעיבוד (הסכמה תקנית) | ☐ |
| 5 | מידע בעל רגישות מיוחדת | ☐ |
| 6 | מסירת מידע לגורמים שלישיים | ☐ |
| 7 | העברת מידע מחוץ לישראל | ☐ |
| 8 | משך שמירת המידע (Retention) | ☐ |
| 9 | זכויות נושאי המידע ואופן מימוש | ☐ |
| 10 | עוגיות ומעקב דיגיטלי | ☐ |
| 11 | אמצעי אבטחת מידע | ☐ |
| 12 | תאריך עדכון אחרון ומנגנון עדכון | ☐ |
מה גילוי הדעת של הרשות (פברואר 2026) מוסיף
ב-25 בפברואר 2026 פרסמה הרשות להגנת הפרטיות גילוי דעת סופי בנושא הסכמה. זהו אחד המסמכים המשמעותיים ביותר שפרסמה הרשות, ויש לו השלכות ישירות על ניסוח מדיניות הפרטיות.
שלוש ההשלכות המרכזיות למדיניות פרטיות:
א. אי-מסירת הסכמה לא יכולה לפגוע בשירות הליבה. אם המשתמשות מסרבות להסכים לשימוש שיווקי בנתוניהן, אבל הן לקוחות משלמות - אי-אפשר לחסום להן גישה לשירות. המדיניות צריכה לשקף זאת.
ב. בסיטואציות כוח לא-שוויוניות - הרף גבוה יותר. שירותים חיוניים (בריאות, פיננסים, תחבורה) וכן שירותים שמטפלים במידע רגיש - נדרשים לגילוי מפורט יותר מסתם אזכור בתנאי שימוש.
ג. כאשר העיבוד מבוסס על הסכמה, צריך להסביר איך חוזרים ממנה. אם המשתמש נרשם בקליק לדיוור שיווקי, ביטול ההרשמה לא צריך לדרוש שיחת טלפון או תהליך מסורבל. המדיניות צריכה להסביר איך מבטלים הסכמה לשימושים שמבוססים עליה.
מה להוסיף למדיניות בעקבות גילוי הדעת:
- פירוט ברור של הדרך לבטל הסכמה לשימושים שמבוססים על הסכמה, כמו דיוור שיווקי או עוגיות שיווק.
- הבהרה שאי-מתן הסכמה לשיווק לא משפיע על קבלת השירות הבסיסי
- אם מדובר בשירות חיוני - הסבר מורחב יותר על כל מטרת עיבוד
לפני ואחרי תיקון 13 - מה השתנה בפועל
| נושא | לפני תיקון 13 | אחרי תיקון 13 |
|---|---|---|
| זהות בעל השליטה | חובת היידוע הייתה מצומצמת יותר | יש לציין את שם בעל השליטה במאגר ודרכי ההתקשרות עמו בעת פנייה לקבלת מידע |
| מטרות עיבוד | לעיתים הופיעו ניסוחים כלליים מאוד | נדרש פירוט ברור יותר של מטרות איסוף המידע והשימוש בו |
| הסכמה | ניתן היה להסתמך יותר על ניסוחים כלליים או משתמעים | יש לוודא שההסכמה היא מדעת, לאחר גילוי ברור, וללא כפייה או הטעיה |
| מידע בעל רגישות מיוחדת | התייחסות כללית יותר למידע רגיש | הגדרה רחבה ומפורטת יותר, שמחייבת זהירות מוגברת והתאמת אמצעי האבטחה |
| משך שמירת מידע | לא הייתה חובת פרסום מפורשת של משך שמירה | מומלץ לציין עקרונות שמירה ומחיקה; קיימת חובה פנימית לבחון אם נשמר מידע עודף |
| זכויות משתמשים | בעיקר זכות עיון ותיקון | עיון, תיקון או מחיקה מוגבלת של מידע שאינו נכון, שלם, ברור או מעודכן, והסרה ממאגר דיוור ישיר כאשר רלוונטי |
| העברה לחו״ל | חלות תקנות העברת מידע לחו״ל | יש לבחון את תקנות העברת מידע לחו״ל ולפרט במדיניות שימוש בספקים, אחסון או גישה מחוץ לישראל |
| אכיפה ועיצומים | סמכויות האכיפה היו מוגבלות יותר | עיצומים כספיים משמעותיים בהתאם לסוג ההפרה, מאפייני המאגר והוראות החוק |
5 טעויות נפוצות שעסקים עושים עם מדיניות הפרטיות שלהם
שאלות נפוצות
האם עסק קטן חייב במדיניות פרטיות?
כן. גודל העסק לא פוטר מהחובה אם נאסף מידע אישי - ולמעשה כל אתר שיש בו טופס יצירת קשר, טופס לידים, או Google Analytics אוסף מידע אישי. הסף הנמוך של החוק הישראלי מחיל אותו על כמעט כל עסק עם נוכחות דיגיטלית.
מה ההבדל בין מדיניות פרטיות לתנאי שימוש?
תנאי שימוש מסדירים את מערכת היחסים החוזית בין האתר למשתמשים - מה מותר ומה אסור לעשות, אחריות, קניין רוחני. מדיניות פרטיות מתמקדת ספציפית במידע האישי: מה נאסף, למה, ומה זכויות המשתמשים. לפי תיקון 13, לא מספיק לשלב הכל בתנאי שימוש - מדיניות פרטיות צריכה להיות מסמך נפרד ונגיש.
האם צריך לציין בדיוק כמה זמן שומרים מידע?
לא נדרשים תאריכים מדויקים לכל סוג נתון, אבל נדרש עיקרון ברור. "כל עוד נדרש לצורך השירות" היא נקודת מוצא טובה, בתנאי שמפרטים מה קורה לאחר מכן - מחיקה, אנונימיזציה, או שמירה לצרכי חוק.
האם יש זכות מחיקה בחוק הישראלי?
זו שאלה נפוצה שחשוב להבהיר. בשונה מ-GDPR, החוק הישראלי אינו מקנה זכות מחיקה כללית. ניתן לבקש מחיקה רק במקרים שבהם אין בסיס חוקי לשמירת המידע - לדוגמה, אחרי ביטול הסכמה לשיווק ובהיעדר סיבה חוקית אחרת לשמור את הנתון. כדאי לנסח את הסעיף הזה במדיניות בצורה מדויקת כדי שלא ייווצרו ציפיות שגויות.
האם כל מה שהעסק צריך הוא מדיניות פרטיות?
לא. מדיניות פרטיות היא רק החלק הגלוי של העבודה, ולא כל העבודה עצמה. היא צריכה לשקף בצורה אמיתית את מה שקורה באתר ובעסק: איזה מידע נאסף, למה משתמשים בו, איפה הוא נשמר, למי הוא מועבר, כמה זמן שומרים אותו ואיך המשתמשים יכולים לממש את הזכויות שלהם.
אם בפועל האתר משתמש בטפסי לידים, Google Analytics, Meta Pixel, מערכת דיוור, CRM או ספקי ענן, אבל המדיניות לא מזכירה את זה - המדיניות לא באמת עושה את העבודה שלה. מצד שני, גם מדיניות כתובה היטב לא מספיקה אם מאחורי הקלעים אין ניהול הרשאות, אבטחת מידע, עבודה מסודרת עם ספקים, ומנגנון לטיפול בפניות של משתמשים.
לכן מדיניות פרטיות היא נקודת התחלה חשובה, אבל היא צריכה להיות חלק מתהליך רחב יותר של ניהול פרטיות בעסק.
סיכום
מדיניות פרטיות תקנית לפי תיקון 13 אינה מסמך פורמלי שמטרתו לכסות על פערים - היא כלי שמסביר למשתמשים בדיוק מה קורה לנתוניהם, ומאפשר להם לקבל החלטה מדעת. תפישה זו - שמדיניות פרטיות היא תקשורת, לא הסכם שמישהו כותב עם עצמו - היא הרוח שגילוי הדעת של הרשות מבקש לקדם.
12 הסעיפים שפירטנו כאן אינם מקיפים כל סיטואציה אפשרית - עסקים עם מאפיינים ייחודיים (בריאות, פיננסים, עסקים עם ילדים כקהל יעד) זקוקים לעבודה מעמיקה יותר עם יועץ משפטי. אבל הם מהווים את הבסיס שכל אתר ישראלי צריך לעמוד בה.