מבוא

כשנרשמתם לאתר, הזנתם כתובת אימייל, קניתם מוצר אונליין, או פשוט גלשתם בדף - מידע אישי עליכם נאסף. שמות, כתובות, הרגלי גלישה, היסטוריית רכישות, ולפעמים גם מידע רגיש יותר. העסק ביקש את הסכמתכם, וסביר שנתתם אותה. אבל ההסכמה לא מבטלת את הזכויות שלכם: יש לכם זכות לדעת מה נעשה עם המידע הזה.

חוק הגנת הפרטיות הישראלי מקנה לכל אדם זכויות ממשיות לגבי המידע שנשמר עליו. מאמר זה מסביר מה הזכויות הללו, כיצד מממשים אותן בצורה פשוטה, ומה ניתן לעשות אם לא קיבלתם מענה.

המידע נוגע אליכם - ויש לכם זכויות לגביו

כשאתם מוסרים לעסק פרטים עליכם, ההסכמה שנתתם מוגבלת למטרות שהוצגו לכם. המידע נוגע אליכם, והחוק נותן לכם זכויות לגביו: לדעת מה נשמר, לבקש תיקון, ובמקרים מסוימים לבקש מחיקה.

חוק הגנת הפרטיות, תשמ"א-1981, קובע שלכל אדם שפרטיו מצויים במאגר מידע יש זכויות ממשיות כלפי העסק או הארגון שמחליט כיצד יעובד המידע, הוא שנקרא בחוק "בעל השליטה במאגר המידע". תיקון 13 לחוק, שנכנס לתוקף באוגוסט 2025, עדכן את ההגדרות, חיזק את מנגנוני השקיפות והאכיפה, ונתן לרשות להגנת הפרטיות כלים אפקטיביים יותר לאכיפה.

מה נחשב מידע אישי?

כל מידע שמאפשר לזהות אתכם - שם, מספר תעודת זהות, כתובת, מספר טלפון, כתובת אימייל, ולפעמים גם כתובת IP, מזהי מכשיר, והיסטוריית גלישה שניתן לקשר אליכם. גם עוגיות (cookies) ומזהים דיגיטליים שניתן לקשר אליכם נכנסים לגדר מידע אישי לאחר תיקון 13 לחוק.

מדיניות הפרטיות - מה מותר לעסק לעשות עם המידע שלכם

כדי לדעת בדיוק מה עסק עושה עם המידע שלכם, נקודת ההתחלה היא מדיניות הפרטיות שלו. לפי חוק הגנת הפרטיות, בעת איסוף מידע אישי חובה ליידע אתכם על: מטרת האיסוף, האם מסירת המידע היא חובה חוקית או רצונית, שם העסק ודרכי ההתקשרות עמו, ולמי המידע עשוי להיות מועבר. מדיניות פרטיות מלאה ומומלצת תכלול גם את פרק הזמן שבו המידע נשמר, אך זה לא תמיד נדרש כחובה מפורשת לפי החוק.

כשנתתם הסכמה תקפה, היא אמורה להתייחס למטרות שהוצגו לכם בצורה ברורה. שימוש במידע למטרה אחרת שלא הוצגה עשוי להפר את עקרון צמידות המטרה.

רוצים לדעת מה מדיניות הפרטיות של אתר שאתם משתמשים בו אומרת בפועל? הדביקו את הכתובת שלה בכלי של Privacy Score - הכלי ינתח אותה בכמה שניות ויחזיר לכם ציון פשוט, חינם ובלי הרשמה. בדקו את המדיניות

צמידות מטרה - המידע צריך לשמש למטרה שלשמה נאסף

חוק הגנת הפרטיות מבסס עקרון חשוב שנקרא צמידות המטרה: מידע שנאסף לצורך מסוים לא ישמש למטרה אחרת, גם אם הדבר נוח לעסק.

דוגמה: שלחתם קורות חיים דרך פורטל דרושים למשרה ספציפית שפורסמה שם. כמה ימים לאחר מכן התחילו להתקשר אליכם חברות גיוס שלא פניתם אליהן כלל, כי הפורטל העביר את פרטיכם לחברות נוספות שאינן קשורות למשרה שהגשתם עליה מועמדות. קורות החיים נמסרו למטרה אחת - ושימשו למטרה אחרת.

דוגמאות נוספות לשימוש שעסק לא יכול לעשות במידע שלכם ללא הסכמה מתאימה או בסיס אחר בדין:
- מסרתם פרטים למוסך לצורך תיאום טיפול לרכב, ולאחר מכן חברת ביטוח רכב אחרת התקשרה אליכם, כי המוסך העביר את פרטיכם לצד שלישי.
- מסרתם מידע רפואי לצורך ביטוח, והחברה שיתפה אותו עם גורם שלא נזכר במדיניות הפרטיות שאליה הסכמתם.
- נרשמתם למועדון לקוחות בבית מרקחת לצורך קבלת הנחות, ופרופיל הרכישות שלכם (כולל רכישות תרופות) הועבר לגורמי ביטוח בריאות.

מה אתם יכולים לבקש: עיון, תיקון ומחיקה

שלוש הזכויות המרכזיות שמקנה החוק הן עיון, תיקון ומחיקה. הן לא שוות בעוצמתן, וחשוב להבין את ההבדל.

זכות מה היא כוללת מה מחויב?
עיון לראות איזה מידע קיים עליכם, מה הוא כולל ולמה הוא משמש חובה לאפשר, בכפוף לחריגים שנקבעו בחוק
תיקון לבקש תיקון מידע שאינו נכון, שלם, ברור או מעודכן אם הבקשה מתקבלת או בית המשפט מורה על כך - חייבים לבצע
מחיקה לבקש מחיקה של מידע שאינו נכון, שלם, ברור או מעודכן ניתן לבקש; הזכות חזקה יותר לגבי מאגרי דיוור ישיר

זכות המחיקה בחוק הישראלי אינה זכות גורפת. הזכות לבקש תיקון או מחיקה לפי סעיף 14 לחוק חלה בעיקר כאשר המידע אינו נכון, שלם, ברור או מעודכן. בעל השליטה רשאי לסרב לבקשת מחיקה אם יש לו הצדקה, ובמקרה זה עליו להודיע על הסירוב ולאפשר לכם לצרף הצהרה שלכם למידע.

מחיקה ממאגר דיוור ישיר - מקרה מיוחד

יש מצב אחד שבו הזכות למחיקה חזקה יותר: מאגרי דיוור ישיר. אם מידע עליכם מוחזק במאגר שמשמש לדיוור ישיר, כגון רשימות תפוצה מסחריות, אפשר לדרוש בכתב שהמידע המתייחס אליכם יימחק. זוהי זכות שעומדת לכם ללא תלות בשאלה אם המידע שגוי.

מתי אפשר לעיין בו?

ככלל, אפשר לבקש לעיין במידע אישי שנשמר עליכם - נתונים דמוגרפיים, פרטי קשר, היסטוריית עסקאות, הקלטות שיחות טלפון, צילומי וידאו, ואפילו חוות דעת שנכתבה עליכם במסגרת מיון לעבודה. הזכות כפופה לחריגים שקבועים בחוק, ואינה חלה על מידע שאינו אישי (כמו נתונים אנונימיים לחלוטין שלא ניתן לקשר לפרט מזוהה).

מה אם המידע לא נמצא פיזית אצל העסק? לפעמים בעל השליטה מעביר את עיבוד המידע לספק חיצוני - מוקד שירות, מערכת ענן, ספק CRM. במקרים אלה, גם אם המידע אינו מוחזק ישירות אצל העסק שפניתם אליו, בעל השליטה צריך להפנות אתכם לגורם שמחזיק בפועל את המידע ולהורות לו בכתב לאפשר את העיון.

איך מגישים בקשת עיון - שלב אחרי שלב

אין צורך בעורך דין ואין צורך בטופס מיוחד. אפשר לפנות בכתב, אימייל מספיק במרבית המקרים.

שלב 1 - אתרו את גורם הקשר
כנסו למדיניות הפרטיות של האתר. שם אמורה להיות כתובת לפניות בנושאי פרטיות - לפעמים כתובת אימייל כללית, ולפעמים פרטי ממונה הגנת הפרטיות (DPO) אם מונה כזה בארגון. אם לא מצאתם כתובת ייעודית, פנו לכתובת הכללית של שירות הלקוחות.

שלב 2 - שלחו בקשה בכתב
ניתן לשלוח אימייל. מספיק שהבקשה תהיה ברורה, תכלול את פרטי הזיהוי שלכם ותציין במפורש מה אתם מבקשים.

ניסוח לדוגמה שאפשר להעתיק:
שם פרטי ומשפחה: [שמכם]
מספר ת"ז: [מספרכם]
לפי חוק הגנת הפרטיות, תשמ"א-1981, אני מבקש/ת לעיין בכל המידע האישי המוחזק עליי במאגרי המידע שלכם.
אנא אשרו קבלת הבקשה ושלחו את המידע תוך 30 יום.
[שמכם, כתובת אימייל]

שלב 3 - שמרו אסמכתא
שמרו עותק של הבקשה ואת אישור השליחה. אם שלחתם באימייל, שמרו את הדוא"ל הנשלח.

מה קורה אם האתר לא עונה

החוק קובע לוחות זמנים ברורים:

  • תוך 30 יום מיום הגשת הבקשה - בעל השליטה חייב להשיב ולספק את המידע (ניתן להאריך ב-15 יום נוספים בנסיבות מיוחדות).
  • אם לא ענו תוך 21 יום - הדבר נחשב לסירוב. מרגע זה יש לכם אפשרויות פעולה.

אפשרות 1 - פנו לרשות להגנת הפרטיות

הרשות להגנת הפרטיות היא הגוף הממשלתי שאחראי על אכיפת החוק. אפשר להגיש תלונה באתר gov.il - הרשות בוחנת את הפנייה ורשאית לנקוט הליכים נגד העסק, כולל הטלת קנסות.

לפני הגשת התלונה, צרפו את הבקשה שהגשתם ואת תגובת העסק (אם ניתנה).

אפשרות 2 - תביעה בבית משפט השלום

אם העסק סירב לאפשר עיון - יש לכם זכות להגיש תביעה בבית משפט השלום, תוך 30 יום מקבלת הודעת הסירוב. זו זכות קיימת בחוק. פנייה לרשות להגנת הפרטיות תחילה היא לרוב הצעד המתאים בשלב ראשון.

חושבים שהעסק השתמש במידע שלכם שלא לפי ההסכמה?

זכות העיון מאפשרת לכם לראות מה נשמר עליכם. אבל לפעמים הבעיה אינה שמידע קיים, אלא שנעשה בו שימוש שלא הסכמתם לו.

דוגמה: שלחתם קורות חיים לפורטל דרושים למשרה ספציפית. לאחר מכן גיליתם שפרטיכם הועברו לחברות גיוס שלא פניתם אליהן, ושהמידע שימש לבניית פרופיל מועמדים למטרות שלא הסכמתם להן. ייתכן שהפורטל הפר את עקרון צמידות המטרה.

הצעדים האפשריים:

שלב 1 - בדקו את מדיניות הפרטיות
לפני שפועלים, בדקו אם השימוש שנעשה מוזכר במדיניות שחתמתם עליה. ייתכן שהוא מוזכר בסעיף שלא שמתם לב אליו בעת ההרשמה. ניתן להשתמש בכלי הניתוח של Privacy Score כדי לקרוא ולהבין את המדיניות בצורה מסודרת.

שלב 2 - פנו לעסק בכתב ובקשו הסבר
שאלו: לאיזו מטרה נעשה שימוש במידע שלכם ועל בסיס איזו הסכמה. שמרו את תגובת העסק, היא תשמש אתכם אם תחליטו להמשיך.

שלב 3 - הגישו תלונה לרשות להגנת הפרטיות
אם לא קיבלתם הסבר מניח את הדעת, אפשר להגיש תלונה לרשות להגנת הפרטיות דרך אתר gov.il. צרפו את הפנייה לעסק ואת תגובתו. הרשות מוסמכת לחקור, לנקוט הליכים ולהטיל עיצומים.

שלב 4 - תביעה משפטית
שימוש במידע שלא הסכמתם לו, ושאין לו בסיס אחר בדין, עשוי לעלות כדי הפרת חוק הגנת הפרטיות. זו זכות קיימת בחוק. אם הנזק ממשי, כדאי להתייעץ עם עורך דין המתמחה בתחום.

מה השתנה לאחר תיקון 13 לחוק הגנת הפרטיות

תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, הגדיל משמעותית את כוח הרגולטור ואת ההגנות על המשתמש:

  • הרשות קיבלה שיניים: לרשות להגנת הפרטיות יש עכשיו סמכות להטיל עיצומים כספיים גבוהים על עסקים שמפרים את החוק, כולל על אי-מתן עיון.
  • חובת שקיפות: עסקים מחויבים להודיע לכם מה נאסף עליכם, למה הוא נאסף, ועם מי הוא משותף. מדיניות פרטיות ראויה תכלול גם פרטי שמירה ומחיקה.
  • הגברת זכויות: הזכות לדעת, לתקן ולבקש מחיקה קיבלה ביסוס חזק יותר בחקיקה.

מבחינת המשתמש הפרטי, המשמעות היא שיש יותר כלים לאכוף את הזכויות, ויותר לחץ על עסקים לטפל בפניות ברצינות.

עוגיות ומזהים דיגיטליים - מתי הם מידע אישי ומתי נדרשת הסכמה

כשאתם מבקרים באתר ומופיעה בקשת הסכמה לעוגיות - זה לא רק פורמליות. עוגיות שניתן לקשר לזהות שלכם הן מידע אישי לפי החוק. שימוש בעוגיות כאלה לצרכי פרסום, מעקב או ניתוח התנהגות מצריך בדרך כלל הסכמה שלכם, הסכמה שנמסרת על בסיס מידע ברור ועם אפשרות ממשית לסרב.

אם אתם רוצים להבין מה אתר עושה עם המידע שלכם - נקודת ההתחלה הטובה ביותר היא לבדוק את מדיניות הפרטיות שלו. ראשית כדאי לבדוק אם למדיניות הפרטיות של האתר יש בכלל את הפרטים שמחייב החוק.

סיכום - יש לכם זכויות, כך מממשים אותן

נתתם הסכמה לעסק לעשות שימוש במידע שלכם, אבל ההסכמה לא מבטלת את הזכויות שלכם. יש לכם את הזכות לדעת מה קורה עם המידע, לתקן שגיאות, ולבקש מחיקה.

הצעד הראשון הוא פשוט: פנו לעסק בכתב, ציינו שאתם מבקשים לממש את זכות העיון, ושמרו את הפנייה. ברוב המקרים עסקים מגיבים. אם לא, הרשות להגנת הפרטיות וחוק הגנת הפרטיות מספקים מנגנונים ברורים להמשך.

רוצים להבין מה אתר ספציפי עושה עם המידע שלכם? הדביקו את כתובת מדיניות הפרטיות שלו בכלי של Privacy Score - הכלי ינתח אותה בכמה שניות ויחזיר לכם ציון פשוט, חינם ובלי הרשמה.

בדקו את המדיניות

שאלות נפוצות

האם העיון במידע עולה כסף?

לא תמיד בחינם, אבל הסכום מוגבל. לפי התקנות, בעל השליטה במאגר המידע רשאי לגבות עבור בקשת עיון עד 20 שקלים, ולא יותר. כלומר, זה לא סכום שהעסק יכול לקבוע לפי שיקול דעתו.

כמה זמן יש לעסק להשיב?

בדרך כלל עד 30 יום מיום הגשת הבקשה. במקרים מסוימים אפשר להאריך את המועד ב-15 יום נוספים.

אם לא קיבלתם תשובה תוך 21 יום, הדבר נחשב לסירוב, ואז אפשר לשקול פנייה נוספת, תלונה לרשות להגנת הפרטיות או פנייה לבית משפט השלום.

האם חייבים לאפשר לי לעיין בכל מידע?

לא תמיד. יש חריגים בחוק, למשל לגבי מאגרים מסוימים של גופי ביטחון, חקירה, אכיפה ורשויות מס. גם שם לא תמיד מדובר בפטור מוחלט, וייתכן שחלק מהמידע עדיין יהיה פתוח לעיון. בנוסף, בעל השליטה רשאי לסרב לעיון אם מסירת המידע עלולה לגרום נזק רציני לבריאותכם.

חשוב לדעת: זכות העיון לא אומרת בהכרח שהעסק חייב לשלוח לכם קובץ עם כל המידע. במקרים מסוימים הוא יכול לאפשר לכם לעיין במידע בדרך אחרת, למשל במשרדיו או באמצעות גישה מסודרת למידע. העיקר הוא שתוכלו לראות את המידע האישי שנשמר עליכם, בכפוף לחריגים שבחוק.

אם המידע נמצא אצל ספק חיצוני, למשל מערכת ענן, מוקד שירות או ספק CRM, בעל השליטה צריך להפנות אתכם לגורם שמחזיק במידע ולהורות לו לאפשר את העיון.

מה ההבדל בין עיון לתיקון למחיקה?

עיון: אתם מבקשים לראות איזה מידע אישי קיים עליכם.

תיקון: אתם מבקשים לתקן מידע שאינו נכון, שלם, ברור או מעודכן. אם הבקשה מתקבלת, או אם בית המשפט מורה על כך, צריך לבצע את התיקון.

מחיקה: אפשר לבקש מחיקה במקרים מסוימים, בעיקר כאשר המידע אינו נכון, שלם, ברור או מעודכן. לגבי מאגרי דיוור ישיר הזכות חזקה יותר: אפשר לדרוש בכתב שמידע המתייחס אליכם יימחק מהמאגר.

האם הסכמה לעוגיות היא חובה לפי החוק?

תלוי באילו עוגיות מדובר ומה עושים איתן.

עוגיות טכניות, שנדרשות כדי שהאתר יעבוד, אינן דומות לעוגיות שמשמשות לפרסום, מעקב או ניתוח התנהגות. כאשר עוגיות או מזהים דיגיטליים מאפשרים לקשר את הפעילות אליכם ומשמשים למעקב, פרסום או ניתוח התנהגות, האתר צריך להסביר זאת בצורה ברורה ולקבל הסכמה מתאימה.

ההסכמה לא חייבת תמיד להיות כפתור מפורש של “אני מסכים”. לפי עמדת הרשות, במקרים מסוימים גם המשך שימוש באתר לאחר שהוצג לכם מידע ברור יכול להיחשב כסוג של הסכמה מצדכם. אבל אם לא ברור מה נאסף, למה הוא משמש או איך אפשר לסרב, זה סימן שכדאי לבדוק את מדיניות הפרטיות של האתר.

האם האתר חייב לתת לכם לבחור בין סוגי עוגיות? בדין הישראלי אין כיום חובה כללית וברורה לתת “מרכז העדפות” מפורט לכל סוגי העוגיות. זו יכולה להיות פרקטיקה טובה, במיוחד באתרים שפועלים גם מול משתמשים באירופה, אבל בישראל השאלה המרכזית היא האם קיבלתם מידע ברור והאם ההסכמה, אם נדרשת, ניתנה בצורה תקפה.

האם עסק יכול להעביר את המידע שלי לחברה אחרת?

כן, אבל לא לכל מטרה ולא לכל גורם שהוא רוצה.

כמעט כל אתר עובד עם ספקים חיצוניים: אחסון אתר, מערכת דיוור, סליקה, מערכת CRM, שירות לקוחות, כלי אנליטיקה ועוד. במקרים כאלה הספק יכול להיות “מחזיק” במידע - כלומר גורם חיצוני שמעבד מידע עבור העסק. זה לא בהכרח אומר שהמידע “נמכר” או הועבר לשימוש חופשי של אותו ספק.

מה חשוב לבדוק? שמדיניות הפרטיות מסבירה למי המידע עשוי להימסר ולמה. אם העסק משתמש בספקים כדי להפעיל את השירות, זה יכול להיות לגיטימי כאשר הדבר נעשה בהתאם למטרות שהוצגו לכם ולדין.

לעומת זאת, העסק לא אמור למכור או להעביר את המידע שלכם לצד שלישי עצמאי לכל מטרה שיווקית או מסחרית שלא הוצגה לכם ושלא נתתם לה הסכמה מתאימה. אם לא ברור למי המידע מועבר ולמה, כדאי לפנות לעסק ולבקש הסבר.

גם כאשר המידע נמצא אצל ספק חיצוני, עדיין יש לכם זכות לבקש לעיין במידע האישי שנשמר עליכם. במקרים כאלה בעל השליטה צריך להפנות אתכם לגורם שמחזיק במידע ולהורות לו לאפשר את העיון.