תיקון 13 לחוק הגנת הפרטיות – המדריך שיעזור לכם להימנע מתביעות

מה זה תיקון 13 לחוק הגנת הפרטיות?

במקור, חקיקת החוק המקורי להגנת פרטיות בוצעה בשנת 1981 – מה שאומר, הרבה לפני שהמילה "AI" נכנסה לחיינו. כיום, בעידן הרשתות החברתיות והביג דאטה שאנו מחזיקים בכל אתר עסקי כזה או אחר… ההגנה על המידע האישי של כל לקוח ולקוח הפכה למינימלית, כזו המאפשרת שימוש בפרטים ללא אישור עבור מגוון שימושים שיווקיים כאלה ואחרים (שאותם משתמשים לא היו מאשרים מבעוד מועד). לכן, תיקון 13 נכנס לתוקפו – זאת על מנת למנוע כל שימוש בפרטי מידע אישיים לכל צורך ושימוש, ללא ידיעת הגולש/ת. 

התיקון, אושר בכנסת במהלך חודש אוגוסט 2024 אך נכנס לתוקף בתאריך ה-14 לאוגוסט 2025. מדובר בשינוי משמעותי שאינו מאפשר עוד להסתמך על "הסכמה שבשתיקה" או הסתמכות על כך שאם הגולש המשיך לדפדף באתר סימן שהוא מאשר את השימוש בפרטיו. במקום זאת, התיקון החדש מחייב אישור אקטיבי וברור בעת הכניסה לאתר – של פופ-אפ עוגיות המתריע על אישור המעקב. רק לאחר אישור הפופ-אפ יורשה המשתמש להמשיך ולגלוש באתר, במידה ולא יאשר זאת לא תוכלו לאסוף עליו שום פרט!

אילו פרטים לא ניתן לאסוף על המשתמש ללא אישור?

תיקון 13 לחוק הגנת הפרטיות מרחיב את ההגדרה של מידע אישי, וכולל בתוכו כל דבר שיכול לזהות אתכם, כמו למשל: כתובות IP, מזהים מקוונים כמו Cookies, Device ID ו־Advertising ID, נתוני מיקום המבוססים על GPS, Wi-Fi או Bluetooth beacons, מספרים סידוריים של מכשירים, נתוני רשת ותקשורת, וכן פרטים אישיים מובהקים – שם מלא, מספר תעודת זהות, טלפון, כתובת, רישיון נהיגה, דרכון, כתובת מייל ופקס. בנוסף, נכללים גם היסטוריית גלישה, מוצרים שנצפו, עגלות קניות שננטשו, זמני ותדירות ביקור, נתוני מכשיר וגרסת דפדפן, העדפות ושיטות תשלום, פעילות ברשתות החברתיות, מזהים ביומטריים כמו טביעות אצבע, זיהוי פנים או קול, ונתוני בריאות וכושר מאפליקציות. החוק מתייחס גם למידע אישי רגיש במיוחד – דעות פוליטיות, נטיות מיניות ורקע אתני – ולנתונים כלכליים כגון שכר, מצב פיננסי, השקעות, דירוג אשראי, ואף נתוני עבר פלילי או משפטי.

מה גובה הקנס במקרה של הפרת תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 לחוק הגנת הפרטיות הכניס מערכת עונשים דרקונית שמשנה את חוקי המשחק לחלוטין. העיצומים הכספיים נעים בין 15,000 ש"ח לעבירות בסיסיות ועד למיליוני שקלים בהפרות חמורות – למשל, פניה ל-50,000 אנשים ללא הסכמה יכולה לעלות 2.5 מיליון שקל. מעבר לקנסות המנהליים, החוק מאפשר לכל אדם לתבוע עד 10,000 ש"ח ללא הוכחת נזק, והוסיף עבירות פליליות חדשות עם מאסר עד 3 שנים. העונש התשעה מ-70% לעסקים שמתחרטים ומתאמצים, אבל הרישא ברורה: מי שלא מתאים את האתר לדרישות החוק החדש חושף את עצמו לסיכונים כלכליים ומשפטיים חסרי תקדים. בקיצור – העידן שבו אפשר היה להתעלם מפרטיות המשתמשים הסתיים, ועכשיו זה יכול לעלות לכם את העסק.

למידע נוסף אודות הפרת החוק – המדריך הרשמי של רשות הגנת הפרטיות.

איך להתאים את האתר שלי למגבלות החוק?

יש מספר צעדים שאתם מחויבים לעשות:

שלב 1: הוספת פופ-אפ קוקיז

עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, הפך באנר העוגיות (Cookie Consent Banner) מ"המלצה נחמדה" לחובה משפטית, כזו שיכולה לעלות לכם מיליוני שקלים אם תתעלמו ממנה. אז אם האתר שלכם משתמש בכלים לאיסוף מידע שאינם חיוניים להפעלתו – כמו Google Analytics, פיקסלי פרסום של Google Ads או Meta (פייסבוק), כלים אנליטיים כמו Hotjar, סרטוני YouTube מוטמעים, או כל עוגיה שעוקבת אחר התנהגות המשתמש – אתם חייבים לקבל הסכמה מפורשת לפני הפעלתם. כאן נכנסת לתמונה מערכת ניהול הסכמות (CMP – Consent Management Platform) שתבטיח שאתם לא טוענים אף עוגיה לפני שהמשתמש אישר במפורש.

מה בדיוק צריך לכלול באנר עוגיות תקני?

באנר העוגיות שלכם חייב לעמוד בכמה עקרונות כדי להיחשב חוקי לפי תיקון 13:

• ראשית, חובה להציג אפשרות סירוב שווה לאפשרות ההסכמה – כפתור "דחה הכל" צריך להיות באותה בולטות כמו "קבל הכל", ללא טריקים של עיצוב שמנסים לדחוף את המשתמש לכיוון מסוים. 
• שנית, עליכם לאפשר בחירה מפורטת – המשתמש זכאי לבחור בדיוק איזה קטגוריות עוגיות הוא מאשר (הכרחיות, אנליטיקה, פרסום, פונקציונליות). 
• שלישית, והכי קריטי – אסור לטעון אף סקריפט מעקב לפני קבלת ההסכמה. זה אומר שGoogle- Analytics, פיקסל Meta, Hotjar וכל כלי מעקב אחר חייבים להיות כבויים כברירת מחדל ולהיטען רק לאחר אישור המשתמש. 
• רביעית, המערכת צריכה לתעד את ההסכמות עם חותמת זמן וזיהוי ייחודי, כדי שתוכלו להוכיח עמידה בחוק במקרה של בדיקה.

תוסף באנר עוגיות לאתרי וורדפרס – CookieYes

עבור בעלי אתרי WordPress, תוסף CookieYes הוא אחד הפתרונות המובילים והמקצועיים ביותר להתמודדות עם דרישות תיקון 13. התוסף, שהותקן ביותר ממיליון אתרים ברחבי העולם, מציע מערכת ניהול הסכמות מתקדמת שכוללת באנר עוגיות מותאם אישית עם כפתורי "קבל הכל" ו"דחה הכל" שווי ערך, מרכז העדפות מפורט המאפשר לגולשים לבחור בדיוק איזה עוגיות הם מאשרים, וחסימה אוטומטית של סקריפטים עד לקבלת הסכמה. 

התוסף גם מתעד את כל ההסכמות עם חותמת זמן לצורכי ציות, תואם לתקני IAB (שבהם משתמשות גוגל ומטא), וכולל תמיכה בעברית מלאה. הגרסה החינמית מספקת פונקציונליות בסיסית מצוינת, בעוד שהגרסה בתשלום מאפשרת תכונות מתקדמות כמו סריקה אוטומטית של עוגיות באתר, ייבוא/ייצוא הגדרות, ותמיכה טכנית. התקנת התוסף פשוטה ומהירה, והוא מגיע עם תבניות מוכנות שמותאמות לדרישות תיקון 13, מה שחוסך זמן יקר ומבטיח עמידה בחוק מהיום הראשון.

למידע על התוסף והורדה מהירה – לחצו כאן.

שלב 2: הוספת עמוד מדיניות פרטיות (מפורט במיוחד!)

עד היום, רק בחלק מהאתרים ניתן היה למצוא עמוד "מדיניות פרטיות", כאשר כיום החוק מחייב הוספת עמוד מדיניות פרטיות בכל האתרים – כולל פירוט מלא, כזה שאינו מצוי באלו שכבר יש להם עמוד מדיניות פרטיות באתר.

מה צריך לכלול בעמוד מדיניות פרטיות לפי תיקון 13 לחוק הגנת הפרטיות?

בגדול, אתם חייבים לספר למשתמש בצורה שקופה ומובנת, כמעט הכול על מה שאתם עושים עם הנתונים שלו. מומלץ לעדכן את דף מדיניות הפרטיות כך שיכלול לפחות את הפרטים הבאים:

• כתבו אילו נתונים אישיים נאספים – פרטו את כל סוגי המידע שאתם אוספים מהגולשים (שם, אימייל, טלפון, כתובת IP, מיקום, Cookies, מידע התנהגותי וכו'). זכרו שההגדרה רחבה – עדיף לציין גם נתונים טכניים שנאספים.
• פרטו למה אתם אוספים את המידע (מטרות השימוש) – הסבירו את המטרות המדויקות, למשל: למתן שירות, טיפול בהזמנות, שיפור האתר, שיווק ופרסום בהתאמה אישית, שליחת עדכונים, ניתוח סטטיסטי וכן הלאה. לכל מטרה שאינה "חיונית" להפעלת השירות צריך את הסכמת הגולש (Opt-in), לכן היו ברורים מה חיוני ומה אופציונלי.
• פרטו עם מי משתפים את המידע – ציינו את כל הגורמים השלישיים שעשויים לקבל גישה למידע דרך האתר, למשל: גוגל (לצורך אנליטיקה ופרסום), פייסבוק/מטא (פיקסל, רימרקטינג), חברות דיוור, ספקי אחסון, שירותי סליקה, צ'אטבוט וכד'. כדאי לנקוב בשמות השירותים/חברות כדי שהמשתמש יבין בדיוק לאן הנתונים שלו יכולים להגיע.
• ציינו את משך שמירת המידע – פרטו לכמה זמן אתם שומרים נתונים אישיים (לדוגמה: נתוני גלישה אנונימיים ל-14 חודשים, פרטי לקוח עד בקשת מחיקה או כל עוד הוא משתמש פעיל, תיעוד עסקאות למשך 7 שנים לצרכים חוקיים וכו').
• הסבירו את זכויות המשתמש – ציינו ופרטו כי למשתמשים יש זכויות על המידע שלהם. תחת החוק החדש, אדם יכול לפנות ולבקש לעיין במידע ששמור עליו, לתקן מידע, למחוק (הזכות להישכח), להגביל או להתנגד לעיבוד מידע ואף למשוך הסכמה שנתן. חשוב לציין איך ניתן לממש כל זכות כזו בפועל (למשל: "באמצעות שליחת בקשה למייל ___").
• מומלץ לפרט אודות האמצעים לאבטחת מידע – מומלץ להוסיף כמה מילים על האמצעים שאתם נוקטים לאבטחת מידע המשתמשים (כגון הצפנת תקשורת TLS, הגבלות גישה, עדכוני תוכנה וכו'), כדי לחזק את אמון הגולש (למרות שאין דרישה לפרט זאת בחוק עצמו, זה טוב לפרטיות ולשקט הנפשי של לקוחותיכם).

זכרו שמדיניות הפרטיות צריכה להיות כתובה בשפה ברורה, ללא "אותיות קטנות" מסובכות. הימנעו ממשפטים משפטיים ארוכים – השקיפות חשובה לא רק לרגולטור אלא גם לגולש עצמו. בנוסף, ודאו שקיים קישור למדיניות הפרטיות בכל עמוד באתר (לרוב בפוטר), וכן בכל טופס שבו מתבקשים פרטים.

שלב 3: הוספת תיבות סימון להסכמה בטפסים (Opt-In)

תיקון 13 לחוק הגנת הפרטיות מבסס כלל אצבע חדש: אין יותר הסכמה משוערת. חייבים הסכמה מפורשת מהמשתמש לכל עיבוד מידע שאינו חיוני. המשמעות המעשית היא שבכל מקום באתר שבו המשתמש מוסר לכם מידע אישי – למשל, טופס "צור קשר", הרשמה לניוזלטר, פתיחת חשבון, הזמנת מוצר – עליכם להוסיף תיבת סימון ("צ'קבוקס") שאינה מסומנת מראש, שאותה המשתמש יסמן כדי לאשר את תנאי השימוש ומדיניות הפרטיות שלכם.

לדוגמה: מתחת לכפתור השליחה בטופס יצירת קשר, הוסיפו שורה בסגנון: "אני מאשר/ת שקראתי את [מדיניות הפרטיות] ואני מסכים/ה לתנאים." רק אם הגולש סימן את התיבה, מותר לכם להשתמש בפרטים ששלח למטרות שציינתם. אם הוא לא סימן – אל תאשרו את שליחת הטופס (או לפחות אל תשתמשו בפרטים למטרות שיווקיות). בנוסף, חשוב שהמילים "מדיניות הפרטיות" יקשרו בלחיצה לעמוד מדיניות הפרטיות באתר שלכם.

מעבר לכך, אם אתם מתכוונים לשלוח לנרשם עדכונים שיווקיים (ניוזלטר, הצעות וכד'), כדאי להוסיף תיבה נפרדת לאישור קבלת דיוורים. למעשה, רצוי להפריד בין הסכמה לתנאי השימוש הכלליים לבין הסכמה לקבלת חומר פרסומי, כדי לעמוד גם בדרישות חוק הספאם. למשל: "אני מעוניין לקבל במייל עדכונים והצעות מיוחדות" – תיבה נפרדת שבאמתחתה רק מי שרוצה שיווק יסמן.

מה החוק אומר לגבי רישום מידע חיוני להפעלת השירות? 

יש מקרים שבהם עיבוד המידע הכרחי כדי לספק את מה שהמשתמש ביקש, ואז מותר להתנות את השירות בהסכמה. החוק מבחין בין "מידע חיוני" ו"מידע שאינו חיוני": אם המידע נחוץ כדי לספק את השירות או המוצר שהמשתמש ביקש (למשל: כתובת למשלוח, פרטי תשלום, או פרטים טכניים הכרחיים), מותר לדרוש את מסירתו כתנאי לקבלת השירות, והמשתמש לא ממש יכול לסרב (אלא אם יוותר על השירות). אבל כל שימוש שאינו חיוני – למשל מידע שנאסף לצרכי שיווק, פרסום ממוקד, ניתוח התנהגות לסטטיסטיקה, שיפור חוויית משתמש וכד'… מחייב לאפשר למשתמש לסרב לעיבוד. לכן תיבות הסכמה בטפסים מיועדות בדיוק למטרות הנוספות האלה שאינן קריטיות, מה שאומר שאם המשתמש לא נותן הסכמה, אסור לכם "לעקוף" זאת – פשוט אל תבצעו את אותו עיבוד לא חיוני עבורו.

שלב 4: מינוי ממונה הגנת הפרטיות (במקרה הצורך)

אחד החידושים המדוברים ביותר בתיקון 13 לחוק הגנת הפרטיות הוא – החיוב למנות ממונה על הגנת הפרטיות (Data Protection Officer – DPO) בארגונים העומדים בקריטריונים מסוימים (מפורט בהמשך הפסקה). הרעיון הוא למנות אדם בעל מומחיות בתחום פרטיות ואבטחת מידע, שתפקידו לוודא שהארגון כולו פועל לפי החוק ומגן על פרטיות הלקוחות והמשתמשים. 

החובה חלה על: גופים ציבוריים, חברות "סוחרות מידע" (Data Brokers) עם מידע על יותר מ-10,000 איש, ארגונים העוסקים במעקב שיטתי (כמו פלטפורמות דיגיטליות), וגופים המעבדים מידע רגיש בהיקף ניכר (בנקים, בתי חולים, חברות ביטוח). 

הממונה משמש כאוטוריטה מקצועית פנימית, מייעץ להנהלה, מפקח על ציות, מטפל בפניות ציבור ומשמש איש קשר עם הרשות להגנת הפרטיות. חשוב שהממונה יהיה עצמאי וללא ניגוד עניינים – לא ניתן למנות למשל את מנהל השיווק או המכירות, והוא חייב לדווח ישירות למנכ"ל כדי להבטיח מעמד משמעותי בארגון. גם עסקים שאינם מחויבים חוקית יכולים למנות ממונה וולונטרי או לפחות להטיל על מישהו בארגון את האחריות על הובלת נושא הפרטיות, מה שיכול להוות יתרון משמעותי בבניית אמון עם לקוחות ומניעת הפרות עתידיות.

אין לי זמן לכל זה – מי יכול לעזור לי לעמוד במגבלות החוק?

בעלי עסקים, אנו יודעים כי זמן הינו משאב יקר עבורכם – במיוחד שמדובר בנושא שיש ללמוד אותו לעומק. בדיוק בשביל זה הקמנו שירות חדש ב-BRN המספק לכם את עמידה מלאה בכל התחייבויות החוק תחת מעטפת אחת:

שירות הגנת פרטיות 2025 (בעקבות תיקון 13):

• התקנת תוסף קוקיז על האתר (עד 100 עמודים ו-15,000 צפיות בחודש)
• יצירה והטמעה של הצהרת פרטיות עבור הלקוח
• הוספת שדה אישור מדיניות עבור כל הטפסים באתר
• מעבר על כל האתר
• יצירה והטמעה של עמוד מדיניות עוגיות
• עיצוב אישי לפופ-אפ עוגיות בהתאם לצבעי המותג
• עדכון והתאמה של עמוד מדיניות פרטיות (במקרה וקיים כבר באתר)
• תמיכה בריבוי שפות (עד 100,000 צפיות בחודש)

בעלות: 500 ₪ (תשלום חד-פעמי)

*עבור אתרים עם תעבורה העולה על 100,000 צפיות בחודש או ריבוי שפות, תידרש עלות חודשית בהתאם לצורך.

יש לכם שאלות? מעוניינים להצטרף לשירות? מלאו את הפרטים בטופס: