התחל סריקה

תיקון 13 לחוק הגנת הפרטיות
המדריך המלא לבעלי אתרים

תיקון 13 נכנס לתוקף באוגוסט 2025 ומטיל חובות חדשות על כל אתר שאוסף מידע אישי. הנה כל מה שצריך לדעת כדי לעמוד בחוק ולהימנע מקנסות.

עודכן: פברואר 2026
8 דקות קריאה
חל על כל אתר

מה זה תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 לחוק הגנת הפרטיות (תשמ"א-1981) הוא הרפורמה המשמעותית ביותר בחוק הפרטיות הישראלי מאז חקיקתו. התיקון, שאושר בכנסת ונכנס לתוקף באוגוסט 2025, מחיל סטנדרטים מחמירים של הגנת מידע שמתקרבים לרמה של ה-GDPR האירופי.

התיקון מגדיר מחדש את חובות בעלי אתרים ועסקים בישראל בכל הנוגע לאיסוף, שמירה ועיבוד מידע אישי של גולשים ולקוחות. הוא מרחיב משמעותית את ההגדרה של "מידע אישי" ומחייב שקיפות מלאה מול הגולשים.

שימו לב: התיקון חל על כל אתר אינטרנט שאוסף מידע אישי - גם טופס יצירת קשר פשוט נחשב לאיסוף מידע. אי-עמידה בתנאים עלולה לגרור קנסות של מאות אלפי שקלים ואף יותר.

על מי חל תיקון 13?

בקצרה: על כמעט כולם. התיקון חל על כל גוף שמנהל "מאגר מידע" - וההגדרה כוללת כל אוסף שיטתי של מידע אישי, גם אם הוא קטן:

  • חנויות אונליין - כל אתר e-commerce שאוסף פרטי לקוחות, כתובות משלוח, ופרטי תשלום
  • אתרי שירותים - קליניקות, יועצים, מאמנים שאוספים פרטי לקוחות
  • אתרי תוכן - בלוגים עם טופס הרשמה לניוזלטר או תגובות
  • דפי נחיתה - כל עמוד שאוסף לידים (שם, מייל, טלפון)
  • אפליקציות ומערכות SaaS - כל פלטפורמה שמנהלת חשבונות משתמשים

הדרישות העיקריות של תיקון 13

1. מדיניות פרטיות מפורטת

כל אתר חייב להציג מדיניות פרטיות ברורה ונגישה הכוללת:

  • פירוט סוגי המידע הנאסף ומטרות האיסוף
  • הבסיס החוקי לאיסוף (הסכמה, חוזה, חובה חוקית)
  • פירוט צדדים שלישיים שהמידע מועבר אליהם
  • משך שמירת המידע ומדיניות מחיקה
  • זכויות הגולש (עיון, תיקון, מחיקה, ניוד)
  • פרטי ממונה הגנת הפרטיות (אם נדרש)
  • מידע על העברת מידע לחו"ל (אם רלוונטי)

2. הסכמה מפורשת

התיקון מחמיר את דרישות ההסכמה. הסכמה צריכה להיות:

  • מפורשת וחופשית - לא ניתן "להסתיר" הסכמה בתנאי שימוש ארוכים
  • ספציפית למטרה - הסכמה נפרדת לכל מטרת שימוש
  • הדירה - הגולש יכול לחזור בו מההסכמה בכל עת
  • מתועדת - העסק חייב לשמור הוכחה להסכמה

3. זכות העיון, התיקון והמחיקה

התיקון מעגן את זכותו של כל אדם לבקש לעיין במידע שנאסף עליו, לתקן מידע שגוי, ולדרוש מחיקת המידע ("הזכות להישכח"). על בעל האתר להגיב לבקשות כאלה תוך 30 יום.

4. אבטחת מידע

חובת יישום אמצעי אבטחה מתאימים לסוג המידע ולהיקף הפעילות, כולל הצפנה, בקרת גישה, וגיבויים.

5. מינוי ממונה הגנת פרטיות

ארגונים בסדרי גודל מסוימים חייבים למנות ממונה הגנת פרטיות - דרישה שמזכירה את ה-DPO (Data Protection Officer) של ה-GDPR.

6. דיווח על אירועי אבטחה

חובת דיווח לרשות להגנת הפרטיות ולנפגעים במקרה של דליפת מידע או פריצה למאגר.

הסנקציות והקנסות

התיקון מגביר משמעותית את יכולת האכיפה וסכומי הקנסות:

₪300K
קנס מנהלי ליחיד
₪1M
קנס מנהלי לתאגיד
5 שנים
עונש מאסר מרבי
ללא הגבלה
תביעות אזרחיות

בנוסף לקנסות, ניתן להגיש תביעות אזרחיות וייצוגיות. בתי המשפט בישראל פוסקים פיצויים ללא הוכחת נזק בגין הפרת פרטיות - כלומר גם בלי שנגרם נזק ממשי, ניתן לתבוע ולקבל פיצויים.

צ׳קליסט: האם האתר שלך עומד בתיקון 13?

  • יש לי מדיניות פרטיות מעודכנת באתר
  • המדיניות מפרטת את כל סוגי המידע שאני אוסף
  • יש מנגנון הסכמה פעיל (opt-in) לאיסוף מידע
  • יש צ׳קבוקס הסכמה בטפסים (לא מסומן מראש)
  • מידע נשמר בצורה מאובטחת (הצפנה, SSL)
  • יש תהליך לטיפול בבקשות עיון/מחיקה
  • באנר עוגיות עם אפשרות לסירוב
  • פרטי יצירת קשר לנושא פרטיות זמינים

איך Ziko עוזר לך לעמוד בתיקון 13?

Ziko סורק את האתר שלך ובודק אם אתה עומד בדרישות תיקון 13 ובעוד 27 תקנות ישראליות נוספות. הנה מה שאתה מקבל:

  • סריקה אוטומטית - זיהוי אם יש מדיניות פרטיות, באנר עוגיות, מנגנוני הסכמה
  • דוח מפורט - רשימת כל הליקויים עם הסבר מה לתקן
  • מסמכים מותאמים - יצירת מדיניות פרטיות מותאמת לסוג העסק שלך
  • בדיקות חוזרות - וידוא שהתיקונים בוצעו כראוי

ההבדל בין תיקון 13 ל-GDPR

תיקון 13 מושפע רבות מ-GDPR אך אינו זהה לו. הנה ההבדלים העיקריים:

נושא תיקון 13 GDPR
תחולה ישראל אירופה + כל עסק שמשרת אירופאים
קנס מרבי ₪1M (תאגיד) €20M או 4% מהמחזור
DPO/ממונה נדרש מסדר גודל מסוים נדרש בתנאים ספציפיים
הזכות להישכח כן כן
דיווח דליפה כן כן (72 שעות)

שאלות נפוצות על תיקון 13

כן. תיקון 13 חל על כל גוף שאוסף מידע אישי, ללא תלות בגודל העסק. גם פרילנסר עם אתר תדמיתי ובו טופס יצירת קשר חייב לעמוד בדרישות הבסיסיות - בעיקר הצגת מדיניות פרטיות וקבלת הסכמה לאיסוף מידע.
היעדר מדיניות פרטיות הוא הפרה ישירה של החוק. בנוסף לקנסות מנהליים, זה חושף אתכם לתביעות אזרחיות ולפיצויים ללא הוכחת נזק. Ziko יכול ליצור עבורכם מדיניות פרטיות מותאמת אישית כחלק מהבדיקה.
כן, אם האתר שלכם משתמש בעוגיות (cookies) מעבר לעוגיות הכרחיות לתפעול. עוגיות אנליטיות (Google Analytics), עוגיות שיווק (Facebook Pixel), ועוגיות צד שלישי דורשות הסכמה מפורשת של הגולש לפני הטמנתן.
התיקון קובע שמידע אישי יישמר רק למשך הזמן הנדרש למטרה שלשמה נאסף. חובה לקבוע מדיניות שמירה ומחיקה ולפרט אותה במדיניות הפרטיות. לדוגמה: פרטי הזמנה ניתן לשמור 7 שנים (לצורכי מס), אבל פרטי ליד שלא התקדם - חייבים למחוק תוך פרק זמן סביר.
כן. Google Analytics 4 אוסף מידע על התנהגות גולשים (כולל כתובת IP, מכשיר, מיקום גיאוגרפי) שנחשב מידע אישי. לכן, שימוש ב-GA4 מחייב באנר עוגיות עם אפשרות לסירוב, ואיזכור בפוליסת הפרטיות.
תיקון 13 (2025) מתמקד בהרחבת זכויות הפרט, חובת דיווח על אירועי אבטחה, והגברת סמכויות אכיפה. תיקון 14 (בדיונים) צפוי להתמקד בהתאמה לסטנדרטים בינלאומיים כמו GDPR, כולל הסדרת העברת מידע לחו"ל והרחבת סמכויות הרשות להגנת הפרטיות.

לא בטוח שהאתר שלך עומד בתיקון 13?

Ziko בודק את האתר שלך מול 28 תקנות ישראליות ומספק דוח מפורט עם הנחיות לתיקון

בדוק את האתר שלי