חוקי פרטיות המידע בישראל: מדריך מלא לחוק הגנת הפרטיות ולתיקון 13 (2026)

ישראל מסדירה את פרטיות הנתונים באמצעות חוק הגנת הפרטיות, 5741-1981, שאכיפתו בידי הרשות להגנת הפרטיות (PPA). תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, הרחיב את סמכויות האכיפה, חייב מינוי ממונה הגנת פרטיות (DPO) בארגונים מסוימים, והעניק ליחידים זכות תביעה בגין פיצויים סטטוטוריים ללא צורך בהוכחת נזק.
עודכן לאחרונה: 19 במאי 2026
לישראל אחד ממסגרות הגנת המידע הוותיקות בעולם. חוק הגנת הפרטיות, שנחקק בשנת 1981, קדם ליוזמה הראשונה של האיחוד האירופי בתחום הגנת המידע (Data Protection Directive) ביותר מעשור. לאורך רוב שנותיו, האכיפה בישראל פיגרה אחר השאיפות שגילם החוק.
המצב השתנה עם כניסתו לתוקף של תיקון 13 ב-14 באוגוסט 2025. התיקון הוא השדרוג המשמעותי ביותר של דיני הפרטיות בישראל מאז חקיקת החוק המקורי. הוא מחזק את סמכויות האכיפה, מציג חובת מינוי ממונה הגנת פרטיות, מרחיב את הגדרת המידע הרגיש, מגדיל את ההשלכות הכספיות של אי-ציות, ומאריך את תקופת ההתיישנות בתביעות אזרחיות. בשילוב עם הנכונות שהפגינה הרשות להגנת הפרטיות (PPA) לפעול בפועל, תיקון 13 מסמן עידן חדש בהגנת המידע בישראל.
מדריך זה סוקר את מלוא מסגרת הגנת המידע הישראלית כפי שהיא נכונה לשנת 2026, לרבות הבסיס החוקתי, החוק המקורי, רפורמת תיקון 13, תקנות אבטחת המידע, סמכויות האכיפה והעיצומים, מעמד ההלימות מול האיחוד האירופי, ההנחיות בנושא בינה מלאכותית, ודרישות הציות המעשיות.
תשובה מהירה
חוק הגנת המידע המרכזי בישראל הוא חוק הגנת הפרטיות, 5741-1981. הרשות המפקחת היא הרשות להגנת הפרטיות (PPA), הפועלת במסגרת משרד המשפטים. תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, הוא ההתפתחות המשמעותית ביותר בתקופה האחרונה: הוא עדכן הגדרות, הרחיב את סמכויות האכיפה של ה-PPA כך שיכללו עיצומים כספיים של עד NIS 3.2 מיליון, הציג חובת מינוי DPO בארגונים מסוימים, והעניק ליחידים זכות תביעה ללא צורך בהוכחת נזק בפועל. לישראל מעמד הלימות מול האיחוד האירופי, שחודש על ידי הנציבות האירופית ב-15 בינואר 2024, המאפשר זרימה חופשית של מידע מהאיחוד האירופי ללא אמצעי הגנה נוספים.
הבסיס החוקתי
הפרטיות בישראל היא זכות חוקתית, לא רק זכות סטטוטורית. בשנת 1992 חוקקה הכנסת את חוק יסוד: כבוד האדם וחירותו, אשר העלה את הפרטיות למעמד של זכות יסוד. סעיף 7 קובע כי לכל אדם הזכות לפרטיות ולצנעת חייו האישיים.
מאחר שהפרטיות מעוגנת בחוקה, בתי המשפט מוסמכים לפסול חקיקה או פעולה ממשלתית הפוגעת בזכות לפרטיות ללא הצדקה מספקת. הדבר מעניק לדיני הפרטיות בישראל משקל משפטי שאינו קיים במסגרות סטטוטוריות גרידא. כל פגיעה בזכות לפרטיות חייבת להיעשות בחוק, לתכלית ראויה, ובמידה שאינה עולה על הנדרש.
חוק הגנת הפרטיות, 5741-1981
חוק הגנת הפרטיות הוא החוק המרכזי המסדיר את הגנת המידע בישראל. משנחקק בשנת 1981, הוא נמנה עם חוקי הגנת המידע המקיפים הראשונים בעולם. החוק מסדיר את איסוף המידע האישי, השימוש בו, אחסונו, גילויו והעברתו, הן על ידי גופים ציבוריים והן על ידי גופים פרטיים.
תחולה והיקף
החוק חל על כל אדם או גוף המנהל מאגר מידע המכיל מידע אישי על יחידים, בין אם הבעלים של המאגר מצוי בישראל ובין אם מחוצה לה. כל מאגר המכיל מידע על יותר מ-10 בני אדם נחשב לצורך רגולטורי.
החוק אינו מבוסס על רשימת בסיסים חוקיים לעיבוד מידע בסגנון GDPR. במקום זאת, הוא מאמץ מודל של הסכמה והגבלת מטרה. עיבוד מידע אישי מותר רק:
- בהסכמה מדעת של נושא המידע
- כאשר הדבר נדרש על פי חוק
- כאשר הדבר נחוץ לפעילות לגיטימית של בעל המאגר, ובלבד שהעיבוד עולה בקנה אחד עם המטרה שנחשפה בעת האיסוף
לאחר תיקון 13, נדרשת הסכמה מפורשת לעיבוד מידע בעל רגישות מיוחדת (ISS).
חובות מרכזיות
בין החובות המרכזיות מכוח החוק:
- הגבלת מטרה: מידע אישי רשאי לשמש רק למטרה שלשמה נאסף. שימוש במידע למטרות אחרות ללא הסכמה מהווה הפרה.
- שקיפות: יש ליידע את נושאי המידע על מטרת האיסוף, מי יחזיק במידע, ומהן זכויותיהם.
- דיוק המידע: על בעלי המאגרים לנקוט אמצעים סבירים כדי להבטיח שהמידע מדויק, שלם ועדכני.
- סודיות: כל מי שעובד עם מאגר מידע חב בחובת סודיות לגבי המידע האישי שאליו הוא נחשף.
- אבטחת מידע: יש להפעיל אמצעים טכנולוגיים וארגוניים הולמים כדי להגן על המידע מפני גישה בלתי מורשית, אובדן או השמדה.
תקנות משלימות
מספר תקנות משלימות את החוק:
- תקנות הגנת הפרטיות (אבטחת מידע), 5777-2017 קובעות דרישות אבטחה מדורגות בהתאם לסיווג המאגר
- תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), 5761-2001 מסדירות העברות מידע חוצות גבולות
- תקנות הגנת הפרטיות (הוראות בדבר מידע המשמש לדיוור ישיר) מסדירות מאגרי מידע לצורכי שיווק ישיר
ציר זמן של התפתחויות מרכזיות
| שנה | התפתחות |
|---|---|
| 1981 | חקיקת חוק הגנת הפרטיות |
| 1992 | חוק יסוד: כבוד האדם וחירותו מעגן את הזכות החוקתית לפרטיות |
| 1996 | הוספת פרק מקיף בנושא הגנת מידע לחוק |
| 2006 | הקמת הרשות להגנת הפרטיות (PPA) |
| 2011 | הנציבות האירופית מעניקה לישראל מעמד הלימות (החלטה מקורית) |
| 2017 | תקנות אבטחת המידע (5777-2017) מעדכנות את דרישות האבטחה |
| ינואר 2024 | הנציבות האירופית מחדשת את מעמד ההלימות של ישראל |
| אוגוסט 2024 | הכנסת מאשרת את תיקון 13 |
| אפריל 2025 | ה-PPA מפרסמת טיוטת הנחיות בנושא בינה מלאכותית |
| 14 באוגוסט 2025 | תיקון 13 נכנס לתוקף |
| אוגוסט 2025 | ה-PPA מטילה את העיצומים הכספיים הראשונים מכוח תיקון 13 |
| אוקטובר 2025 | תקופת החסד למינוי DPO מסתיימת; הציות בנושא DPO הופך לסוגיית אכיפה פעילה |
הרשות להגנת הפרטיות (PPA)
הרשות להגנת הפרטיות (PPA) היא הרשות המפקחת העצמאית האחראית על אכיפת החוק. היא פועלת במסגרת משרד המשפטים של ישראל.

תפקידים מרכזיים
ה-PPA אחראית על:
- אכיפת החוק באמצעות חקירות, ביקורות, עיצומים כספיים והעברת תיקים פליליים
- פרסום הנחיות רגולטוריות והוראות מחייבות
- ניהול מערכת רישום המאגרים והדיווח
- ייעוץ לכנסת בנוגע לחקיקה בתחום הפרטיות
- קידום עקרונות של הגנת פרטיות מובנית (privacy by design)
- ייצוג ישראל בפורומים בינלאומיים להגנת מידע
הליך פסיקה מוקדמת
אחד המאפיינים הבולטים של המשטר שלאחר תיקון 13 הוא הליך פסיקה מוקדמת פורמלי. ארגונים רשאים לפנות ל-PPA בבקשה לקבל הנחיה מראש לגבי פעילות עיבוד מידע מתוכננת, בטרם ביצועה. על ה-PPA להשיב בתוך 60 יום. הדבר מעניק לעסקים דרך לנהל סיכון רגולטורי בפעילויות עיבוד חדשניות או מורכבות, מנגנון שלא היה קיים במסגרת המקורית.
סמכויות אכיפה מכוח תיקון 13
תיקון 13 הפך את ה-PPA מרגולטור מוגבל יחסית לרשות בעלת יכולת אכיפה משמעותית. ה-PPA רשאית כעת:
- להוציא צווים מנהליים המחייבים ארגונים לשנות את נוהלי עיבוד המידע שלהם
- להטיל עיצומים כספיים המגיעים למיליוני שקלים
- להוציא צווי הפסקה המורים על עצירת פעולות עיבוד מידע
- לנהל חקירות פליליות בהיקף מורחב
- להורות על השעיית מאגרי מידע או מחיקתם במקרים חמורים
- לפרסם את שמות המפרים לתקופה של עד ארבע שנים
תיקון 13: רפורמת הפרטיות של 2025
תיקון 13 לחוק הגנת הפרטיות (רשמית: תיקון מס' 13, 5784-2024) הוא השינוי המשמעותי ביותר בהגנת המידע בישראל מאז חקיקת החוק. התיקון אושר בכנסת באוגוסט 2024, ונכנס לתוקף ב-14 באוגוסט 2025.
התיקון אינו מחליף את החוק. הוא מעדכן ומרחיב את המסגרת הקיימת, ומיישר אותה בצורה הדוקה יותר עם סטנדרטים בינלאומיים כגון GDPR, תוך שמירה על הגישה הסטטוטורית הייחודית של ישראל.
הרחבת הגדרת המידע הרגיש
תיקון 13 מציג את המושג «מידע בעל רגישות מיוחדת» (ISS). קטגוריה זו זוכה להגנות מוגברות לאורך כל החוק המתוקן. ISS כולל מידע אישי בנושאים הבאים:
- מצבים רפואיים ומידע גנטי
- מזהים ביומטריים המשמשים לזיהוי או לאימות
- נטייה מינית וחיי משפחה אינטימיים
- עמדות ודעות פוליטיות
- מוצא אתני או גזעי
- רישום פלילי
- נתוני מיקום גיאוגרפי
- פרטים פיננסיים
עיבוד ISS מחייב הסכמה מפורשת ונפרדת. אין לשלב הסכמה זו בתוך תנאי שימוש כלליים. ארגונים המעבדים ISS נדרשים גם לעמוד בדרישות אבטחה מחמירות יותר, בחובות דיווח נוספות, ובמכפילי הקנס הגבוהים ביותר.
הגדרת המידע האישי המורחבת כוללת כעת במפורש כתובות IP, מזהים מקוונים, ומידע התנהגותי, ובכך סוגרת פערי פרשנות שהתקיימו בנוסח המקורי משנת 1981.
חובת מינוי ממונה הגנת פרטיות
תיקון 13 קבע חובת מינוי DPO עבור ארבע קטגוריות של ארגונים. הגופים הבאים חייבים למנות ממונה הגנת פרטיות:
- גופים ציבוריים כהגדרתם בחוק, לרבות משרדי ממשלה, רשויות מדינה, רשויות מקומיות, קופות חולים, בתי חולים ואוניברסיטאות (למעט גופי ביטחון)
- סוחרי מידע שעיסוקם העיקרי הוא איסוף מידע אישי לצורך העברתו לצדדים שלישיים, כאשר המאגר מכיל מידע על יותר מ-10,000 אנשים
- ארגונים שפעילותם העיקרית כוללת עיבוד בהיקף נרחב של מידע בעל רגישות מיוחדת, כגון בתי חולים, מבטחי בריאות, בנקים וחברות ביטוח
- גופים המבצעים ניטור שיטתי של יחידים בהיקף נרחב, כגון מפעילי פלטפורמות למעקב התנהגותי, שירותי מיקום, מכשירים לביים (wearables), או מערכות מעקב
ה-DPO יכול להיות עובד פנימי או גורם חיצוני שמונה לתפקיד. עליו להחזיק בידע מעמיק בדיני הפרטיות הישראליים, בהבנה טובה של אבטחת מידע, ובהיכרות עם פעילות הארגון. אין דרישה להסמכה פורמלית, אך נדרשת מומחיות מעשית.
על ה-DPO לפעול בעצמאות מלאה וללא ניגודי עניינים. טיוטת ההנחיה של ה-PPA בנוגע למינוי ממונים מבהירה כי ה-DPO אינו יכול לשמש גם כמנהל שיווק, מנהל הצלחת לקוחות, מנהל כספים ראשי, מנהל מערכות מידע, או מנהל טכנולוגיות ראשי. על ה-DPO לדווח ישירות למנהל הכללי או לבכיר מקביל בדרג ההנהלה.
ה-PPA העניקה תקופת חסד ראשונית עד ל-31 באוקטובר 2025, שבמהלכה לא נאכפה חובת מינוי ה-DPO. תקופת חסד זו הסתיימה. הציות בנושא DPO הוגדר כיעד אכיפה מרכזי לשנת 2026. יש לצפות שה-PPA תבחן האם ל-DPO יש משאבים מספקים, עצמאות אמיתית, ושילוב תקין במבני הממשל התאגידי.
רפורמה ברישום מאגרי המידע
אחד השינויים המעשיים ביותר בתיקון 13 הוא הפישוט של הליך רישום המאגרים. בעבר, רוב הארגונים שניהלו מאגרים עם מידע אישי על יותר מ-10,000 אנשים היו חייבים להירשם ב-PPA.
במסגרת המעודכנת:
- רוב הארגונים במגזר הפרטי אינם נדרשים עוד לרשום את מאגריהם
- חובת הרישום נותרה בעינה עבור סוחרי מידע שהמאגר שלהם כולל יותר מ-10,000 אנשים
- גופים ציבוריים עדיין חייבים ברישום
- חובת דיווח: ארגונים המעבדים ISS על יותר מ-100,000 אנשים, ואינם חייבים ברישום מטעם אחר, נדרשים להודיע ל-PPA על זהותם, פרטי ההתקשרות שלהם, ופרטי ה-DPO שלהם
המעבר הזה מסיט את הדגש מציות מבוסס-רישום רחב לפיקוח ממוקד על הגורמים בסיכון הגבוה ביותר: סוחרי מידע ומעבדי מידע רגיש בהיקף נרחב.
חיזוק הדרישות להסכמה ולשקיפות
תיקון 13 החמיר את הכללים לקבלת הסכמה ולניהולה. הסכמה גורפת המוסתרת בתוך תנאי שימוש אינה מספקת עוד לרוב המטרות, והיא אינה מספקת כלל לגבי ISS. בעת איסוף מידע אישי, על ארגונים לחשוף כעת:
- את הבסיס החוקי לאיסוף המידע
- את המטרות הספציפיות שלשמן ישמש המידע
- את זהות בעל המאגר
- צדדים שלישיים פוטנציאליים שיקבלו את המידע
- את ההשלכות של סירוב למסור את המידע
- את זכויות נושא המידע, לרבות עיון, תיקון ומחיקה
ההסכמה חייבת להיות ספציפית, מדעת, ומתועדת. על ארגונים לשמור רישומים המוכיחים כי התקבלה הסכמה תקפה.
אחריות ברמת הדירקטוריון
תיקון 13 קבע אחריות ישירה ברמת הדירקטוריון בנוגע להגנת המידע. על דירקטוריונים כעת לקחת חלק פעיל בפיקוח על מדיניות הגנת המידע ובהבטחת הציות הארגוני. דרישה זו לא הייתה קיימת בחוק המקורי. השינוי משקף את כוונת הכנסת שהגנת המידע תיתפס כנושא ממשל תאגידי, ולא רק כפונקציה טכנולוגית או משפטית.
הארכת תקופת ההתיישנות
תקופת ההתיישנות האזרחית בתביעות פרטיות הוארכה משנתיים לשבע שנים. הדבר מעניק ליחידים זמן רב יותר משמעותית להגיש תביעה בגין הפרות פרטיות, ומגדיל את חשיפת האחריות ארוכת הטווח של ארגונים.
הליך פסיקה מוקדמת
החוק המתוקן הציג הליך פורמלי שבאמצעותו ארגונים יכולים לבקש הנחיה מראש מה-PPA בנוגע לפעילויות עיבוד מידע מתוכננות. על ה-PPA להוציא פסיקה בתוך 60 יום. הדבר מספק לארגונים כלי ציות משמעותי בהתמודדות עם תרחישי עיבוד מידע מורכבים או חדשניים.
תקנות הגנת הפרטיות (אבטחת מידע), 5777-2017
תקנות הגנת הפרטיות (אבטחת מידע) נמנות עם החלקים המשמעותיים ביותר מבחינה תפעולית במסגרת הישראלית. משנחקקו בשנת 2017, הן קובעות דרישות אבטחה מדורגות בהתאם לסיווג המאגר.

רמות אבטחת מאגרים
מאגרי מידע מסווגים לשלוש רמות אבטחה, בהתאם לסוג המידע המעובד, מספר נושאי המידע, ומספר המשתמשים המורשים:
רמה בסיסית: חלה על מאגרים קטנים המכילים מידע שאינו רגיש. הדרישות כוללות נהלי אבטחה מתועדים, בקרות גישה, ואמצעי אבטחה פיזית בסיסיים.
רמה בינונית: חלה על מאגרים גדולים יותר או כאלה המכילים מידע רגיש יותר. הדרישות הנוספות כוללות תיעוד גישה (access logging), בדיקות אבטחה תקופתיות, שיקולי הצפנה, נהלי תגובה לאירועים, והדרכת עובדים בנושא פרטיות.
רמה גבוהה: חלה על מאגרים המכילים ISS או על מאגרים גדולים במיוחד. הדרישות כוללות את כל אמצעי הרמה הבינונית, בתוספת מבדקי חדירות (penetration testing) חובה לפחות אחת ל-18 חודשים, הערכות סיכונים מקיפות, בקרות גישה פיזית, ותוכניות תגובה מפורטות לאירועים.
חובות אבטחה משותפות לכל הרמות
ללא קשר לסיווג, כל בעלי המאגרים חייבים:
- למנות אחראי אבטחת מידע
- לקיים נוהל אבטחה כתוב
- לבקר ולתעד הרשאות גישה
- לנקוט אמצעים למניעת גישה בלתי מורשית
- לדווח על אירועי אבטחה ל-PPA כאשר נדרש
דיווח על אירועי אבטחה
תקנות אבטחת המידע מחייבות דיווח מיידי ל-PPA על «אירוע אבטחה חמור». מה שנחשב ככזה תלוי בסיווג האבטחה של המאגר:
- מאגרים ברמת אבטחה גבוהה: כל שימוש בלתי מורשה במידע או פגיעה בשלמות המידע
- מאגרים ברמת אבטחה בינונית: שימוש בלתי מורשה או פגיעה המשפיעים על חלק ניכר מהמאגר
תיקון 13 הרחיב את חובת הדיווח על אירועי אבטחה בשני אופנים נוספים. עבור מאגרים המכילים ISS על יותר מ-100,000 אנשים, הדיווח ל-PPA הוא חובה מפורשת לגבי אירועים העומדים בתנאים. על ארגונים גם להודיע לנושאי המידע הנפגעים כאשר אירוע האבטחה מהווה סיכון משמעותי לזכויותיהם, ולא רק ל-PPA.
זכויות נושא המידע
הדין הישראלי מעניק ליחידים זכויות בנוגע למידע האישי שלהם. לאחר תיקון 13, זכויות אלה ניתנות לאכיפה מעשית יותר מבכל שלב אחר בתולדות החוק.
זכות העיון
נושאי מידע רשאים לבקש לעיין במידע האישי המוחזק אודותם בכל מאגר. על בעל המאגר להשיב בתוך פרק זמן סביר ולספק את המידע בפורמט מובן. ה-PPA ציינה כי אכיפת זכות העיון של נושאי המידע היא יעד מרכזי לשנת 2026.
זכות התיקון
יחידים רשאים לבקש לתקן מידע אישי שגוי, חסר, לא ברור, או שאינו מעודכן. אם בעל המאגר מסרב, רשאי היחיד לערער לבית משפט.
זכות המחיקה
החוק מאפשר ליחידים לבקש מחיקה של מידע אישי שגוי, חסר, לא ברור, או שאינו מעודכן. חריגים חלים כאשר המחיקה עלולה לסכן את שלומו של נושא המידע, לפגוע בחיסיון משפטי, או להפריע לאכיפת החוק.
זכות ההתנגדות לדיוור ישיר
נושאי מידע רשאים להתנגד לעיבוד המידע האישי שלהם לצורכי דיוור ישיר. על ארגונים לכבד בקשות הסרה.
זכות ניידות המידע
זכויות ניידות המידע בישראל צרות יותר מאשר תחת GDPR. עם זאת, חקיקה ענפית הרחיבה את הניידות בתחומים מסוימים. חוק ניידות מידע רפואי, 5784-2024, מסדיר את העברת הרשומות הרפואיות בין נותני שירותי בריאות ומחייב הסכמת המטופל.
זכות התביעה ללא הוכחת נזק
אחד השינויים המשמעותיים ביותר בתיקון 13: יחידים רשאים כעת להגיש תביעות אזרחיות בגין הפרות פרטיות ללא הוכחת נזק בפועל. בתי המשפט רשאים לפסוק פיצויים סטטוטוריים של עד NIS 100,000 (כ-USD 27,000) לאדם. תקופת ההתיישנות בתביעות מסוג זה עומדת כעת על שבע שנים. הדבר מסיר את המחסום המעשי שהרתיע בעבר את רוב פעולות האכיפה האישיות, ויוצר חשיפה כספית משמעותית בתביעות ייצוגיות הכרוכות בהפרות נרחבות.
עיצומים ואכיפה
תיקון 13 הגדיל באופן דרמטי את ההשלכות הכספיות של אי-ציות.
עיצומים כספיים מנהליים
ה-PPA רשאית כעת להטיל עיצומים כספיים ללא צורך בפנייה לבית משפט. מבנה הקנסות מדורג:
- קנסות לפי עבירה נעים בין NIS 1,000 ל-NIS 320,000
- במקרים מחמירים ניתן להכפיל את הקנס עד ל-NIS 640,000
- הפרות בהיקף נרחב יכולות להוסיף רכיב לפי נושא מידע, של עד NIS 100 לכל אדם במאגר הנפגע
- העיצום הכספי המרבי יכול להגיע לכ-NIS 3.2 מיליון (כ-USD 900,000)
- תקרת מחזור: הקנסות מוגבלים ל-5% מהמחזור השנתי במקרים החמורים ביותר
- קנסות מופחתים: עסקים קטנים וזעירים נהנים מתקרות קנס מופחתות באופן משמעותי
- פרסום שמות: ה-PPA רשאית לפרסם את שמות המפרים לתקופה של עד ארבע שנים
ניתן להפחית קנסות בשיעור של עד 70% במקרה של הפרה ראשונה או כאשר קיימות נסיבות מקלות. מבנה הקנסות מכויל בהתאם לחומרת ההפרה, גודל הארגון, מספר האנשים הנפגעים, ומעורבות של ISS.
פעולות האכיפה הראשונות מכוח תיקון 13
ה-PPA לא בזבזה זמן בהפגנת כוונת האכיפה שלה. באוגוסט 2025, באותו חודש שבו נכנס תיקון 13 לתוקף, הטילה ה-PPA את הקנס הראשון שלה במסגרת המשטר החדש: NIS 75,000 כנגד עובד של המוסד לביטוח לאומי, בגין ביצוע 15 שאילתות מידע בלתי מורשות שכללו מידע אישי רגיש. ההפרות אירעו בין השנים 2020 ל-2021. המקרה כלל שימוש במידע אישי למטרות שאינן עולות בקנה אחד עם התכלית המקורית של המאגרים, הפרה של עקרון הגבלת המטרה מכוח סעיף 8(ב) לחוק.
ה-PPA קנסה גם את HOT, ספקית תקשורת ישראלית, בסך NIS 70,000 בגין הפרות פרטיות נפרדות, מה שסימן עוד יותר כי האכיפה תהיה פעילה כבר מהיום הראשון.
עיצומים פליליים
החוק שומר על עיצומים פליליים בגין הפרות חמורות:
- פגיעה מכוונת בפרטיות או הפרת חובות סודיות: עד חמש שנות מאסר
- הכשלת חקירות של ה-PPA: עד שלוש שנות מאסר
- הטעיה מכוונת של ה-PPA בבקשות לרישום מאגרים: עד שלוש שנות מאסר
- עיבוד מידע בלתי מורשה ללא רשות מבעל המאגר: עד שלוש שנות מאסר
תיקון 13 הרחיב את רשימת העבירות הנושאות עיצום פלילי, והגדיל את תקופות המאסר המרביות במספר קטגוריות.
אחריות אזרחית
מעבר לעיצומים המנהליים והפליליים:
- פיצויים סטטוטוריים של עד NIS 100,000 לאדם ללא הוכחת נזק
- תביעות ייצוגיות אפשריות במקרה של הפרות נרחבות
- פיצויים בגין נזק ממשי כאשר מוכח נזק בפועל
- פיצויים עונשיים של עד NIS 10,000 לאדם בגין הפרת עקרון הגבלת המטרה או אי-מימוש זכות העיון
העברות מידע חוצות גבולות
ישראל מסדירה העברות מידע בינלאומיות באמצעות תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), 5761-2001.

דרישות להעברת מידע
ניתן להעביר מידע אישי אל מחוץ לישראל רק כאשר המדינה היעד מבטיחה רמת הגנת מידע שקולה. ה-PPA מנהלת רשימת מדינות מאושרות.
עבור העברות למדינות שאינן ברשימה המאושרת, על ארגונים להסתמך על:
- הגנות חוזיות: הנמען הזר מתחייב באופן חוזי לעמוד בסטנדרטים הישראליים להגנת מידע ובחובות כלפי נושאי המידע
- הסכמת נושא המידע: הסכמה מדעת להעברה הספציפית
- חובה חוקית: כאשר ההעברה נדרשת על פי חוק
הערכות סיכונים טרם ההעברה
לפני העברת מידע בינלאומית, על ארגונים להעריך את הסביבה הרגולטורית במדינה הנמענת, את הסיכון למעקב ממשלתי, האם מעורב ISS, והאם ההגנות החוזיות נאותות.
מעמד ההלימות מול האיחוד האירופי
לישראל הוענק מעמד הלימות מול האיחוד האירופי בשנת 2011 מכוח ה-Data Protection Directive המקורי. ב-15 בינואר 2024, חידשה הנציבות האירופית את מעמד ההלימות של ישראל כחלק ממחזור הבחינה ארבע-השנתי מכוח סעיף 45 ל-GDPR, ואישרה כי הגנת המידע בישראל ממשיכה לספק רמת הגנה שקולה במהותה לסטנדרטים של GDPR.
מה משמעות ההלימות בפועל
עבור עסקים הפועלים בין ישראל לאיחוד האירופי, מעמד ההלימות משמעו:
- אין צורך במנגנוני העברה נוספים עבור זרימת מידע אישי מהאיחוד האירופי או מהאזור הכלכלי האירופי (EEA) לישראל
- אין צורך בסעיפים חוזיים סטנדרטיים (SCC) עבור העברות מהאיחוד האירופי לישראל
- ציות מפושט עבור ארגונים רב-לאומיים הפועלים בשתי המערכות המשפטיות
- יתרון תחרותי לחברות ישראליות המספקות שירותים ללקוחות באיחוד האירופי
הלימות אינה שקולה לציות מלא ל-GDPR
מעמד ההלימות מול האיחוד האירופי מוטעה לעיתים קרובות. משמעותו היא שמידע יכול לזרום מהאיחוד האירופי לישראל ללא אמצעי הגנה נוספים. אין משמעותו שארגונים ישראליים מצייתים אוטומטית ל-GDPR. ארגונים המעבדים מידע אישי של תושבי האיחוד האירופי חייבים לציית ל-GDPR באופן עצמאי, ללא קשר למעמד ההלימות של ישראל.
בחינה מתמשכת
מעמד ההלימות של ישראל עמד בפני לחץ מצד ארגוני חברה אזרחית. באפריל 2024, קואליציה של 17 ארגונים בתיאום EDRi ו-Access Now פנתה בכתב לנציבות האירופית בקריאה לבחון מחדש את החלטת ההלימות. גם חברי הפרלמנט האירופי העלו שאלות רשמיות בנוגע לשאלה האם השימוש הישראלי במידע עדיין תואם את עקרונות ה-GDPR. הנציבות האירופית השיבה כי לפי הערכתה, אין צורך בשינוי. החלטת ההלימות נותרה בתוקף.
בינה מלאכותית ופרטיות: הנחיות ה-PPA (2025)
אחת ההתפתחויות המשמעותיות ביותר לאחר תיקון 13 היא טיוטת ההנחיה של ה-PPA בנושא פרטיות במערכות בינה מלאכותית, שפורסמה באפריל 2025. ההנחיות מבהירות כיצד חל החוק לאורך כל מחזור החיים של מערכת בינה מלאכותית (AI).
עקרונות מרכזיים
הנחיית ה-PPA בנושא AI קובעת כי:
- החוק חל על מערכות AI האוספות, מעבדות, או משתמשות במידע אישי, לרבות במהלך אימון, פיתוח ופריסה
- יש לשלב הגנת פרטיות מובנית (privacy by design) במערכות AI כבר משלב התכנון, ולא להוסיפה בדיעבד
- רוב המאגרים המשמשים לפיתוח AI מסווגים ברמת אבטחה בינונית עד גבוהה מכוח תקנות אבטחת המידע
- קבלת החלטות אוטומטית המשפיעה באופן משמעותי על יחידים מחייבת שקיפות לגבי ההיגיון העומד בבסיסה
גריפת מידע (Data Scraping)
ה-PPA נקטה עמדה ברורה בנוגע לגריפת מידע. גריפה בלתי מורשית של מידע אישי מהווה «אירוע אבטחה חמור» המחייב דיווח מיידי ל-PPA. על בעלי מאגרים לנקוט אמצעים טכניים סבירים כדי למנוע גריפה אסורה מהפלטפורמות שלהם. ארגונים המשתמשים במידע אישי שנגרף לצורך אימון מערכות AI ללא בסיס חוקי תקף מפרים את החוק.
הסכמה לעיבוד באמצעות AI
כאשר עיבוד באמצעות AI הוא מורכב, סוטה מהציפיות הסבירות של נושאי המידע, או מציב סיכון גבוה לזכויות היחיד, עמדת ה-PPA היא שנדרשת הסכמה פעילה ונפרדת. הסכמה שהתקבלה למטרה אחת אינה יכולה לשמש למטרה אחרת של אימון AI או פיתוח מודלים, ללא הסכמה חדשה.
אחריות ספקים
ארגונים המשתמשים בספקי AI חיצוניים חייבים לבצע בדיקת נאותות בנוגע לנוהלי הפרטיות של אותם ספקים, ליישם בקרות חוזיות, ולוודא שהספקים מספקים ערבויות מספקות. בעל המאגר נותר אחראי לעיבוד המתבצע על ידי ספקי AI מטעמו.
תחזית האכיפה בנושא AI לשנת 2026
ה-PPA צפויה לגבש את הנחיית ה-AI שלה בשנת 2026 ולהתחיל באכיפה פעילה. ארגונים המפתחים או פורסים מערכות AI המעבדות מידע אישי של תושבי ישראל צריכים להתייחס לטיוטת ההנחיה כאינדיקציה לכוונת האכיפה של ה-PPA, ולא כמקלט בטוח.
ישראל מול GDPR: הבדלים מרכזיים
אף שתיקון 13 קירב את הדין הישראלי באופן מהותי לסטנדרטים של GDPR, נותרו הבדלים חשובים.
| מאפיין | ישראל (חוק הגנת הפרטיות + תיקון 13) | האיחוד האירופי (GDPR) |
|---|---|---|
| בסיסים חוקיים | בעיקר הסכמה וחובה חוקית | שישה בסיסים חוקיים, לרבות אינטרס לגיטימי |
| חובת DPO | חובה עבור ארבע קטגוריות ספציפיות | חובה עבור רשויות ציבוריות ומעבדי מידע גדולים מסוימים |
| קנס מרבי | NIS 3.2 מיליון / 5% מהמחזור השנתי | EUR 20 מיליון / 4% מהמחזור השנתי העולמי |
| הזכות להישכח | זכויות מחיקה מוגבלות | זכות מחיקה מקיפה |
| ניידות מידע | מוגבלת וענפית | זכות רחבה החלה על כלל הענפים |
| פיצויים סטטוטוריים | NIS 100,000 לאדם ללא הוכחת נזק | נתון לדין המדינה החברה |
| דיווח על אירועי אבטחה | ל-PPA בגין אירועים חמורים; ליחידים במקרים בסיכון גבוה | לרשות המפקחת בתוך 72 שעות; ליחידים ללא דיחוי בלתי סביר |
| תקופת התיישנות | 7 שנים (הוארכה בתיקון 13) | משתנה לפי מדינה חברה |
| תחולה חוץ-טריטוריאלית | מוגבלת | טווח גלובלי רחב |
| הליך פסיקה מוקדמת | כן, ה-PPA חייבת להשיב בתוך 60 יום | אין מקבילה ל-GDPR |
דרישות ציות עסקיות
ארגונים הפועלים בישראל או המעבדים מידע אישי של תושבי ישראל צריכים לתת עדיפות לפעולות הבאות.
צעדים מחייבים
- מנו DPO אם הארגון שלכם נכלל באחת מארבע הקטגוריות המחייבות. תקופת החסד למינוי DPO הסתיימה ב-31 באוקטובר 2025. אי-ציות מהווה סיכון אכיפה פעיל בשנת 2026.
- ערכו מיפוי מידע לזיהוי כל המאגרים, סיווג האבטחה שלהם מכוח תקנות אבטחת המידע, והאם הם מכילים ISS.
- בדקו את מעמד רישום המאגרים: קבעו האם עדיין עליכם להירשם ב-PPA, או שמא נדרשת רק הודעה.
- עדכנו את מנגנוני ההסכמה כך שיעמדו בדרישות השקיפות המוגברות של תיקון 13. בדקו את כל טפסי איסוף המידע, הודעות הפרטיות, ובאנרים של עוגיות.
- יישמו נהלי דיווח על אירועי אבטחה, הכוללים נתיבי הסלמה פנימיים ברורים ותהליכי דיווח ל-PPA.
- בדקו הסדרי העברה בינלאומיים עבור נמענים במדינות שאינן ברשימת ההלימות.
חובות אבטחה לפי רמה
מכוח תקנות אבטחת המידע, חובות האבטחה גדלות בהתאם לסיווג המאגר:
- רמה בסיסית: נהלי אבטחה מתועדים, בקרות גישה, אבטחה פיזית בסיסית
- רמה בינונית: כל הדרישות ברמה הבסיסית, בתוספת תיעוד גישה, הצפנה, בדיקות אבטחה תקופתיות, תגובה לאירועים, והדרכת עובדים
- רמה גבוהה: כל הדרישות ברמה הבינונית, בתוספת מבדקי חדירות חובה אחת ל-18 חודשים, הערכות סיכונים מקיפות, ובקרות גישה פיזית
תיעוד וניהול רשומות
על ארגונים לשמור:
- רשומות של כל פעילויות עיבוד המידע ומטרותיהן
- תיעוד הסכמות, לרבות חותמות זמן והנוסח הספציפי של ההסכמה שהוצג
- הערכות השפעה על הגנת המידע (DPIA) עבור עיבוד בסיכון גבוה
- יומני אירועי אבטחה ורשומות דיווח ל-PPA
- תיעוד מינוי ה-DPO ואימות עצמאותו
- רשומות של כל בקשות פסיקה מוקדמת ותשובות ה-PPA
צעדים ייעודיים בנושא AI
עבור ארגונים המפתחים או פורסים AI:
- ערכו הערכת השפעה על הגנת המידע לפני פריסת כל מערכת AI המשתמשת במידע אישי
- בדקו את נוהלי גריפת המידע וודאו שקיים בסיס חוקי תקף לכל מידע אישי המשמש לאימון
- גלו למשתמשים כאשר הם מתקשרים עם מערכת אוטומטית
- הקימו תהליכי תיקון ועיון עבור החלטות שהתקבלו באמצעות AI
התפתחויות אחרונות (2025-2026)
אוגוסט 2025: תיקון 13 נכנס לתוקף. ה-PPA מטילה את העיצומים הכספיים הראשונים שלה מכוח המסגרת החדשה באותו חודש, ומפגינה כוונת אכיפה מיידית.
אוקטובר 2025: תקופת החסד למינוי DPO מסתיימת. ארגונים שלא מינו DPO עד למועד זה נמצאים בהפרה, ללא סלחנות מנהלית נוספת.
אפריל 2025: ה-PPA מפרסמת טיוטת הנחיות בנושא AI, המחילות את החוק על כל מחזור חיי מערכת AI ונוקטות עמדה נחרצת לפיה גריפת מידע מהווה אירוע אבטחה חמור.
יעדי אכיפה לשנת 2026: ציות בנושא DPO (עצמאות, משאבים, שילוב ממשל תאגידי), זכויות עיון ותיקון של נושאי מידע, ממשל AI, וסטנדרטים להסכמת עוגיות (בתי המשפט בישראל צפויים להפנות לאמות המידה של האיחוד האירופי בנוגע לדרישת «דחה הכול»).
באופן מתמשך: ארגוני חברה אזרחית ממשיכים ללחוץ על הנציבות האירופית לבחון מחדש את מעמד ההלימות של ישראל. הנציבות ציינה כי אין צורך בשינוי. ארגונים המסתמכים על העברות מבוססות הלימות צריכים להמשיך לעקוב אחר ההתפתחויות.
שאלות נפוצות
Frequently Asked Questions
האם חוק הגנת הפרטיות הישראלי חל על חברות זרות?
החוק חל על כל מי שמנהל מאגר מידע המכיל מידע אישי של תושבי ישראל, ללא קשר למיקום הארגון. חברה זרה האוספת באופן פעיל מידע מתושבי ישראל, או המפעילה שירות המיועד למשתמשים ישראלים, נכללת בתחולתו. עם זאת, ההיקף החוץ-טריטוריאלי של החוק מוגבל יותר בפועל מזה של GDPR. ה-PPA הביעה נכונות לפעול לאכיפה כלפי גופים זרים במקרים הכרוכים בהפרות חמורות.
מהו המועד האחרון למינוי DPO מכוח תיקון 13?
תיקון 13 נכנס לתוקף ב-14 באוגוסט 2025. ה-PPA העניקה תקופת חסד עד ל-31 באוקטובר 2025, שבמהלכה לא נאכפה חובת מינוי ה-DPO. תקופת חסד זו הסתיימה. ארגונים הנכללים בקטגוריות המחייבות (גופים ציבוריים, סוחרי מידע עם 10,000+ רשומות, מעבדי ISS בהיקף נרחב, וגופים המבצעים ניטור שיטתי) צריכים להחזיק DPO ממונה. הציות בנושא DPO הוגדר כיעד אכיפה מרכזי לשנת 2026.
האם מעמד ההלימות של ישראל מול האיחוד האירופי אומר שהציות ל-GDPR הוא אוטומטי?
לא. מעמד ההלימות מול האיחוד האירופי משמעו שמידע אישי יכול לזרום מהאיחוד האירופי לישראל ללא צורך במנגנוני העברה נוספים כגון סעיפים חוזיים סטנדרטיים. אין משמעותו שארגונים ישראליים מצייתים אוטומטית ל-GDPR. אם הארגון שלכם מעבד מידע של תושבי האיחוד האירופי, עליכם לציית ל-GDPR באופן עצמאי. החלטת ההלימות מפשטת את מנגנון ההעברה, אך אינה מהווה תחליף לציות מהותי ל-GDPR.
האם יחידים יכולים לתבוע בגין הפרות פרטיות ללא הוכחת נזק מכוח תיקון 13?
כן. זהו אחד השינויים המשמעותיים ביותר בתיקון 13. יחידים רשאים כעת להגיש תביעות אזרחיות בגין הפרות פרטיות ולקבל פיצויים סטטוטוריים של עד NIS 100,000 (כ-USD 27,000) לאדם ללא הוכחת נזק בפועל. תקופת ההתיישנות בתביעות מסוג זה עומדת על שבע שנים. תביעות ייצוגיות אפשריות גם כן, כך שארגונים העומדים בפני הפרות נרחבות עלולים להיות חשופים לאחריות מצטברת משמעותית.
האם עדיין עליי לרשום את מאגר המידע שלי ב-PPA לאחר תיקון 13?
רוב הארגונים במגזר הפרטי אינם נדרשים עוד להירשם. הרישום כיום מחייב רק סוחרי מידע שהמאגרים שלהם כוללים יותר מ-10,000 אנשים, וכן גופים ציבוריים. עם זאת, ארגונים במגזר הפרטי המעבדים מידע בעל רגישות מיוחדת על יותר מ-100,000 אנשים חייבים להודיע ל-PPA על זהותם, פרטי ההתקשרות שלהם, ופרטי ה-DPO שלהם, גם אם אינם חייבים ברישום מלא.
מה נחשב למידע בעל רגישות מיוחדת מכוח תיקון 13?
מידע בעל רגישות מיוחדת (ISS) מכוח תיקון 13 כולל: מצבים רפואיים ומידע גנטי, מזהים ביומטריים המשמשים לזיהוי או לאימות, נטייה מינית וחיי משפחה אינטימיים, עמדות ודעות פוליטיות, מוצא אתני או גזעי, רישום פלילי, נתוני מיקום גיאוגרפי, ופרטים פיננסיים. עיבוד ISS מחייב הסכמה מפורשת ונפרדת, ומפעיל את דרישות האבטחה המחמירות ביותר ואת מכפילי הקנס הגבוהים ביותר.
מהם יעדי האכיפה של ה-PPA לשנת 2026?
ה-PPA הגדירה את הציות בנושא DPO כיעד מרכזי לשנת 2026, בדגש מיוחד על השאלה האם ל-DPO יש עצמאות אמיתית, משאבים מספקים, ושילוב תקין בממשל התאגידי. אכיפת זכויות העיון והתיקון של נושאי המידע היא גם יעד מוצהר. ממשל AI וסטנדרטים להסכמת עוגיות הם תחומי אכיפה מתפתחים, כאשר ה-PPA צפויה לגבש את הנחיות ה-AI שלה ולהתחיל באכיפה פעילה במהלך 2026.
Sources and References
- חוק הגנת הפרטיות, 5741-1981 (נוסח מלא)(wipo.int)
- עמוד רשמי של הרשות להגנת הפרטיות(gov.il).gov
- ישראל: תיקון לחוק הגנת הפרטיות נכנס לתוקף(loc.gov).gov
- תקנות הגנת הפרטיות (אבטחת מידע), 5777-2017(gov.il).gov
- תקנות הגנת הפרטיות (העברת מידע אל מחוץ לגבולות המדינה)(gov.il).gov
- החלטות הלימות הגנת מידע של האיחוד האירופי(commission.europa.eu).gov
- הנציבות האירופית מאשררת מחדש את מעמד ההלימות של ישראל(gov.il).gov
- ישראל מציינת עידן חדש בדיני הפרטיות: תיקון 13(iapp.org)
- עמוד החקיקה של ה-PPA הישראלית(gov.il).gov
- שאלה בפרלמנט האירופי בנוגע להסכם ההלימות עם ישראל(europarl.europa.eu).gov
- ארגוני חברה אזרחית קוראים לאיחוד האירופי לבחון מחדש את מעמד ההלימות של ישראל(edri.org)
- הקנסות הראשונים של ה-PPA מכוח תיקון 13(ai-law.co.il)
- טיוטת הבהרה בנוגע לדרישות מינוי DPO מכוח תיקון 13(arnontl.com)
- אחריות הדירקטוריון ומינוי DPO מכוח תיקון 13(barlaw.co.il)
- טיוטת הנחיית ה-PPA הישראלית בנושא מערכות AI(arnontl.com)
- האיחוד האירופי מחדש את ההכרה בהלימות הגנת המידע של ישראל, ינואר 2024(law.co.il)
- תיקון חוק הגנת הפרטיות בישראל: רפורמה פורצת דרך(ilflaw.com)
- תיקון 13 בישראל: מה משמעות החוק החדש עבור העסק שלכם(safetica.com)