תיקון 13 והאתר שלך
ב-14 באוגוסט 2025 השתנו חוקי המשחק על אתרים בישראל. עד 2.3 מיליון ש"ח קנס למי שלא תואם. המדריך השקוף לבעל עסק — מה חייב להופיע באתר שלך עכשיו, ולמה.
בשבוע שעבר ישבתי בקפה עם רונית, בעלת מספרה בתל אביב, שיש לה אתר עם טופס לקביעת תור. "קיבלתי אימייל מהרשות להגנת הפרטיות," היא אמרה. "הם רוצים לדעת איך אני שומרת את המידע של הלקוחות שלי, כמה זמן, ומה כתוב במדיניות הפרטיות שלי. הם אמרו שאם אני לא עונה בתוך 30 יום — יש קנס."
רונית לא עשתה כלום שלא בסדר. היא פתחה אתר ב-2022, הוסיפה מדיניות פרטיות שמישהו במשרד עורכי דין נתן לה, וזה היה זה. הבעיה: ב-14 באוגוסט 2025, השתנו חוקי המשחק. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף, ועם זה — קנסות חדשים, חובות חדשות, ורשות שמפעילה את הסמכויות שלה.
המאמר הזה הוא לא ייעוץ משפטי פרטני. אבל בתור מי שמלווה גם את הצד הטכני וגם את הצד המשפטי של בניית אתרים — אני רואה ב-18 החודשים האחרונים את אותה תמונה חוזרת על עצמה. בעלי עסקים שמגלים שהאתר שלהם לא תואם לחוק החדש, ואין להם מושג מה צריך לעשות. אז ריכזתי כאן, בשפה של בני אדם, את מה שכל בעל עסק צריך לדעת — ולעשות.
קודם כל — מה זה בעצם תיקון 13?
חוק הגנת הפרטיות הישראלי קיים מ-1981. הוא נכתב בעידן שלפני האינטרנט, ובמשך 40 שנה הוא הזדקן בקצב הרבה יותר איטי מהטכנולוגיה. תיקון 13 הוא הרפורמה המקיפה ביותר שעבר החוק מאז שנכתב.
הוא נחקק בכנסת באוגוסט 2024, ונכנס לתוקף שנה לאחר מכן — ב-14 באוגוסט 2025. הרשות להגנת הפרטיות (גוף ממשלתי במשרד המשפטים) פרסמה ב-21.8.2025 מדריך מקצועי שמסכם את כל החובות החדשות.
מה הוא בא לפתור? כמה דברים — אבל בגדול, הוא מותח את ההגנה על המידע הפרטי לסטנדרט שדומה לזה האירופי (GDPR). הוא לא זהה ל-GDPR, אבל הוא קרוב מאוד.
"תיקון 13 הוא אבן דרך חשובה בהתאמת החוק הישראלי למציאות הטכנולוגית של ימינו ובהגברת ההגנה על הזכות לפרטיות של תושבי ישראל."
— הרשות להגנת הפרטיות, אוגוסט 2025
המספרים שצריך לדעת
לפני שאני נכנס להסברים — אלה ארבעת המספרים שצריך לזכור. הם משנים את כל ה-ROI של "להיות תואם" מול "להתעלם":
כדי לתת קצת קונטקסט: הקנס המקסימלי לפני תיקון 13 היה כ-25,000 ש"ח. עכשיו הוא יכול להגיע ל-2.3 מיליון ש"ח. זה כפול 92.
רוב הקנסות לעסקים קטנים לא יהיו 2.3 מיליון. הם יהיו ברף הנמוך — בערך 20,000-80,000 ש"ח לעבירה. אבל זה עדיין הרבה יותר ממה שהיה. ועדיין מספיק כדי שיהיה משתלם להיערך נכון.
5 דברים שהשתנו לבעל עסק רגיל
בלי לעבור על כל סעיפי החוק — הנה החמישה שמשפיעים ישירות על העסק שלך:
- הסירו את "חובת רישום מאגרי מידע". זו בעצם חדשות טובות — לפני התיקון היית צריך לרשום כל מאגר מידע ברשם הממשלתי (קופאי מטריד). עכשיו זה צומצם דרמטית. רק "מאגרים גדולים" (מעל מיליון נושאי מידע) חייבים בהודעה לרשות.
- חובת הודעה מיידית בעת איסוף מידע. כשמישהו ממלא טופס באתר שלך — אתה חייב להגיד לו בדיוק: מה אתה אוסף, למה, איפה זה ישמר, ולכמה זמן. במילים פשוטות, לא ב-15 עמודי "תקנון" שאף אחד לא קורא.
- זכות עיון, תיקון, ומחיקה. כל אזרח יכול לבקש לראות מה יש לך עליו, לתקן, או למחוק. חייב להיות לך מנגנון לזה — כתובת מייל, טופס, או כפתור.
- חובת מינוי ממונה הגנת פרטיות (DPO). ארגונים מסוימים — בעיקר גופים שמחזיקים במידע רגיש או במאגרים גדולים — חייבים למנות אדם רשמי שאחראי על הפרטיות. עסק קטן בדרך כלל לא חייב. אבל אם אתה בתחום בריאות, פיננסים, או חינוך — סביר שכן.
- חובת דיווח על אירוע אבטחה. אם פרצו אליך — דליפת נתונים, האקר שגנב, או אפילו עובד שהוציא בטעות אקסל החוצה — יש לך 72 שעות לדווח לרשות, ובמקרים מסוימים גם לאנשים שהמידע שלהם דלף. בלי דיווח = קנס נוסף.
5 דברים שצריך לתקן באתר שלך — עכשיו
זה החלק הפרקטי. הנה רשימת בדיקה ממוקדת — תעבור עליה אחת-אחת ותראה איפה אתה עומד:
- מדיניות פרטיות מעודכנת לתיקון 13. אם המדיניות שלך נכתבה לפני אוגוסט 2025 — היא ככל הנראה כבר לא מספיקה. צריך לכלול: מה נאסף, איך, למה, מי מקבל גישה, כמה זמן נשמר, ואיך מבקשים מחיקה. בשפה ברורה, לא במשפטית מסובכת.
- Cookie banner שעובד נכון. כן או לא — אסור יותר באנר שאומר "אנחנו משתמשים בקוקיז, המשך גלישה זה אישור". זה לא הסכמה אמיתית. צריך להציע בחירה אמיתית: קבל / דחה / התאם אישית. הכי טוב — להוסיף הסבר מה כל סוג עוגייה עושה.
- הודעה ליד כל טופס. בכל מקום שאתה אוסף מידע — טופס יצירת קשר, ניוזלטר, הרשמה — חייבת להיות הודעה קצרה ליד הכפתור: "המידע שתמלא כאן יישמר ב-X, ישמש ל-Y, ולא יועבר לצדדים שלישיים." זה משפט אחד. לא יותר.
- כפתור / מנגנון "זכויות הגולש". איפשהו באתר — בדרך כלל בפוטר או בעמוד "צור קשר" — חייב להיות מקום ברור שאומר: "רוצה לראות מה יש לנו עליך? תיקון? מחיקה? כתוב לנו כאן." כתובת מייל ייעודית או טופס פשוט.
- גיבוי + אבטחה + רישום פעולות. זה לא נראה באתר, אבל זה חובה: שיהיו לך גיבויים, שהאחסון יהיה מאובטח (HTTPS, סיסמאות חזקות, גישה מוגבלת), ושיהיה לך רישום פעולות — מי נכנס, מתי, מה ראה. אם תהיה דליפה, זה מה שיגן עליך.
השאלות שכל בעל עסק שואל
"אני קטן — זה רלוונטי אליי?"
כן. החוק לא מבדיל בין עסק קטן לגדול לעניין החובות הבסיסיות. ההבדל הוא רק בגודל הקנס המקסימלי. אבל גם קנס של 20,000 ש"ח כואב, ומעקב על "אי-מינוי DPO" או "מדיניות פרטיות חסרה" יתבצע גם אצל עסקים זעירים. זה לא יידוע.
"אני לא מוכר מידע — אז למה אכפת לי?"
ההגנה היא לא רק על "מכירת" מידע. היא על כל איסוף ושמירה. אם יש לך טופס יצירת קשר שאוסף שם וטלפון — אתה כפוף לחוק. אם יש לך CRM שמכיל לקוחות עם מיילים — אתה כפוף. גם אם אתה לא מוכר את המידע לאף אחד.
"האתר שלי תדמיתי בלבד — אין שום טופס. אז זה בטח לא רלוונטי?"
גם אז יש משהו לבדוק. Google Analytics, Facebook Pixel, ושירותי tracking אחרים — כולם אוספים מידע על המבקרים. גם בלי טופס. אז כן, אתה כפוף לחובות מסוימות (cookie banner, מדיניות פרטיות בסיסית).
"זה לא בעצם זהה ל-GDPR האירופי?"
קרוב, אבל לא זהה. תיקון 13 מתעורר השראה מ-GDPR, אבל יש הבדלים — סכומי קנסות, הגדרות, מתי DPO חובה, רישום מאגרים. אם יש לך לקוחות אירופיים — אתה צריך לעמוד גם ב-GDPR. אם יש לך רק לקוחות ישראליים — תיקון 13 מספיק.
"אני משתמש ב-Wix / WordPress עם תוסף ברירת מחדל. מספיק?"
לא. תוספי ברירת מחדל של פלטפורמות הם פתרון כללי שלא מותאם לחוק הישראלי הספציפי. חלקם דווקא טובים בסיס — אבל צריך לבדוק, לעדכן, ולעיתים גם להחליף.
איך atar בונה אתרים תואמים — בלי לעשות מזה דרמה
בכל פרויקט שאני לוקח מאז 2025, אני בודק לפי הצ'ק-ליסט הזה:
- מדיניות פרטיות מותאמת אישית — לא תבנית גנרית, אלא ניסוח שמתאר בדיוק מה האתר הספציפי שלך עושה.
- Cookie banner תקין — עם אפשרויות בחירה אמיתיות, לא רק "אישור".
- הודעות ליד טפסים — קצרות, ברורות, ובעברית פשוטה.
- כפתור "הזכויות שלי" — נגיש מהפוטר.
- HTTPS, אבטחה, גיבויים — בנוי מההתחלה.
- הצהרת נגישות מותאמת (זה חוק נפרד אבל קשור).
זה לא מוסיף הרבה לזמן הפיתוח — אולי 4-6 שעות עבודה לאתר ממוצע. אבל זה מבטיח שאתה לא תקבל את האימייל שרונית קיבלה. זול הרבה יותר לעשות נכון מההתחלה מאשר לתקן אחרי שמגיעה התראה.
לוח זמנים — מה לעשות עכשיו
השורה התחתונה
תיקון 13 הוא לא סיוט. הוא רשימת בדיקה. אבל רשימת בדיקה עם קנס של 2.3 מיליון ש"ח בסוף.
אם האתר שלך נבנה לפני אוגוסט 2025 — סביר שיש 4-5 דברים שצריך לעדכן. זה לא מסובך, אבל זה דחוף. רוב התיקונים לוקחים 1-3 ימי עבודה אצל מפתח אתרים מנוסה.
בקיצור: אל תחכה לקבל אימייל מהרשות. בדוק עכשיו. תקן עכשיו. בעוד שלושה חודשים, אם תקבל בקרה — זה יעלה לך עשר פעמים יותר.