תיקון 13 לחוק הגנת הפרטיות – מדריך דחוף לבעלי אתרים ואנשי שיווק כדי להימנע מקנסות מיותרים

הדבר האחרון שאתם צריכים עכשיו הוא תביעה בגלל עוגייה. ביום חמישי האחרון 14.8.25 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות. מה זה משנה לבעלי אתרים? אם יש לכם אתר או עמוד נחיתה עם איסוף פרטים בטופס או פיקסל של פייסבוק/גוגל או אפילו איסוף כתובת IP – חובה עליכם לעמוד בכללים החדשים. הפרה של החוק יכולה להגיע עד 10,000 ש"ח ללא הוכחת נזק וחשוב להיערך בהתאם. בפוסט הבא תוכלו להבין מי צריך לעשות מה וגם כמה תוספים שיוכלו לעזור.

שימו לב! אין תקופת דחייה כללית לחובות תיקון 13 (לרבות היבטים הנוגעים לשימוש בעוגיות כחלק מעיבוד מידע אישי). ההוראות חלות ממועד התחילה, 14.08.2025, על מעשים שנעשו מיום זה והלאה. מנגד, קיימת מדיניות אי־אכיפה זמנית רק ביחס לחובת מינוי ממונה הגנת פרטיות (DPO) עד 31.10.2025, לאחר מועד זה צפויה אכיפה. בהתאם, ניתן להגיש תביעות אזרחיות בגין הפרות שאירעו לאחר מועד התחילה. (למידע נוסף ראו "המדריך המקצועי לתיקון מס’ 13" באתר gov.il.)

למה זה בוער לכל עסק? (גם אם זה "רק אתר לידים")

סיכון משפטי מיידי: בתי המשפט רשאים לפסוק פיצויים לדוגמה עד 10,000 ₪ להפרות מסוימות, גם ללא הוכחת נזק. כלומר, גם בעל עסק קטן עם דף נחיתה יכול להפוך יעד לתביעה.

אכיפה מנהלית מחמירה: סמכויות הרשות הורחבו משמעותית, כולל עיצומים מנהליים והנחיות מעודכנות שמתפרסמות כעת.

דד־ליין קרוב למינוי DPO: עד 31.10.2025 יש "נשימה" רק לנושא הממונה, כל היתר בתוקף ומסכן אתכם כבר מ־14.8.2025. (מידע נוסף באתר הממשלה)

בשורה התחתונה: כל אתר עם עוגיות לא הכרחיות (כולל אתרי לידים) – מומלץ ואף נדרש בנסיבות רבות להציב CMP עם Opt-in, חסימה לפני הסכמה ותיעוד, בהתאם לעמדת הרשות וטיוטת גילוי הדעת בנושא הסכמה.

מה מומלץ ליישם באתר (בהתאם לעמדת הרשות, טיוטות והתקנות הקיימות)?

1. באנר הסכמה מתקדם (Consent Management Platform – CMP)
   • ברירת מחדל: עוגיות לא הכרחיות מושבתות עד להסכמה מפורשת.
   • אפשרויות בחירה ברורות ושוות בולטות (למשל "קבל הכול" / "דחה הכול"), וגם בחירה לפי קטגוריות.
   • חסימה בפועל של סקריפטים לא הכרחיים לפני ההסכמה.
   • אפשרות שינוי/משיכת הסכמה בכל עת.
   • תיעוד והפקה של לוגי הסכמה (Consent Logs) למטרות ביקורת/הוכחה.
   • (הנחיות הביצוע נשענות על עקרונות ה-GDPR והכוונת הרשות – לכן מומלץ ליישם סטנדרט זהה גם בישראל).
2. מדיניות פרטיות מעודכנת: שקופה וקריאה, עם פירוט זהות בעל השליטה במאגר ודרכי התקשרות, מטרות העיבוד, סוגי המידע הנאסף (כולל דוגמאות לפי נקודות איסוף/טפסים), צדדים שלישיים שאליהם יימסר המידע (אם יימסר), זכויות המשתמש וכיצד להפעילן, מומלץ לציין גם תקופות שימור. יידוע תמציתי וסמוך לכל טופס יופיע בנוסף למדיניות.
3. איקומרס (חנויות וירטואליות): תיבת סימון לאישור מדיניות הפרטיות/תנאים בעמוד התשלום. (WooCommerce תומכת בהגדרת דף מדיניות/תנאים והצגת צ’קבוקס באופן מובנה, אם אתם משתמשים ב-Checkout Block יש להוסיף ידנית את בלוק Additional Terms) – תיבת סימון יכולה להיות דרך טובה להוכיח הסכמה/קריאה, אך היא לא חובה בחוק.
4. אתרי לידים (לא חנות): אותם כללים חלים. אם יש Google/Meta/Facebook/Hotjar וכד’ – אל תטענו סקריפטים לא חיוניים לפני Opt-in.

מה צריך לעשות בארגון השבוע?

• מיפוי מאגרי מידע: כדאי להכין רשימה קצרה של כל המאגרים בארגון (למשל: רשימת לקוחות, עובדים, רשימות דיוור, מידע רגיש בענן).
• ניהול – קביעת נהלי בקרה, גיבויים גישה וצמצום מידע מיותר.
• מיפוי עוגיות וטפסים באתר החברה: מי נטען? למה? איפה נשמר?
• בחירת CMP תומך עברית ו־Consent Mode v2 (ראו סקירה בהמשך).
• עדכוני מסמכים: מדיניות פרטיות, תנאי שימוש, מסמכי פנימיים.
• מינוי DPO (אם חל עליכם) – יש גרייס עד 31.10.2025, אבל להתחיל עכשיו. מדיניות אי-אכיפה ל-DPO עד 31.10.2025.
• הקשחה טכנית: חסימת סקריפטים לפני הסכמה והפעלת Consent Mode ב־GTM/GA4. Google for Developers

האם מינוי DPO חל עליכם?

חובת מינוי ממונה על הגנת הפרטיות (DPO) נכנסת לתוקף עם התיקון, האכיפה של החובה הזו נדחתה זמנית עד 31.10.2025 – אבל עצם החובה קיימת, ורצוי להתארגן עכשיו. מי חייב למנות?

1. גוף ציבורי (כבעל שליטה/מחזיק מאגר, גופים ביטחוניים מוחרגים בהסדרים ייעודיים).
2. Data brokers/דיוור ישיר: מטרה עיקרית איסוף ומסירה לאחר ומעל 10,000 נושאי מידע.
3. ניטור שיטתי בהיקף ניכר: מי שעיסוקו כולל עיבודים שמחייבים ניטור שוטף ושיטתי של בני אדם בהיקף משמעותי (למשל ספקי שירותי חיפוש מקוון, מפעילי שירותי סלולר).
4. עיבוד בהיקף ניכר של מידע בעל רגישות מיוחדת: למשל בנקים, בתי חולים, קופות חולים, מבטחים.
5. במקרים (3)–(4) החובה יכולה לחול גם על מחזיקים (Processors – זה כולל, למשל, ספק CRM כשירות (SaaS), אחסון ענן, מערכות דיוור, אנליטיקס, עיבודי נתונים וכד’.), לא רק על בעלי שליטה (Controllers). מה נחשב "היקף ניכר"? נשקל לפי #נושאי מידע, נפח/סוגי נתונים, משך תהליכים, היקף גיאוגרפי ועוד.

אי-אכיפה זמנית ל-DPO עד 31.10.2025: הרשות הודיעה על דחיית האכיפה כדי לאפשר גיוס/התקשרות, זה לא פוטר מהחובה להתכונן.

מי חייב במה? (פירוט לפי סוג גוף והיקפים כמותיים)

חל על כולם (בלי סף כמותי)

• שקיפות והסכמה מדעת: יידוע ברור, בעיבודים לא הכרחיים (מדידה/שיווק/פרסונליזציה) מומלץ לקבל הסכמה אקטיבית (Opt-in) ולחסום מראש עד ההסכמה, להקל שינוי/משיכה ולתעד.
• מדיניות פרטיות מעודכנת, צמידות מטרה, מימוש זכויות (עיון/תיקון).

המשמעות: אין "פטור לעסקים קטנים" כשמדובר בבאנר עוגיות אמיתי, ניהול הסכמה ותיעוד. כל מי שיש לו אתר עם טפסים ו/או מטמיע פיקסלים לא הכרחיים – חייב.

חובת רישום מאגר (צומצמה בתיקון 13)

חובת הרישום במאגר הממשלתי של מרשם מאגרי המידע נשארה לשני סוגים:

1. Data brokers/שירותי דיוור ישיר: אם המטרה העיקרית היא איסוף מידע כדי למסור אותו לאחר בעיסוק/בתמורה ובמאגר יש מידע על יותר מ־10,000 אנשים.
2. גוף ציבורי (למעט מאגר שכולל רק עובדי הגוף).
   אם אתם נכנסים להגדרות – לא תעבדו מידע עד שהמאגר רשום. מאגר שכבר היה רשום לפני תחילת התיקון יישאר רשום עד שתבקשו למחוק.

חובת הודעה לרשות (Notification)

גם אם אינכם חייבים ברישום, אם אתם מעבדים מידע בעל רגישות מיוחדת לגבי יותר מ־100,000 נושאי מידע – אתם חייבים להודיע לרשות ולמסור פרטים (זהות בעל השליטה, פרטי DPO אם מונה, והעתק “מסמך הגדרות מאגר” לפי תקנות אבטחת מידע). אין פטור אם נושאי המידע אינם מישראל (החובה אינה תלויה באזרחות נושאי המידע). ההודעה תימסר לרשות בתוך 30 ימים ממועד תחולת החובה.

מה זה "מידע בעל רגישות מיוחדת"? דוגמאות: מידע רפואי, ביומטרי/גנטי, נתוני מיקום/תעבורה, דעות פוליטיות/אמונות דתיות, עבר פלילי, חוות דעת אישיות, שכר ועוד (רשימה מפורטת בחוק).

ומה לגבי אבטחת מאגרי מידע?

בישראל חלות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 שממשיכות לחול במקביל לתיקון 13, והן קובעות סטנדרט טכני-ארגוני לאבטחת מאגרי מידע. התיקון בעיקר מחזק את האכיפה ומוסיף חובת הודעה לרשות במקרים מסוימים, אבל את חובות האבטחה עצמן הוא משאיר על בסיס התקנות הקיימות.

בקיצור מה נדרש:

• סיווג המאגר לשלוש רמות אבטחה (בסיסית/בינונית/גבוהה) לפי סוג המאגר והסיכון, לכל רמה יש חובות שונות.
• מיפוי מערכות המאגר + "מסמך הגדרות/מצאי מאגר" + סקר סיכונים (ובדרכ גם מבדק חדירות לרמה גבוהה – בתדירות של עד 18 חודשים).
• בקרות גישה, אימות זהויות, רישום פעולות (לוגים), עדכוני אבטחה, הפרדת סביבות וחיבור מאובטח בלבד לרשתות ציבוריות.
• דיווח מיידי על אירוע אבטחת מידע חמור למי שבמאגרו רמת אבטחה בינונית/גבוהה, לפי מדיניות הרשות.
• חובת הודעה לרשות (חדשה בתיקון 13): אם אתם מעבדים מידע בעל רגישות מיוחדת על יותר מ-100,000 נושאי מידע – נדרשת הודעה לרשות והגשת "מסמך הגדרות מאגר".

מנהלי אתרים – מה צריך לעשות טכנית? (GA4 + GTM + CMP)

1) הפעלה נכונה של Google Consent Mode v2

בין אם באמצעות CMP ובין אם בקוד מותאם, מומלץ להגדיר ברירת מחדל ‘denied’ לרכיבי מדידה/שיווק, ולהפעילם רק לאחר בחירה מודעת, מומלץ גם לתעד את הבחירה ולאפשר שינוי בכל עת.

• ad_storage, analytics_storage, ad_user_data, ad_personalization.
  מומלץ לנהל זאת דרך CMP שמסנכרן את האותות אוטומטית ל-GTM/GA4.

טיפ GTM: השתמשו ב-Consent Initialization Trigger, הפעילו Consent Overview, והוסיפו Additional Consent Checks לטאגים צד-ג' שאינם תומכים מובנה.

2) בדיקות

• Tag Assistant (GTM Preview) – לבדוק שהטאגים נחסמים/נטענים נכון לפי סטטוס ההסכמה.
• GA4 DebugView – זכרו: אירועים לא יוצגו אם אין הסכמה ל-analytics_storage (זה תקין!)

סקירת CMP ותוספים תואמי עברית לוורדפרס/ווקומרס

כדי למצוא פתרונות לאתרי וורדפרס, ניסינו לבחון מגוון תוספים לניהול עוגויות ומדיניות פרטיות. הקריטריונים: תמיכה בעברית/ריבוי שפות, חסימה אוטומטית עד הסכמה, תיעוד הסכמה, אינטגרציית GTM/GA4/Consent Mode v2, ותמחור.

Cookiebot (Usercentrics) – לא רק לוורדפרס

• עברית: נתמכת ברשימת השפות.
• Consent Mode v2: תמיכה רשמית, כולל אינטגרציית GTM ועמוד הגדרות ייעודי בפלאגין לוורדפרס.
• לוגי הסכמה: נשמרים עד 12 חודשים, ניתנים לייצוא.
• חסימה אוטומטית: כן (Auto-blocking).
• תמחור: חינם עד 50 עמודים, מעבר לכך בתשלום.

למי מתאים: אתרים הזקוקים לפתרון "הכול-כלול" מאושר גוגל, רב-לשוני, עם לוגים ושילוב חלק ב-GTM/GA4.

WebToffee – GDPR Cookie Consent (וורדפרס)

• עברית/רב-לשוני: תואם WPML ותרגום תבניות באנר.
• Consent Mode v2: תמיכה מובנית והנחיות הפעלה.
• לוגי הסכמה: לוג מובנה + ייצוא CSV (כולל מזהה הסכמה, סטטוס, זמן, ו-IP אנונימי).
• חסימה/קטגוריות: Opt-in גרנולרי לפי קטגוריות ובקרות חסימה.

למי מתאים: אתרי וורדפרס/ווקומרס שרוצים שליטה מקומית (DB של וורדפרס), רב-לשוני, ותמיכת GCM v2.

Consentmanager – לא רק לוורדפרס

• עברית: תמיכה בריבוי שפות (30+), ויכולת ליצור/לתחזק שפה מותאמת – ניתן לתרגם ממשק לעברית גם אם לא מופיע כברירת מחדל.
• Consent Mode v2: תמיכה רשמית ו-CMP מאושר גוגל.
• וורדפרס: תוסף רשמי עם ניהול CMP-ID.
• תמחור: לפי נפח/צפיות. מתאים לאתרים גדולים/רב-אתריים.

Cookie Notice WordPress Free Plugin

• עברית: קיימת לוקליזציה לעברית.
• יכולות: באנר בסיסי, קטגוריות, אפשרות לוגי הסכמה (תלוי גרסה), חסימת סקריפטים אחרי אישור.
• Consent Mode v2: אין הצהרה רשמית בריפו הראשי, ייתכן ומצריך קונפיגורציה ידנית ב-GTM/תבניות קהילה. בדקו היטב לפני ייצור.

למי יכול להתאים: אתרים קטנים הזקוקים לפתרון קליל, פחות מומלץ כשנדרשת תאימות הדוקה ל-GCM v2 ולוגי הסכמה מחמירים.

הטמעה בוורדפרס/ווקומרס – צעד-אחר-צעד

1. התקינו CMP (למשל Cookiebot / WebToffee) והפעילו עברית. ודאו ברירת מחדל "denied" לכל קטגוריה לא הכרחית.
2. חברו ל-GTM/GA4 והפעילו Consent Mode v2 (כולל ad_user_data ו-ad_personalization). עזרה של גוגל
3. חסימת סקריפטים: ודאו שכלי מדידה/פרסום נטענים רק לאחר הסכמה. ב-GTM, הפעילו Consent Settings לכל תג. עזרה של גוגל
4. ווקומרס – צ’קבוקס מדיניות פרטיות/תנאים: הגדירו דף מדיניות ותנאים, הפעילו את הצ’קבוקס בעמוד התשלום (ב-Checkout Block הוסיפו את בלוק Additional Terms). WooCommerce
5. תיעוד וייצוא הסכמות: הפעילו Consent Logs בפלאגין ובדקו אפשרות ייצוא (CSV/דוח).
6. בדיקות: GTM Preview + GA4 DebugView (שימו לב: ללא הסכמה ל-analytics_storage לא תראו אירועים — זה תקין). עזרה של גוגל

מקורות רשמיים של Google (להעמקה וליישום נכון)

• Consent Mode – מפתחים (Tag Platform): מדריך הגדרה ורפרנס. Google for Developers
• GTM – תמיכה ב-Consent Mode: טריגר Consent Initialization, ניהול הסכמות לטאגים. עזרה של גוגל
• GA4 – סוגי הסכמה (ad_user_data/ad_personalization וכו’): עזרה של גוגל
• GA4 DebugView: למה אירועים לא יופיעו כשאין הסכמה. עזרה של גוגל

בשורה התחתונה – אל תחכו לרגע האחרון

• כל אתר עם עוגיות לא הכרחיות (כולל אתרי לידים) – מומלץ ואף נדרש בנסיבות רבות להציב באנר הסכמה אמיתי (opt-in), חסימה לפני הסכמה, ותיעוד.
• וורדפרס/ווקומרס מאפשרים עמידה בדרישות בעזרת CMP תומך עברית + הפעלת Consent Mode v2 + צ’קבוקס מדיניות פרטיות בתשלום.
• אל תחכו לרגע האחרון: בצעו מיפוי, הטמיעו CMP, עדכנו מדיניות, ובחנו את זרימת ההסכמה והלוגים.

תיקון 13 לחוק הגנת הפרטיות מצגת הדרכה

בהמשך למאמר שכבר כתבנו על איך לבנות מצגת עם ai שקיבל המון תגובות טובות מלקוחות שלנו, החלטנו ליצור מצגת על תיקון 13 לחוק הגנת הפרטיות. המידע נאסף באופן אוטומטי עם בינה מלאכותית והוטמע במצגת הבאה:

כתב ויתור ואחריות

המידע במאמר זה נועד לצרכים כלליים והסבריים בלבד ואינו מהווה ייעוץ משפטי, רגולטור או מקצועי מכל סוג. האחריות לבדיקת הדין החל, הנהלים וההנחיות הרשמיות (כולל נוסח החוק והתקנות) מוטלת עליך בלבד, ואין להסתמך על הכתוב כאן כתחליף לקריאה עצמאית של הדרישות או להתייעצות עם גורם מוסמך. ייתכנו שינויים/עדכונים בחקיקה ובהנחיות מעת לעת, המחברים והמערכת אינם אחראים לשום נזק, הפסד, קנס או תביעה שייגרמו – במישרין או בעקיפין – עקב הסתמכות על המידע או יישומו, כולו או חלקו. אין באמור כדי ליצור יחסי ייעוץ או התחייבות מכל סוג.