תיקון 13 לחוק הגנת הפרטיות – מדריך דחוף לבעלי אתרים ואנשי שיווק כדי להימנע מקנסות מיותרים

הדבר האחרון שאתם צריכים עכשיו הוא הסתבכות משפטית או קנסות עתק בגלל אי-היערכות לשינויי החקיקה. ביום 14.08.2025 צפוי להיכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – הרפורמה המשמעותית ביותר בתחום הפרטיות בישראל בשני העשורים האחרונים.

למה זה בוער לכל עסק? (גם אם זה "רק אתר לידים")

אם יש לכם אתר, חנות וירטואלית או עמוד נחיתה שבו נאסף ועובד מידע אישי באמצעים דיגיטליים (למשל טופס צור קשר, פיקסל של פייסבוק/גוגל או איסוף כתובת IP), ואתם עומדים בהגדרת 'מאגר מידע' בחוק, חלות עליכם החובות החדשות.

השינוי הדרמטי ביותר בתיקון הוא במישור האכיפה והקנסות:

1. עיצומים כספיים (הסיכון הגדול): בניגוד למצב בעבר, לרשות להגנת הפרטיות יש כעת סמכויות להטיל עיצומים כספיים מנהליים שיכולים להגיע למאות אלפי ואף מיליוני שקלים, בהתאם למחזור החברה ולהיקף ההפרה.
2. פיצוי ללא הוכחת נזק: בתי המשפט רשאים לפסוק פיצויים אזרחיים של עד 10,000 ₪ להפרות מסוימות, גם ללא הוכחת נזק. כלומר, גם עסק קטן יכול להפוך יעד לתביעה אזרחית.

לוחות זמנים – מתי זה קורה?

• 14.08.2025: מועד הכניסה לתוקף של התיקון. החל מתאריך זה, ההוראות מחייבות וניתן להטיל סנקציות בגין מעשים שנעשו מיום זה והלאה. אין תקופת דחייה כללית לחובות המהותיות (כגון חובת יידוע, אבטחת מידע וניהול מאגרים).
• 31.10.2025 (גרייס לממונה): קיימת מדיניות אי-אכיפה זמנית אך ורק ביחס לחובת מינוי ממונה הגנת פרטיות (DPO). לאחר מועד זה תחל אכיפה גם בנושא זה.
  **למידע נוסף ראו "המדריך המקצועי לתיקון מס’ 13" באתר gov.il.

מה מומלץ ליישם באתר? (עוגיות, הסכמות ו-Consent Mode)

אחת השאלות הנפוצות נוגעת לשימוש בעוגיות (Cookies) ופיקסלים של גוגל ופייסבוק. חשוב לדייק: החוק הישראלי אינו מחייב במפורש "באנר עוגיות" קופץ (בנוסח ה-GDPR האירופאי), אך הוא מחייב שקיפות, יידוע וקבלת הסכמה מדעת לעיבוד מידע שאינו הכרחי.

במקביל, הדרישות המסחריות של גוגל (Google Consent Mode v2) מחייבות שימוש במנגנון הסכמה כדי להמשיך להשתמש בכלי מדידה ושיווק מתקדמים.

לכן, ההמלצה המקצועית ליישום היא שילוב של דרישות החוק והדרישות הטכנולוגיות:

1. מדיניות פרטיות מעודכנת: המסמך חייב להיות שקוף וקריא, ולפרט את זהות בעל השליטה, מטרות העיבוד, סוגי המידע הנאסף, צדדים שלישיים להם נמסר המידע, וזכויות המשתמש (עיון, תיקון ומחיקה). מומלץ לבצע עם עורך דין מתמחה בחוק הגנת הפרטיות ובהתאם לרמת האבטחה.
2. באנר הסכמה מתקדם (CMP): מומלץ להטמיע מערכת לניהול הסכמות (Consent Management Platform). מערכת זו מאפשרת:
   • קבלת הסכמה אקטיבית (Opt-in) לפני הפעלת עוגיות שיווק/מדידה – הדרך הבטוחה ביותר להוכיח "הסכמה מדעת" כנדרש בחוק.
   • תיעוד לוגים של הסכמות (לצורכי הוכחה).
   • עמידה בדרישות Google Consent Mode v2 למניעת חסימת חשבונות פרסום.
3. יידוע ליד טפסים: לצד כל טופס איסוף מידע (לידים, הרשמה), יש להוסיף יידוע תמציתי וקישור למדיניות הפרטיות.
4. איקומרס (חנויות וירטואליות): תיבת סימון לאישור מדיניות הפרטיות/תנאים בעמוד התשלום. (WooCommerce תומכת בהגדרת דף מדיניות/תנאים והצגת צ’קבוקס באופן מובנה, אם אתם משתמשים ב-Checkout Block יש להוסיף ידנית את בלוק Additional Terms) – תיבת סימון יכולה להיות דרך טובה להוכיח הסכמה/קריאה, אך היא לא חובה בחוק.
5. אתרי לידים (לא חנות): אותם כללים חלים. אם יש Google/Meta/Facebook/Hotjar וכד’ – כדאי למנוע טעינה סקריפטים לא חיוניים לפני Opt-in.

אבטחת מידע – ה"שיניים" החדשות של החוק

תקנות אבטחת מידע (2017) היו קיימות גם קודם, אך תיקון 13 הפך את ההפרה שלהן לעילה להטלת עיצומים כספיים כבדים. עליכם למפות את רמת האבטחה של המאגר שלכם (בסיסית, בינונית או גבוהה) ולפעול בהתאם:

• רמה בסיסית (רוב העסקים הקטנים): חובה לנהל נוהל אבטחת מידע כתוב, לנהל הרשאות גישה, ולהשתמש בסיסמאות חזקות. חשוב לדעת: גם ברמה הבסיסית קיימת חובת דיווח לרשות במקרה של אירוע אבטחה חמור.
• רמה בינונית: חלה למשל על סוכנויות דיוור או מאגרים עם מידע רגיש. דורשת ביצוע ביקורות תקופתיות, שמירת לוגים אוטומטיים למשך 24 חודשים, ושימוש באימות דו-שלבי (2FA).
• רמה גבוהה: מאגרי ענק או מידע רגיש במיוחד. דורשת מבדקי חדירות (PT) וסקרי סיכונים כל 18 חודשים.

האם אתם חייבים למנות ממונה הגנת פרטיות (DPO)?

החוק קובע חובת מינוי DPO לגופים מסוימים. האכיפה בנושא תחל ב-31.10.2025, אך החובה החוקית להיערך קיימת. מי חייב במינוי?

1. גופים ציבוריים.
2. סוחרים במידע (Data Brokers) ומדוורים ישירים (מעל 10,000 איש).
3. גופים המבצעים ניטור שיטתי בהיקף ניכר (למשל, מנועי חיפוש או אפליקציות המנטרות התנהגות משתמשים).
4. גופים המעבדים מידע בעל רגישות מיוחדת בהיקף ניכר (כגון מידע רפואי או פיננסי).

חובת הודעה על מאגר (במקום רישום)

תיקון 13 צמצם את חובת הרישום של מאגרי מידע, אך יצר חובה חדשה: חובת הודעה. אם אתם מעבדים מידע בעל רגישות מיוחדת (כגון מידע רפואי, ביומטרי, דעות פוליטיות, עבר פלילי וכו') על יותר מ-100,000 אנשים – אתם חייבים למסור הודעה לרשות הכוללת את פרטי המאגר והממונה.

צ'ק ליסט לביצוע מיידי

1. מיפוי: בדקו האם אתם מחזיקים "מאגר מידע" ומהי רמת האבטחה הנדרשת מכם.
2. עדכון מסמכים: עדכנו את מדיניות הפרטיות ותנאי השימוש באתר כך שישקפו את המצב בפועל.
3. ניהול הסכמות: הטמיעו באנר (CMP) לחסימת עוגיות לא הכרחיות עד לקבלת הסכמה, כדי לעמוד בסטנדרט של "הסכמה מדעת" ודרישות גוגל.
4. אבטחת מידע: ודאו שאתם עומדים בתקנות אבטחת המידע (בדגש על ניהול הרשאות ואימות דו-שלבי).
5. DPO: בדקו אם אתם נדרשים למנות ממונה הגנת פרטיות והיערכו למינוי עד אוקטובר 2025.

מנהלי אתרים – מה צריך לעשות טכנית לצורך ניהול העוגיות? (GA4 + GTM + CMP)

1) הפעלה נכונה של Google Consent Mode v2

בין אם באמצעות CMP ובין אם בקוד מותאם, מומלץ להגדיר ברירת מחדל ‘denied’ לרכיבי מדידה/שיווק, ולהפעילם רק לאחר בחירה מודעת, מומלץ גם לתעד את הבחירה ולאפשר שינוי בכל עת.

• ad_storage, analytics_storage, ad_user_data, ad_personalization.
  מומלץ לנהל זאת דרך CMP שמסנכרן את האותות אוטומטית ל-GTM/GA4.

טיפ GTM: השתמשו ב-Consent Initialization Trigger, הפעילו Consent Overview, והוסיפו Additional Consent Checks לטאגים צד-ג' שאינם תומכים מובנה.

2) בדיקות

• Tag Assistant (GTM Preview) – לבדוק שהטאגים נחסמים/נטענים נכון לפי סטטוס ההסכמה.
• GA4 DebugView – זכרו: אירועים לא יוצגו אם אין הסכמה ל-analytics_storage (זה תקין!)

סקירת CMP ותוספים תואמי עברית לוורדפרס/ווקומרס/וויקס

כדי למצוא פתרונות לאתרי וורדפרס, ניסינו לבחון מגוון תוספים לניהול עוגויות ומדיניות פרטיות. הקריטריונים: תמיכה בעברית/ריבוי שפות, חסימה אוטומטית עד הסכמה, תיעוד הסכמה, אינטגרציית GTM/GA4/Consent Mode v2, ותמחור. חשוב להבין שהתוספים נועדו לשימוש התקן האירופאי GDPR ולא לדרישות החוק הישראלי המעודכן. עדכונים על תוספים ייעודיים לעדכון 13 לחוק הגנת הפרטיות יעלו בהמשך.

Cookiebot (Usercentrics) – לא רק לוורדפרס

• עברית: נתמכת ברשימת השפות.
• Consent Mode v2: תמיכה רשמית, כולל אינטגרציית GTM ועמוד הגדרות ייעודי בפלאגין לוורדפרס.
• לוגי הסכמה: נשמרים עד 12 חודשים, ניתנים לייצוא.
• חסימה אוטומטית: כן (Auto-blocking).
• תמחור: חינם עד 50 עמודים, מעבר לכך בתשלום.

למי מתאים: אתרים הזקוקים לפתרון "הכול-כלול" מאושר גוגל, רב-לשוני, עם לוגים ושילוב חלק ב-GTM/GA4.

WebToffee – GDPR Cookie Consent (וורדפרס)

• עברית/רב-לשוני: תואם WPML ותרגום תבניות באנר.
• Consent Mode v2: תמיכה מובנית והנחיות הפעלה.
• לוגי הסכמה: לוג מובנה + ייצוא CSV (כולל מזהה הסכמה, סטטוס, זמן, ו-IP אנונימי).
• חסימה/קטגוריות: Opt-in גרנולרי לפי קטגוריות ובקרות חסימה.

למי מתאים: אתרי וורדפרס/ווקומרס שרוצים שליטה מקומית (DB של וורדפרס), רב-לשוני, ותמיכת GCM v2.

Consentmanager – לא רק לוורדפרס

• עברית: תמיכה בריבוי שפות (30+), ויכולת ליצור/לתחזק שפה מותאמת – ניתן לתרגם ממשק לעברית גם אם לא מופיע כברירת מחדל.
• Consent Mode v2: תמיכה רשמית ו-CMP מאושר גוגל.
• וורדפרס: תוסף רשמי עם ניהול CMP-ID.
• תמחור: לפי נפח/צפיות. מתאים לאתרים גדולים/רב-אתריים.

Cookie Notice WordPress Free Plugin

• עברית: קיימת לוקליזציה לעברית.
• יכולות: באנר בסיסי, קטגוריות, אפשרות לוגי הסכמה (תלוי גרסה), חסימת סקריפטים אחרי אישור.
• Consent Mode v2: אין הצהרה רשמית בריפו הראשי, ייתכן ומצריך קונפיגורציה ידנית ב-GTM/תבניות קהילה. בדקו היטב לפני ייצור.

למי יכול להתאים: אתרים קטנים הזקוקים לפתרון קליל, פחות מומלץ כשנדרשת תאימות הדוקה ל-GCM v2 ולוגי הסכמה מחמירים.

Consentik (Wix פתרון לאתרי)

• עברית/רב-לשוני: תומך תרגום מלא של הבאנר ומסך ההעדפות, מתאים לאתרים רב־לשוניים.
• Consent Mode v2: אינטגרציה מובנית עם Google Consent Mode v2 וסנכרון סטטוס ההסכמה ל־GTM/GA4/Ads.
• ויקס: התקנה דרך Wix App Market, קונפיגורציה פשוטה, וקישור למדיניות הפרטיות מתוך הבאנר.
• לוגי הסכמה: שמירת סטטוס/העדפות (Consent Logs) לביקורות והוכחת הסכמה.
• ניהול קטגוריות/חלון העדפות: חיוניות, פונקציונליות, אנליטיקה, ביצועים, פרסום, ולא מסווגות; אפשרות “קבל הכול / דחה הכול / נהל העדפות” ושינוי בחירה בכל עת.
• חסימה לפני הסכמה: אפשר להגדיר טעינה של עוגיות לא־חיוניות רק לאחר בחירה מודעת (opt-in), כולל כפתורי דחייה/קבלה ברורים.
• סריקת עוגיות ורשימת ספקים: סריקה תקופתית, הצגת Vendor List/דומיינים ומטרות שימוש לשקיפות.
• תמחור: מסלול חינמי לצד תוכניות בתשלום (לפי נפח/יכולות).

למי מתאים: אתרי Wix תדמית/לידים המחפשים פתרון בעברית עם opt-in אמיתי, ניהול לוגים, ושילוב חלק עם Google Analytics/Ads דרך Consent Mode v2.

הטמעה בוורדפרס/ווקומרס – צעד-אחר-צעד

1. התקינו CMP (למשל Cookiebot / WebToffee) והפעילו עברית. ודאו ברירת מחדל "denied" לכל קטגוריה לא הכרחית.
2. חברו ל-GTM/GA4 והפעילו Consent Mode v2 (כולל ad_user_data ו-ad_personalization). עזרה של גוגל
3. חסימת סקריפטים: ודאו שכלי מדידה/פרסום נטענים רק לאחר הסכמה. ב-GTM, הפעילו Consent Settings לכל תג. עזרה של גוגל
4. ווקומרס – צ’קבוקס מדיניות פרטיות/תנאים: הגדירו דף מדיניות ותנאים, הפעילו את הצ’קבוקס בעמוד התשלום (ב-Checkout Block הוסיפו את בלוק Additional Terms). WooCommerce
5. תיעוד וייצוא הסכמות: הפעילו Consent Logs בפלאגין ובדקו אפשרות ייצוא (CSV/דוח).
6. בדיקות: GTM Preview + GA4 DebugView (שימו לב: ללא הסכמה ל-analytics_storage לא תראו אירועים – זה תקין). עזרה של גוגל

מקורות רשמיים של Google (להעמקה וליישום נכון)

• Consent Mode – מפתחים (Tag Platform): מדריך הגדרה ורפרנס. Google for Developers
• GTM – תמיכה ב-Consent Mode: טריגר Consent Initialization, ניהול הסכמות לטאגים. עזרה של גוגל
• GA4 – סוגי הסכמה (ad_user_data/ad_personalization וכו’): עזרה של גוגל
• GA4 DebugView: למה אירועים לא יופיעו כשאין הסכמה. עזרה של גוגל

בשורה התחתונה – אל תחכו לרגע האחרון

• כל אתר עם עוגיות לא הכרחיות (כולל אתרי לידים) – מומלץ ואף נדרש בנסיבות רבות להציב באנר הסכמה אמיתי (opt-in), חסימה לפני הסכמה, ותיעוד.
• וורדפרס/ווקומרס מאפשרים עמידה בדרישות בעזרת CMP תומך עברית + הפעלת Consent Mode v2 + צ’קבוקס מדיניות פרטיות בתשלום.
• אל תחכו לרגע האחרון: בצעו מיפוי, הטמיעו CMP, עדכנו מדיניות, ובחנו את זרימת ההסכמה והלוגים.

תיקון 13 לחוק הגנת הפרטיות מצגת הדרכה

בהמשך למאמר שכבר כתבנו על איך לבנות מצגת עם ai שקיבל המון תגובות טובות מלקוחות שלנו, החלטנו ליצור מצגת על תיקון 13 לחוק הגנת הפרטיות. המידע נאסף באופן אוטומטי עם בינה מלאכותית והוטמע במצגת הבאה:

כתב ויתור: המידע במאמר זה נועד לצרכים כלליים והסבריים בלבד ואינו מהווה ייעוץ משפטי, רגולטור או מקצועי מכל סוג. האחריות לבדיקת הדין החל, הנהלים וההנחיות הרשמיות (כולל נוסח החוק והתקנות) מוטלת עליך בלבד, ואין להסתמך על הכתוב כאן כתחליף לקריאה עצמאית של הדרישות או להתייעצות עם גורם מוסמך. ייתכנו שינויים/עדכונים בחקיקה ובהנחיות מעת לעת, המחברים והמערכת אינם אחראים לשום נזק, הפסד, קנס או תביעה שייגרמו – במישרין או בעקיפין – עקב הסתמכות על המידע או יישומו, כולו או חלקו. אין באמור כדי ליצור יחסי ייעוץ או התחייבות מכל סוג.