תיקון 13 לחוק הגנת הפרטיות – מדריך דחוף לבעלי אתרים ואנשי שיווק כדי להימנע מקנסות מיותרים

הדבר האחרון שאתם צריכים עכשיו הוא תביעה בגלל עוגייה. ביום חמישי האחרון 14.8.25 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות. מה זה משנה לבעלי אתרים? אם יש לכם אתר או עמוד נחיתה עם איסוף פרטים בטופס או פיקסל של פייסבוק/גוגל או אפילו איסוף כתובת IP – חובה עליכם לעמוד בכללים החדשים. הפרה של החוק יכולה להגיע עד 10,000 ש"ח ללא הוכחת נזק וחשוב להיערך בהתאם. בפוסט הבא תוכלו להבין מי צריך לעשות מה וגם כמה תוספים שיוכלו לעזור.

שימו לב! אין תקופת דחייה כללית לחובות תיקון 13 (לרבות היבטים הנוגעים לשימוש בעוגיות כחלק מעיבוד מידע אישי). ההוראות חלות ממועד התחילה, 14.08.2025, על מעשים שנעשו מיום זה והלאה. מנגד, קיימת מדיניות אי־אכיפה זמנית רק ביחס לחובת מינוי ממונה הגנת פרטיות (DPO) עד 31.10.2025, לאחר מועד זה צפויה אכיפה. בהתאם, ניתן להגיש תביעות אזרחיות בגין הפרות שאירעו לאחר מועד התחילה. (למידע נוסף ראו "המדריך המקצועי לתיקון מס’ 13" באתר gov.il.)

למה זה בוער לכל עסק? (גם אם זה "רק אתר לידים")

סיכון משפטי מיידי: בתי המשפט רשאים לפסוק פיצויים לדוגמה עד 10,000 ₪ להפרות מסוימות, גם ללא הוכחת נזק. כלומר, גם בעל עסק קטן עם דף נחיתה יכול להפוך יעד לתביעה.

אכיפה מנהלית מחמירה: סמכויות הרשות הורחבו משמעותית, כולל עיצומים מנהליים והנחיות מעודכנות שמתפרסמות כעת.

דד־ליין קרוב למינוי DPO: עד 31.10.2025 יש "נשימה" רק לנושא הממונה, כל היתר בתוקף ומסכן אתכם כבר מ־14.8.2025. (מידע נוסף באתר הממשלה)

בשורה התחתונה: כל אתר חייב במדיניות פרטיות מעודכנת עם קישור בכל דפי האתר. כל אתר עם עוגיות לא הכרחיות (למשל Google Analytics או פיקסל של פייסבוק) – מומלץ ואף נדרש בנסיבות רבות להציב באנר הסכמה מתקדם עם אישור מפורש אקטיבי, חסימה לפני הסכמה ותיעוד, בהתאם לעמדת הרשות וטיוטת גילוי הדעת בנושא הסכמה.

מה מומלץ ליישם באתר (בהתאם לעמדת הרשות, טיוטות והתקנות הקיימות)?

1. מדיניות פרטיות מעודכנת: שקופה וקריאה, עם פירוט זהות בעל השליטה במאגר ודרכי התקשרות, מטרות העיבוד, סוגי המידע הנאסף (כולל דוגמאות לפי נקודות איסוף/טפסים), צדדים שלישיים שאליהם יימסר המידע (אם יימסר), זכויות המשתמש (עיון, תיקון, מחיקה) וכיצד להפעילן, מומלץ לציין גם תקופות שימור. יידוע תמציתי וסמוך לכל טופס יופיע בנוסף למדיניות. מומלץ לבצע עם עורך דין מתמחה בחוק הגנת הפרטיות ובהתאם לרמת האבטחה (מפורט בהמשך).
2. באנר הסכמה מתקדם (Consent Management Platform – CMP)
   • ברירת מחדל: עוגיות לא הכרחיות מושבתות עד להסכמה מפורשת.
   • אפשרויות בחירה ברורות ושוות בולטות (למשל "קבל הכול" / "דחה הכול"), וגם בחירה לפי קטגוריות.
   • חסימה בפועל של סקריפטים לא הכרחיים לפני ההסכמה.
   • אפשרות שינוי/משיכת הסכמה בכל עת.
   • תיעוד והפקה של לוגי הסכמה (Consent Logs) למטרות ביקורת/הוכחה.
   • (הנחיות הביצוע נשענות על עקרונות ה-GDPR והכוונת הרשות – לכן מומלץ ליישם סטנדרט זהה גם בישראל).
3. איקומרס (חנויות וירטואליות): תיבת סימון לאישור מדיניות הפרטיות/תנאים בעמוד התשלום. (WooCommerce תומכת בהגדרת דף מדיניות/תנאים והצגת צ’קבוקס באופן מובנה, אם אתם משתמשים ב-Checkout Block יש להוסיף ידנית את בלוק Additional Terms) – תיבת סימון יכולה להיות דרך טובה להוכיח הסכמה/קריאה, אך היא לא חובה בחוק.
4. אתרי לידים (לא חנות): אותם כללים חלים. אם יש Google/Meta/Facebook/Hotjar וכד’ – אל תטענו סקריפטים לא חיוניים לפני Opt-in.

מה צריך לעשות בארגון השבוע?

• מיפוי מאגרי מידע: כדאי להכין רשימה קצרה של כל המאגרים בארגון (למשל: רשימת לקוחות, עובדים, רשימות דיוור, מידע רגיש בענן).
• ניהול – קביעת נהלי בקרה, גיבויים גישה וצמצום מידע מיותר.
• מיפוי עוגיות וטפסים באתר החברה: מי נטען? למה? איפה נשמר?
• בחירת CMP תומך עברית ו־Consent Mode v2 (ראו סקירה בהמשך).
• עדכוני מסמכים: מדיניות פרטיות, תנאי שימוש, מסמכי פנימיים.
• מינוי DPO (אם חל עליכם) – יש גרייס עד 31.10.2025, אבל להתחיל עכשיו. מדיניות אי-אכיפה ל-DPO עד 31.10.2025.
• הקשחה טכנית: חסימת סקריפטים לפני הסכמה והפעלת Consent Mode ב־GTM/GA4. Google for Developers

האם מינוי DPO חל עליכם?

חובת מינוי ממונה על הגנת הפרטיות (DPO) נכנסת לתוקף עם התיקון, האכיפה של החובה הזו נדחתה זמנית עד 31.10.2025 – אבל עצם החובה קיימת, ורצוי להתארגן עכשיו. מי חייב למנות?

1. גוף ציבורי (כבעל שליטה/מחזיק מאגר, גופים ביטחוניים מוחרגים בהסדרים ייעודיים).
2. Data brokers/דיוור ישיר: מטרה עיקרית איסוף ומסירה לאחר ומעל 10,000 נושאי מידע.
3. ניטור שיטתי בהיקף ניכר: מי שעיסוקו כולל עיבודים שמחייבים ניטור שוטף ושיטתי של בני אדם בהיקף משמעותי (למשל ספקי שירותי חיפוש מקוון, מפעילי שירותי סלולר).
4. עיבוד בהיקף ניכר של מידע בעל רגישות מיוחדת: למשל בנקים, בתי חולים, קופות חולים, מבטחים.
5. במקרים (3)-(4) החובה יכולה לחול גם על מחזיקים (Processors – זה כולל, למשל, ספק CRM כשירות (SaaS), אחסון ענן, מערכות דיוור, אנליטיקס, עיבודי נתונים וכד’.), לא רק על בעלי שליטה (Controllers). מה נחשב "היקף ניכר"? נשקל לפי #נושאי מידע, נפח/סוגי נתונים, משך תהליכים, היקף גיאוגרפי ועוד.

אי-אכיפה זמנית ל-DPO עד 31.10.2025: הרשות הודיעה על דחיית האכיפה כדי לאפשר גיוס/התקשרות, זה לא פוטר מהחובה להתכונן.

מי חייב במה? (פירוט לפי סוג גוף והיקפים כמותיים)

חל על כולם (בלי סף כמותי)

• שקיפות והסכמה מדעת: יידוע ברור, בעיבודים לא הכרחיים (מדידה/שיווק/פרסונליזציה) מומלץ לקבל הסכמה אקטיבית (Opt-in) ולחסום מראש עד ההסכמה, להקל שינוי/משיכה ולתעד.
• מדיניות פרטיות מעודכנת, צמידות מטרה, מימוש זכויות (עיון/תיקון).

המשמעות: אין "פטור לעסקים קטנים" כשמדובר בעיבוד מידע אישי שאינו הכרחי. החוק לא מזכיר במפורש "באנר עוגיות", אך הוא מחייב שהעיבוד יתבצע רק על בסיס חוקי מתאים – ובמקרה של עוגיות או פיקסלים שיווקיים, מדובר לרוב בהסכמה מדעת. המשמעות המעשית: יש לחסום אותם עד לקבלת הסכמה מפורשת ולתעד אותה. בנוסף, כל אתר שאוסף מידע באמצעות טפסים חייב ביידוע ברור ליד הטופס (כולל קישור למדיניות פרטיות עם פירוט מטרות העיבוד ושימושי המידע).

חובת רישום מאגר (צומצמה בתיקון 13)

חובת הרישום במאגר הממשלתי של מרשם מאגרי המידע נשארה לשני סוגים:

1. Data brokers/שירותי דיוור ישיר: אם המטרה העיקרית היא איסוף מידע כדי למסור אותו לאחר בעיסוק/בתמורה ובמאגר יש מידע על יותר מ־10,000 אנשים.
2. גוף ציבורי (למעט מאגר שכולל רק עובדי הגוף).
   אם אתם נכנסים להגדרות – לא תעבדו מידע עד שהמאגר רשום. מאגר שכבר היה רשום לפני תחילת התיקון יישאר רשום עד שתבקשו למחוק.

חובת הודעה לרשות (Notification)

גם אם אינכם חייבים ברישום, אם אתם מעבדים מידע בעל רגישות מיוחדת לגבי יותר מ־100,000 נושאי מידע – אתם חייבים להודיע לרשות ולמסור פרטים (זהות בעל השליטה, פרטי DPO אם מונה, והעתק “מסמך הגדרות מאגר” לפי תקנות אבטחת מידע). אין פטור אם נושאי המידע אינם מישראל (החובה אינה תלויה באזרחות נושאי המידע). ההודעה תימסר לרשות בתוך 30 ימים ממועד תחולת החובה.

מה זה "מידע בעל רגישות מיוחדת"? דוגמאות: מידע רפואי, ביומטרי/גנטי, נתוני מיקום/תעבורה, דעות פוליטיות/אמונות דתיות, עבר פלילי, חוות דעת אישיות, שכר ועוד (רשימה מפורטת בחוק).

ומה לגבי אבטחת מאגרי המידע?

אבטחת מידע – לא רק עוגיות
לצד החובות על שקיפות, יידוע ומינוי ממונה, תיקון 13 מחזק מאוד את האכיפה בתחום אבטחת המידע. התקנות הקיימות [תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ] נשארו בתוקף, אך עכשיו נוספו עיצומים כספיים משמעותיים על הפרתן. חשוב להבין באיזו רמת אבטחה נמצא המאגר שלכם (בסיסית/בינונית/גבוהה) ומה המשמעות בפועל.

רמות אבטחת מידע – מה נדרש ממני?

איך קובעים את הרמה?

• בסיסית – ברירת המחדל לרוב האתרים/עסקים קטנים שאינם עומדים בקריטריונים של בינונית/גבוהה.
• בינונית – למשל מאגר של גוף ציבורי; מאגר שמטרתו העיקרית איסוף ומסירה לאחר (דיוור/“סוחר מידע”); או מאגר הכולל מידע בעל רגישות מיוחדת כפי שציינו מעלה.
• גבוהה – מאגרים רחבי־היקף (למשל מידע רגיש על מספר רב מאוד של אנשים) או עם מספר גבוה של בעלי הרשאה; ועיבודים רגישים במיוחד.

טיפ: רוב אתרי תדמית/לידים קטנים בלי מידע רגיש – בד״כ בסיסית.

חובות ליבה – חלות על כולם

• נוהל אבטחת מידע כתוב ומעודכן + מיפוי מערכות/מאגר.
• ניהול הרשאות לפי תפקיד; ביטול הרשאות בסיום תפקיד.
• הדרכה לפני מתן הרשאה למשתמשי מערכת.
• אבטחת תקשורת: הגנות בחיבור לאינטרנט; העברת מידע ברשת ציבורית – בהצפנה.
• תיעוד וטיפול באירועי אבטחה (נוהל תגובה).

רמה בסיסית – מה נדרש בנוסף

• עמידה בחובות הליבה לעיל.
• אין חובה מפורשת ללוגים אוטומטיים, ביקורת תקופתית חיצונית, או דיווח מיידי לרשות (אלה מופיעים בבינונית/גבוהה).
• מומלץ כ־Best Practice: סיסמאות חזקות, ניתוק באי־פעילות, ואימות דו־שלבי (2FA) בממשקי ניהול – למרות שלא נדרש במפורש.

רמה בינונית – מה נדרש במפורש

• הדרכות תקופתיות לבעלי הרשאות – לפחות פעם ב־24 חודשים.
• לוגים אוטומטיים לגישות/פעולות ושמירתם 24 חודשים + בדיקות שגרתיות.
• ביקורת אבטחה פנימית/חיצונית – לפחות פעם ב־24 חודשים.
• דיון שנתי באירועי אבטחה ועדכון נהלים.
• דיווח מיידי לרשות במקרה אירוע אבטחה חמור.
• זיהוי ואימות:
  • “ככל האפשר” – שימוש באמצעי פיזי בשליטת המשתמש (מעשית: 2FA/טוקן/OTP).
  • ואם קיימת גישה מרחוק למאגר – זה כבר חובה מפורשת להשתמש באמצעי פיזי (כלומר בפועל 2FA).

רמה גבוהה – מה נדרש במפורש (מעבר לבינונית)

גיבוי ושחזור מחמירים והבטחת שלמות ושרידות המידע.

סקר סיכונים לפחות פעם ב־18 חודשים + יישום הממצאים.

מבדקי חדירה (PT) לפחות פעם ב־18 חודשים + טיפול בממצאים.

דיון רבעוני באירועי אבטחה.

בקיצור מה נדרש?

• קבע/י את רמת המאגר (בסיסית/בינונית/גבוהה).
• עדכן/י נוהל אבטחת מידע ומיפוי מערכות.
• ודא/י ניהול הרשאות מסודר והדרכות למשתמשים.
• הפעל/י לוגים וביקורות לפי הרמה.
• אם יש גישה מרחוק ובמיוחד בבינונית/גבוהה – הפעל/י 2FA.
• בבינונית/גבוהה – הכן/י מנגנון דיווח מיידי על אירוע חמור.
• בגבוהה – תכנן/י סקר סיכונים ו־מבדקי חדירה אחת ל־18 חודשים.
• חובת הודעה לרשות (חדשה בתיקון 13): אם אתם מעבדים מידע בעל רגישות מיוחדת על יותר מ-100,000 נושאי מידע – נדרשת הודעה לרשות והגשת "מסמך הגדרות מאגר".

מנהלי אתרים – מה צריך לעשות טכנית לצורך ניהול העוגיות? (GA4 + GTM + CMP)

1) הפעלה נכונה של Google Consent Mode v2

בין אם באמצעות CMP ובין אם בקוד מותאם, מומלץ להגדיר ברירת מחדל ‘denied’ לרכיבי מדידה/שיווק, ולהפעילם רק לאחר בחירה מודעת, מומלץ גם לתעד את הבחירה ולאפשר שינוי בכל עת.

• ad_storage, analytics_storage, ad_user_data, ad_personalization.
  מומלץ לנהל זאת דרך CMP שמסנכרן את האותות אוטומטית ל-GTM/GA4.

טיפ GTM: השתמשו ב-Consent Initialization Trigger, הפעילו Consent Overview, והוסיפו Additional Consent Checks לטאגים צד-ג' שאינם תומכים מובנה.

2) בדיקות

• Tag Assistant (GTM Preview) – לבדוק שהטאגים נחסמים/נטענים נכון לפי סטטוס ההסכמה.
• GA4 DebugView – זכרו: אירועים לא יוצגו אם אין הסכמה ל-analytics_storage (זה תקין!)

סקירת CMP ותוספים תואמי עברית לוורדפרס/ווקומרס/וויקס

כדי למצוא פתרונות לאתרי וורדפרס, ניסינו לבחון מגוון תוספים לניהול עוגויות ומדיניות פרטיות. הקריטריונים: תמיכה בעברית/ריבוי שפות, חסימה אוטומטית עד הסכמה, תיעוד הסכמה, אינטגרציית GTM/GA4/Consent Mode v2, ותמחור. חשוב להבין שהתוספים נועדו לשימוש התקן האירופאי GDPR ולא לדרישות החוק הישראלי המעודכן. עדכונים על תוספים ייעודיים לעדכון 13 לחוק הגנת הפרטיות יעלו בהמשך.

Cookiebot (Usercentrics) – לא רק לוורדפרס

• עברית: נתמכת ברשימת השפות.
• Consent Mode v2: תמיכה רשמית, כולל אינטגרציית GTM ועמוד הגדרות ייעודי בפלאגין לוורדפרס.
• לוגי הסכמה: נשמרים עד 12 חודשים, ניתנים לייצוא.
• חסימה אוטומטית: כן (Auto-blocking).
• תמחור: חינם עד 50 עמודים, מעבר לכך בתשלום.

למי מתאים: אתרים הזקוקים לפתרון "הכול-כלול" מאושר גוגל, רב-לשוני, עם לוגים ושילוב חלק ב-GTM/GA4.

WebToffee – GDPR Cookie Consent (וורדפרס)

• עברית/רב-לשוני: תואם WPML ותרגום תבניות באנר.
• Consent Mode v2: תמיכה מובנית והנחיות הפעלה.
• לוגי הסכמה: לוג מובנה + ייצוא CSV (כולל מזהה הסכמה, סטטוס, זמן, ו-IP אנונימי).
• חסימה/קטגוריות: Opt-in גרנולרי לפי קטגוריות ובקרות חסימה.

למי מתאים: אתרי וורדפרס/ווקומרס שרוצים שליטה מקומית (DB של וורדפרס), רב-לשוני, ותמיכת GCM v2.

Consentmanager – לא רק לוורדפרס

• עברית: תמיכה בריבוי שפות (30+), ויכולת ליצור/לתחזק שפה מותאמת – ניתן לתרגם ממשק לעברית גם אם לא מופיע כברירת מחדל.
• Consent Mode v2: תמיכה רשמית ו-CMP מאושר גוגל.
• וורדפרס: תוסף רשמי עם ניהול CMP-ID.
• תמחור: לפי נפח/צפיות. מתאים לאתרים גדולים/רב-אתריים.

Cookie Notice WordPress Free Plugin

• עברית: קיימת לוקליזציה לעברית.
• יכולות: באנר בסיסי, קטגוריות, אפשרות לוגי הסכמה (תלוי גרסה), חסימת סקריפטים אחרי אישור.
• Consent Mode v2: אין הצהרה רשמית בריפו הראשי, ייתכן ומצריך קונפיגורציה ידנית ב-GTM/תבניות קהילה. בדקו היטב לפני ייצור.

למי יכול להתאים: אתרים קטנים הזקוקים לפתרון קליל, פחות מומלץ כשנדרשת תאימות הדוקה ל-GCM v2 ולוגי הסכמה מחמירים.

Consentik (Wix פתרון לאתרי)

• עברית/רב-לשוני: תומך תרגום מלא של הבאנר ומסך ההעדפות, מתאים לאתרים רב־לשוניים.
• Consent Mode v2: אינטגרציה מובנית עם Google Consent Mode v2 וסנכרון סטטוס ההסכמה ל־GTM/GA4/Ads.
• ויקס: התקנה דרך Wix App Market, קונפיגורציה פשוטה, וקישור למדיניות הפרטיות מתוך הבאנר.
• לוגי הסכמה: שמירת סטטוס/העדפות (Consent Logs) לביקורות והוכחת הסכמה.
• ניהול קטגוריות/חלון העדפות: חיוניות, פונקציונליות, אנליטיקה, ביצועים, פרסום, ולא מסווגות; אפשרות “קבל הכול / דחה הכול / נהל העדפות” ושינוי בחירה בכל עת.
• חסימה לפני הסכמה: אפשר להגדיר טעינה של עוגיות לא־חיוניות רק לאחר בחירה מודעת (opt-in), כולל כפתורי דחייה/קבלה ברורים.
• סריקת עוגיות ורשימת ספקים: סריקה תקופתית, הצגת Vendor List/דומיינים ומטרות שימוש לשקיפות.
• תמחור: מסלול חינמי לצד תוכניות בתשלום (לפי נפח/יכולות).

למי מתאים: אתרי Wix תדמית/לידים המחפשים פתרון בעברית עם opt-in אמיתי, ניהול לוגים, ושילוב חלק עם Google Analytics/Ads דרך Consent Mode v2.

הטמעה בוורדפרס/ווקומרס – צעד-אחר-צעד

1. התקינו CMP (למשל Cookiebot / WebToffee) והפעילו עברית. ודאו ברירת מחדל "denied" לכל קטגוריה לא הכרחית.
2. חברו ל-GTM/GA4 והפעילו Consent Mode v2 (כולל ad_user_data ו-ad_personalization). עזרה של גוגל
3. חסימת סקריפטים: ודאו שכלי מדידה/פרסום נטענים רק לאחר הסכמה. ב-GTM, הפעילו Consent Settings לכל תג. עזרה של גוגל
4. ווקומרס – צ’קבוקס מדיניות פרטיות/תנאים: הגדירו דף מדיניות ותנאים, הפעילו את הצ’קבוקס בעמוד התשלום (ב-Checkout Block הוסיפו את בלוק Additional Terms). WooCommerce
5. תיעוד וייצוא הסכמות: הפעילו Consent Logs בפלאגין ובדקו אפשרות ייצוא (CSV/דוח).
6. בדיקות: GTM Preview + GA4 DebugView (שימו לב: ללא הסכמה ל-analytics_storage לא תראו אירועים – זה תקין). עזרה של גוגל

מקורות רשמיים של Google (להעמקה וליישום נכון)

• Consent Mode – מפתחים (Tag Platform): מדריך הגדרה ורפרנס. Google for Developers
• GTM – תמיכה ב-Consent Mode: טריגר Consent Initialization, ניהול הסכמות לטאגים. עזרה של גוגל
• GA4 – סוגי הסכמה (ad_user_data/ad_personalization וכו’): עזרה של גוגל
• GA4 DebugView: למה אירועים לא יופיעו כשאין הסכמה. עזרה של גוגל

בשורה התחתונה – אל תחכו לרגע האחרון

• כל אתר עם עוגיות לא הכרחיות (כולל אתרי לידים) – מומלץ ואף נדרש בנסיבות רבות להציב באנר הסכמה אמיתי (opt-in), חסימה לפני הסכמה, ותיעוד.
• וורדפרס/ווקומרס מאפשרים עמידה בדרישות בעזרת CMP תומך עברית + הפעלת Consent Mode v2 + צ’קבוקס מדיניות פרטיות בתשלום.
• אל תחכו לרגע האחרון: בצעו מיפוי, הטמיעו CMP, עדכנו מדיניות, ובחנו את זרימת ההסכמה והלוגים.

תיקון 13 לחוק הגנת הפרטיות מצגת הדרכה

בהמשך למאמר שכבר כתבנו על איך לבנות מצגת עם ai שקיבל המון תגובות טובות מלקוחות שלנו, החלטנו ליצור מצגת על תיקון 13 לחוק הגנת הפרטיות. המידע נאסף באופן אוטומטי עם בינה מלאכותית והוטמע במצגת הבאה:

כתב ויתור ואחריות

המידע במאמר זה נועד לצרכים כלליים והסבריים בלבד ואינו מהווה ייעוץ משפטי, רגולטור או מקצועי מכל סוג. האחריות לבדיקת הדין החל, הנהלים וההנחיות הרשמיות (כולל נוסח החוק והתקנות) מוטלת עליך בלבד, ואין להסתמך על הכתוב כאן כתחליף לקריאה עצמאית של הדרישות או להתייעצות עם גורם מוסמך. ייתכנו שינויים/עדכונים בחקיקה ובהנחיות מעת לעת, המחברים והמערכת אינם אחראים לשום נזק, הפסד, קנס או תביעה שייגרמו – במישרין או בעקיפין – עקב הסתמכות על המידע או יישומו, כולו או חלקו. אין באמור כדי ליצור יחסי ייעוץ או התחייבות מכל סוג.