בשבועות האחרונים אני מקבל אותה שיחה שוב ושוב. בעל עסק מתקשר נשמע לחוץ, מספר שקיבל מכתב מעורך דין על באנר העוגיות באתר שלו, או ששמע מחבר שהרשות להגנת הפרטיות "מתחילה לחלק קנסות", ושואל מה לעשות עכשיו. השיחה תמיד מתחילה באותו משפט: "רון, אמרו לי שהאתר שלי לא חוקי".
אז בואו נעשה סדר. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, ואנחנו עכשיו 9 חודשים אחרי. זה כבר לא תחזית, זו מציאות. אבל המציאות הזאת הרבה פחות דרמטית ממה שמספרים לכם, והרבה יותר חשובה ממה שאתם חושבים. ההגזמה התקשורתית גרמה לבעלי עסקים קטנים לדמיין קנסות של מיליונים, בעוד שהסיכון האמיתי לעסק הקטן והבינוני הוא דווקא משהו אחר לגמרי. במאמר הזה אני אסביר בדיוק מה שאני בודק בכל אתר וורדפרס שאני בונה היום, אילו צעדים אפשר לעשות לבד השבוע, ואיפה כן צריך עורך דין.
מה השתנה בפועל מאז 14 באוגוסט 2025
תיקון 13 לחוק הגנת הפרטיות הוא הרפורמה הכי משמעותית בחוק הזה מאז שנחקק ב-1981. אבל הוא לא חוק חדש. רוב הדרישות שמופיעות בו היו קיימות כבר קודם, פשוט אף אחד לא אכף אותן. עד עכשיו.
הרשות להגנת הפרטיות, בהובלת ראש הרשות עו"ד גלעד סממה, קיבלה סמכויות אכיפה אמיתיות. היא יכולה לקנוס, לחקור, לדרוש מידע, ולפרסם החלטות אכיפה לציבור. ראש הרשות הגדיר את התיקון כ"תמחור מחדש של הזכות לפרטיות". במילים אחרות, היא הפכה מגוף בלי שיניים לרגולטור עם נשיכה.
הקנסות שכבר הוטלו בשטח
הנה המספרים. בשנת 2024, לפני התיקון, נקבעו 3 הפרות בלבד של החוק, בלי קנסות. בשנת 2025 כבר ננקטו 33 פעולות אכיפה, וכמחציתן הסתיימו בקנסות מנהליים בסכומים של 5,000 עד 75,000 ש"ח. רוב ההפרות נגעו לאבטחת מידע ולחובת היידוע (סעיף 11 לחוק).
חלק מהמקרים הגיעו לתקשורת. הרשות הטילה קנס על משרדי PwC ישראל ו-Ernst & Young ישראל בגלל סריקת תעודות זהות בכניסה למשרדים בלי ליידע את המבקרים. חברת האופנה Itay Brands (מקבוצת פוקס) נקנסה על מצלמות אבטחה בסמוך לתאי הלבשה בקניון רמת אביב, גם פה בגלל אי יידוע. בנוסף, הרשות הודיעה על תוכניות פיקוח רוחב במגזרים שלמים: רשויות מקומיות, חברות סחר אונליין, אפליקציות בשימוש נפוץ, מכוני סקר גנטי וצהרונים.
למה זה לא רק "עוד תיקון משפטי"
פה הנקודה החשובה. הקנסות המנהליים הם רק חצי מהסיפור. החצי השני הוא משהו שהתקשורת פחות דיברה עליו: התיקון יצר עילת תביעה אזרחית חדשה. כל אדם פרטי יכול לתבוע אתכם על עד 10,000 ש"ח, בלי להוכיח שום נזק, רק על זה שלא יידעתם אותו כראוי לפני שאספתם את המידע שלו.
בעולם המשפטי הישראלי כבר מדברים על זה כעל "זירת התביעות הבאה אחרי תביעות נגישות". הזכרון של אלפי תביעות הנגישות שהוגשו נגד עסקים קטנים בשנים האחרונות עוד טרי. אותו דפוס בדיוק יכול להתחיל להתפתח סביב באנרי עוגיות לא תקינים. וזה כבר קורה בקטן.
למה דווקא בעלי עסקים קטנים בסיכון אמיתי
נתחיל בבשורה הטובה: הקנסות של 5% מהמחזור השנתי, מאות אלפי שקלים ומיליונים, אלה לא תרחישים שמיועדים לבעלי המאפיה השכונתית או הסטודיו ליוגה. אלה מספרים שמיועדים לחברות גדולות, לסוחרי מידע (Data Brokers), ולמאגרים של מאות אלפי אנשים. אם יש לכם רשימת תפוצה של 800 לקוחות, אתם לא במשבצת הזאת.
אבל ההגזמה התקשורתית הזאת גורמת לבעלי עסקים לעשות שתי טעויות הפוכות: או שהם נכנסים לפאניקה ומתקינים פתרון יקר ומיותר, או שהם אומרים "זה לא רלוונטי אליי" ולא עושים כלום. שתי הגישות שגויות.
התביעה של 10,000 ש"ח ללא הוכחת נזק
הסיכון האמיתי לעסק הקטן הוא לא הקנס המנהלי של הרשות. הוא התביעה האזרחית של 10,000 ש"ח. כל גולש שייכנס לאתר שלכם ויראה שהפיקסל של פייסבוק כבר רץ עוד לפני שהוא הספיק ללחוץ "אישור" יכול להגיש תביעה. הוא לא צריך להוכיח נזק. הוא רק צריך להוכיח שלא יידעתם אותו כדין לפי סעיף 11 לחוק.
תכפילו את זה ב-50 אנשים שעושים את זה כתביעה ייצוגית מתואמת, ואתם מבינים מה הולך פה. זה התרחיש שמטריד אותי הכי הרבה בלקוחות שלי, ולא הקנס מהרשות.
זירת התביעות הבאה אחרי נגישות
אני בונה אתרים כבר הרבה שנים, וראיתי מקרוב מה קרה לעסקים שלא הנגישו את האתר שלהם בזמן. עורכי דין מסוימים בנו לעצמם מודל עסקי שלם סביב תביעות נגישות נגד עסקים קטנים. אותו דפוס בדיוק עומד לקרות סביב חוק הגנת הפרטיות. השוק המשפטי כבר מתחמם, ובאנרי עוגיות פגומים הם המטרה הקלה ביותר. אפשר לזהות אותם תוך 5 שניות באתר.
ההבדל בין "סמן וי" לבאמת להיות מוגן
הנה הטעות שאני רואה הכי הרבה. בעל עסק מתקין תוסף עוגיות חינמי שמצא בגוגל, מקבל באנר נחמד שכתוב עליו "האתר משתמש בעוגיות", סוגר את העניין ועובר הלאה. הוא חושב שהוא מוגן. הוא לא.
מה שהבאנר החינמי שהורדתם לא עושה
רוב התוספים החינמיים הבסיסיים מציגים הודעה ולא מבקשים הסכמה. ההבדל קריטי. כשגוגל אנליטיקס, הפיקסל של מטא, ה-Google Tag Manager או reCAPTCHA כבר טוענים את העוגיות שלהם בשנייה הראשונה של הכניסה לאתר, לפני שהמשתמש הספיק ללחוץ על שום כפתור, אתם בהפרה. גם אם הצגתם הודעה. הודעה זה לא הסכמה.
החוק דורש מנגנון "Opt-In אקטיבי". כלומר, העוגיות הלא חיוניות לא ייטענו עד שהמשתמש סימן באופן פעיל שהוא מסכים. זה הבדל ארכיטקטוני, לא רק עיצובי. רוב התוספים החינמיים הגנריים פשוט לא יודעים לעשות את זה.
למה הסכמה פסיבית פשוט לא מספיקה יותר
הרשות להגנת הפרטיות פרסמה בפברואר 2025 גילוי דעת בנושא הסכמה. הקו ברור: הסכמה צריכה להיות מודעת, מפורשת, חופשית וניתנת לחזרה. תיבת סימון שמסומנת מראש בטופס יצירת קשר היא לא הסכמה. באנר שכתוב עליו "המשך גלישה באתר מהווה הסכמה" הוא לא הסכמה. אלה דפוסים שגויים שכבר נפסלו ברגולציות מקבילות בעולם, ועכשיו הם נפסלים גם פה.
7 הצעדים שאני עושה בכל אתר וורדפרס שאני בונה היום
זה לא רשימה תיאורטית. זה סדר הפעולות שאני מבצע בפועל בכל פרויקט חדש שאני מעלה לאוויר. כשאני בונה אתר ללקוח, התהליך הזה הפך לחלק בלתי נפרד מההגדרה של "אתר מוכן".
1. מיפוי כל נקודות איסוף המידע
לפני כל דבר אחר, אני יושב ומיפה את כל המקומות באתר שאוספים מידע. טופס יצירת קשר. טופס הרשמה לניוזלטר. גוגל אנליטיקס. פיקסל פייסבוק. Hotjar. צ'אט בוט. WhatsApp Widget. WooCommerce. כל אחד מאלה אוסף מידע, ולכל אחד יש דרישות שונות. בלי המיפוי הזה אי אפשר באמת לכסות את כל הבסיסים.
2. התקנת באנר עוגיות אקטיבי (לא יידוע)
הבאנר חייב לחסום עוגיות לא חיוניות עד לקבלת הסכמה. הוא חייב להציג שלושה כפתורים בולטים באותה רמה: אישור, דחייה, ניהול העדפות. הוא חייב לאפשר למשתמש לבחור בנפרד אילו קטגוריות עוגיות לאשר (אנליטיקס, שיווק, פונקציונליות). הוא חייב לתעד את ההסכמה בלוג. ואסור שהכפתור "דחייה" יהיה קטן או מוסתר, זה נחשב "Dark Pattern" ופוסל את התקפות ההסכמה.
3. שכתוב מדיניות הפרטיות
מדיניות פרטיות גנרית מהאינטרנט היא לא מספיקה. החוק דורש פירוט של איזה מידע נאסף, למה הוא נאסף, למי הוא מועבר, כמה זמן הוא נשמר, מה הזכויות של המשתמש (עיון, תיקון, מחיקה), ופרטי קשר של אחראי הפרטיות בארגון. אני כותב מדיניות מותאמת לכל לקוח על בסיס המיפוי שעשיתי בצעד הראשון.
4. צ'קבוקס לא מסומן מראש בכל הטפסים
בכל טופס באתר, ליד כפתור השליחה, חייב להיות צ'קבוקס לא מסומן מראש בנוסח כמו: "אני מאשר/ת את מדיניות הפרטיות ומסכים/ה לקבל פניות מהעסק". זה נשמע פעוט, אבל זאת בדיוק הנקודה שעליה תוקפים בתביעה אזרחית. הצ'קבוקס חייב להיות אקטיבי, לא פסיבי.
5. SSL ועדכוני אבטחה
תקנות אבטחת המידע של החוק דורשות הצפנה בתעבורה (HTTPS), עדכוני וורדפרס שוטפים, סיסמאות חזקות, גיבויים ובחלק מהמקרים אימות דו-שלבי. אצל לקוחות שלי אני וודאי שיש Wordfence או Solid Security פעילים, ושכל התוספים והליבה מעודכנים. זה גם מה שחוסך את רוב התקיפות מהבסיס.
6. תיעוד ההסכמות
אם תהיה תביעה, אתם תצטרכו להוכיח שהאדם הספציפי הזה הסכים. תוסף עוגיות איכותי שומר לוג של כל הסכמה: מתי, מאיזה IP, איזה קטגוריות אושרו. גם הטפסים באתר צריכים לתעד את הסכמת המשתמש (לרוב מצרפים את המידע למייל שמגיע). בלי תיעוד, אין הוכחה.
7. הגדרת איש קשר לפניות פרטיות
החוק דורש שתהיה כתובת אימייל ייעודית לפניות בנושא פרטיות, נגישה במדיניות הפרטיות. משהו כמו privacy@yoursite.co.il. זה לא חייב להיות עורך דין, זה יכול להיות אתם, אבל חייב להיות ערוץ שמטפל בבקשות עיון ומחיקה תוך זמן סביר.
השוואת תוספי באנר עוגיות לוורדפרס: מה אני באמת ממליץ
השוק עמוס בתוספים, ורוב המאמרים בעברית פשוט מעתיקים זה מזה. הנה מה שאני בעצמי מתקין ללקוחות, ולמה.
| פלאגין | מחיר | חוזק עיקרי | למי זה מתאים |
|---|---|---|---|
| Complianz | 49$ לשנה (אתר אחד) | מובנה לוורדפרס, אשף שאלות, יוצר מדיניות פרטיות | רוב הלקוחות שלי |
| CookieYes | חינם עד 25K צפיות, מ-10$ לחודש | מבוסס ענן, תמיכה ב-40 שפות | אתרים בינלאומיים או רב לשוניים |
| Real Cookie Banner | מ-69$ לשנה | בלי הגבלת תעבורה, גמיש מאוד | אתרים עם תעבורה גבוהה |
| Cookie Notice & Compliance | גרסה חינמית, פרו ב-49$ | קל ומהיר, פשוט להגדרה | אתרים תדמיתיים פשוטים |
Complianz: מי שמתאים לרוב הלקוחות שלי
זה הפלאגין שאני מתקין ב-90% מהאתרים שאני בונה. הסיבה: הוא מובנה לתוך הארכיטקטורה של וורדפרס. הוא חוסם סקריפטים מובנית, בלי שצריך לערוך קוד תמה ידנית. האשף שלו שואל אותך 30 שאלות על העסק ועל המידע שאתה אוסף, ועל סמך התשובות הוא יוצר מדיניות פרטיות, מדיניות עוגיות ובאנר מותאמים. הוא תומך ב-Google Consent Mode v2 שזו דרישה של גוגל מאז 2024 לכל מי שמשתמש ב-Google Ads. החיסרון היחיד: האשף ארוך וטכני, ולקוחות לא טכניים מתקשים לעבור אותו לבד.
CookieYes: מתי הוא הבחירה הנכונה
CookieYes הוא SaaS, כלומר הנתונים יושבים על השרתים שלהם, לא שלכם. זה יתרון לאתרי אחסון חלשים שלא יעמדו בעומס סריקה. הוא תומך ב-40 שפות עם תרגום אוטומטי, מה שהופך אותו לבחירה טובה לאתרים רב לשוניים. החיסרון: התמחור צמוד לכמות הצפיות. אתר שמקבל 100,000 צפיות בחודש מוצא את עצמו במסלול של 20$ לחודש, שזה יותר מהעלות השנתית של Complianz.
Real Cookie Banner: האפשרות של "בלי הגבלה"
פלאגין גרמני שמתאים לאתרים גדולים. אין לו הגבלת תעבורה (בניגוד ל-CookieYes), והוא בנוי לעמוד בסטנדרטים המחמירים של גרמניה (TDDDG). אם יש לכם בלוג עם תעבורה גבוהה או חנות גדולה, זאת אופציה משתלמת לטווח ארוך.
למה אני לא ממליץ על תוספים חינמיים גנריים
היה לי לקוח שלפני שהגיע אליי התקין תוסף חינמי בשם "GDPR Cookie Compliance" (לא הזה של Complianz). מה שהתוסף עשה: הציג באנר. מה שהוא לא עשה: חסם את הפיקסל של פייסבוק שכבר רץ ברקע. כשבדקנו את האתר עם DevTools של הדפדפן, הפיקסל פעל גם אחרי שהמשתמש לחץ "דחייה". זאת הפרה ברורה של החוק, והלקוח אפילו לא ידע. החלפנו את זה ב-Complianz תוך שעה.
הכלל שלי: אם תוסף חינמי לא יודע לחסום סקריפטים אקטיבית לפני הסכמה, הוא לא פותר את הבעיה. הוא רק יוצר אשליה של פתרון.
הטעויות שאני רואה אצל לקוחות שמגיעים אליי
תבנית מדיניות פרטיות מהאינטרנט
מדיניות פרטיות גנרית שמועתקת מאתר אחר זה הדבר הראשון שעורך דין יזהה אם תהיה תביעה. ברוב המקרים היא מתייחסת לסעיפי חוק שלא רלוונטיים, מזכירה שמות חברות שלא קיימות, ולא מתאימה לסוגי המידע שהאתר באמת אוסף. תפרו אחת מותאמת. זה לוקח שעתיים לבד או חצי שעה עם Complianz.
הסתמכות על הצהרה במייל ולא בטופס
הרבה בעלי עסקים שולחים אימייל אוטומטי אחרי הרשמה ובו "מדיניות הפרטיות שלנו". זה לא עובד. ההסכמה צריכה להיות ברגע מסירת המידע, לא אחריו. צ'קבוקס בטופס לפני שליחה, נקודה.
גוגל אנליטיקס שמופעל לפני הסכמה
זאת הטעות הכי שכיחה ולכן הכי מסוכנת. גוגל אנליטיקס 4 אוסף כתובות IP, מזהי מכשיר ונתוני מיקום. כל אלה נחשבים מידע אישי לפי החוק. אם הוא רץ ברגע הכניסה לאתר בלי הסכמה מוקדמת, אתם בהפרה. הפתרון: Google Consent Mode v2, מנגנון של גוגל שמאפשר ל-GA4 לפעול במצב "מצומצם" עד לקבלת הסכמה. Complianz תומך בזה ישירות.
מה כן צריך עורך דין ומה לא
אני בונה אתרים, לא עורך דין, ואני שונא תשובות גנריות בסגנון "תתייעצו עם עורך דין על הכל". אז הנה ההבחנה הברורה.
אתם לא צריכים עורך דין כדי להתקין באנר עוגיות, להגדיר אשף Complianz, להוסיף צ'קבוקס לטפסים, להפעיל Google Consent Mode, לשדרג את האחסון ל-HTTPS, או לכתוב הצהרת יידוע סטנדרטית בטופס. את כל אלה יכול לעשות בונה אתרים מנוסה.
אתם כן צריכים עורך דין שמתמחה בפרטיות אם: יש לכם מאגר של מעל 100,000 איש, אתם עוסקים במידע רגיש (רפואי, פיננסי, ילדים), אתם מעבירים מידע לחו"ל, אתם חברה ציבורית, או אם קיבלתם מכתב התראה או פנייה מהרשות. במצבים האלה השאלות חורגות מבניית אתרים. במצבים הרגילים של עסק קטן או בינוני עם אתר תדמית, חנות קטנה או דף נחיתה, רוב העבודה היא טכנית ולא משפטית.
צ'ק ליסט שתוכלו לעשות עכשיו
הנה רשימה שאתם יכולים לעבור עליה היום ולסמן וי. אם משהו מהדברים האלה לא נכון לאתר שלכם, יש לכם משהו לתקן:
- באתר יש באנר עוגיות שדורש הסכמה אקטיבית, לא רק מציג הודעה
- הבאנר מציג שלושה כפתורים שווים: אישור, דחייה, ניהול העדפות
- גוגל אנליטיקס והפיקסל של פייסבוק לא טוענים לפני שהמשתמש לחץ אישור
- בכל טופס באתר יש צ'קבוקס לא מסומן מראש להסכמה
- מדיניות הפרטיות מותאמת לעסק ולא העתקה גנרית
- יש כתובת מייל ייעודית לפניות בנושא פרטיות
- האתר רץ על HTTPS עם תעודת SSL פעילה
- וורדפרס וכל התוספים מעודכנים לגרסה האחרונה
- יש תוסף אבטחה פעיל (Wordfence, Solid Security, Sucuri)
- יש מערכת גיבויים אוטומטית
אם סימנתם וי על כולם, אתם בכיוון מצוין. אם פספסתם 2 או 3, יש מה לעשות. אם פספסתם 5 או יותר, האתר שלכם בסיכון אמיתי וצריך טיפול השבוע.
שאלות נפוצות
האם פטור מע"מ פטור גם מהחוק?
לא. החוק חל על כל מי שמנהל מאגר מידע, ללא קשר למעמד מס שלו. גם עוסק פטור עם רשימת לקוחות באקסל ועם אתר שמכיל טופס יצירת קשר נחשב מנהל מאגר. ההבדל הוא בעיקר בחובת הרישום במאגר, שלא חלה על עסקים קטנים, אבל חובות היידוע, ההסכמה והאבטחה חלות על כולם.
יש לי רק טופס יצירת קשר, גם אני חייב?
כן. טופס יצירת קשר הוא איסוף מידע אישי. אתם צריכים מדיניות פרטיות, צ'קבוקס הסכמה, ואם יש באתר גוגל אנליטיקס או פיקסל פייסבוק, גם באנר עוגיות. אבל היקף הטיפול קטן יחסית: כל זה אפשרי תוך כמה שעות עם הכלים הנכונים.
מה ההבדל בין החוק הישראלי ל-GDPR?
תיקון 13 הוא קרוב מאוד ל-GDPR האירופי, וזאת לא מקרית. הוא נכתב במכוון כדי לאפשר לישראל לשמור על מעמד "מדינה עם הגנה מספקת" בעיני האיחוד האירופי. הקנסות נמוכים יותר (5% מהמחזור לעומת 4% ב-GDPR אבל בסכומים מוחלטים גבוהים בהרבה באירופה), והחוק הישראלי קצת פחות מחמיר בכמה ניואנסים. אבל ברוב הדרישות הפרקטיות לבעל אתר, ההבדל זניח.
מה קורה אם הלקוחות שלי בחו"ל?
אם יש לכם תעבורה משמעותית מאירופה, אתם כפופים גם ל-GDPR וגם לחוק הישראלי. הדרישות חופפות ברובן, אבל GDPR מחמיר יותר בנושא העברת מידע מחוץ לאיחוד. במקרה כזה כדאי להפעיל בבאנר העוגיות זיהוי גיאוגרפי שמציג חוויה שונה למשתמש מאירופה לעומת מישראל. Complianz תומך בזה ישירות.
האם הקנסות באמת יכולים להגיע למיליונים?
תיאורטית כן, אבל לא לכם. הסכומים האלה רלוונטיים לחברות גדולות עם מאגרים של מאות אלפי אנשים, או לסוחרי מידע. עסק קטן ובינוני עם אתר תדמית או חנות אונליין יראה לכל היותר קנס בטווח של אלפים בודדים עד עשרות אלפי שקלים, ורק אם יש הפרה מכוונת או חמורה. הסיכון הגדול יותר לעסק קטן הוא דווקא תביעה אזרחית של 10,000 ש"ח לכל לקוח.
סיכום והצעד הבא
תיקון 13 לחוק הגנת הפרטיות הוא לא הסוף של העולם. הוא לא הולך לסגור לכם את העסק, ולא הולך לחייב אתכם בקנסות של מיליונים. אבל הוא כן דורש שתעשו סדר באתר שלכם, ושיש לכם מערכת שמכבדת את הגולשים שלכם ומגינה עליכם משפטית.
רוב מה שכתבתי כאן אפשר ליישם בעצמכם, אם יש לכם זמן ונכונות לחפור באשף של Complianz, לעדכן את מדיניות הפרטיות, לעבור על כל הטפסים. זה לא רוקט סיינס. זה כן עבודה.
אם זה נשמע מורכב, או שאין לכם זמן לעבור על כל הצעדים האלה, אני כאן בדיוק בשביל זה. בסטודיו מטרה אני עובד עם בעלי עסקים בישראל על התאמת אתרי וורדפרס לדרישות החוק, ויש לי תהליך מסודר שעובר על כל מה שצריך תוך כמה ימים. אפשר להתחיל בשיחה קצרה ולראות מה צריך לעשות באתר שלכם.
