תיקון 13 לחוק הגנת הפרטיות: 9 חודשים אחרי, מה באמת קורה לבעלי אתרים

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, והוא כבר נאכף בפועל. החדשות הטובות: קנסות המיליונים שמפחידים אתכם בפרסומות מיועדים לחברות ענק ולמאגרי ענק, לא לעסק עם אתר תדמית ורשימת תפוצה. החדשות החשובות: הסיכון האמיתי לעסק קטן הוא אחר, ותכף נגיע אליו. במאמר הזה תמצאו מה החוק דורש בפועל מאתר וורדפרס, אילו צעדים אפשר לעשות לבד השבוע, ומתי באמת צריך עורך דין.

מה השתנה בפועל מאז 14 באוגוסט 2025

תיקון 13 הוא הרפורמה המשמעותית ביותר בחוק הגנת הפרטיות מאז שנחקק ב-1981. רוב הדרישות שבו היו קיימות גם קודם, פשוט כמעט לא נאכפו. מה שהשתנה הוא הכוח: הרשות להגנת הפרטיות קיבלה סמכויות אכיפה אמיתיות, והיא יכולה לקנוס, לחקור, לדרוש מידע ולפרסם החלטות אכיפה לציבור. מאז כניסת התיקון לתוקף הרשות כבר הטילה קנסות מנהליים פומביים, בעיקר סביב אבטחת מידע וחובת היידוע, והודיעה על תוכניות פיקוח במגזרים שלמים.

הסיכון האמיתי לעסק קטן: תביעה אזרחית של 10,000 ש"ח

הקנסות המנהליים הם רק חצי מהתמונה. החצי השני, שדובר עליו פחות, הוא עילת התביעה האזרחית: אדם פרטי יכול לתבוע עד 10,000 ש"ח בלי להוכיח נזק, רק על כך שלא יידעתם אותו כראוי לפני שאספתם את המידע שלו. גולש שנכנס לאתר ורואה שפיקסל הפרסום נטען עוד לפני שלחץ על משהו, מחזיק עילה.

בעולם המשפטי כבר משווים את זה לגל תביעות הנגישות שפגע בעסקים קטנים בשנים האחרונות. באנר עוגיות לא תקין הוא מטרה קלה: אפשר לזהות אותו תוך 5 שניות מכל דפדפן. זה התרחיש שצריך להטריד בעל עסק קטן, לא קנס של 5% מהמחזור ששמור לחברות גדולות ולסוחרי מידע.

ההבדל בין "סמן וי" לבאמת להיות מוגן

הטעות הנפוצה ביותר: התקנת תוסף עוגיות חינמי שמציג הודעה בסגנון "האתר משתמש בעוגיות". הודעה היא לא הסכמה. כשגוגל אנליטיקס, פיקסל מטא או reCAPTCHA נטענים בשנייה הראשונה, לפני שהמשתמש לחץ על כפתור, האתר בהפרה, גם אם הוצגה הודעה.

החוק דורש הסכמה אקטיבית מראש: עוגיות לא חיוניות לא נטענות עד שהמשתמש אישר בפועל. הרשות להגנת הפרטיות פרסמה גילוי דעת שמבהיר שהסכמה צריכה להיות מודעת, מפורשת, חופשית וניתנת לחזרה. תיבה מסומנת מראש או "המשך גלישה מהווה הסכמה" נפסלו כבר ברגולציות מקבילות בעולם, וגם כאן.

7 הצעדים שנעשים בכל אתר וורדפרס חדש

1. מיפוי נקודות איסוף המידע

טופס יצירת קשר, הרשמה לניוזלטר, אנליטיקס, פיקסל, צ'אט, ווטסאפ, חנות. כל אחד אוסף מידע אחר ודורש טיפול אחר. בלי מיפוי אין כיסוי.

2. באנר עוגיות אקטיבי

הבאנר חוסם עוגיות לא חיוניות עד להסכמה, מציג שלושה כפתורים שווים, אישור, דחייה, ניהול העדפות, מאפשר בחירה לפי קטגוריה ומתעד כל הסכמה. כפתור דחייה קטן או מוסתר פוסל את ההסכמה.

3. מדיניות פרטיות מותאמת

החוק דורש פירוט: איזה מידע נאסף, למה, למי הוא מועבר, כמה זמן נשמר, מה זכויות המשתמש ומי איש הקשר. תבנית גנרית מהאינטרנט היא הדבר הראשון שעורך דין תוקף יזהה.

4. תיבת הסכמה לא מסומנת מראש בכל טופס

ליד כפתור השליחה, תיבה ריקה בנוסח "אני מאשר את מדיניות הפרטיות ומסכים לקבל פניות". נשמע פעוט, אבל זו בדיוק הנקודה שעליה תוקפים בתביעה אזרחית.

5. הצפנת HTTPS ועדכוני אבטחה

תקנות אבטחת המידע דורשות הצפנה בתעבורה, עדכוני וורדפרס שוטפים, סיסמאות חזקות וגיבויים. תוסף אבטחה פעיל כמו Wordfence או Solid Security סוגר את רוב הפרצות מהבסיס.

6. תיעוד הסכמות

בתביעה תצטרכו להוכיח שהאדם הספציפי הסכים. תוסף עוגיות איכותי שומר לוג: מתי, מאיזו כתובת, אילו קטגוריות. גם טפסים צריכים לתעד את ההסכמה.

7. כתובת ייעודית לפניות פרטיות

כתובת מייל לפניות בנושא פרטיות, נגישה מתוך מדיניות הפרטיות, שמטפלת בבקשות עיון ומחיקה תוך זמן סביר. לא חייב עורך דין, חייב ערוץ שעובד.

איזה תוסף באנר לבחור

Complianz הוא הבחירה שלי ברוב האתרים: הוא חוסם סקריפטים מובנה, האשף שלו בונה מדיניות פרטיות ובאנר לפי העסק, והוא תומך ב-Google Consent Mode v2, דרישה של גוגל לכל מי שמפרסם ב-Google Ads. החיסרון: האשף ארוך וטכני. CookieYes הוא שירות ענן שנוח לאתרים רב לשוניים, אבל התמחור שלו צמוד לתעבורה ומתייקר עם הצמיחה. Real Cookie Banner גרמני ומתאים לאתרים גדולים בלי הגבלת תעבורה.

ומה עם תוספים חינמיים גנריים? רבים מהם רק מציגים באנר בלי לחסום את הסקריפטים בפועל: בדיקה בכלי המפתחים של הדפדפן מגלה לא פעם שהפיקסל ממשיך לרוץ גם אחרי לחיצה על דחייה. תוסף שלא חוסם סקריפטים לפני הסכמה לא פותר את הבעיה, הוא רק יוצר אשליה של פתרון.

שלוש טעויות שחוזרות כמעט בכל אתר

אנליטיקס שרץ לפני הסכמה. גוגל אנליטיקס אוסף כתובות IP ומזהי מכשיר, שנחשבים מידע אישי. הפתרון: Google Consent Mode v2, שמאפשר לו לפעול במצב מצומצם עד לקבלת הסכמה.

מדיניות פרטיות מועתקת. תבנית גנרית מזכירה סעיפים לא רלוונטיים וחברות שלא קיימות, ולא משקפת את המידע שהאתר באמת אוסף.

הסכמה בדיעבד במייל. מייל אוטומטי עם "מדיניות הפרטיות שלנו" אחרי ההרשמה לא עובד. ההסכמה חייבת להינתן ברגע מסירת המידע, בטופס עצמו.

מה כן צריך עורך דין ומה לא

להתקין באנר, להגדיר את אשף Complianz, להוסיף תיבות הסכמה לטפסים, להפעיל Consent Mode ולעבור ל-HTTPS: כל אלה עבודה של בונה אתרים מנוסה, לא של עורך דין.

עורך דין שמתמחה בפרטיות נדרש כשיש מאגר גדול במיוחד, מידע רגיש כמו רפואי, פיננסי או של ילדים, העברת מידע לחו"ל, חברה ציבורית, או מכתב התראה שכבר הגיע. בעסק קטן עם אתר תדמית או חנות קטנה, רוב העבודה טכנית ולא משפטית.

צ'ק ליסט שאפשר לעבור עליו עכשיו

  • באנר עוגיות שדורש הסכמה אקטיבית, לא רק מציג הודעה
  • שלושה כפתורים שווים בבאנר: אישור, דחייה, ניהול העדפות
  • אנליטיקס ופיקסלים לא נטענים לפני אישור
  • תיבת הסכמה לא מסומנת מראש בכל טופס
  • מדיניות פרטיות מותאמת לעסק, לא העתקה
  • כתובת מייל ייעודית לפניות פרטיות
  • האתר רץ על HTTPS
  • וורדפרס והתוספים מעודכנים
  • תוסף אבטחה פעיל וגיבויים אוטומטיים

סימנתם הכל? אתם בכיוון מצוין. פספסתם 2 או 3? יש מה לתקן. פספסתם 5 ומעלה? האתר בסיכון אמיתי וכדאי לטפל השבוע.

שאלות נפוצות

עוסק פטור פטור גם מהחוק?

לא. החוק חל על כל מי שמנהל מאגר מידע, בלי קשר למעמד המס. גם עוסק פטור עם טופס יצירת קשר ורשימת לקוחות באקסל כפוף לחובות היידוע, ההסכמה והאבטחה.

יש לי רק טופס יצירת קשר. גם אני חייב?

כן, טופס הוא איסוף מידע אישי: נדרשת מדיניות פרטיות ותיבת הסכמה, ואם יש אנליטיקס או פיקסל, גם באנר. היקף העבודה קטן, כמה שעות עם הכלים הנכונים.

מה ההבדל בין החוק הישראלי ל-GDPR?

תיקון 13 נכתב בהשראת GDPR, בין השאר כדי לשמור על מעמד ישראל כמדינה עם הגנה מספקת בעיני האיחוד האירופי. ברוב הדרישות המעשיות לבעל אתר ההבדל זניח, ומי שיש לו קהל אירופי משמעותי כפוף לשניהם.

הקנסות באמת מגיעים למיליונים?

תיאורטית כן, אבל הסכומים האלה שמורים לחברות גדולות ולמאגרי ענק. עסק קטן צפוי לכל היותר לקנס של אלפים עד עשרות אלפי שקלים בהפרה חמורה. הסיכון הגדול יותר הוא תביעה אזרחית של 10,000 ש"ח לכל תובע.

שורה תחתונה

תיקון 13 לא הולך לסגור לכם את העסק, אבל הוא כן דורש לעשות סדר: באנר אמיתי, מדיניות מותאמת, הסכמה בטפסים ואבטחה בסיסית. רוב הצעדים אפשריים בכוחות עצמכם, אם יש זמן וסבלנות לאשפים טכניים. זו לא פיזיקה גרעינית, אבל זו כן עבודה.

אם אין לכם זמן או שאתם לא בטוחים מה מצב האתר, שלחו את הכתובת ותקבלו תמונת מצב כנה: מה תקין, מה חסר ומה דחוף. השאירו פרטים ואחזור אליכם תוך 24 שעות.

רון בכר - בונה אתרים ומפתח ווב מקצועי עם 10 שנות ניסיון

צריכים אתר לעסק?
השאיר פרטים!