רפורמת מאגרי מידע

ב־14 באוגוסט 2025 נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות. התיקון כולל שינוי משמעותי של הרגולציה לגבי רישום וניהול מאגרי מידע בישראל, והוא משפיע כמעט על כל אתר האוסף מידע על לקוחות או גולשים. אז אם אתם אוספים כתובות מייל לניוזלטר או מנתחים נתוני תנועה בגוגל אנליטיקס – התיקון החדש לחוק נוגע גם אליכם. ריכזנו את כל מה שצריך לדעת כדי להישאר בצד הבטוח.

אלה השינויים העיקריים:

  • צמצום חובת רישום של מאגרי מידע
  • חובת דיווח לרשות להגנת הפרטיות על מאגרי מידע רגישים גדולים
  • הגברת סמכויות האכיפה של הרשות
  • חובת מינוי ממונה הגנת הפרטיות (DPO) בארגונים.

מי חייב ברישום מאגר מידע?

התיקון לחוק מגדיר מחדש מי חייב לרשום את מאגר המידע ברשות להגנת הפרטיות, ומי פטור.

חייבים ברישום המאגר

  • מאגרי מידע גדולים (יותר מ-10,000 רשומות של אנשים שונים). למשל, אם אתם מנהלים חנות אונליין עם מאגר לקוחות גדול או מערכת ניוזלטר עם עשרות אלפי מנויים, תידרשו לרשום את המאגר. 
  • מאגר המכיל מידע רגיש כמו מידע רפואי או פיננסי, סיסמאות או כל מידע אחר שחשיפתו עלולה לפגוע בלקוח. 
  • מאגר נגיש לגורמים חיצוניים – כולל ספקים, שותפים עסקיים או כלי ניתוח חיצוניים בהם גוגל אנליטיקס, מטא וכן הלאה.
  • מאגר המשמש לפרסום ולשיווק ישיר – גם אם מספר הרשומות נמוך מ-10,000.

פטורים מרישום 

  • מאגר קטן לשימוש פנימי בלבד – לדוגמה, מערכת CRM המכילה רק כמה מאות אנשים ומשמשת לניהול בסיסי של קשרי לקוחות.
  • מאגר המכיל מידע רגיש אבל כולל פחות מ-100,000 רשומות. 
  • מאגר ללא פרטים אישיים מזהים.
  • מאגר שאינו משמש לשיווק או לשיתוף עם צדדים שלישיים. לדוגמה, אתר עם מערכת CRM המשמשת לניהול הזמנות בלבד שלא משתמש במידע לשליחת דיוור פרסומי או לשיתוף עם גורמים חיצוניים, לא יהיה מחויב ברישום.

ניהול מאגרי המידע

התיקון לחוק גם קובע כללים לניהול תקין של המאגר:

  • מתן גישה למידע רק לבעלי הרשאות.
  • שמירה על אבטחת מידע ברמה בסיסית לפחות למניעת דליפות.
  • רישום מסודר של מקום האחסון של המידע ובעלי ההרשאות. 

מינוי אחראי על הגנת הפרטיות (DPO)

ארגונים המחזיקים במאגרי מידע גדולים או רגישים יידרשו למנות ממונה על הגנת הפרטיות (Data Protection Officer או בקיצור DPO). הממונה יכול להיות עובד בחברה או גורם חיצוני, ובאחריותו לוודא שהחברה עומדת בדרישות החוק בכל הנוגע לאבטחת המידע.

סנקציות והגברת האכיפה

התיקון לחוק אומנם מקל על חובת הרישום, אבל מחמיר את האכיפה על שימוש לא תקין במידע. רישום לא תקין, דליפת מידע או שימוש לרעה עלולים להוביל לקנסות כבדים. (גובה הקנס תלוי בגודל הארגון ובחומרת ההפרה). בנוסף, ארגונים חשופים לתביעות אזרחיות מידי משתמשים שנפגעו מהפרת פרטיותם.

איך תימנעו מתביעות ומתשלום קנסות?

רישום המאגר – אם המאגר שלכם עומד בקריטריונים המחייבים רישום, יש לרשום אותו במאגר הרשות להגנת הפרטיות.

שקיפות למשתמשים – יש להציג באתר מדיניות פרטיות ברורה ומעודכנת, הכוללת מידע על אילו נתונים נאספים, לאיזו מטרה, ולמי הם נמסרים.

אבטחת מידע – יש לוודא שמאגרי המידע מאובטחים בכל האמצעים האפשריים, לרבות סיסמאות חזקות, הרשאות גישה מוגבלות וגיבוי שוטף של הנתונים.

בקרה ועדכונים שוטפים –  מומלץ לעקוב ולבדוק אם חלו שינויים בהיקף הנתונים או באופי השימוש ולעדכן בהתאם. 

הדרכת עובדים  – יש לעדכן את בעלי התפקיד המנהלים את מאגרי המידע בארגון בפרטי החוק כדי למנוע הפרות ותביעות.

  

אל תחכו לקנס או לתלונה – זה הזמן לעשות סדר במאגרי המידע, לעדכן את מדיניות הפרטיות ולוודא שהאתר שלכם עומד בדרישות החוק החדשות.