דף הבית » מדיה סנטר » מאמרים » הגנת הפרטיות: מהו החוק להגנת הפרטיות בישראל?

מאמרים

הגנת הפרטיות: מהו החוק להגנת הפרטיות בישראל?

יולי 2025
תחומי התמחות רלוונטים
הגנת הפרטיות, סייבר ו-IT

הזכות לפרטיות מהווה אחת מזכויות היסוד של האדם בישראל. היא מוכרת על-ידי המשפט הישראלי כזכות יסוד, כאחת החירויות המעצבות את אופיו של המשטר בישראל כמשטר דמוקרטי, והיא אחת מזכויות העל המבססות את הכבוד והחירות להן זכאי אדם כאדם, כערך בפני עצמו. אחת התפיסות הנפוצות ביותר בהקשר זה היא זו של פרטיות כשליטה (privacy as control) – היכולת של האדם לשלוט במידע אודותיו ולקבוע מי יכול לגשת אליו ולאילו מטרות.

חוק הגנת הפרטיות, התשמ"א-1981, הוא אבן היסוד של דיני הפרטיות בישראל ומהווה את הבסיס המשפטי המרכזי להגנה על פרטיותם של יחידים בישראל. החוק נחקק במטרה להסדיר את הזכות לפרטיות, שהיא זכות חוקתית המעוגנת כיום גם בסעיף 7 לחוק יסוד: כבוד האדם וחירותו. החוק אינו מגדיר מהי פרטיותו של אדם, אך קובע את רשימת המקרים שייחשבו כפגיעה בפרטיות, וכן כללים ברורים לניהול מאגרי מידע במסגרתם נעשה איסוף, שמירה, עיבוד ושימוש במידע אישי.

החוק חל על גופים ציבוריים ופרטיים כאחד, ומתווה את המסגרת החוקית להגנה על מידע אישי במאגרי מידע. המבנה המקורי של החוק כולל מספר פרקים מרכזיים: הפרק הראשון עוסק באיסור פגיעה בפרטיות המהותית, שבין אדם לחברו, וקובע סנקציות אזרחיות ופליליות בגין כך, הפרק השני מסדיר ניהול מידע אישי במאגרי מידע, הפרק השלישי מגדיר את ההגנות בשל פגיעה בפרטיות, והפרקים הנוספים קובעים את סמכויותיה של רשות הגנת הפרטיות, לרבות סמכויות פיקוח ובירור מנהלי, בין היתר בגופים ביטחוניים, העברת המידע בין גופים ציבוריים, וכן הוראות בדבר אמצעי אכיפה שמוסמכת הרשות להטיל על מפרי החוק.

בשנת 2024 הכנסת אימצה את תיקון 13 לחוק הגנת הפרטיות, שמהווה את הרפורמה המקיפה ביותר בדיני הגנת הפרטיות בישראל מאז חקיקת החוק לראשונה. התיקון נועד להתאים את החוק לעידן הדיגיטלי ולסטנדרטים הבינלאומיים המתקדמים (בפרט להשוות חלק מהגדרות היסוד לעקרונות ה-GDPR של האיחוד האירופי), וכן להגביר את אפקטיביות האכיפה תוך הענקת "שיניים" לרשות הגנת הפרטיות, הרגולטור האחראי על יישום החוק.

בפרקים שלהלן, נפרט בקצרה מהי הפגיעה בפרטיות, מה נחשב למידע אישי ואילו עקרונות יסוד חלים בניהול מאגרי מידע, מהם השינויים המרכזיים בתיקון 13 ואיך זה פוגש את העולם העסקי.

מהי פגיעה בפרטיות?

סעיף 2 לחוק מונה רשימה סגורה של פעולות המהוות "פגיעה בפרטיות" – החל מבילוש או התחקות אחרי אדם, האזנת סתר וצילום אדם ברשות היחיד, דרך פרסום מידע אישי ללא רשות, ועד לשימוש שלא כדין במידע שנמסר לצורך מסוים.

דוגמאות נפוצות:

  • שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה.
  • שליחת דיוור שיווקי ללא הסכמה מוקדמת.
  • העברת מידע אישי לצדדים שלישיים ללא גילוי מתאים ומבלי שהתקבלה לכך הסכמה כנדרש.
  • שימוש במידע לצרכים ולמטרות שלא הוגדרו כראוי או שלא נשקפו לאדם בעת איסוף מידע אישי אודותיו.

הפרת החוק עשויה להוביל להליכים פליליים, ואף סנקציות מנהליות מצד הרשות להגנת הפרטיות, לרבות עיצומים כספיים במיליוני שקלים.

החוק מאפשר הגשת תביעה אזרחית לפיצוי גם ללא הוכחת נזק – עד 50,000 ש"ח בגין כל פגיעה. בנוסף, גם בית המשפט רשאי להורות על פיצוי ללא הוכחת נזק בסכום של עד 10,000 ש"ח עבור הפרה. מנגנונים אלה יוצרים הרתעה משמעותית ומעודדים ארגונים לנקוט באמצעי זהירות מתקדמים בטיפול במידע אישי.

תיקון 13 לחוק הגנת הפרטיות: שינויים עיקריים

תיקון מס' 13 לחוק הגנת הפרטיות אושר בכנסת בשנת 2024 וייכנס לתוקף באוגוסט 2025. התיקון מהווה נקודת מפנה משמעותית בדיני הפרטיות בישראל, אשר הביא עימו את השינויים המשמעותיים הבאים:

  • הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות – תיקון 13 מרחיב באופן דרמטי את סמכויות האכיפה של רשות הגנת הפרטיות, ומעניק לה כלים חדים ויעילים להתמודדות עם הפרות החוק. הרשות קיבלה סמכויות חיפוש וחקירה נרחבות, הכוללות יכולת לערוך חיפושים במשרדי חברות, לתפוס מסמכים ומחשבים, ולחקור עובדים ומנהלים. בנוסף, הוענקו לרשות סמכויות אכיפה בנוגע לעבירות פליליות חדשות שהתווספו לחוק, והיא מוסמכת לפנות לבית המשפט לעניינים מנהליים עם בקשה להוציא צו שיפוטי להפסקת פעולות עיבוד מידע או אף למחיקת מידע אישי במלואו ממאגר מידע. כמו כן, הרשות מוסמכת להטיל עיצומים כספיים משמעותיים, שיכולים להגיע למיליוני שקלים. בקביעת גובה העיצום, הרשות שוקלת גורמים כמו סוג ההפרה, חומרתה והיקפה, לרבות מספר נושאי מידע שנפגעו, משך זמן ההפרה, רגישות המידע, קיום הפרות קודמות, ושיתוף פעולה עם הרשות.
  • שקיפות – הורחבה חובת היידוע שמחייבת מתן מידע מפורט ובהיר לנושאי המידע על אודות תוצאות של אי הסכמה למסירת מידע אישי, וכן על זכויותיהם, כולל הזכות לעיון ולתיקון.
  • צמצום חובת רישום מאגרים – תיקון 13 מצמצם את חובת הרישום של מאגרי מידע ברשות הגנת הפרטיות, תוך התמקדות במאגרים של גופים ציבוריים ובעלי סיכון גבוה יותר. השינוי נועד להקל על הנטל הביורוקרטי על ארגונים קטנים ובינוניים, תוך שמירה על פיקוח הדוק על מאגרים רגישים. הרפורמה מחליפה את מערכת הרישום הכללית בחובת הודעה לרשות כאשר מאגר מידע כולל מידע רגיש אודות 100,000 איש או יותר.
  • עדכון הגדרות בחוק והתאמות לחקיקה בינלאומית – התיקון מעדכן הגדרות מרכזיות בחוק כדי להתאימן לעידן הדיגיטלי ולסטנדרטים הבינלאומיים, בפרט לתקנות ה-GDPR האירופיות. למשל, ההגדרות החדשות כוללות הרחבת המושג "מידע אישי" שיכלול מידע דיגיטלי מתקדם כגון נתוני מיקום, מזהים דיגיטליים, ומידע ביומטרי.
  • חיזוק הזכות לפרטיות והיכולת של היחיד לתבוע את זכויותיו – תיקון 13 מחזק את יכולתם של נושאי המידע לממש זכויות לפרטיות תוך מתן יכולת לתבוע ללא הוכחת נזק את ארגון בגין כל הפרה של זכות לעיון או תיקון מידע אישי.
  • ביטול מגבלת ההתיישנות – אחד השינויים המשמעותיים בתיקון 13 הוא ביטול מגבלת ההתיישנות על תביעות פיצוי בגין פגיעה בפרטיות. בעבר, נושאי מידע נדרשו להגיש תביעה תוך שנתיים מיום גילוי הפגיעה. כעת, התיישנות התביעה תחל למשך של שבע שנים.

רשות הגנת הפרטיות מפרסמת באופן שוטף הנחיות עדכניות ליישום והטמעת תיקון 13, הכוללות מדריכים מפורטים, דוגמאות למסמכי מדיניות, ושאלות ותשובות נפוצות. מומלץ לארגונים לעקוב אחר פרסומים אלה כדי להבטיח עמידה בדרישות החוק ולהימנע מעיצומים כספיים.

ניתן לעיין גם בעדכון משפטי שפורסם באתר המשרד להרחבה בנושא תיקון 13 לחוק הגנת הפרטיות.

פרטיות בעידן הדיגיטלי – הקשר עסקי

בעידן של ביג דאטה, אפליקציות, בינה מלאכותית ופרסום מבוסס התנהגות, חוק הגנת הפרטיות מקבל משמעות חדשה. כל ארגון העוסק באיסוף, עיבוד, ניתוח או שיתוף מידע אישי מחויב לנהוג לפי הוראות החוק – גם כאשר המידע נאסף אוטומטית או באמצעות צדדים שלישיים.

המלצות מעשיות ליישום והטמעת החוק

  1. ביצוע סקר פרטיות תקופתי מקיף מהווה כלי מרכזי לזיהוי סיכונים והתאמה להוראות החוק. הסקר מאפשר לארגונים לזהות פערים ולתקן ליקויים לפני שהם הופכים להפרות חוק שעלולות להוביל לסנקציות כבדות.
  2. מיפוי של מאגרי המידע הקיימים בארגון, בחינת אופן איסוף ועיבוד מידע אישי, הערכת רמות האבטחה הנדרשות, ובדיקת התאמה לדרישות הרגולטוריות החדשות. חשוב לתעד את המיפוי ולפי מסמך שעומד בדרישות הדין.
  3. עדכון מדיניות פרטיות והנגשתה לציבור. ארגונים נדרשים לפתח מדיניות פרטיות פומבית המתאימה לפעילותם הספציפית, ולהציגה באופן נגיש וברור לכלל הציבור (למשל, באתר האינטרנט של הארגון). כחלק מעיקרון השקיפות ומילוי חובת היידוע, המדיניות חייבת לכלול פירוט מלא של סוגי המידע הנאספים, מטרות העיבוד, צדדים שלישיים שמקבלים את המידע, וזכויות נושאי המידע, תוך הקפדה על שפה ברורה ומובנת לאדם הרגיל.
  4. ניהול תיעוד מסודר ומקיף של כל הפעולות הנוגעות לעיבוד מידע אישי, ובפרט בדבר הסכמות שהתקבלו מנושאי המידע, מטרות העיבוד, העברות מידע לצדדים שלישיים, ומימוש זכויות נושאי המידע, כולל בקשות גישה למידע אישי ותיקונו.
  5. מינוי ממונה הגנת הפרטיות או Data Protection Officer (DPO) מהווה חובה בחלק מהארגונים בהתאם לגודלם ואופי עיסוקם. הממונה אחראי על יישום מדיניות הגנת הפרטיות בארגון, לרבות עמידה בדרישות החוק, ייעוץ להנהלה בנושאי פרטיות ואבטחת מידע, טיפול בבקשות של נושאי מידע, הדרכת עובדים, וקיום קשר שוטף עם רשות הגנת הפרטיות.
  6. הדרכות עובדים ומודעות ארגונית. החוק מחייב לקיים הדרכות תקופתיות לעובדים לצורך הגברת מודעות לסיכוני הפרטיות ואבטחת המידע.
  7. יישום עקרונות Privacy by Design. שילוב שיקולי פרטיות כבר בשלב התכנון של מערכות ותהליכים, ובכלל זה הטמעת שיקולי פרטיות בשלבי התכנון הראשוניים של מוצרים ושירותים, שימוש בטכניקות כמו התממה (אנונימיזציה) ופסאודונימיזציה, צמצום איסוף המידע למינימום הנדרש, ותכנון מערכות שמאפשרות מימוש קל של זכויות נושאי המידע.

סיכום

חוק הגנת הפרטיות בישראל מהווה נדבך מרכזי בניהול סיכונים משפטיים ותדמיתיים בעידן הדיגיטלי. עבור חברות וארגונים, הבנה ויישום נכון של החוק, ובפרט תיקון 13 החדש, הם חלק בלתי נפרד מהתנהלות עסקית תקינה ואחראית. תיקון 13 מהווה רפורמה מקיפה בדיני הגנת הפרטיות בישראל ומחייב היערכות מחודשת של ארגונים בכל הנוגע לאיסוף, שמירה ועיבוד מידע אישי. התיקון מחזק משמעותית את סמכויות האכיפה של רשות הגנת הפרטיות, מחזק את ההגנה על הזכות לפרטיות ומטיל חובות חדשות על ארגונים.

ארגונים שיאמצו גישה פרואקטיבית להגנת הפרטיות ויפתחו תרבות ארגונית המכבדת פרטיות, לא רק יצמצמו את הסיכון לסנקציות, אלא גם יבנו אמון עם לקוחותיהם ויחזקו את המוניטין שלהם בשוק.

ניתן לעיין גם בעדכון משפטי שפורסם באתר המשרד להרחבה בנושא תיקון 13 לחוק הגנת הפרטיות.

שאלות נפוצות (FAQ)

מהם התנאים החוקיים לאיסוף מידע אישי לצרכים שיווקיים? נדרשת הסכמה מדעת ומפורשת של האדם שמידע אודותיו נאסף. על הארגון ליידע מראש על מטרות האיסוף, סוגי המידע, השימושים המתוכננים והאם יועבר לצדדים שלישיים.

  • האם החוק חל על חברות טכנולוגיה בינלאומיות הפועלות בישראל? כן. כל גוף המציע שירותים לתושבי ישראל כפוף לחוק, גם ללא נוכחות פיזית בישראל.
  • האם מותר לשמור מידע אישי בענן, ואם כן – באילו תנאים? כן, מותר, כל עוד ננקטים אמצעי אבטחה מתאימים בהתאם לרמת האבטחה שנקבעה למאגר. יש לוודא כי ספק השירות עומד בדרישות החוק הישראלי.
  • מה נדרש בסקר הערכת סיכוני פרטיות תקופתי? הסקר כולל מיפוי מקיף של מאגרי המידע, בחינת אופן האיסוף והשימוש במידע אישי, הערכת סיכונים ובדיקת התאמה לדרישות החוק והרגולציה. מומלץ לשלב יועצים משפטיים, מומחי פרטיות ואבטחת מידע בביצוע הסקר.

עוליאור אתגר, שותף במחלקה המסחרית וראש תחום הגנת הפרטיות, סייבר וטכנולוגיות מידע

פיטר קליבנר, עו"ד במחלקה המסחרית המתמחה בהגנת הפרטיות, סייבר ובינה מלאכותית.  

אנשי צוות

עוד כתבות במאמרים

המאמר שייך לקטגוריה:מאמרים
כעת אתה נמצא במאמר:

מהו הסכם מייסדים ומהי חשיבותו?

המאמר שייך לקטגוריה: המאמר פורסם בשנת: ספטמבר 2025

המאמר שייך לקטגוריה:מאמרים
כעת אתה נמצא במאמר:

מהן אופציות לעובדים?

המאמר שייך לקטגוריה: המאמר פורסם בשנת: ספטמבר 2025

המאמר שייך לקטגוריה:מאמרים
כעת אתה נמצא במאמר:

סכסוכי מייסדים בחברות: מניעת ויישוב קונפליקטים

המאמר שייך לקטגוריה: המאמר פורסם בשנת: ספטמבר 2025

EBN - Erdinast, Ben Nathan, Toledano is a premier full-service law firm and one of Israel's most prominent and fastest growing law firms.
הצטרפו לניוזלטר
Ranking & Accolades: