תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב־14 באוגוסט 2025 ומסמן הסדרה מחודשת של עיבוד מידע אישי בישראל. התכלית היא עדכון המסגרת הנורמטיבית למציאות הדיגיטלית, חיזוק יכולות הפיקוח והאכיפה, ויצירת סטנדרט ברור ומדיד להפעלת מערכי פרטיות. במגזר הבנקאי והפיננסי—שבו מתקיימת פעילות מתמשכת של איסוף, ניתוח ושיתוף מידע רגיש—מדובר בשינוי אופרטיבי ממשי המחייב התאמות בממשל התאגידי, בבקרות ובתיעוד.

עו״ד וכלכלן עובדיה אביצור מדגיש כי התיקון אינו “שכבת אבטחה נוספת”, אלא משטר פרטיות עצמאי: חוקיות עיבוד, צמידות מטרה, מינימיזציה, שקיפות, מימוש זכויות נשואי המידע, ניהול מחזור חיים של נתונים, ותיעוד הנמקות—כולם נבחנים כקריטריונים מהותיים בפני עצמם. בגופים פיננסיים נדרשת הפרדה תפקודית ברורה בין פרטיות לאבטחת מידע, ובמקביל סנכרון מלא בין שתי המסגרות.

רקע נורמטיבי ומטרות התיקון

התיקון נולד על רקע גידול בהיקפי המידע, התפתחות טכנולוגית מואצת והצורך לקבוע מנגנוני פיקוח בני־יישום. לצד התאמה ללשון מודרנית של דיני פרטיות ולסטנדרטים בינלאומיים, המחוקק ביקש לייצר מדרג תגובה אפקטיבי להפרות, להבהיר חובות תאגידיות של מנהלים ודירקטורים, ולהציב רף עקרוני לניהול סיכוני פרטיות. בעולמות בנקאות, ביטוח ואשראי צרכני, המשמעות היא מעבר מבקרות אד־הוק למסגרת מדיניות מחייבת, עם קווי דיווח, מדדים ואחריות אורגנית.

עיקרי השינויים בחוק (פסקת נקודות יחידה)

• סמכויות אכיפה ופיקוח מורחבות, לרבות עיצומים כספיים משמעותיים, סמכויות חקירה פליליות ואפשרות לפנות לבית משפט לצווי הפסקת עיבוד ומחיקה.

• חובת מינוי ממונה על הגנת הפרטיות בארגונים מסוימים: גופים ציבוריים, ארגונים המעבדים מידע רגיש בהיקף ניכר, או מבצעים מעקב/התחקות שיטתית רחבת־היקף.

• הגדרות מעודכנות למידע אישי, לצד קביעת קטגוריה של “מידע בעל רגישות מיוחדת” המחייבת רף בקרה מחמיר.

• הפחתה משמעותית של חובת רישום מאגרי מידע במגזר הפרטי, תוך שמירת חובת רישום במקרים ייחודיים ובהגברת המשטר המהותי של ניהול פרטיות.

• יצירת עבירות פליליות ייעודיות במאגרי מידע ואיסור גורף על עיבוד מידע שנאסף שלא כדין.

• הרחבת האפשרות לפסוק פיצוי ללא הוכחת נזק בעילות מסוימות, המגדילה חשיפה אזרחית לתאגידים עתירי־נתונים.

מה משתנה בבנקים ובגופים פיננסיים

המערכת הפיננסית כבר פועלת תחת שכבות ציות: מניעת הלבנת הון, ניהול סיכוני אשראי, אבטחת מידע וחקיקה צרכנית. תיקון 13 מוסיף שכבה עצמאית המחייבת לוגיקה של פרטיות בכל שלב של העיבוד—מהאיסוף ועד למחיקה. בכך נדרשת ראייה אינטגרטיבית: סיווג תכליות עיבוד, מיפוי זרימות מידע בין מערכות פנים־ארגוניות וספקים חיצוניים, בחינת חוקיות ומידתיות לכל שימוש משני, והטמעת עקרונות שימור ומחיקה מבוססי־סיכון. עו״ד עובדיה אביצור ממליץ להעמיד “מפת פרטיות” ארגונית כבסיס הניהולי: אילו נתונים נאספים, לשם מה, איזו הצדקה משפטית חלה, ועד מתי מותר להחזיק בהם.

חובת מינוי ממונה על הגנת הפרטיות ותיחום המנדט

הממונה על פרטיות אינו גורם קוסמטי. בארגונים פיננסיים הוא משמש ציר מתכלל בין משפט, ציות, אבטחת מידע, ניהול סיכונים ותפעול. תפקידו כולל ליווי ייזום של מוצרים ושירותים עתירי־נתונים, בדיקת חוקיות ומידתיות עיבוד טרם הפעלה, גיבוש מתווה למימוש זכויות נשואי מידע (עיון, תיקון, מחיקה), קביעת מדיניות שימור ומחיקה, ופיקוח על חוזי עיבוד עם ספקים. כדי שהמינוי יעמוד בדרישות הדין, יש להבטיח עצמאות מקצועית, גישה למידע רלוונטי, קווי דיווח ישירים להנהלה ולדירקטוריון, וסמכות להתריע על חריגות. עו״ד עובדיה אביצור מלווה ארגונים בהגדרת מנדט, כתיבת נהלי עבודה, ובניית מחזור דיווח תקופתי המאפשר בקרה ניהולית אמיתית ולא “תיוק מסמכים”.

משטר אכיפה: עיצומים, חקירות וצווי הפסקה

התיקון מבסס מדרג תגובה אקטיבי. המשמעות המעשית: הפרות אינן מטופלות רק ככשלי אבטחה אלא כהפרת משטר פרטיות, עם מדדים עצמאיים של חומרה. רגישות מיוחדת מוענקת למקרים של שימוש במידע שנאסף שלא כדין, לכשלי שקיפות או להיעדר בסיס חוקי לעיבוד. גופים פיננסיים נדרשים להחזיק נוהל תחקור אירועי פרטיות, לרבות תיעוד עובדות, הערכת הסיכון לפרטיות נשואי המידע, בחינת חובת הודעה פנימית וחיצונית, והסקת מסקנות אופרטיביות לשיפור. ללא תיעוד מלא של ההנמקות, היכולת להגן על החלטות הארגון מול רגולטור ובתי משפט נפגעת.

“מידע בעל רגישות מיוחדת” והשלכות על תהליכים בנקאיים

קטגוריה זו מחייבת הידוק בקרות: מינימיזציה קפדנית, בדיקות נחיצות לשימוש משני, בחינת סיכונים מוגברת בשיתופים חוצי־מערכות, ומשטר הרשאות שנגזר מצורך ולא מנוחות תפעולית. בנקים מחזיקים נתוני זהות, מידע פיננסי, מסמכי הכנסה ובמקרים מסוימים נתונים רפואיים או ביומטריים בהקשרים מוגבלים—ולכן עליהם להתאים מנגנוני חסיון, הצפנה, לוגים ואנונימיזציה לתחומי פעילות ספציפיים. עו״ד עובדיה אביצור ממליץ לאחד בין ניהול הרשאות “לפי צורך עסקי” לבין עקרונות פרטיות: מי באמת חייב גישה, לאיזו תקופה, ובאיזה פורמט.

ממשל תאגידי: אחריות דירקטוריון והנהלה

התיקון לא מותיר את הפרטיות “במחלקה”. דירקטוריון והנהלה נדרשים לעגן מדיניות פרטיות, לאשר תוכנית עבודה שנתית, להקצות משאבים, ולפקח על ביצוע באמצעות דיווחי ממונה. נאותות הממשל תיבחן לפי עצמאות הממונה, האפקטיביות של ההדרכות, דינמיקת הטיפול באירועים והטמעת לקחים. בדיוני ועדת ביקורת מומלץ לשלב סקירות פרטיות לצדו של דיווח אבטחת מידע, כדי למנוע פערי תפיסה ולהבטיח אחידות הנחיות.

שרשרת העיבוד וספקים: חוזים, בקרה ומחיקה

ספקים, מעבדי משנה ומערכות ענן הם חלק מהמארג. חוזי עיבוד חייבים להגדיר סוגי מידע, תכליות, אמצעי הגנה, חובות סיוע במימוש זכויות, מתווה דיווח על אירועים והוראות סיום—לרבות החזרה או מחיקה מבוקרת ומתועדת. התאמה חוזית ללא בקרה תפעולית אינה מספקת; יש לקיים ביקורות תקופתיות, בדיקות תאימות, ומדגמים על מחיקות. עו״ד עובדיה אביצור מנסח “שרשור אחריות” המאפשר לארגון להציג לרגולטור לא רק התחייבויות חוזיות, אלא גם הוכחות ביצוע.

אירועי פרטיות: מה נחשב תגובה נאותה

המדד אינו רק מהירות, אלא גם איכות התחקור וההנמקה. בעת אירוע, על הארגון לקבע עובדות, לזהות סוגי הנתונים שנפגעו, להעריך פגיעה אפשרית לנשואי מידע, להחליט אם יש צורך בהודעה חיצונית או צעדי תיקון מול לקוחות, ולהטמיע מיידית בקרה מתקנת. תיעוד מובנה של צעדים אלו הוא חלק מהאינטגריטי הנדרש לפי התיקון, והוא יבחן בכל בדיקה.

יישום פרקטי: ממדיניות לתהליכים

יישום אפקטיבי מתחיל במיפוי תהליכי ליבה: פתיחת חשבון, אשראי, גבייה, גבולות פעילות, שיווק, ניהול תלונות. לכל תהליך מגדירים אילו נתונים דרושים, מה הבסיס החוקי, מי ניגש למידע ובאילו תנאים, מהי תקופת השימור והאם קיים שימוש משני. לאחר מכן מעדכנים מסמכי יסוד—מדיניות פרטיות, טפסי הסכמה/הודעה, נהלי שימור ומחיקה—ומתרגמים אותם למסכי מערכת, תבניות עבודה ומדדי בקרה. עו״ד עובדיה אביצור ממליץ לשלב “בחינת פרטיות בשלב התכנון” במעבר לכל מוצר או אינטגרציה חדשה, כדי למנוע תיקונים יקרים בדיעבד.

טעויות נפוצות ומה נכון לעשות

הטעות השכיחה היא לצמצם את הפרויקט לאבטחת מידע ולהחמיץ את רכיבי החוקיות, המידתיות וזכויות נשואי המידע. טעות אחרת היא להסתפק במדיניות פורמלית ללא אימות תפעולי; כשמגיע אירוע או ביקורת, הפערים נחשפים. שלישית, השארת הממונה ללא עצמאות או גישה למידע מייצרת “מינוי סמלי” שבוחן הזמן יכשיל. התיקון דורש היתכנות עסקית־תפעולית לצד לוגיקה משפטית: נהלים שניתנים להפעלה, תיעוד הנמקות והדרכות קצרות וענייניות. שילוב של הבנה משפטית וכלכלית מאפשר לאזן בין דרישות הדין לרציפות עסקית.

ליווי משפטי ליישום תיקון 13

הטמעת התיקון במוסדות פיננסיים היא מהלך רב־מערכתי: משפט, ציות, סיכונים, אבטחת מידע, תפעול ושירות. נדרש גורם מוביל שמבין תמחור סיכונים, רגולציה פיננסית ופרקטיקת פיקוח, ויודע להמיר את דרישות החוק למסלולי עבודה מדידים. עו״ד עובדיה אביצור מלווה ארגונים בבניית מפת פרטיות, הגדרת מנדט לממונה, ניסוח מדיניות ונהלים, התאמת חוזי עיבוד, והקמת מתווה תחקור אירועים—בסטנדרט מקצועי התואם את רגישות המגזר.