המציאות החדשה כבר כאן
החל מ-14 לאוגוסט 2025, נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, שינוי שמביא איתו מהפכה אמיתית באופן שבו עסקים דיגיטליים נדרשים להתמודד עם איסוף נתונים. בתור סוכנות דיגיטל המתמחה באיקומרס, אנחנו רואים מקרוב איך השינוי הזה משפיע על כל בעל אתר מכר, חנות Shopify או מי שמפעיל קמפיינים במדיה (גוגל, פייסבוק, טיקטוק, טאבולה וכו'). זה לא עוד רגולציה שאפשר להתעלם ממנה, אלא שינוי מהותי שדורש פעולה מיידית. חשוב להבהיר כי אנחנו לא גורם משפטי, המידע במאמר זה מיועד לצרכי היכרות כללית בלבד ואינו מהווה ייעוץ משפטי מקצועי - לכל החלטה משפטית ספציפית יש להיוועץ עם עורך דין המתמחה בתחום הגנת הפרטיות.
התיקון החדש מרחיב באופן משמעותי את ההגדרה של "מידע אישי" ומביא איתו סמכויות אכיפה חדשות לרשות הגנת הפרטיות. כעת, כל עוגייה, פיקסל של פייסבוק, מזהה מכשיר או כתובת IP נחשבים למידע אישי מזהה, בדיוק כמו השם המלא של הלקוח (מבחינת רוח החוק, אך לא מוזכר במפורש). זה אומר שכל ההתנהלות הקודמת של "נאסוף כל מה שאפשר ונראה מה עושים איתו אחר כך" כבר לא רלוונטית ועלולה לגרור עיצומים כבדים.
השלכות מיידיות על עולם האיקומרס
הרשות קיבלה סמכויות אכיפה חזקות הכוללות יכולת לבצע חקירות, לערוך ביקורות ולהטיל קנסות כבדים שגובהם עולה ביחס למספר נושאי המידע במאגר. זה אומר שאם יש לכם אתר עם עשרות אלפי לקוחות רשומים ואתם לא מתנהלים כמו שצריך, הקנס עלול להיות הרסני לעסק. מעבר לכך, התיקון מחזק את הפן הפלילי של עבירות על החוק ומרחיב את סמכות בתי המשפט לקבוע פיצויים גם ללא הוכחת נזק ממשי.
הדרישה המרכזית החדשה היא עקרון ה"אחריות", שאומר שכל עסק חייב להיות מסוגל להוכיח בכל רגע נתון שהוא מכיר את חובותיו, פועל על פי הדרישות החוקיות ומתעד כל החלטה ושיקול שנוגע לטיפול במידע אישי. זה לא מספיק יותר לומר "לא ידענו שהיינו צריכים", כי כעת החוק דורש הוכחה חיובית של ציות ומעקב מתמשך אחרי השינויים ברגולציה.
מה זה אומר בפועל לקמפיינים שלכם
כשאתם מפעילים קמפיין Google Ads עם רמרקטינג, למשל, אתם למעשה אוספים נתונים על התנהגות הגולשים באתר, יוצרים רשימות קהל ומשתמשים בהן לטרגוט. בעבר זה נחשב לפעילות שיווקית רגילה, אבל כעת זה דורש הודעה מפורשת ללקוח על איסוף המידע, על המטרה שלו ועל האופן שבו ישתמשו בו. אותו דבר קורה עם Facebook Pixel - הכלי הזה אוסף מידע רב על כל גולש באתר שלכם, וכעת זה דורש הסכמה מודעת או לפחות הודעה ברורה עם אפשרות סירוב אמיתית.
בעולם השופיפיי, המצב מסתבך עוד יותר כי רבות מהאפליקציות הפופולריות כמו Klaviyo, Privy או כלי Email Marketing אחרים אוספות מידע נרחב על הלקוחות שלכם. כל אפליקציה כזו נחשבת ל"מעבד מידע" ואתם כבעלי החנות "בעלי השליטה במאגר". זה אומר שאתם אחראיים לוודא שגם הספקים החיצוניים שלכם עומדים בדרישות החוק הישראלי, וזה דורש הסכמים מיוחדים והבנה מדויקת של איך הם מטפלים במידע.
החובות החדשות שחשוב להכיר
אחד השינויים המשמעותיים ביותר הוא חובת מינוי ממונה הגנת הפרטיות. אם העסק שלכם עוסק בפרסום ממוקד, בפרופיילינג של לקוחות או בניטור שיטתי של התנהגות גולשים, אתם כנראה חייבים למנות ממונה כזה "בגופים ציבוריים ובכל ארגון שעיסוקו העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, כמו גם בכל ארגון שפעילותו כרוכה במעקב או התחקות שיטתית אחר אנשים בהיקף ניכר". זה לא תפקיד סמלי - הממונה צריך להיות בעל הכשרה מתאימה, לקבל משאבים לביצוע תפקידו ולהיות מעורב בכל החלטה שנוגעת לטיפול במידע אישי.
עקרון נוסף שחשוב להבין הוא "צמצום המידע". במקום הגישה הישנה של לאסוף כל מידע אפשרי כי "אולי נזדקק לזה מתישהו", כעת מותר לאסוף רק מידע שהכרחי למטרה שהוסברה ללקוח. אם אתם מציעים קופון הנחה תמורת הרשמה לניוזלטר, אל תבקשו כתובת פיזית או תאריך לידה - בקשו רק את כתובת המייל שדרושה לכם לשליחת הקופון. וכשהמטרה הושגה, אתם חייבים למחוק את המידע שכבר לא נחוץ.
הפעולות שכל בעל אתר חייב לנקוט
החוק כבר נכנס לתוקפו ב-14.8.25 אך כדי להקל על בעלי העסקים להיערך האכיפה של תיקון 13 לחוק הגנת הפרטיות תחל בפועל ב-1.11.25. כדי להקל על התהליך, הכנו מדריך אינפורמטיבי פרקטי בהתאם ללוחות הזמנים שפורסמו וחילקנו את הפעולות הנדרשות לשלושה שלבים לפי דרגת דחיפות:
שלב א': פעולות לביצוע מיידי (עדיפות קריטית)
-
בידקו את חובת מינוי ממונה הגנת הפרטיות. אם אתם מפעילים קמפיינים דיגיטליים, מבצעים טרגוט או אוספים נתונים התנהגותיים, סביר להניח שאתם חייבים במינוי ממונה כזה. זה לא משהו שאפשר לדחות - זו דרישה חוקית.
-
צרו מיפוי מידע בסיסי של כל הכלים שאוספים מידע באתר שלכם. רשמו את Google Analytics, Facebook Pixel, כלי הדיוור הישיר, האפליקציות, וכל דבר אחר שעוקב אחרי הגולשים או שומר מידע עליהם. זה הבסיס לכל פעולה עתידית.
-
עדכנו את באנר הקוקיות/Cookies באתר כך שיזכיר באופן ספציפי את כל הכלים שאתם משתמשים בהם. הטקסט הגנרי "אנחנו משתמשים בקוקיות לשיפור החוויה" כבר לא מספיק.
שלב ב': פעולות לביצוע בתוך 30 יום
-
כתבו מדיניות פרטיות מעודכנת וספציפית לעסק שלכם. המדיניות חייבת לפרט בדיוק איזה מידע אתם אוספים, למה אתם משתמשים בו, למי אתם מעבירים אותו וכמה זמן אתם שומרים אותו. זה כבר לא עוד עמוד שמשתמשים בדרך כלל מתעלמים ממנו - זו הצהרת כוונות משפטית שהרשות בודקת.
-
בדקו את כל ספקי השירותים שלכם ווודאו שההסכמים איתם מתאימים לדרישות החוק הישראלי. אם אתם משתמשים בשופיפיי, בכלי Email Marketing כמו Klaviyo, בכלי CRM או בכל שירות אחר שמטפל במידע הלקוחות שלכם, אתם צריכים הסכם עיבוד מידע מסודר או לפחות סעיף פרטיות מתאים.
-
יישמו מנגנונים למחיקת מידע שכבר לא נחוץ. לדוגמה, מחיקה אוטומטית של לידים שלא הגיבו לשום פנייה במשך שנה, או ניקוי נתוני גולשים ישנים שלא ביצעו פעולה באתר זמן רב.
שלב ג': פעולות לביצוע בתוך 60 יום
-
צרו תהליכי עבודה ברורים לטיפול בבקשות לקוחות הנוגעות לפרטיות שלהם. לקוחות יכולים לבקש לראות איזה מידע יש עליהם, לתקן מידע שגוי או לבקש מחיקה מלאה. אתם חייבים להיות מוכנים לענות על בקשות כאלה בצורה מהירה ומקצועית.
-
התאימו את הקמפיינים הדיגיטליים שלכם לדרישות החוק. בדקו איך אתם יוצרים Custom Audiences בפייסבוק וגוגל, איך אתם משתמשים ברימרקטינג ואיך אתם מטרגטים לקהלים חדשים. ודאו שכל השימושים האלה מכוסים בהודעות שלכם ללקוחות.
-
הכשירו את כל הצוות שמטפל במידע לקוחות. כל מי שיש לו גישה לרשימות מייל, לנתוני CRM או לכלי ניתוח צריך להבין מה הדרישות החדשות ואיך לפעול לפיהן.
לסיכום - הזדמנות או איום?
תיקון 13 מאלץ אותנו לעבוד בצורה מקצועית יותר עם נתוני הלקוחות. במקום לאסוף הכל ולקוות שנמצא לזה שימוש, אנחנו נתמקד במידע שבאמת מניב תוצאות עסקיות. זה יכול להוביל לקמפיינים יותר ממוקדים ויעילים, למאגרי מידע נקיים יותר ולאמון גדול יותר מצד הלקוחות. העסקים שיתמודדו עם השינוי בצורה מקצועית ונכונה יזכו ליתרון תחרותי משמעותי על פני אלה שיחכו לעיצומים מהרשות.
בתור סוכנות המתמחה באיקומרס, אנחנו מבינים שהדרישות החדשות לא רק משפיעות על ההיבטים המשפטיים, אלא גם על האופן שבו אנחנו בונים קמפיינים ומתכננים את חווית המשתמש. ההתאמה לתיקון החדש היא השקעה חכמה בעתיד העסק ובמניעת בעיות משפטיות יקרות.
מאמר זה נכתב לצורכי מידע כללי ואינו מהווה ייעוץ משפטי. לייעוץ ספציפי לעסק שלכם, מומלץ לפנות לעורך דין המתמחה בדיני פרטיות.
