תיקון 13 לחוק הגנת הפרטיות: איום רגולטורי או הזדמנות עסקית?
בחודש אוגוסט 2025 ייכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות – רפורמה מהותית שמביאה את החוק הישראלי בן ארבעת העשורים קרוב יותר לסטנדרטים הבינלאומיים, ובראשם ה-GDPR האירופי. הצורך בעדכון החוק ברור ונחוץ – במיוחד בעידן שבו המידע הדיגיטלי הוא מטבע עולמי – אולם עלויות ההתאמה, חוסר הוודאות המשפטית והשלכות האכיפה מציבים אתגרים של ממש למגזר העסקי בכלל, ולחברות סייבר וטכנולוגיה בפרט.
תיקון 13 מגדיר מחדש מושגים בסיסיים כמו "מידע רגיש", מרחיב את החובות המוטלות על מחזיקי מידע, ומחזק את סמכויות האכיפה של הרשות להגנת הפרטיות. בין ההשלכות הבולטות: חובת מינוי ממונה על הגנת הפרטיות בגופים מסוימים, דרישות לתיעוד פעילות, מידת ההסכמה והרחבת עילות לתביעות אזרחיות. גם הקנס המנהלי צמח משמעותית – עד 3.2 מיליון ש"ח לעבירה, בגופים מסחריים.
הכוונה ברורה: להבטיח שהמידע האישי של אזרחי ישראל ינוהל באחריות, ולהרתיע גופים מזלזלים. אלא שבפועל, החלת הרגולציה הזו על מאות ארגונים – בהם סטארט-אפים קטנים וחברות טכנולוגיה צעירות – יוצרת עומס תפעולי ותקציבי לא מבוטל.
במבט ראשון, עשוי להיראות כי חברות סייבר שפועלות כדי להגן על מערכות מידע, מרוויחות מתיקון 13. הדרישה להקשחת הגנות ולמנגנוני ציות עשויה להגדיל את הביקוש לשירותי אבטחה, ניתוח סיכונים ופתרונות תוכנה. ואכן, כבר ניכרת התעוררות בקרב גופים מוסדיים ובנקים, שרוצים לוודא שהתשתיות שלהם עומדות בדרישות החוק החדש. אולם המצב מורכב יותר. חברות סייבר, בדגש על אלו שמפתחות מערכות איסוף וניתוח מידע, הופכות בעצמן לחשופות -למידע רגיש, לחובות דיווח, ולפיקוח רגולטורי הדוק יותר. עליהן לעבור תהליך התאמה שכולל מיפוי מאגרי מידע, תיקון הסכמים מול לקוחות וספקים, הטמעת מדיניות פרטיות מחמירה, ואימוץ מנגנוני בקרה. עבור סטארט-אפ של עשרים עובדים, למשל, מדובר בהשקעה של עשרות ולעיתים מאות אלפי שקלים.
בעיה מרכזית שעולה מתיקון 13 היא היעדר הנחיות ברורות מצד הרשות להגנת הפרטיות. בעוד שהחוק מספק מסגרת כללית, שאלות מעשיות רבות נותרות פתוחות: מהו היקף הביקורת שצפויה הרשות להפעיל? כיצד יפורשו המונחים החדשים בפועל? האם סטנדרט ה-GDPR ישמש אמת מידה גם כאן, או שמא תתפתח בישראל פרשנות עצמאית?
היעדר הוודאות הזו מקשה על חברות לתכנן את צעדיהן. בחברות בינלאומיות, שצריכות ליישר קו עם רגולציות במדינות שונות, נוצר עומס כפול של ניהול ציות. בחברות מקומיות, נדרשת השקעה יקרה בעבודה משפטית וטכנולוגית – בלי יכולת להעריך את רמת הסיכון.
במישור הכלכלי, לתיקון יש השפעה דו-כיוונית: מצד אחד, הוא צפוי לעודד סטנדרטיזציה שתשפר את התחרות בשוק – חברות שיישמו מדיניות פרטיות שקופה ומתקדמת ייהנו מיתרון יחסי, בעיקר מול לקוחות אירופיים או אמריקאיים. מצד שני, עלויות ההתאמה הגבוהות עלולות לפגוע בהשקעה בחדשנות, במיוחד אצל חברות בתחילת דרכן.
עבור משקיעים וקרנות הון סיכון, ניהול פרטיות ואבטחת מידע הופכים כעת לא רק לסוגיה תפעולית – אלא לשיקול קריטי בהערכת שווי ובדיקות נאותות. חברות שידווחו על תאימות גבוהה ייתפסו כבטוחות יותר להשקעה. מנגד, חברה שכשלה בהגנה על מידע אישי עלולה להיתקל בתביעות ייצוגיות, קנסות, ופגיעה במוניטין – עם מחיר כלכלי כבד.
למרות הקשיים, חשוב להכיר בכך שתיקון 13 אינו רק איום רגולטורי אלא גם הזדמנות עסקית. חברות שיידעו לאמץ תרבות פרטיות ואבטחה כמנוע צמיחה – ייהנו מיתרון תחרותי, משיפור באמון הציבורי, ומהקלות בגישה לשווקים זרים.
לצורך כך, נדרשת היערכות חכמה המשלבת ייעוץ משפטי, ומעורבות של צוותי סייבר והנהלה בכירה, שימוש בכלים אוטומטיים לניהול פרטיות והקפדה על בקרה מתמדת.
על הממשלה לספק מדריכים ברורים, תקציבי סיוע לגופים קטנים, ומנגנון ליישוב מחלוקות שיפחית את חוסר הוודאות.
תיקון 13 משנה את חוקי המשחק בישראל. הוא מחייב גישה חדשה לניהול מידע אישי, מחזק את זכויות הפרט, ומציב אתגר אמיתי לעסקים. עבור חברות סייבר, זו קריאה להתארגן מחדש – אך גם הזדמנות לבלוט כמובילות בתחום הציות, האבטחה והחדשנות.
עו"ד אפרת טרוים היא יו"ר Defense Armory ומנהלת מערך הלקוחות
