רגולציהחוקי ישראל9 דק׳ קריאהעודכן: 14 במאי 2026

מאגרי מידע, חוקי ישראל ובינה מלאכותית — מי, מתי, ולפי מה

חוק הגנת הפרטיות, התשמ״א-1981, הוא הבסיס לכל הסדרת מאגרי המידע בישראל. הוא מגדיר מהו ׳מאגר מידע׳, מי ׳בעל המאגר׳ ו׳מחזיק׳, אילו פעולות חייבות בהיתר, ואיזה זכויות יש לנושא המידע. עם כניסת תיקון 13 לתוקף ב-2026 והתפשטות שימוש בבינה מלאכותית, נוצרת מציאות מורכבת: מערכת AI אחת יכולה לחצות כמה מאגרים, להעביר מידע לחו״ל באופן רציף, ולעקוף בקרות מסורתיות.

סף רישום מאגר
10K+
חוק יסוד
1981
סוגי מידע רגיש
5
תפקידים: בעל / מחזיק
2
תוכן עניינים (3)
  1. 01 שלוש דוגמאות
  2. 02 חובת היידוע
  3. 03 העברה לחו״ל

כשמערכת AI ׳נוגעת׳ במאגר — שלוש דוגמאות

בעל המאגר vs מחזיק

בעל המאגר

הארגון עצמו — מי שקובע מטרות

  • אחריות עיקרית על ציות לחוק
  • אחריות על רישום ועדכון ברשות
  • אחריות מול נושאי מידע (זכויות עיון, תיקון, התנגדות)
  • חתימה על חוזים עם מחזיקים

מחזיק (Processor)

ספק חיצוני שמעבד עבור הבעל

  • מחויב לפעול לפי הוראות הבעל בלבד
  • חובת אבטחת מידע ברמה התואמת לסוג המאגר
  • ספק AI חיצוני (OpenAI, Anthropic, Google) — מחזיק מובהק
  • חוזה DPA כתוב הוא תנאי הכרחי

דוגמה 1 — chatbot שירות לקוחות

חברת ביטוח מטמיעה צ׳אטבוט מבוסס GPT שיודע לענות על שאלות לקוחות מתוך מערכת ה-CRM. הצ׳אטבוט מקבל גישת קריאה למאגר הלקוחות. במונחי החוק:

  • המאגר ממשיך להיות מאגר רשום (לא משתנה).
  • OpenAI נוסף כ-׳מחזיק׳ — צריך חוזה DPA, לתעד ברישום ככל שמדובר במידע ספציפי.
  • חובה ליידע את נושאי המידע על השימוש ב-AI לטיפול בפניותיהם.
  • תיעוד גישה חובה — איזה פניות הופנו לצ׳אטבוט, מה הוצא מהמאגר. ראו תקנה 13.

דוגמה 2 — מודל פנימי מאומן על נתוני לקוחות

חברת פינטק מאמנת מודל סיכון אשראי על היסטוריית הלקוחות. במונחי החוק:

  • ה-׳מאגר׳ של מודלי האימון יכול להיחשב מאגר נפרד — אם ניתן לשלוף ממנו מידע אישי מזוהה.
  • אם המאגר המקורי ׳ברמת אבטחה גבוהה׳, כל פעולות העיבוד (כולל אימון) חייבות בתקנות אבטחת המידע.
  • זכות התיקון של נושא המידע מתרחבת — אם הלקוח מתקן את המידע שלו, צריך לבחון את ההשפעה על המודל.

דוגמה 3 — Microsoft Copilot ב-Microsoft 365

ארגון רוכש רישיון Copilot. העובדים מתחילים להשתמש במייל, Word, Excel וכלי הסיכום. במונחי החוק:

  • Microsoft הוא ׳מחזיק׳ — בחלק מהמאגרים בתוך הארגון.
  • חוזה Enterprise קיים בדרך כלל מספק את הבסיס החוזי, אבל יש לבדוק שהוא כולל את תנאי ה-Copilot.
  • העברת מידע ל-Azure בארה״ב או באירופה — מותרת בעיקרון בזכות מסגרת DPF החדשה.

חובת היידוע — מה לכלול במדיניות פרטיות שמשתמשים ב-AI

סעיף 11 לחוק מחייב את מנהל המאגר ליידע את נושא המידע בעת איסוף המידע. הרשות עדכנה הנחיות ב-2025 שדרשו תוספות בעידן AI:

  1. הצהרה ברורה על שימוש ב-AI בעיבוד המידע
  2. זהות הספקים החיצוניים (לפחות בקטגוריות — ׳ספק שירותי AI מאומן בארה״ב׳)
  3. מטרת השימוש — אישית, אנליטיקה, החלטה אוטומטית
  4. האם המידע משמש לאימון מודלים (במיוחד אם כן)
  5. זכות לערעור על החלטה אוטומטית — איך פונים, מה התהליך

העברה לחו״ל — תרחישים נפוצים

תרחיש: שימוש ב-API של OpenAI מישראל

OpenAI שומרת לוגי שימוש בארה״ב (לפי ברירת מחדל ל-30 יום). אם פרומפט כולל מידע אישי, מתבצעת העברה למאגר OpenAI בארה״ב. הבסיס החוקי:

  • ערבויות חוזיות (DPA סטנדרטי של OpenAI Enterprise)
  • אם הארגון בחר באופציה ׳No data retention׳ — סיכון מופחת כי הלוג לא נשמר
  • תיעוד פעולת ההעברה בנוהל הפנימי של הארגון

תרחיש: שירות SaaS ישראלי שמשתמש ב-LLM בארה״ב

ארגון ישראלי משתמש ב-SaaS ישראלי. ה-SaaS משתמש מאחורי הקלעים ב-API של Anthropic בארה״ב. כאן יש שתי שכבות: הארגון ↔ ספק ה-SaaS הישראלי (מחזיק ראשי), ספק ה-SaaS ↔ Anthropic (sub-processor). החובה של הארגון: לקבל מהספק רשימת sub-processors, ולאשר אותם בכתב.

הפורטל מזהה כל מערכת AI שמעבדת מידע אישי בארגון, מסמן ספקים שדורשים בדיקה משפטית, ומפיק רשימת פעולות לעדכון מסמכי המאגר. במקום לקרוא 60 עמודי חוק ותקנות, השאלון מבצע את התרגום אוטומטית.

שאלות נפוצות

5 שאלות
מה ההגדרה של ׳מאגר מידע׳ לפי החוק?

סעיף 7 לחוק מגדיר: ״אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב״. הגדרה רחבה. כל בסיס נתונים של לקוחות, עובדים, ספקים, או מנויים נחשב מאגר. שאלת השאלות בעידן AI: האם מודל מאומן על נתונים אישיים הוא מאגר? התשובה הרווחת: כן אם ניתן לשלוף מידע אישי מזוהה מהמודל; לא בהכרח אם מדובר בייצוגי וקטור מצרפיים בלבד.

מה ההבדל בין ׳בעל מאגר׳ ל-׳מחזיק׳?

בעל המאגר הוא הגוף שקובע את מטרות המאגר ואת אופן עיבודו (בדרך כלל הארגון עצמו). מחזיק הוא גורם חיצוני שמעבד את המידע עבור הבעל (ספק SaaS, מרכז סליקה, ספק AI). שניהם חייבים במחויבויות לפי החוק, אבל הבעל הוא נקודת האחריות העיקרית.

מתי חובה לרשום מאגר ברשות הגנת הפרטיות?

חובת רישום חלה כאשר: המאגר מכיל מידע על 10,000 אנשים או יותר; המאגר מכיל מידע רגיש (בריאות, מצב כלכלי, דעות, מוצא, חיי משפחה, ביומטרי); המאגר נמצא בידי גוף ציבורי; או מטרת המאגר היא מסחר במידע. שינוי משמעותי במאגר — כולל הוספת מערכת AI שמעבדת אותו — מחייב עדכון רישום.

האם אפשר להעביר מידע אישי ל-OpenAI או Google בארה״ב?

כן, אבל עם תנאים. תקנות הגנת הפרטיות (העברת מידע למאגרים שמחוץ למדינה), התשס״א-2001 מתירות העברה אם: המדינה המקבלת מבטיחה רמת הגנה מקבילה (GDPR או DPF), ניתנה הסכמת נושא המידע, או הוסכמו ערבויות חוזיות. בפועל, צריך לכתוב סעיף מתאים ב-DPA ולעיתים לעדכן את מדיניות הפרטיות.

מה הזכויות של נושא המידע בקשר ל-AI?

(1) זכות עיון במידע השמור על האדם (סעיף 13). (2) זכות לתיקון מידע שגוי (סעיף 14). (3) זכות התנגדות לשימוש לצרכי דיוור. בעידן AI נוספות שאלות: האם הזכות לתיקון חלה על מידע ׳צרוב׳ במודל מאומן? נכון ל-2026, אין הכרעה ברורה — אבל הרשות נוטה לפרשנות מרחיבה.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך מאגרי מידע + AI מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

מאגרי מידע + AIISO/IEC 42001ISO 27001 ↔ 42001EU AI Actתיקון 13תקנה 13 + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: רגולציה