רגולציהחקיקה ישראלית8 דק׳ קריאהעודכן: 14 במאי 2026

תיקון 13 לחוק הגנת הפרטיות — מה זה אומר לארגון שמשתמש ב-AI

תיקון 13 לחוק הגנת הפרטיות, התשמ״א-1981, אושר בקריאה שלישית באוגוסט 2024 ונכנס לתוקף באוגוסט 2026. זה השינוי הגדול ביותר בחוק מאז חקיקתו: חיוב ארגונים למפות מאגרי מידע אישי, חובת מינוי ממונה על הגנת הפרטיות (DPO) למאגרים מסוימים, סמכויות אכיפה רחבות לרשות הגנת הפרטיות, וקנסות שיכולים להגיע ל-5% מהמחזור השנתי.

כניסה לתוקף
08/2026
קנס מקסימלי
5%
דיווח אירוע
72h
סף DPO חובה
100K+
תוכן עניינים (3)
  1. 01 החובות העיקריות
  2. 02 איך AI משתלב
  3. 03 לוח זמנים להיערכות

החובות החדשות העיקריות

הרחבת PII

מזהים מקוונים, פרופילים — נחשבים מידע אישי

DPO

ממונה הגנת פרטיות עצמאי — חובה מסוימת

72 שעות

חובת דיווח על אירוע אבטחת מידע

PIA

הערכת השפעה מקדימה לעיבודים רגישים

1. הרחבת הגדרת ׳מידע אישי׳

הגדרת מידע אישי מתרחבת ומתואמת ל-GDPR האירופי. נכלל כל מידע שניתן לזהות באמצעותו אדם, כולל מזהים מקוונים (IP, cookies, מזהי מכשיר) ופרופילים התנהגותיים. זה משמעותי לארגוני SaaS, אנליטיקה ופרסום שעד היום פעלו בהנחה שמידע מצרפי לא נחשב.

2. רישום מאגרי מידע ברשות

חובת רישום קיימת מאז 1981, אבל התיקון מחדש את הדרישה ומחייב עדכון תקופתי. כל שינוי במטרות העיבוד, סוגי המידע, או הספקים שמקבלים גישה — מחייב עדכון. בעידן AI, שינוי מודל בספק הוא אירוע שיכול לחייב עדכון רישום. למיפוי מערכות AI כמאגרים, ראו מאגרי מידע + חוקי ישראל + AI.

3. ממונה על הגנת הפרטיות (DPO)

חובת מינוי לארגונים בהיקפי עיבוד גדולים או עם מידע רגיש. ה-DPO חייב להיות עצמאי, לא להיות כפוף לבעל עניין מסחרי בארגון, ולדווח ישירות להנהלה. הוא נקודת קשר מול הרשות ומול נושאי מידע.

4. חובת דיווח על אירועי אבטחה

אירוע אבטחה חמור (חשיפת מידע, אובדן, גישה לא מורשית) חייב להיות מדווח לרשות תוך 72 שעות מהזיהוי. ייתכן גם חובת הודעה לנושאי המידע עצמם, תלוי בחומרה. לתיעוד ובקרת גישה לפי תקנות אבטחת המידע, ראו תקנה 13 ובינה מלאכותית.

5. הערכת השפעה על הפרטיות (PIA)

עיבוד מידע ברגישות גבוהה (כולל פרופיילינג, החלטות אוטומטיות, מעקב שיטתי) מחייב הערכה מקדימה של ההשפעה על פרטיות נושאי המידע. PIA הוא תהליך מתועד שמראה איזה סיכונים זוהו ואיך הוקטנו.

איך AI משתלב בכל זה

תיקון 13 לא מזכיר את המילה ׳AI׳, אבל הוא חל בצורה ישירה על כל שימוש ב-AI שעובד עם מידע אישי. להלן ההצטלבויות החשובות:

החלטות אוטומטיות

כשמערכת AI מקבלת החלטה שמשפיעה על אדם (אישור אשראי, סינון קורות חיים, תיעדוף שירות), נושא המידע זכאי להסבר ולערעור אנושי. זה דומה לסעיף 22 ב-GDPR. בהקשר EU AI Act זה מקביל לחובת המעקב האנושי במערכות סיכון גבוה.

ספקי AI מחו״ל

העברת מידע אישי ל-OpenAI, Anthropic, Google ועוד דורשת בחינה: האם ספק שמעבד מידע ישראלי מהווה ׳העברה ל-מחוץ למדינה׳ במונחי החוק? התשובה לרוב חיובית, ומחייבת לעבות את ה-DPA בסעיפים על ׳העברות בינלאומיות׳ ובסיס חוקי.

אימון מודלים על מידע אישי

אם הארגון מאמן או fine-tune מודל על נתוני לקוחות, צריך בסיס חוקי (הסכמה, ביצוע חוזה, או אינטרס לגיטימי), שקיפות, ותהליך למחיקה כשנושא המידע מבקש זאת. זה אחד התחומים המורכבים ביותר בציות בעידן AI.

לוח זמנים להיערכות

  1. פרסום ברשומות

    תיקון 13 פורסם רשמית. מתחיל החלון של שנתיים להיערכות.

  2. מיפוי

    מיפוי + מינוי DPO

    רישום מקיף של מאגרי מידע + מערכות AI שמעבדות אותם. מינוי DPO אם חייב.

  3. ביצוע

    עדכון חוזים + PIA

    עדכון חוזי ספקים, ביצוע PIAs למערכות רגישות, הקמת תהליך דיווח אירועים.

  4. חובה

    כניסה לתוקף

    החובות חלות במלואן. סמכויות אכיפה לרשות הגנת הפרטיות.

  5. תחזוקה

    מעקב שוטף, עדכון רישומים בכל שינוי ספק או מערכת, סקרי PIA תקופתיים.

הפורטל שלנו ממוקד בשלב המיפוי וזיהוי הפערים: השאלון מסמן באילו מערכות יש מידע אישי, באילו ספקים יש או אין DPA מתאים, ואילו תהליכים חסרים בארגון.

שאלות נפוצות

5 שאלות
מתי תיקון 13 נכנס לתוקף?

החוק אושר באוגוסט 2024 ונכנס לתוקף ב-14 באוגוסט 2026 — שנתיים אחרי הפרסום ברשומות. המועד תוכנן בכוונה לתת לארגונים זמן להיערכות. עם זאת, יש סעיפים שמסמיכים את הרשות לפרסם תקנות והנחיות לפני המועד הזה.

מתי חובה למנות DPO (ממונה על הגנת הפרטיות)?

החובה חלה על: גוף ציבורי; ארגון שמעבד מידע של 100,000 אנשים או יותר; ארגון שעיסוקו העיקרי כרוך בעיבוד שיטתי של מידע אישי בהיקף משמעותי; ארגון שמעבד ׳מידע בעל רגישות גבוהה׳ (בריאות, ביומטרי, פוליטי, גנטי). ה-DPO חייב להיות עצמאי, בעל כישורים, ולדווח ישירות להנהלה הבכירה.

האם מערכת AI נחשבת ׳מאגר מידע׳?

תלוי מה היא עושה. אם המערכת מעבדת מידע אישי על אנשים מזוהים — כן, היא חלק ממאגר ויש לרשום אותה. שיטה רווחת היא להוסיף ׳מערכת AI לסינון קורות חיים׳ או ׳chatbot שירות לקוחות׳ כשם המאגר. ראו פירוט במאמר על מאגרי מידע ו-AI.

מה הקנסות?

עד 5% מהמחזור השנתי או 3.2 מיליון ₪ (הגבוה מביניהם) על הפרות חמורות. הקנסות מצטברים: הפרת חובות מנהל מאגר, הפרת זכויות נושאי מידע, הפרת חובות אבטחה — כל אחת בנפרד. בנוסף, הרשות מוסמכת לחייב פרסום בעיתון, פיקוח שוטף, וצו השעיה של פעילות מאגר.

האם ה-EU AI Act ותיקון 13 כפילות?

לא, הם משלימים. ה-AI Act מתמקד בסיכוני AI כשלעצמם (הטיה, שקיפות, מעקב אנושי). תיקון 13 מתמקד בהיבט הפרטיות של עיבוד מידע אישי — לאו דווקא ב-AI. ארגון ישראלי שמשתמש ב-AI לעיבוד מידע אישי נדרש לעמוד בשניהם, אבל הציות חופף ב-60-70%: מיפוי, ניהול ספקים, ותיעוד נדרשים בשני המשטרים.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך תיקון 13 מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

תיקון 13ISO/IEC 42001ISO 27001 ↔ 42001EU AI Actתקנה 13 + AIמאגרי מידע + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: רגולציה