בלוג7 ביוני 20266 דק׳ קריאה

האם אתם עדיין חייבים לרשום מאגר מידע? מה תיקון 13 באמת שינה

במשך 40 שנה כמעט כל חברה ישראלית הייתה חייבת לרשום את מאגר המידע שלה. תיקון 13 ביטל זאת עבור רוב העסקים — אבל הוסיף מלכודת הודעה של 30 יום שרוב הסטארטאפים מפספסים.

Amendment 13Database RegistrationIsrael

במשך 40 שנה כמעט כל חברה ישראלית שהחזיקה רשימת לקוחות הייתה אמורה לרשום אותה אצל רשם מאגרי המידע. ב־14 באוגוסט 2025 זה הסתיים — עבור רוב העסקים. אבל הרבה סטארטאפים מבינים את הכללים החדשים בדיוק הפוך.

אם התגובה שלכם לתיקון 13 הייתה "מצוין, טופס אחד פחות" — אתם צודקים רק חצי. משטר הרישום הגורף והישן אכן בוטל. אבל הוא לא נעלם: במקומו הגיעה חובת רישום מצומצמת בתוספת חובת הודעה חדשה לגמרי, והתיעוד שרוב החברות עדיין מנהלות מאחורי הקלעים לא הלך לשום מקום.

הכלל הישן: לרשום כמעט הכל

לפני תיקון 13, חובת רישום המאגר אצל רשם מאגרי המידע הייתה רחבה מאוד. מאגר יכול היה "ליפול ברשת" רק משום שהכיל מידע על כמה אלפי אנשים, כלל "מידע רגיש", החזיק מידע שלא נאסף ישירות מהאנשים, או שימש לשירותי דיוור ישיר. בפועל זה תפס נתח עצום של עסקים רגילים — חברות SaaS, חנויות אונליין, מרפאות, מחלקות משאבי אנוש — וייצר ערימת רישומים שכמעט לא הגנה על אף אחד.

מה השתנה ב־14 באוגוסט 2025

תיקון 13 — שחוקק ב־5 באוגוסט 2024 ונכנס לתוקף ב־14 באוגוסט 2025 — בנה מחדש את הרישום סביב סיכון במקום נפח. כלשון הרשות להגנת הפרטיות, חובת הרישום במגזר הפרטי "בוטלה כמעט כליל" (מדריך מקצועי של הרשות; IAPP). חובת הרישום חלה כעת, לפי סעיף 8(א) לחוק, רק אם המאגר עומד באחד מהתנאים הבאים:

אתם למעשה סוחרי מידע — מטרת המאגר העיקרית היא איסוף מידע אישי לשם מסירתו לאחר, כדרך עיסוק או בתמורה (לרבות שירותי דיוור ישיר), וגם מצוי בו מידע על למעלה מ־10,000 בני אדם; או
אתם גוף ציבורי (למעט מאגר הכולל מידע על עובדי אותו גוף בלבד).

השורה התחתונה לרוב הסטארטאפים והעסקים הקטנים: אם אתם אוספים מידע על לקוחות או משתמשים כדי להפעיל את המוצר או השירות שלכם — ולא כדי למכור, לסחור או לדוור אותו הלאה — סביר מאוד שאתם כבר לא חייבים לרשום את המאגר. הסתייגות אחת: מאגר שכבר רשום במרשם יישאר רשום עד שתפנו לרשות בבקשה למחוק אותו.

המלכודת החדשה: חובת ההודעה

זה החלק שחברות מפספסות. תיקון 13 לא רק צמצם את הרישום — הוא הוסיף חובת הודעה נפרדת, שאינה תלויה כלל בשאלה אם אתם סוחרי מידע. בעל שליטה במאגר שאינו חייב ברישום, אך כולל מידע בעל רגישות מיוחדת על יותר מ־100,000 בני אדם, חייב להודיע לרשות להגנת הפרטיות תוך 30 ימים מהתקיים התנאים (סעיף 8א(ב)) (הרשות — חובת הודעה). ההודעה כוללת:

את זהות בעל השליטה ודרכי ההתקשרות עימו;
את זהות ממונה הגנת הפרטיות (אם קיימת חובה למנותו); ו־
העתק ממסמך הגדרות המאגר (תקנה 2 לתקנות אבטחת מידע, התשע"ז־2017).

"מידע בעל רגישות מיוחדת" הוא כיום קטגוריה רחבה בחוק — היא כוללת מידע רפואי ובריאות נפש, מידע גנטי וביומטרי, צנעת חייו האינטימיים של אדם, עבר פלילי, מוצא אתני, דעות פוליטיות ואמונות דתיות, ומידע פיננסי, בין היתר. אם אתם מפעילים חברת בריאות דיגיטלית, פינטק, ביטוח או פלטפורמה צרכנית גדולה — שעון 30 הימים הזה יכול להתחיל לתקתק בלי ששמתם לב.

"בוטל הרישום" לא אומר "סיימנו עם פרטיות"

התפיסה השגויה הגדולה שאנחנו שומעים: "כבר לא צריך לרשום, אז סיימנו עם פרטיות." רחוק מהמציאות. ביטול הרישום משנה הגשת טופס — לא את החובות שמתחתיו. גם ללא רישום וללא הודעה, אתם עדיין חייבים:

לעבד מידע כדין ובשקיפות, על בסיס חוקי תקין ובמתן הודעה ברורה;
לכבד את זכויות נושאי המידע — עיון, תיקון, והזכויות שתיקון 13 מחזק;
לעמוד בתקנות אבטחת המידע, התשע"ז־2017;
לנהל מסמך הגדרות מאגר — אותו מסמך שתידרשו למסור בהודעה או בביקורת;
למנות ממונה הגנת פרטיות (DPO) היכן שנדרש, ולטפל באירועי אבטחה ובדיווח עליהם.

והסיכון גבוה מבעבר: תיקון 13 העניק לרשות סמכויות אכיפה חדות יותר ועיצומים כספיים משמעותיים — כך שפער תיעוד שקט כבר אינו בעיה שקטה. ראו את הניתוח שלנו על כמה גדולים באמת העיצומים של תיקון 13.

בדיקה עצמית של 5 דקות

סוחר מידע עם 10,000+ אנשים במאגר? ← חובה לרשום.
גוף ציבורי? ← חובה לרשום.
מידע בעל רגישות מיוחדת על 100,000+ אנשים? ← להודיע תוך 30 ימים, בצירוף מסמך הגדרות המאגר ופרטי ה־DPO.
אף אחד מהתנאים? ← אין רישום ואין הודעה — אבל ודאו שמסמך הגדרות המאגר, אמצעי האבטחה ותהליכי זכויות נושאי המידע מעודכנים.
לא בטוחים לגבי חובת ה־DPO? ← ראו DPO חיצוני מול עובד במשרה מלאה ומה באמת אומרת חוות הדעת של הרשות על מינוי DPO.

השורה התחתונה

תיקון 13 לא הקטין את הציות לפרטיות — הוא הפך אותו לחכם יותר. פחות חברות נרשמות, שעון ההודעה תופס חברות עתירות־מידע שצומחות מהר, והחובות שמתחת לרישום מגובות כעת בעיצומים אמיתיים. הטופס שכבר אינכם מגישים מעולם לא היה העיקר; הממשל התאגידי שמאחוריו — תמיד היה.

מאמר זה הוא מידע כללי ואינו מהווה ייעוץ משפטי. לייעוץ לגבי המאגר הספציפי שלכם, פנו לאיש מקצוע מוסמך בתחום הפרטיות.

מקורות

חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד־2024 — נוסח רשמי בספר החוקים
הרשות להגנת הפרטיות — מדריך מקצועי לתיקון 13 (מאי 2025)
הרשות להגנת הפרטיות — חובת הודעה
IAPP — Israel marks a new era in privacy law