Beezyדברו איתנו
חזרה לבלוג

תיקון 13 לחוק הגנת הפרטיות: מה לבדוק לפני שמכניסים AI לעסק

תיקון 13 לחוק הגנת הפרטיות בתוקף — מה הוא דורש מעסק שמכניס AI: הסכמות, אבטחת מידע, ממונה פרטיות, וצ'קליסט מעשי בלי שפה משפטית.

אבטחת מידעתיקון 13רגולציהסוכני AI

התשובה הקצרה: תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף באוגוסט 2025, והוא נותן לרשות להגנת הפרטיות סמכויות אכיפה רחבות — כולל קנסות מנהליים — גם מול עסקים קטנים ובינוניים. אם אתם מכניסים AI לעסק, החוק לא אוסר על זה, אבל הוא כן דורש לדעת איזה מידע אישי יש לכם, מי ניגש אליו, ולוודא שכלי ה-AI שאתם מחברים אליו עומדים באותם כללים. רוב הדרישות מסתכמות בסדר טוב, לא בעורך דין צמוד.

המדריך הזה נכתב לבעלי עסקים, לא למשפטנים. הוא לא ייעוץ משפטי — לפני החלטות רגולטוריות מהותיות שווה להתייעץ עם גורם מוסמך. המטרה כאן היא שתבינו מה השתנה, מה זה אומר בפועל כשמטמיעים AI, ואיך ניגשים לזה בלי להקפיא את כל הפרויקט.

מה זה תיקון 13, בשתי דקות

חוק הגנת הפרטיות הישראלי קיים משנת 1981, אבל במשך שנים האכיפה שלו הייתה מוגבלת. תיקון 13, שאושר בכנסת באוגוסט 2024 ונכנס לתוקף ב-14 באוגוסט 2025, שינה את התמונה בשלושה מובנים עיקריים:

  • סמכויות אכיפה אמיתיות. הרשות להגנת הפרטיות יכולה להטיל קנסות מנהליים משמעותיים על הפרות, בלי הליך פלילי ארוך. גובה הקנס תלוי בסוג ההפרה, ברגישות המידע ובהיקף המאגר.
  • הגדרות רחבות יותר של מידע אישי. מידע מזהה על לקוחות — שם, טלפון, כתובת, מצב פיננסי, התכתבויות — נחשב מידע אישי שמוגן בחוק, גם אם הוא יושב באקסל או בוואטסאפ ולא ב"מערכת" רשמית.
  • חובות ארגוניות חדשות. חלק מהארגונים נדרשים למנות ממונה הגנת פרטיות (DPO) — בעיקר גופים שעיקר עיסוקם עיבוד מידע, או מאגרים בהיקפים גדולים. עסק קטן טיפוסי לרוב לא חייב ממונה, אבל כן חייב לעמוד בשאר הדרישות.

מי שרוצה להעמיק יכול לקרוא את הפרסומים של הרשות להגנת הפרטיות או סקירות מקצועיות כמו המדריך של iCount לתיקון 13.

למה זה רלוונטי דווקא כשמכניסים AI?

כי AI שימושי בדיוק במקומות שבהם יש מידע אישי: שיחות עם לקוחות, פניות בוואטסאפ, הצעות מחיר, סיכומי שיחות, נתוני CRM. כשאתם מחברים כלי AI לתהליכים האלה, אתם בפועל מעבירים מידע אישי של לקוחות לעיבוד — לפעמים אצל ספק חיצוני, לפעמים בחו"ל.

הרשות להגנת הפרטיות כבר פרסמה טיוטת הנחיה שמבהירה שחוק הגנת הפרטיות חל גם על מערכות בינה מלאכותית — כולל שאלות של הסכמה לשימוש במידע ושקיפות מול הלקוח. כלומר: "זה רק כלי AI" הוא לא פטור. אותם כללים שחלים על CRM חלים גם על מודל שפה שמסכם שיחות.

החדשות הטובות: זה לא אומר שאסור. זה אומר שצריך לבחור כלים נכון ולשאול את הספק את השאלות הנכונות — בדיוק כמו שהייתם בודקים ספק סליקה לפני שאתם נותנים לו גישה לכסף.

מה החוק דורש — ומה זה אומר בפועל

דרישה בחוקמה זה אומר בעסק קטן, בפועל
לדעת איזה מידע אישי נאסף ולמהרשימה פשוטה: אילו פרטי לקוחות יש לכם, איפה הם יושבים (CRM, אקסל, וואטסאפ, מייל), ולאיזו מטרה
אבטחת מידע סבירהסיסמאות חזקות והרשאות לפי תפקיד, אימות דו-שלבי, והצפנה בכלים שמאחסנים מידע רגיש
שימוש במידע רק למטרה שלשמה נאסףמספר שהתקבל לתיאום תור לא הופך אוטומטית לרשימת תפוצה שיווקית
שקיפות מול הלקוחמדיניות פרטיות באתר שמתארת באמת מה אתם עושים עם המידע — כולל שימוש בכלי AI
בקרה על ספקים שמעבדים מידע עבורכםלבדוק איפה כלי ה-AI מאחסן מידע, אם הוא מתאמן על הנתונים שלכם, ומה קורה למידע כשעוזבים
ממונה הגנת פרטיות (בארגונים מסוימים)רלוונטי בעיקר למאגרים גדולים או לעסקים שעיקר פעילותם עיבוד מידע — לבדוק מול גורם מוסמך אם אתם בקבוצה הזאת

שימו לב לשורה על הספקים: זאת הנקודה שבה רוב פרויקטי ה-AI נופלים או עומדים. הכלי עצמו יכול להיות מצוין, אבל אם אין לכם תשובה לשאלה "איפה המידע של הלקוחות שלי יושב ומי רואה אותו" — אין לכם בסיס להטמעה.

איך בודקים כלי AI לפני שמחברים אותו לעסק?

לפני שמחברים כלי AI לוואטסאפ, ל-CRM או למייל, כדאי לעבור על שבע שאלות. ספק רציני עונה עליהן בקלות; ספק שמתחמק — זה סימן אזהרה:

  1. איפה המידע מאוחסן? בישראל, באיחוד האירופי, בארה"ב? האם יש התחייבות חוזית לכך?
  2. האם המידע שלנו משמש לאימון המודל? בכלים עסקיים רציניים אפשר לסרב לזה (opt-out) או שזה כבוי כברירת מחדל.
  3. מי אצל הספק יכול לראות את המידע? האם יש בקרת גישה ותיעוד גישות?
  4. מה קורה כשעוזבים? האם אפשר לייצא ולמחוק את כל המידע?
  5. האם יש הסכם עיבוד מידע (DPA)? מסמך סטנדרטי אצל ספקים רציניים — אם אין, לשאול למה.
  6. אילו הסמכות אבטחה יש לספק? ISO 27001 או SOC 2 הם אינדיקציה טובה לבשלות.
  7. האם אפשר להגביל אילו שדות עוברים לכלי? לא כל תהליך צריך את כל המידע. סוכן שמסכם שיחות לא חייב גישה לתעודות זהות.

העיקרון הכללי: מינימיזציה. ככל שפחות מידע אישי עובר לכלי, כך גם הסיכון וגם החשיפה הרגולטורית קטנים. תהליך אוטומציה טוב מתוכנן כך שה-AI מקבל רק את מה שהוא באמת צריך.

ומה עם וואטסאפ, הקלטות שיחות וכל מה שכבר רץ אצלכם?

נקודה שכדאי להכיר: החשיפה הרגולטורית של רוב העסקים לא מגיעה מכלי ה-AI החדש — היא כבר קיימת בתהליכים הידניים. גיליון אקסל עם פרטי לקוחות ששמור אצל עובד פרטי בדרייב, קבוצת וואטסאפ עם פרטים רפואיים של מטופלים, הקלטות שיחות בלי יידוע — כל אלה היו בעיה גם לפני תיקון 13.

דווקא הטמעת AI מסודרת היא הזדמנות לעשות סדר: למפות איפה יושב מידע אישי, לצמצם כפילויות, להגדיר הרשאות, ולתעד מי ניגש למה. עסק שעבר תהליך כזה יוצא גם עם אוטומציה וגם עם עמידה טובה יותר בחוק — שני ציפורים באותו פרויקט.

זה גם המקום שבו בקרה אנושית נכנסת לתמונה: כשכל פעולה רגישה של ה-AI עוברת אישור אדם, ויש תיעוד של מה נשלח ולמי, אתם מקבלים גם שליטה תפעולית וגם ראיות לכך שהעסק פועל באחריות. על העיקרון הזה הרחבנו במדריך על איך לבחור שותף להטמעת AI בעסק — שותף שלא מדבר איתכם על הרשאות ובקרה כבר בשיחה הראשונה, חוסך לכם את השיחה הלא נכונה.

צ'קליסט: 6 צעדים שאפשר לעשות החודש

  • מפו את המידע. רשימה אחת: אילו פרטי לקוחות נאספים, איפה הם נשמרים, מי ניגש אליהם.
  • עדכנו את מדיניות הפרטיות. שתשקף את המציאות, כולל שימוש בכלי AI וספקי משנה.
  • סגרו גישות מיותרות. עובד שעזב, כלי שלא בשימוש, שיתופים ישנים בדרייב.
  • בדקו את ספקי ה-AI שלכם מול שבע השאלות שלמעלה, ושמרו את התשובות בכתב.
  • הגדירו בקרה אנושית על כל פעולה של AI שנוגעת ללקוחות, כסף או מידע רגיש.
  • בדקו אם אתם חייבים ממונה פרטיות. לרוב העסקים הקטנים התשובה שלילית, אבל עדיף לוודא מאשר לנחש.

מי שרוצה להבין קודם את צד הערך של התמונה — כמה זמן וכסף אוטומציה באמת מחזירה — ימצא את זה במדריך על מה באמת שווה AI לעסק קטן או בינוני.

שאלות נפוצות

האם מותר לעסק קטן להשתמש ב-AI על מידע של לקוחות? כן. החוק לא אוסר שימוש ב-AI, הוא דורש שהשימוש ייעשה באחריות: מטרה לגיטימית, אבטחה סבירה, שקיפות מול הלקוח, ובקרה על הספק שמעבד את המידע. עסק שעושה את הצעדים הבסיסיים יכול להטמיע AI בביטחון.

האם תיקון 13 חל גם על עסק של שני עובדים? כן. החוק חל על כל מי שמחזיק מידע אישי של אחרים, בלי קשר לגודל העסק. ההבדל הוא בהיקף החובות — חובות כמו מינוי ממונה פרטיות חלות רק על ארגונים מסוימים, אבל אבטחה סבירה ושקיפות חלות על כולם.

כלי AI חינמיים — מותר לעבוד איתם על נתוני לקוחות? תלוי בכלי ובהגדרות. בגרסאות חינמיות רבות, המידע עלול לשמש לאימון המודל וזו בעיה כשמדובר במידע אישי של לקוחות. הכלל המעשי: לפני שמדביקים שיחת לקוח בכלי חינמי, בדקו את מדיניות השימוש בנתונים או עבדו עם גרסה עסקית עם התחייבויות ברורות.

ממי מתחילים — עורך דין או ספק האוטומציה? מהמיפוי שלכם. כשיש לכם תמונה של איזה מידע יש ואיפה, גם הייעוץ המשפטי וגם תכנון האוטומציה נעשים ממוקדים וזולים יותר. ספק הטמעה רציני יידע לתכנן את התהליך כך שעובר לכלי רק המידע הנחוץ, ועורך הדין יידרש רק לנקודות המהותיות.

השורה התחתונה

תיקון 13 לא נועד לעצור עסקים מלהשתמש ב-AI — הוא נועד לוודא שמידע אישי מטופל באחריות. בפועל, עסק שממפה את המידע שלו, בוחר כלים עם תשובות ברורות על אחסון ואבטחה, ושומר בקרה אנושית על פעולות רגישות, עומד בדרישות המרכזיות וגם מקבל תהליכי עבודה מסודרים יותר.

אם אתם שוקלים להכניס AI לעסק ורוצים לעשות את זה נכון מהיום הראשון — כולל מיפוי המידע, בחירת כלים שעומדים בדרישות, ובקרה אנושית על כל החלטה חשובה — קבעו שיחת אבחון AI. נעבור יחד על התהליכים שלכם ונראה איפה אפשר ליצור ערך בלי ליצור חשיפה.