🟦 איך להיערך לתיקון 13 בחוק הגנת הפרטיות: מדריך DPO מתוחכם לארגונים

ב־14 באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – שינוי רגולטורי שמביא עמו רוח חדשה של אחריות, שקיפות ואכיפה מוגברת בכל הנוגע לטיפול במידע אישי. התיקון מעמיד במרכז את תפקידו של ממונה הגנת המידע (DPO) כגורם קריטי בהתנהלות הארגונית, במיוחד עבור גופים ציבוריים, חברות עם פעילות מקוונת נרחבת או כאלה שמעבדים מידע רגיש.


כמי שפועלת בשטח כיועצת בתחום הבטחת איכות, רגולציה והגנת פרטיות – אני רואה מקרוב את אתגרי ההיערכות. הפוסט הזה נועד לארגונים, מנהלים ולממוני פרטיות שמבינים שהפעם – באמת אי אפשר לדחות.


רקע והקשר רגולטורי


תיקון 13 שאושר ב-2024, נועד לעדכן את חוק הגנת הפרטיות ולהביא אותו לרמת התאמה לרוח ה-GDPR האירופי. בין עיקרי השינוי:


  • הרחבת הגדרת "מידע אישי" והתאמתה לסטנדרטים בינ"ל.
  • סמכויות אכיפה חדשות לרשות להגנת הפרטיות, כולל קנסות מנהליים משמעותיים.
  • אפשרות לתביעה אזרחית ללא הוכחת נזק בסכומים של עד 10,000 ש"ח.
  • חובת מינוי DPO בגופים ציבוריים ובארגונים שמטפלים במידע רגיש או בפעילות מעקב שיטתית.


טעויות נפוצות בהיערכות לתיקון 13


1. דחיית ההיערכות לרגע האחרוןהיערכות לתיקון כזה דורשת זמן, שיתוף גורמים רבים ושינויים מערכתיים. המתנה לקיץ 2025 היא מתכון לבהלה ולחוסר מוכנות.

2. מינוי DPO עם ניגוד ענייניםה-DPO נדרש להיות עצמאי, מדווח ישירות להנהלה וללא כפיפות ליחידות שמהותן יצירת ניגוד עניינים (כגון IT, שיווק או משאבי אנוש).

3. התמקדות רק בהיבט המשפטיהגנת פרטיות היא תחום רב-מערכתי: כולל טכנולוגיה, תהליכים, תרבות ארגונית ויחסי לקוח. טיפול משפטי בלבד לא מספיק.

4. התעלמות ממאגרי מידע קיימיםיש לאתר, לסווג ולמפות את כלל מאגרי המידע, גם כאלה "ישנים" או שאינם ממוחשבים. תיקון 13 מדגיש אחריות כוללת.

5. חוסר בתיעוד, בקרה ועדכון מדיניותללא תיעוד של תהליכים, אין דרך להוכיח עמידה בדרישות – לא מול הרשות ולא מול בית המשפט.


צעדים נכונים ליישום תיקון 13


1. מיפוי וסיווג מאגרי מידעביצוע סקירה כוללת של כל המאגרים בארגון – מקור המידע, סוג המידע (אישי/רגיש), מטרות העיבוד והאם קיימת הסכמה מתועדת.

2. מינוי DPO מתאיםהגדרת תפקיד ברורה, דרישות ידע (בפרטיות, טכנולוגיה ורגולציה), מיקום ארגוני עצמאי, והקצאת תקציב לפעילותו.

3. כתיבת מדיניות פרטיות חדשההמדיניות צריכה להיות ברורה, נגישת לקהל היעד, לכלול זכויות משתמש (מחיקה, תיקון, התנגדות), ולהיות מפורסמת באתר הארגון.

4. בקרות אבטחת מידע מותאמותבדיקת הרשאות, ניהול סיסמאות, הצפנת מידע רגיש, בקרה על העברת מידע לספקים חיצוניים ושימוש בתשתיות מאובטחות.

5. הטמעת תוכנית הדרכה ותרבות ארגוניתסדנאות לעובדים, סימולציות תקלות, תרגול זיהוי פרצות ודיווח עליהן. פרטיות היא לא רק נוהל – אלא הלך רוח.

6. הכנת תוכנית תגובה לאירועי פרטיותתיעוד מנגנון זיהוי ודיווח על אירועים, צוות תגובה מהיר, קשר עם יועץ משפטי ותיעוד מלא של צעדי ההתמודדות.

7. תיעוד, בקרה ודיווח שוטףהפקת דוחות רבעוניים, ישיבות ניהול עם DPO, מעקב אחר יישום בפועל והפקת לקחים.


סיפור מהשטח


בארגון ממשלתי שבו פעלתי כיועצת, התברר שברשותם עשרות מאגרי מידע פעילים – אך רק שישה מהם דווחו. תוך חודשיים:


  • מיפינו מאגרים קיימים.
  • עדכנו טפסי הסכמה ודיווח.
  • מונה DPO עם רקע גם בטכנולוגיה וגם ברגולציה.
  • הוטמעה תוכנית הדרכה לכלל הסגל.
  • נמצא ליקוי בתקשורת עם ספק צד ג', והוחלף הספק.


התוצאה: עמידה מלאה בדרישות טרם כניסת התיקון לתוקף, הפחתת סיכון לחשיפה משפטית וחיזוק האמון הציבורי.


שאלות נפוצות


  1. האם כל ארגון חייב למנות DPO?לא. רק גופים ציבוריים, ועסקים שמעבדים מידע רגיש או מבצעים ניטור שיטתי של מידע אישי.
  2. האם אפשר למנות DPO חיצוני?כן, בתנאי שהארגון מבטיח עצמאות מקצועית וגישה חופשית לנתונים ולדרג הניהולי.
  3. מה הסיכון בהיעדר היערכות?קנסות מנהליים, תביעות אזרחיות (גם ללא נזק), נזק תדמיתי וחשיפת מידע שמסכן את פעילות הארגון.
  4. האם דרוש ידע טכנולוגי ל-DPO?בהחלט – לא ברמה של מתכנת, אך כן הבנה בסיסית באבטחת מידע, סייבר ותשתיות מידע.


סיכום וקריאה לפעולה


תיקון 13 משנה את כללי המשחק. זהו רגע מפתח לארגונים לא רק לעמוד ברגולציה – אלא לייצר ערך מובהק דרך פרטיות. מי שינצל את הרוח החדשה יוכל להרוויח יתרון תחרותי, אמון לקוחות ועמידה יציבה מול אתגרים עתידיים.


🟢 רוצה לבדוק אם הארגון שלך ערוך לתיקון 13?אני מזמינה אותך לפגישת אבחון ראשונית – כדי שלא תתעורר/י  כשכבר מאוחר מדי.

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame

ארבע השאלות שכל מנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה אחרי פסח

By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.
Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs

BCP, DR ו-ISO 22301 — מה ההבדל ולמה רוב הארגונים בישראל עדיין לא מוכנים?

By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.
נראה זכוכית מגדלת ענקית שבוחנת טיפה של חומר.

מדריך 2026: עדכון גיליונות בטיחות (SDS) – האם אתם עומדים ברגולציה האירופית החדשה?

By Ronit Sade March 19, 2026
אם העסק שלכם עובד עם השוק האירופי או מייבא חומרים מאירופה, כנראה ששמתם לב לשינוי בפורמט ה-SDS. תקנה 2020/878 של האיחוד האירופי נכנסה לתוקף מלא, והיא מחייבת עדכון משמעותי של כל גיליונות הבטיחות.
ה-FDA ואת ה-ISO כשני חלקי פאזל ענקיים שמתחברים בדיוק מושלם, ויוצרים גשר יציב מעל אוקיינוס.

המדריך המלא ל-QMSR: איך יצרני מכשור רפואי בישראל צריכים להתכונן למהפכת ה-FDA?

By Ronit Sade March 13, 2026
עידן חדש ברגולציית המכשור הרפואי: ה-FDA פרסם את חוק ה-QMSR (Quality System Regulation Amendment), הממזג רשמית את דרישות 21 CFR Part 820 עם תקן ISO 13485:2016 הבינלאומי. עבור חברות ישראליות המייצאות לשוק האמריקאי, מדובר בשינוי דרמטי בניהול סיכונים ובקרת איכות.
Colorful cartoon illustration of a food safety inspection scene with a quality inspector examining a

אוגוסט 2026 מתקרב: האם העסק שלך מוכן לדרישות HACCP בישראל?

By Ronit Sade February 19, 2026
אוגוסט 2026 מסמן שינוי משמעותי בדרישות HACCP ומערכת בטיחות מזון עצמית לעסקים קטנים ובינוניים. מה משתנה, מי חייב להיערך, ואיך להימנע מאכיפה מנהלית? מדריך מעשי ליצרני מזון.
Business Continuity Plan document on a clipboard inside an industrial facility, with safety helmet,

BCP לארגונים תעשייתיים: איך לבנות תוכנית המשכיות עסקית שבאמת עומדת בביקורת

By Ronit Sade February 13, 2026
מה זה BCP ואיך בונים תוכנית המשכיות עסקית שבאמת עומדת בביקורת? מדריך פרקטי לארגונים תעשייתיים כולל חיבור ל ISO 9001 ו ISO 13485, טעויות נפוצות וטיפים ליישום אפקטיבי.
שעון חול דרמטי שבו מסמכי ISO 13485:2016 נוזלים כלפי מטה וקוברים בניין של ה-FDA, לצד שעון מעורר שמציג

2 בפברואר 2026: היום שבו ה-FDA מפסיק “להחליק פינות”

By Ronit Sade February 5, 2026
Starting February 2, 2026, the FDA will enforce QMSR aligned with ISO 13485:2016. What this means for medical device manufacturers—and why waiting is no longer an option.
תרשים שילוב מדדי קיימות במדדי איכות – Green QA ו‑ESG

איכות ירוקה (Green QA & ESG): מדד חדש בעידן של קיימות

By Ronit Sade January 29, 2026
למד כיצד עקרונות Green QA ו‑ESG משנים את עולם הבטחת האיכות – מדידת פליטות פחמן, אנרגיה ופסולת כחלק אינטגרלי בדוחות איכות.
גרף שמציג תהליך עמידה ב‑21 CFR Part 11 לרשומות וחתימות אלקטרוניות

Electronic Records & Electronic Signatures – מדריך מקצועי ל‑21 CFR Part 11

By Ronit Sade January 22, 2026
מדריך מקצועי ל‑21 CFR Part 11 של ה‑FDA לניהול רשומות וחתימות אלקטרוניות — דרישות, טעויות נפוצות, וולידציה, אבטחה ודוגמאות יישום מהשטח.