מדריך פרטיות לבעל אתר אינטרנט

מה הוא מידע אישי, מהי הסכמה ומה זכויות נושא המידע הגולש באתר

כיצד ליישם את הוראות חוק הגנת הפרטיות (תיקון 13) באתר

בשנת 2024 בתיקון מס' 13 עבר חוק הגנת הפרטיות רפורמה רחבה שהעמיקה את החובות על כל בעל אתר אינטרנט שאוסף מידע אישי או עושה בו שימוש. המדריך הזה נכתב בשבילך, בעל האתר, בשפה מעשית. הוא מבקש לענות על שלוש שאלות: מה הן דרישות החוק לאחר התיקון , מדוע, ומה התוצאה אם לא תעמוד בדרישות.

זה נוגע אליך באופן אישי. ברגע שהאתר שלך אוסף פרט מזהה שם, דוא"ל, כתובת IP החובה המרכזית היא קבלת הסכמה מדעת מהגולש לפני איסוף המידע ועיבודו ולאחר יידוע כנדרש בסעיף 11 לחוק. אליה מצטרפות חובות משלימות לרבות יישום רמת אבטחה בהתאם לתקנות.

מה קורה אם אתה לא עומד בדרישות? אתה חשוף בשלושה מישורים. אזרחי, פיצויים לדוגמה עד 10,000 ש"ח לכל הפרה, ללא הוכחת נזק (סעיף 15א) בנוסף לאחריות נזיקית רגילה. פלילי, פגיעה בפרטיות היא עבירה. מנהלי, עיצום כספי וצווי הפסקת פעילות מטעם הרשות להגנת הפרטיות (פרק ד'3). לכך מצטרפות פגיעה במוניטין ואובדן אמון לקוחות.

המדריך עוסק בדרישות בסיסיות הרלוונטיות לרוב האתרים. על אתרים המחזיקים מידע בהיקף משמעותי או מידע רגיש חלות חובות נוספות. פנה אלינו לייעוץ פרטני וליווי ע"י עורכי דין מומחים לפרטיות

למידע נוסף תיקון 13 לחוק הגנת הפרטיות, הרפורמה החשובה ביותר בדיני הפרטיות מאז 1981

״באתר כל קליק משאיר עקבות, כל טופס אוסף מידע ותנאי השימוש מחייבים גם כשאיש לא קורא אותם. עמידה בהוראות הדין אינה המלצה, זוהי חובה חוקית.״
הלפרט מאיוורם ושות׳, עורכי דין מומחים

"מידע אישי ", "עיבוד" והסכמה לאיסוף מידע

הגדרות מחוק הגנת הפרטיות (לאחר תיקון 13) שבעל אתר חייב להכיר

סוגי המידע

סעיף 3 לחוק הגנת הפרטיות

מידע אישי

נתון הנוגע לאדם מזוהה או ניתן לזיהוי במאמץ סביר — שם, מס' זהות, IP, מזהי מכשיר, מיקום, מצב פיזי/בריאותי/כלכלי/חברתי.

מידע בעל רגישות מיוחדת

רשימה סגורה בחוק — חלות חובות מחמירות יותר:

עיבוד ושימוש במידע

סעיף 7 לחוק הגנת הפרטיות; חריג: סעיף 8(א)

כל פעולה על מידע אישי לרבות קבלתו, איסופו, אחסונו, עיון בו, גילויו, העברתו, מתן גישה ואפילו מחיקתו נחשבות עיבוד מידע.

נקודה חשובה: קבלת פרט מזהה בטופס או לוגים משרת הם עיבוד לכל דבר, ומכאן חלות כל חובות החוק.

חריג מצומצם (לסעיף 8 בלבד): אחסון באקראי ובתום לב אינו "עיבוד".

איסור עיבוד ללא מטרה או ללא הרשאה

סעיף 8 לחוק הגנת הפרטיות (לאחר תיקון התשפ"ד)
  • לא יעובד מידע אישי אלא למטרת המאגר שנקבעה לו כדין.
  • לא יעובד מידע אישי בלי הרשאה מבעל השליטה, או בחריגה מהרשאה.
  • בעל השליטה לא יעבד ולא ירשה לאחר לעבד מידע שנוצר/התקבל/נאסף בניגוד לחוק.

כשאתה אוסף מידע אישי של גולשים באתר, אתה מחויב בהסכמה מדעת

"הסכמה" לפי סעיף 3 = הסכמה מדעת, במפורש או מכללא. בשונה מ-GDPR, הדין הישראלי מכיר גם בהסכמה מכללא — אך היא חייבת להיות מדעת: המשתמש צריך לקבל מידע מספק לפני שמסכים.

המדריך המפורט בהמשך מסביר כיצד לעמוד בדרישות בפועל ←

חובת ההסכמה לפי חוק הגנת הפרטיות

המידע מבוסס על עמדת הרשות להגנת הפרטיות (פברואר 2026) וחוק הגנת הפרטיות, התשמ"א-1981

מדוע ההסכמה חשובה?

חוק הגנת הפרטיות, התשמ"א-1981, קובע כי אין לפגוע בפרטיות אדם ללא הסכמתו. סעיף 1 לחוק הוא חד-משמעי: "לא יפגע אדם בפרטיות זולתו ללא הסכמתו." עיבוד מידע אישי ללא הסכמה תקפה הוא עוולה אזרחית, ובמקרים מסוימים עבירה פלילית.

בעל אתר אינטרנט שאוסף פרטי משתמשים: כתובת דוא"ל, שם, מיקום, דפוסי גלישה, נושא בחובות ברורות. הרשות להגנת הפרטיות פרסמה בפברואר 2026 עמדה מפורטת הקובעת כיצד יש לקבל הסכמה כדין. אז מה עושים ? ריכזנו את עיקרי הדרישות ואיך מתמודדים איתם.

המסגרת החוקית

בין היתר 3 חיקוקים עיקריים חלים על בעל אתר אינטרנט

  • חוק הגנת הפרטיות, התשמ"א-1981: מחייב הסכמה לכל איסוף ועיבוד מידע אישי.
  • חוק התקשורת (בזק ושידורים), התשמ"ב-1982: אוסר משלוח דיוור ישיר ללא הסכמה מפורשת מראש, בכתב.
  • חוק הגנת הצרכן, התשמ"א-1981, סעיף 14ט: מחייב קישור בולט וברור לביטול עסקה בכל אתר שמבצע עסקאות.
הגדרת "הסכמה" בחוק

סעיף 3 לחוק מגדיר 'הסכמה' כ'הסכמה מדעת, במפורש או מכללא'. כלומר, ההסכמה חייבת לכלול הבנה של המשתמש את משמעות הפעולה ותוצאותיה.

אילו הסכמות מקוונות מחייבות ?

הפסיקה הישראלית מבחינה בין שני סוגי הסכמה מקוונת:

1. הסכם הקלקה (Clickwrap): מחייב

הסכם שבו המשתמש נדרש לאשר באופן יזום, לחיצה על כפתור 'אני מסכים' לאחר שתנאי ההסכם הוצגו בפניו. הסכמים מסוג זה הוכרו בפסיקה כמחייבים.

ת"ץ 55512-07-18 ליבאי נ' קורל-תל אביב
2. הסכם גלישה (Browsewrap): אינו מחייב בדרך כלל

הסכם שבו תנאי האתר מפורסמים רק כקישור. המשתמש אינו נדרש לאשר אותם. הסכמים מסוג זה לא הוכרו כמחייבים בדרך כלל. אם האתר שלך מפרסם קישור למדיניות פרטיות בלבד, ללא דרישה לסימון יזום, ההסכמה עלולה שלא להיות מוכרת בבית המשפט.

מה הכוונה "בהסכמה מדעת"?

כדי שהסכמה תהיה "מדעת", על בעל האתר לוודא כי המשתמש מבין את מה שמתבקש ממנו. בית המשפט קבע כי ההסכמה חייבת להינתן לאחר שהאדם יודע ומבין את משמעות הפעולה המבוקשת, את הפגיעה הצפויה ואת תוצאותיה.

הצגת מידע חלקי, שימוש בניסוח עמום כגון "בין היתר", הסתרת מידע מהותי במסמכים ארוכים ומסורבלים, כל אלה פוגמים בתוקף ההסכמה.

ת"צ 25669-04-21 Meta Platforms

חובת היידוע. איזה מידע חייב למסור בבקשה להסכמת משתמש באתר?

סעיף 11 לחוק הגנת הפרטיות מחייב כל מי שפונה לאדם לצורך קבלת מידע אישי לצורך עיבודו במאגר מידע, לצרף הודעה הכוללת את כל הפרטים הבאים:

  1. חובה חוקית או רשות: האם חלה על המשתמש חובה חוקית למסור את המידע, או שמסירתו תלויה ברצונו.
  2. תוצאות אי-הסכמה: מה יקרה אם לא ימסור את המידע.
  3. מטרת הבקשה: מה המטרה שלשמה מתבקש המידע.
  4. זהות בעל המאגר: שם בעל מאגר המידע ודרכי ההתקשרות עמו.
  5. מקבלי המידע: למי ייכלל המידע ולאיזו מטרה הוא עשוי להיות מועבר.
  6. זכויות המשתמש: קיום זכות העיון לפי סעיף 13 וזכות לבקש תיקון לפי סעיף 14.
סעיף 11: הדרישה המינימלית

עמידה בסעיף 11 היא הדרישה המינימלית מכוח חובת העדכון. אולם , עמידה בסעיף 11 בלבד אינה מספיקה כדי לוודא הסכמה מדעת, בעיקר כאשר קיים פער כוחות או כאשר עיבוד עשוי לפגוע פגיעה קשה או כאשר מדובר בטכנולוגיה חדשה שתוצאותיה אינן ברורות לדוגמה עיבוד ע"י בינה מלאכותית.

הסכמה מרצון חופשי

ההסכמה חייבת להינתן מרצון חופשי. כאשר קיים פער כוחות בין המבקש לנושא המידע, ההסכמה "חשודה", והנטל להוכיח שניתנה מרצון עובר לבעל האתר.

מצבים שבהם ההסכמה נחשבת חשודה:

  • יחסי עובד-מעביד: הסכמת עובד לניטור מצלמות בביתו.
  • שירות חיוני: הסכמה לאיסוף מידע כתנאי לשימוש בתחבורה ציבורית, אינטרנט או שירות בריאות.
  • מונופול: כאשר אין לצרכן חלופה מעשית.

שתיקת המשתמש, גלישה באתר בלבד, או היעדר התנגדות, אינם מהווים הסכמה תקפה לפי עמדת הרשות להגנת הפרטיות. גם "הסכמה מכללא" מצריכה קיום נסיבות ברורות שניתן ללמוד מהן על הסכמה.

"טקטיקות אפלות" אסורות (Dark Pattern)

שימוש בכלים עיצוביים מניפולטיביים שנועדו להקשות על המשתמש להבין את משמעות הסכמתו, פוסל את ההסכמה. דוגמאות:

  • חלון קופץ שחוסם את המסך ואינו מאפשר גישה להסבר על מטרות השימוש.
  • כפתור "לא מסכים" אפור וקטן לעומת כפתור "מסכים" בולט.
  • תיבת סימון מסומנת מראש לשיווק ישיר.
  • מסמכי תנאי שימוש ארוכים, עמומים ובלתי קריאים.

הסכמה נפרדת לדיוור ישיר ושיווק

הסכמה לדיוור ישיר (מיילים שיווקיים,SMS, טלפון) כפופה לשלושה תנאים מצטברים לפי חוק התקשורת. מפורשת: לא ניתן להסיק מהתנהגות כללית. מראש: לפני משלוח ההודעה הראשונה. בכתב: לרבות בדרך אלקטרונית.

הסכמה לדיוור ישיר חייבת להיות נפרדת לחלוטין מהסכמה לתנאי השימוש. אין לאחד אותן. הסכמה לקבלת הודעות שיווקיות חייבת להינתן על ידי הנמען עצמו, לא ניתן לקבל הסכמה באמצעות גורם אחר.

ת"מ 7596-02-16 סלמן נ' הוט תקשורת

הסכמה פעילה (Opt-in) לעומת הסכמה סבילה (Opt-out)

חוק הגנת הפרטיות מאפשר הסכמה גם מכללא. אולם מומלץ להעדיף הסכמה פעילה, ובמקרים מסוימים, הסכמה פעילה היא החובה:

  • איסוף מידע שאינו נחוץ לליבת השירות: כגון מיקום, פרופיילינג, מכירת מידע לצדדים שלישיים.
  • דיוור ישיר ושיווק: תמיד נדרשת הסכמה פעילה ומפורשת (Opt-in).
  • עיבוד מידע בעל רגישות מיוחדת: כגון מידע רפואי, ביומטרי, גנטי.
  • מצבים של פערי כוחות משמעותיים.

הסכמה סבילה (Opt-out): ניתן להסתמך עליה רק כאשר קיים קשר ישיר סביר בין מטרת איסוף המידע לאופן השימוש בו, וכאשר הנסיבות מצביעות באופן ברור על הסכמה.

זכות החזרה מהסכמה

בית המשפט העליון קבע כי במקרים מסוימים, ובמיוחד כשמדובר בפגיעה קשה בפרטיות, לאדם עומדת הזכות לחזור בו מהסכמתו. חזרה מהסכמה אינה מבטלת את חוקיות האיסוף שנעשה עד אותה עת, אך מחייבת את בעל האתר להפסיק את עיבוד המידע.

מומלץ שבעל מאגר מידע יבחן בחיוב כל בקשה לחזרה מהסכמה, אפילו אם ההסכמה ניתנה כדין. יש לכלול מנגנון נוח ובולט לביטול הסכמה בכל תקשורת עם המשתמש.

קטינים: דרישות מיוחדות

קטינים אינם כשרים לתת הסכמה לאיסוף מידע. נדרשת הסכמת אפוטרופוס. אם יש אפשרות שמשתמשי האתר הם קטינים, יש להוסיף מנגנון לאימות גיל ולקבלת הסכמת הורה.

ת"צ 54160-03-23 X Corp נ' פלונית

איך להתאים את האתר לדרישות חוק הגנת הפרטיות לאחר תיקון 13?

שלב א: לפני כניסת המשתמש לאתר

כתוב מדיניות פרטיות בשפה פשוטה, קצרה ונגישה. מדיניות ארוכה ומסורבלת פוגמת בתוקף ההסכמה. כלול את כל הפרטים הדרושים לפי סעיף 11 לחוק.

שלב ב: בעת ההרשמה, תיבת הסימון לתנאי שימוש

הצג תיבת סימון נפרדת ויעודית לתנאי השימוש, שאינה מסומנת מראש. על המשתמש לסמן אותה באופן יזום. לפני הסימון, הצג בצורה ברורה: מטרות האיסוף, שם בעל המאגר, למי יועבר המידע, שמסירתו רשות ולא חובה, תוצאות אי-ההסכמה, וזכות העיון והתיקון לפי סעיפים 13–14 לחוק.

שלב ג: תיבת סימון נפרדת לדיוור ישיר ושיווק

הצג תיבת סימון נפרדת לחלוטין מתנאי השימוש. לא ניתן לאחד אותה עם ההסכמה לתנאים. הבקשה חייבת להיות מפורשת, לדוגמה: "אני מסכים לקבל עדכונים ומבצעים שיווקיים בדוא"ל / SMS". כלול בכל הודעה שיווקית עתידית קישור נוח וברור להסרה.

שלב ד: הימנע מ'טקטיקות אפלות'

בדוק כי אין עיצוב מניפולטיבי: כפתור "אני מסכים" לא יבלוט מכפתור "אני לא מסכים". אין תיבות מסומנות מראש. אין חלונות קופצים חוזרים שמקשים על סירוב.

שלב ה: תיעוד ושמירת הוכחות

חובת ההוכחה מוטלת על בעל האתר. שמור תיעוד מלא: תאריך ושעת ההסכמה, כתובת ה-IP של המשתמש, הנוסח המדויק של ההסכמה שהוצגה, האם תיבת הדיוור נסומנה בנפרד. תיעוד זה הכרחי להוכחה בפני הרשות, בית המשפט, ובכל הליך לפי חוק.

שלב ו: אבטחת מידע

על פי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, חלה חובה לקיים נוהל אבטחת מידע בהתאם לרמת הרגישות של המידע הנאסף.

שלב ז: קישור ביטול עסקה (אתרי מסחר)

על פי סעיף 14ט לחוק הגנת הצרכן, על אתר שמבצע עסקאות לכלול בדף הבית קישור ייעודי, בולט וברור, שדרכו ניתן לשלוח הודעת ביטול עסקה.

צ'ק ליסט לבעל אתר אינטרנט האוסף מידע אישי

תיבת סימון נפרדת לתנאי שימוש, אינה מסומנת מראש
תיבת סימון נפרדת לשיווק ישיר, אינה מסומנת מראש
הצגת מטרות איסוף המידע לפני הסימון
ציון שם בעל מאגר המידע ודרכי התקשרות
פירוט למי ולאיזו מטרה יועבר המידע
הבהרה שמסירת המידע היא רשות, לא חובה
הודעה על תוצאות אי-ההסכמה (סעיף 11 לחוק)
ציון זכות עיון ותיקון לפי סעיפים 13–14 לחוק
קישור ברור ובולט לביטול עסקה (אתרי מסחר)
שמירת תיעוד הסכמה: תאריך, IP, נוסח מדויק
נוהל אבטחת מידע בהתאם לתקנות
מנגנון אימות גיל (אם האתר פונה לקטינים)
אפשרות נוחה לחזרה מהסכמה

אתרים המחזיקים מידע אישי בהיקף נרחב או מידע אישי בעל רגישות מיוחדת

פריטים אלה אינם מכוסים בצ'ק ליסט לעיל ומחייבים בדיקה נפרדת.

? האם זיהיתי את סוגי המידע שאני אוסף, ובפרט האם יש מידע בעל רגישות מיוחדת (סעיף 3)?
? האם יש לי מסמך הגדרות מאגר מעודכן (תקנה 2) שנבחן בשנה האחרונה ולא יאוחר מ-31 בדצמבר?
? האם המידע שאני שומר אינו עולה על הנדרש למטרות המאגר — עקרון המינימום (תקנה 2(ג))?
? האם המאגר חייב רישום (סעיף 8א(א)) או הודעה (סעיף 8א(ב))? האם הרישום/ההודעה עודכנו?
? האם אני מבצע ביקורות תקופתיות, ובמידת הצורך סקר סיכונים ומבדקי חדירות (תקנות 5(ג)–(ד), 16)?
? האם יש לי מנגנון תיעוד גישה ושמירת נתונים לפחות 24 חודשים (תקנות 10, 17)?
? האם אני יכול לדווח באופן מיידי על אירוע אבטחה חמור לרשם (תקנה 11(ד))?
? האם הסכמי מיקור חוץ עומדים בתקנה 15 — כולל דיווח שנתי, החזר מידע בסיום, והודעה על אירוע אבטחה?
? בדיוור ישיר — האם המאגר רשום, כל פנייה כוללת פרטי סעיף 17ו(א), ואני מכבד בקשות מחיקה/אי-מסירה?
? האם חלה חובת מינוי ממונה על הגנת הפרטיות (סעיף 17ב1) או ממונה אבטחת מידע (סעיף 17ב)? האם המינוי נעשה ודרכי ההתקשרות מפורסמות?

סיכום

דיני הגנת הפרטיות מטילים על בעל אתר אינטרנט חובות ברורות ומשמעותיות. הסכמה לא תקפה, בין שהיא לא ניתנה כלל, בין שניתנה ללא מידע מלא, ובין שניתנה תחת כפייה, עלולה לחשוף את בעל האתר לתביעה אזרחית, קנס כספי, ואף הליך פלילי.

מומלץ לבצע ביקורת תקופתית של מנגנוני ההסכמה באתר. כל שינוי מהותי בתנאי השימוש או במדיניות הפרטיות מחייב קבלת הסכמה מחודשת מהמשתמשים.

מקורות: חוק הגנת הפרטיות התשמ"א-1981; עמדת הרשות להגנת הפרטיות (פברואר 2026); חוק התקשורת התשמ"ב-1982; חוק הגנת הצרכן התשמ"א-1981

הגנת הפרטיות: לקוחות שואלים

שאלות נפוצות על חוק הגנת הפרטיות וחובות בעלי אתרים

צור קשר

נשמח לשמוע ממך, לענות על שאלותיך ולסייע בכל נושא משפטי.

ניתן לפנות אלינו גם בטלפון, דואל או בוואטסאפ.

הטופס נשלח בהצלחה!
נחזור אליך בהקדם האפשרי.
הסכמה זו נדרשת כדי לעבד את פנייתך