top image

תקנות הגנת הפרטיות (התראה מינהלית)

התראה מינהלית הגנת הפרטיות

תקנות הגנת הפרטיות (התראה מינהלית) 2026 – מה שחייבים לדעת

תקנות הגנת הפרטיות (התראה מינהלית), התשפ"ו-2026, קובעות רשימה סגורה ומצמצמת של נסיבות שבהן רשאי ראש הרשות להגנת הפרטיות לבחור בהתראה חלף עיצום כספי – בעיקר הפרות ראשונות בחודשים הראשונים לכניסת הוראה חדשה לתוקף, או מצבי חוסר בהירות רגולטורית. על אי-מינוי DPO, אי-מינוי ממונה אבטחת מידע, כשל בדיווח על אירועי אבטחה ופגיעה בזכויות נושאי מידע – אין מסלול התראה. רק קנס. הסמכות היא "רשאי", לא "חייב" — ואפילו בתנאי הרשימה, הרשות שומרת לעצמה שיקול דעת מלא. משרד וולר ושות' בחיפה, המדורג BDI ו-Dun's 100 לשנת 2026 ופועל מאז 1965, מלווה ארגונים בבניית מערך ציות מניעתי לתיקון 13 לחוק הגנת הפרטיות.

מיפוי מאגרי מידע | מינוי DPO חיצוני | מדיניות פרטיות | ביקורת ציות | ייצוג מול הרשות | 04-8661537 | WhatsApp

המהפכה האכיפתית: תיקון 13 כנקודת מפנה

תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2025) הגדיר מחדש את יחסי הכוחות בין הרשות להגנת הפרטיות לבין המגזר העסקי והציבורי. התיקון העניק לרשות ארגז כלים אגרסיבי, הכולל סמכויות חקירה מורחבות ויכולת להטיל עיצומים כספיים משמעותיים בהליך מנהלי מהיר, ללא צורך בהוכחת יסוד נפשי פלילי.

במסגרת זו, הותקנו תקנות ההתראה המינהלית, המאפשרות לראש הרשות להמיר עיצום כספי בהתראה – מעין "כרטיס צהוב" רגולטורי. אולם, חשוב להבין את המגבלות המובנות במנגנון זה.

מה קובעות התקנות בפועל?

סמכות שיקול הדעת – "רשאי", לא "חייב"

הנקודה הראשונה והחשובה: התקנות מסמיכות את ראש הרשות לשקול מתן התראה מינהלית – אך אינן מחייבות אותו לעשות כן. הלשון היא "רשאי", לא "חייב". כלומר, גם בתוך התנאים שהתקנות מפרטות, שמורה לראש הרשות סמכות שיקול דעת מלאה לבחור בעיצום כספי ישיר. מדובר בהתראה כאפשרות, לא כזכות.

מהן הנסיבות שבהן ייתכן שתינתן התראה?

התקנות מבהירות באופן שאינו משתמע לשתי פנים כי הסמכות למתן התראה היא סמכות שבשיקול דעת ("רשאי"). אין מדובר בזכות מוקנית של התאגיד המפר. גם כאשר התנאים מתקיימים, ראש הרשות רשאי לבחור במסלול של עיצום כספי מיידי.

  • הפרה ראשונה בתוך שלושה חודשים מכניסתה לתוקף של הוראה חדשה – כאשר ברור שלארגון לא הייתה הזדמנות סבירה להיערך.
  • מצב של חוסר בהירות רגולטורית – כאשר נסיבות ההפרה מעלות שאלה פרשנית לא פתורה לגבי תחולת הדין.
  • שינוי מדיניות אכיפה לחומרה – כאשר הרשות שינתה עמדה קודמת שלה, וההפרה בוצעה בהסתמך על הפרשנות הישנה.
  • הפרה ראשונה של הוראות מסוימות באבטחת מידע – בנסיבות ספציפיות ומצומצמות.

רשימה זו היא ממצה. כלומר, מה שלא נכנס לרשימה, לא מאפשר התראה. ועבור מרבית ההפרות הנפוצות, הרשימה אינה רלוונטית.

 

מהן ההפרות שעליהן לא תינתן התראה מינהלית?

זהו החלק הקריטי שארגונים רבים מחמיצים. על ההפרות הבאות, החמורות ביותר מבחינה עסקית, לא קיימת אפשרות של התראה. רק קנס:

1. אי-מינוי DPO (ממונה הגנת פרטיות)

תיקון 13 מטיל חובת מינוי DPO על ארגונים שמידע אישי הוא לב פעילותם, או שהפעילות יוצרת סיכון מוגבר לפרטיות. אי-מינוי הוא הפרה מיידית שאינה נכנסת לתנאי ההתראה. ארגון שעדיין אינו ממנה DPO חשוף לעיצום כספי ישיר.

2. אי-מינוי ממונה אבטחת מידע

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, מחייבות מינוי ממונה אבטחת מידע במאגרים ברמת אבטחה בינונית וגבוהה.

3. כשל ברישום ודיווח

אירועי אבטחה במאגר מידע ברמה בינונית ומעלה חייבים בדיווח לרשם מאגרי המידע. כשל בדיווח – הפרה שאינה מוכנסת לגדר ההתראה.

4. פגיעה בזכויות נושאי מידע

כל הפרה של זכות עיון, זכות מחיקה או זכות תיקון של אדם ביחס למידע עצמו, מהווה הפרה ישירה של החוק, ללא מסלול התראה.

5. העברת מידע לחו"ל ללא הסמכה

תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, ותקנות יבוא המידע מאירופה – הפרות בתחום זה חמורות ואינן נכנסות לגדר ההתראה.

למה ארגונים מפרשים את התקנות בצורה שגויה?

הפרשנות המוטעית נובעת מכותרת התקנות. "התראה מינהלית" נשמעת כמו הקלה. בתחומי משפט אחרים, כגון דיני עבודה או דיני תכנון ובניה, התראה מינהלית אכן מהווה שלב ראשון שגרתי לפני סנקציה. אך כאן, המחוקק בחר במכוון להגביל את ההתראה לנסיבות יוצאות דופן בלבד.

ארגון שיקרא "תקנות התראה מינהלית" ויסיק כי "יש לנו זמן" – עלול לגלות במהרה כי ההפרה שלו אינה נכנסת לרשימה, וכי הרשות בחרה שלא להשתמש בשיקול הדעת לטובתו. במצב כזה, הקנס, שיכול להגיע למאות אלפי שקלים ואף למיליונים, יוטל ללא כל התראה מוקדמת.

מהו הסיכון העסקי האמיתי?

הסיכון אינו מוגבל לקנסות הישירים. תיקון 13 מאפשר לראשונה פיצויים בלא הוכחת נזק. המשמעות: חשיפה לתביעות ייצוגיות מצד לקוחות, עובדים וספקים, לצד ההליך המנהלי מול הרשות.

לצד זאת, הרשות עדכנה את מדיניות הפרסום שלה: הסנקציות שהיא מטילה מפורסמות ברבים. פגיעה במוניטין (שלעתים כואבת יותר מהקנס עצמו) הפכה לתוצאה ריאלית ולא תיאורטית.

כיצד להיערך נכון?

ניסיון משרד וולר ושות' בתחום הגנת הפרטיות מלמד כי ארגונים שמקדימים תרופה למכה מתמקדים בחמישה תחומים עיקריים:

א. מיפוי מאגרי המידע ורמות הסיכון

הצעד הראשון הוא הבנה מדויקת של אילו מאגרי מידע מצויים ברשות הארגון, ומהי רמת האבטחה הנדרשת לכל אחד מהם  – בסיסית, בינונית או גבוהה, בהתאם לתקנות אבטחת המידע. מיפוי לא מדויק הוא בעצמו כשל ציות.

ב. מינוי DPO וממונה אבטחה מתאימים

החוק אינו מגדיר דרישות השכלה ספציפיות לDPO, אך הרשות מצפה לבעל כשירות מקצועית רלוונטית. שירות DPO חיצוני – פתרון שמשרד וולר ושות' מציע ומוביל עבור ארגונים שאינם מעסיקים מומחה פרטיות במשרה מלאה – מאפשר עמידה בחובה גם לארגונים קטנים ובינוניים.

ג. עדכון מדיניות הפרטיות והסכמי העיבוד

מדיניות פרטיות מיושנת, שנכתבה לפני תיקון 13, או מדיניות שאינה מותאמת לארגון, אינה עומדת בדרישות חובת היידוע המורחבת. יש לעדכן את ניסוחי ההסכמה, הסכמי עיבוד מידע מול ספקים, ומסמכי מדיניות פנימיים.

ד. בניית נהלי תגובה לאירועי אבטחה

גם ארגון מוגן לא חסין לחלוטין. אירוע אבטחה שמטופל נכון, תוך עמידה בחובת הדיווח בלוחות הזמנים שנקבעו, יכול להישאר ב"רמת הנזק" של עיצום מינורי. אירוע שמטופל בכשל, אפילו אם הארגון היה מוגן אחרת, הופך לבעיה משפטית כבדה.

ה. ביקורת ציות שנתית

הרשות ממליצה, וצפוי כי בעתיד תדרוש, עריכת סקרי סיכונים ומבדקי חדירות תקופתיים לארגונים עם מאגרים ברמה גבוהה. ביקורת ציות שנתית — גם כאשר אינה חובה — מהווה הגנה משפטית בפני טענה כי הארגון פעל בהתעלמות.

 

מה שלא כתוב בחוק – החלק הכי חשוב

התקנות קובעות מתי ייתכן שתינתן התראה. אבל הן לא קובעות מתי חייבת להינתן. ראש הרשות יכול תמיד לבחור בעיצום. ניסיוננו מלמד שהרשות להגנת הפרטיות מאמצת מדיניות אכיפה פרואקטיבית. ארגון שמסתמך על "נקבל התראה ואז נסתדר" עלול לגלות שהחשבון הגיע לפני ההתראה.

לפעמים, מה שלא כתוב בחוק הוא החלק הכי חשוב.

 

לעיון בנוסח התקנות המלא, כאן.

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים, תאגידי מים וביוב, חברות ממשלתיות ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, מכהן כ-DPO ומסייע בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 26/02/2026.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין