תיקון 13 לחוק הגנת הפרטיות: מה חייבות לעשות חברות AI וטכנולוגיה בישראל?

חוק הגנת הפרטיות, התשמ"א-1981, הוא החקיקה הראשית בישראל לעניין הגנת מידע אישי. במשך עשורים הוא נחשב מיושן ביחס לאתגרים הדיגיטליים. תיקון 13, שהתקבל בכנסת ב-2023 והוחל בשלבים, קירב את הדין הישראלי לסטנדרטים של GDPR — תקנת הגנת המידע האירופית. **השינויים המרכזיים:** - מינוי חובה של ממונה הגנת מידע (Data Protection Officer — DPO) לגופים מסוימים - חובת ביצוע הערכות השפעה על הפרטיות (DPIA — Data Protection Impact Assessment) לעיבוד בסיכון גבוה - חובות שקיפות מוגברות — מדיניות פרטיות מפורטת, הסכמה מדעת - סמכויות אכיפה מורחבות לרשות להגנת הפרטיות (ILPPA) — כולל קנסות של עד מיליוני שקלים - קביעת כלי ה-Privacy Enhancing Technologies (PETs) כגישה מועדפת לעיבוד מידע

החובה למנות DPO חלה על: - גופים ציבוריים - ארגונים שעיבוד המידע הוא עיסוקם המרכזי - ארגונים שמעבדים מידע רגיש בהיקף נרחב (מידע רפואי, ביומטרי, מיקום, נתוני ילדים) - ארגונים שעוסקים בניטור שיטתי של יחידים בהיקף נרחב **לחברות AI:** אם המוצר שלך מנתח נתוני משתמשים, מייצר המלצות אישיות, מעבד תמונות/קוד/טקסט שנוצר על-ידי משתמשים — סביר שתיכנס לתחולה. ייעוץ משפטי ספציפי הכרחי לפני מסקנה מוחלטת. **מה DPO עושה:** פועל כנקודת קשר מול הרשות, מייעץ לארגון על ציות, מפקח על ביצוע DPIA, ומשמש כנאמן הגנת מידע. אינו אחראי מישירות — הארגון הוא האחראי.

DPIA הוא תהליך מובנה לזיהוי וניהול סיכוני פרטיות לפני השקת מוצר או תהליך חדש שמעבד מידע בסיכון גבוה. **מתי חובה לבצע DPIA:** - שימוש בטכנולוגיה חדשה שמעבדת מידע אישי - עיבוד מידע רגיש בהיקף גדול - ניטור שיטתי של מרחב ציבורי - פרופיילינג של יחידים (המלצות, אשראי, עבודה) - עיבוד נתוני ילדים **לגבי AI:** כמעט כל מוצר AI צרכני מחייב DPIA. אם המוצר מייצר פרופיל אישי, מעריך נטיות, ממליץ תוכן, מעניק ציון אשראי, או מחליט על קבלה/דחייה — חובה. **מה DPIA כולל:** תיאור העיבוד וצרכיו, הערכת הכרחיות ומידתיות, זיהוי סיכוני פרטיות, אמצעי הפחתה מתוכננים, תוצאה: הליך בסיכון מקובל vs. הליך הדורש אישור הרשות.

תיקון 13 מוסיף ממד חדש לדיון על AI — חובת שקיפות. **Hallucinations ותוצאות שגויות:** מה קורה כשמודל AI מייצר מידע שגוי על אדם? לדוגמה: מערכת AI שמייצרת המלצות אשראי מבוססות על נתונים שגויים, או מערכת HR שדוחה מועמדים בגין ניתוח שגוי. תיקון 13 מחייב: (א) גילוי שהחלטה התקבלה על-ידי מערכת ממוחשבת; (ב) זכות לעיון ולתיקון; (ג) מנגנון ערר. **Deepfakes:** יצירת תוכן פוגע על-ידי AI (deepfake וידאו, קול מזויף) מגדילה חשיפה לתביעות פרטיות + לשון הרע. תיקון 13 אינו מטפל בזה ישירות, אך חובת השקיפות ממשיכה לחול. **הסכמי ספקי AI:** אם אתה משתמש ב-API של OpenAI, Google או ספק אחר, אתה "מעבד מידע" ולא "בעל מאגר". עדיין חלות עליך חובות: לחתום על Data Processing Agreement (DPA) עם הספק, לוודא שהספק עומד בסטנדרטים של GDPR/תיקון 13, ולתעד את השרשרת.

**הקנסות לפי תיקון 13:** הרשות להגנת הפרטיות (ILPPA) קיבלה סמכות להטיל קנסות מינהליים: - עבירות קלות: עד 100,000 ₪ - עבירות חמורות: עד 1,000,000 ₪ - עבירות בנסיבות מחמירות (כוונה, רשלנות, היקף רב): עד מיליוני שקלים **נפגעים יכולים תבוע ישירות:** בנוסף לקנסות הרשות, נפגעים שמידעם הופר יכולים לתבוע בבית המשפט פיצויים — כולל פיצוי ללא הוכחת נזק. **מה מגביר סיכון:** - אי-מינוי DPO כשחובה - אי-ביצוע DPIA לתהליכים בסיכון גבוה - אי-דיווח על פרצת מידע (data breach) לרשות תוך 72 שעות - שמירת מידע מעבר לתקופה הנדרשת

תיקון 13 מעודד — ובמקרים מסוימים מחייב — שימוש בטכנולוגיות שמפחיתות את הפגיעה בפרטיות. **PETs רלוונטיות ל-AI:** - **Differential Privacy:** הוספת רעש סטטיסטי לנתוני אימון כדי שלא ניתן לזהות אנשים ספציפיים - **Federated Learning:** אימון מודל מבוזר — המידע נשאר על המכשיר, רק הפרמטרים עוברים - **Anonymisation & Pseudonymisation:** הסרה/החלפה של מזהים אישיים לפני אימון - **Synthetic Data:** שימוש בנתונים סינתטיים שנוצרו ב-AI עצמו לאימון במקום מידע אמיתי **ההמלצה המעשית:** בניית pipeline של אימון AI עם PETs מוכרות מראש — לא רק מפחיתה סיכון משפטי, אלא גם הופכת למדיניות השקעה: קונים גדולים ולקוחות ארגוניים דורשים זאת.