1. בית
  2. מאמרי בינה מלאכותית
  3. רעידת אדמה רגולטורית: מה משמעות טיוטת הנחיות הרשות להגנת הפרטיות לארגון שלך

רעידת אדמה רגולטורית: מה משמעות טיוטת הנחיות הרשות להגנת הפרטיות לארגון שלך

המדריך המלא לציות (Compliance) וניהול סיכונים בעידן תיקון 13 לחוק הגנת הפרטיות (Original Research)

עדכון אחרון: דצמבר 2025

למי זה מתאים: מנכ"לים (CEO), היועץ המשפטי (Legal Counsel), מנהלי אבטחת מידע (CISO) וממונה הגנת הפרטיות (DPO).
החזר השקעה (ROI) צפוי: הימנעות מקנסות מנהליים מוגדלים, הגנה מפני תביעות ייצוגיות, והבטחת המשכיות עסקית מול שווקים בינלאומיים (GDPR).

השורה התחתונה (The Bottom Line):

תם עידן ה"מערב הפרוע" בשימוש בנתונים לבינה מלאכותית בישראל. שילוב של תיקון 13 לחוק הגנת הפרטיות (שנכנס לתוקף באוגוסט 2025) יחד עם טיוטת הנחיות הרשות להגנת הפרטיות, קובע כי שימוש במידע אישי לאימון מודלים או להסקת מסקנות (Inference) כפוף לרגולציה מחמירה. ארגון שלא יבצע תסקיר השפעה (DPIA) ולא יחיל עקרונות Privacy by Design, חשוף לסנקציות פליליות ומנהליות.

תובנות מרכזיות (Key Takeaways):

  • ההגדרה החדשה: הרשות רואה ב"אימון מודל" (Training) וב"טיוב נתונים" פעולות עיבוד מידע לכל דבר ועניין, הדורשות בסיס חוקי נפרד.
  • חובת השקיפות: לא ניתן להסתתר מאחורי "קופסה שחורה". ארגונים חייבים לספק ללקוחות ולעובדים הסבר על האופן שבו ה-AI קיבל החלטה לגביהם (Explainability).
  • אחריות הדירקטוריון: תיקון 13 מרחיב את סמכויות האכיפה והקנסות, ומטיל אחריות ישירה על נושאי משרה לוודא קיום נהלי אבטחה ופרטיות [1].

הרגולציה כבר כאן: למה זה דחוף עכשיו? (The Regulatory Urgency)

במשך שנים, חברות הייטק וארגונים בישראל פעלו בתחושה שהרגולציה הטכנולוגית משתרכת מאחור. ב-2025 המצב התהפך. פרסום טיוטת הנחיות הרשות להגנת הפרטיות בנושא AI, במקביל לכניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, יצר מסגרת מחייבת ונוקשה.המשמעות היא שכל פרויקט AI בארגון – החל מצ'אטבוט לשירות לקוחות ועד לאלגוריתם לסינון קורות חיים – נמצא תחת זכוכית מגדלת. ארגונים שלא ייערכו משפטית וטכנולוגית מסתכנים לא רק בקנסות, אלא באובדן אמון הציבור ובחסימת האפשרות לפעול מול לקוחות באירופה (בשל הדרישה לתאימות ל-EU AI Act) [2].

זווית מומחה: תובנה מאת ד"ר יניב שנהב
"רגולציה נתפסת לעיתים קרובות כמעצור לחדשנות, אבל ב-AI היא דווקא ההגה שמאפשר לנסוע מהר בבטחה. מנהלים שיתייחסו להנחיות הפרטיות כאל 'צ'ק ליסט' טכני יחמיצו את התמונה הגדולה. השאלה היא כבר לא 'האם מותר לנו להשתמש במידע הזה?', אלא 'האם השימוש במידע בונה אמון או הורס אותו?'. בעידן האלגוריתמי, אמון הוא המטבע החזק ביותר."
ד"ר יניב שנהב, מנכ"ל IIAI, מומחה למנהיגות ופיתוח ארגוני.

ניתוח עומק: עקרונות הליבה בטיוטת 2025 (Core Compliance Principles)

טיוטת הרשות להגנת הפרטיות, כפי שנותחה על ידי משרדי עורכי הדין המובילים (כגון גורניצקי ו-EBN), מציבה שלושה עמודי תווך חדשים לשימוש ב-AI:

  1. מזעור מידע (Data Minimization): אסור "לשאוב את כל האינטרנט". יש להשתמש במינימום המידע האישי הנדרש לאימון המודל. אם אפשר להשתמש במידע אנונימי או בנתונים סינתטיים (Synthetic Data) – חובה לעשות זאת.
  2. יעוד המידע (Purpose Limitation): מידע שנאסף למטרה אחת (למשל: ביצוע הזמנה) לא יכול לשמש אוטומטית למטרה אחרת (אימון מודל שיווקי) ללא הסכמה מפורשת או בסיס חוקי חזק.
  3. זכות ההסבר (Right to Explanation): אם מערכת AI קיבלה החלטה משמעותית לגבי אדם (למשל: סירוב להלוואה), הארגון חייב להיות מסוגל להסביר את הלוגיקה שהובילה להחלטה. זהו אתגר טכנולוגי עצום במודלים של Deep Learning [3].

מבט על הנתונים (Exploring the Data: A 360° View)

  • הזווית הפיננסית (Financial Impact): העלות של אי-ציות זינקה דרמטית. תיקון 13 מאפשר לרשות להטיל עיצומים כספיים גבוהים בהרבה מבעבר (עד מאות אלפי שקלים להפרה), וחשוב מכך – הוא מקל על הגשת תביעות אזרחיות וייצוגיות בגין פגיעה בפרטיות, שעלותן הפוטנציאלית לארגון יכולה להגיע למיליונים [1].
  • הזווית האסטרטגית (Strategic Insight): לפי דוח של EBN Law, הטמעת מנגנוני פיקוח (כגון Human in the Loop) היא לא רק חובה רגולטורית אלא כלי למניעת הטיות (Bias) שעלולות לפגוע במוניטין המותג. חברות המאמצות תקני ISO 42001 (ניהול AI) נהנות מפרמיה במותג המעסיק ובאמון משקיעים [3].
  • הזווית הישראלית (The Israeli Angle): ישראל מיישרת קו עם אירופה. הרשות מדגישה כי שימוש ב-AI חייב להיעשות בהתאם ל"חובת הזהירות" הכללית. סקירה משפטית של משרד פרל כהן מדגישה כי בניגוד לארה"ב, בישראל אין הגנה רחבה של "שימוש הוגן" (Fair Use) על מידע אישי, מה שמחייב משנה זהירות באימון מודלים על דאטה מקומי [4].

המדריך המעשי לציות ב-AI (The Practical Playbook)

כיצד נערכים לרגולציה החדשה?

  1. שלב 1: מיפוי מלאי המידע (Data Inventory) (אחריות: DPO/CIO)
    בצעו מיפוי של כל מערכות ה-AI בארגון. איזה מידע מוזן אליהן? האם הוא מכיל מידע אישי (PII)? היכן יושבים השרתים? ללא מיפוי, אי אפשר לנהל סיכונים.
  2. שלב 2: תסקיר השפעה על הפרטיות (DPIA) (אחריות: יועץ משפטי)
    עבור כל מערכת AI המעבדת מידע רגיש, בצעו תסקיר הבוחן את הסיכונים לפרטיות הנושאים (Data Subjects) ואת האמצעים שננקטו לצמצומם. הרשות רואה במסמך זה תנאי סף להוכחת תום לב.
  3. שלב 3: עדכון מדיניות פרטיות והסכמים (Transparency) (אחריות: Legal/Marketing)
    עדכנו את ה-Privacy Policy באתר ובחוזים. עליכם לגלות ללקוחות בבירור: "אנו משתמשים במערכות בינה מלאכותית לצורך X". ודאו שיש לכם סעיפי שיפוי מתאימים מול ספקי ה-AI צד ג' (כמו OpenAI או Microsoft).
  4. שלב 4: מנגנון פיקוח אנושי (Human Oversight) (אחריות: מנהלים תפעוליים)
    במערכות המקבלות החלטות קריטיות (HR, פיננסים, בריאות), ודאו שיש גורם אנושי שמאשר את פלט האלגוריתם לפני שהוא הופך לפעולה. אל תתנו לבוט "ללחוץ על ההדק" לבד.



שאלות נפוצות (Common Questions)

  • האם ההנחיות חלות גם על שימוש פנימי ב-ChatGPT על ידי עובדים?
    כן. אם עובד מזין מידע אישי של לקוחות לתוך כלי ציבורי, זו עשויה להיחשב "דליפת מידע" או עיבוד ללא הרשאה. חובה להגדיר נהלים ברורים (Acceptable Use Policy).
  • האם מותר להשתמש במידע קיים של הארגון כדי לאמן מודל חדש?
    רק אם המטרה הזו הוגדרה בעת איסוף המידע המקורי, או שיש לכם בסיס חוקי אחר (כגון "אינטרס לגיטימי", אם כי בישראל פרשנות זו עדיין נבחנת). ברוב המקרים, ייעוד מחדש (Repurposing) של דאטה דורש בחינה משפטית מעמיקה.
  • מה קורה אם הספק שלי (Vendor) הוא זה שמפר את הפרטיות?
    כבעלי המאגר (Data Controller), האחריות היא עליכם. עליכם לבצע בדיקת נאותות (Due Diligence) לספק ולוודא שהוא עומד בדרישות החוק ותיקון 13.

סיכום (Conclusion)

טיוטת הנחיות הרשות להגנת הפרטיות ותיקון 13 מסמנים קו פרשת מים. אם עד כה ארגונים שאלו "מה ה-AI יכול לעשות?", מעתה עליהם לשאול "מה מותר ל-AI לעשות?". הציות לרגולציה אינו בירוקרטיה מיותרת, אלא תעודת הביטוח של הארגון בעידן דיגיטלי סוער. ארגונים שישכילו להטמיע פרטיות כחלק מהעיצוב (Privacy by Design) יזכו לאמון הלקוחות וליציבות עסקית לטווח ארוך.

הצעד הבא שלך (Your Next Step)

האם הארגון שלך ערוך לביקורת של הרשות להגנת הפרטיות? אל תחכו לקנס. המכון הישראלי לבינה מלאכותית (IIAI), בשיתוף מומחי משפט וטכנולוגיה, מציע שירות מיפוי סיכונים והכנה לרגולציית ה-AI החדשה.

מקורות (Bibliography)

  • [1] EBN Law (2025). Draft Guidance from the Israeli Privacy Protection Authority on the Application of the Privacy Protection Law on Artificial Intelligence Systems.
  • [2] Gornitzky GNY (2025). Privacy in Artificial Intelligence Systems – Guidelines of the Israeli Privacy Protection Authority.
  • [3] Pearl Cohen (2025). Israel: New Draft Guidelines on the Application of Privacy Law to AI.
  • [4] Cahane, A., & Sierra, M. (2025). Nascent regulatory sandbox frameworks for AI in Israel. Cambridge Forum on AI.


פטיש שופטים מונח על גבי מסמך דיגיטלי המציג קוד בינה מלאכותית, הממחיש את השילוב בין משפט לטכנולוגיה


חוק הגנת הפרטיות רגולציית AI בישראל תיקון 13 הנחיות הרשות להגנת הפרטיות DPIA ד"ר יניב שנהב IIAI אתיקה בבינה מלאכותית
איך AI משנה את שוק העבודה הישראלי: מדריך למנהלים ולעובדים בעידן החדש
ליווי והטמעת AI בארגונים: מודל 3 השלבים של המכון הישראלי לבינה מלאכותית
AI ואתיקה: המדריך השלם ליישום אחראי ושקוף במגזר הציבורי בישראל
הערות
* כתובת הדואר האלקטרוני לא תוצג באתר.