מתי נכנס תיקון 13 לחוק הגנת הפרטיות לתוקף?

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף באוגוסט 2025 ומרחיב את סמכויות האכיפה של הרשות להגנת הפרטיות, לרבות בכל הנוגע לשימוש במערכות בינה מלאכותית.

האם שימוש ב-Claude או ב-ChatGPT בארגון מחייב ציות לחוק הגנת הפרטיות?

כן. אם מועבר למודל AI מידע אישי מזהה, הארגון עשוי להיות מחויב ברישום מאגר, מינוי ממונה פרטיות ועריכת תסקיר השפעה, ללא קשר לזהות ספק ה-AI.

מהו תסקיר השפעה על הפרטיות (PIA) ומתי צריך לערוך אותו?

תסקיר השפעה על הפרטיות (Privacy Impact Assessment) הוא הליך מובנה לזיהוי וצמצום סיכוני פרטיות לפני השקת מערכת. הרשות ממליצה לערוך אותו לפני כל שילוב של AI המעבד מידע אישי.

מה ההבדל בין מערכת AI מדף לבין מערכת מותאמת אישית מבחינת רגולציית פרטיות?

מערכת מותאמת אישית מאפשרת לקבוע מראש אילו נתונים מועברים, כיצד מנוהלות הרשאות והיכן נשמרים תוצרים, ובכך לשלב עמידה ברגולציה בתוך הארכיטקטורה עצמה.

מה תפקידו של ממונה הגנת הפרטיות בארגון שמשתמש ב-AI?

הממונה אחראי על פיקוח ציות ארגוני לדיני הפרטיות, לרבות בחינת הסכמי ספקי AI, הגדרת מדיניות שימוש במידע אישי ועריכת תסקירי השפעה.

חוק הגנת הפרטיות ו-AI: מה שכל ארגון בישראל חייב לדעת לפני אוגוסט 2025

רגולציה חדשה, מציאות חדשה

באפריל 2025 פרסמה הרשות להגנת הפרטיות טיוטת הנחיה חדשה הקובעת כיצד יחול חוק הגנת הפרטיות על מערכות בינה מלאכותית. ההנחיה מגיעה בשעה קריטית: תיקון 13 לחוק נכנס לתוקף באוגוסט 2025 ומרחיב משמעותית את סמכויות האכיפה של הרשות. עבור ארגונים שכבר משלבים מודלי שפה גדולים (LLM) כמו Claude של Anthropic, GPT או מודלים מקומיים לתוך תהליכי העבודה, השינוי הרגולטורי הזה אינו תיאורטי.

מה קובעת ההנחיה החדשה

ההנחיה מגדירה לראשונה את יישום הוראות חוק הגנת הפרטיות לאורך כל מחזור החיים של מערכת AI, החל משלב האימון של המודל, דרך הפיתוח, ועד לשלב השימוש בפועל בארגון. כלומר, ארגון שמעביר מידע אישי למודל AI חיצוני, גם לצרכי ניתוח פנימי בלבד, עשוי להיות כפוף לדרישות רישום מאגר, מינוי ממונה על הגנת הפרטיות, ועריכת תסקיר השפעה על הפרטיות (PIA).

שלושת הציוות המרכזיים

מינוי ממונה הגנת פרטיות: הרשות הבהירה שתאכוף חובה זו בנוקשות, במיוחד כשמדובר בארגונים המשתמשים ב-AI לעיבוד מידע רגיש.
תסקיר השפעה על הפרטיות (PIA): הרשות ממליצה על עריכת תסקיר לפני כל שילוב של מערכת AI המעבדת מידע אישי, על מנת לזהות סיכונים ולצמצמם מראש.
אבטחת קוד פתוח: הרשות פרסמה גם עקרונות לניהול סיכוני אבטחה בשימוש בקוד פתוח בתוך מערכות מאגר, נושא רלוונטי במיוחד לארגונים שמאמנים או מכווננים מודלים מקומיים.

Claude כדוגמה לאתגר הרגולטורי

מודלי שפה כמו Claude של Anthropic מוצבים לרוב כפתרון ארגוני בטוח יחסית, בין היתר בשל מדיניות הפרטיות המחמירה של החברה ואפשרויות לפרסום ב-API ללא שמירת שיחות. עם זאת, מנקודת המבט של הרגולציה הישראלית, מה שקובע אינו השם של המוצר אלא אופן השימוש בו: האם מועבר אליו מידע מזהה? האם התוצאות נשמרות במאגר? מי נושא באחריות כבעל המאגר?

מניסיוננו ב-R.A.S Systems, ארגונים רבים שילבו כלי AI מסחריים מבלי לבחון את השאלות הרגולטוריות הללו. ההנחיה החדשה מחייבת תשובות ברורות לפני השימוש, לא אחריו.

גישת ה-Privacy by Design ביישומים מותאמים אישית

הדרך האפקטיבית ביותר להתמודד עם הרגולציה אינה לוותר על יתרונות ה-AI, אלא לבנות את המערכות נכון מלכתחילה. עיקרון ה-Privacy by Design, שבו הגנת הפרטיות מוטמעת בתשתית ולא מתווספת כשכבה חיצונית, הוא בדיוק מה שמייחד מערכות ליבה מותאמות אישית לעומת פתרונות מדף גנריים.

כשמערכת עסקית בנויה לפי דרישות הארגון הספציפי, ניתן לקבוע מראש: אילו שדות מועברים למודל, כיצד מנוהלות ההרשאות, היכן נשמרים התוצרים, ומי ממונה על הממשק עם ספק ה-AI. שליטה מלאה בארכיטקטורה פירושה עמידה ברגולציה ללא פשרות על יכולת.

ארגונים שישכילו לשלב את דרישות תיקון 13 לתוך תכנון מערכות ה-AI שלהם, עוד לפני שהרשות תתחיל בפעולות אכיפה, ייהנו לא רק מציות חוקי אלא גם מיתרון תפעולי ומוניטיני שקשה לשכפל.