הדיון על אבטחת בינה מלאכותית ורגולציה בישראל עבר ב-2025 משיח תיאורטי לחובה משפטית ממשית. ב-14 באוגוסט 2025 נכנס לתוקף תיקון מס' 13 לחוק הגנת הפרטיות - הרפורמה המקיפה ביותר בחוק מזה עשורים - ובמקביל פרסמה הרשות להגנת הפרטיות טיוטת הנחיה ייעודית על החלת חוק הגנת הפרטיות על מערכות בינה מלאכותית. עבור קבלן ביטחוני שמעבד מידע אישי ורגיש - נתוני עובדים, סיווגים ביטחוניים, ביומטריה לבקרת כניסה, נתוני בריאות - זה שילוב שמחייב היערכות מסודרת, ולא בעוד שנתיים אלא עכשיו.[1][2]
מאמר זה מתמקד בממשל (Governance) ותאימות רגולטורית של שימוש ב-AI מול המידע האישי - נושא שונה מהותית מווקטור התקיפה של כלי קידוד מבוססי AI. הניתוח מסביר מה דורשת הנחיית הרשות, מהי חובת ממונה הגנת הפרטיות שנוצרה בתיקון 13, ומה ארגון ביטחוני יכול לעשות כדי לעמוד בדרישות לפני שגל האכיפה של 2026 מגיע אליו.
הבהרה: זה לא המאמר על כלי הקוד מבוססי AI
אם השאלה שלכם היא איך Cursor או Copilot יכולים לשמש כווקטור תקיפה לשרשרת אספקת התוכנה - זה נושא נפרד, ויש לנו עליו מאמר ייעודי על כלי קידוד מבוססי AI בתעשייה הביטחונית. המאמר הנוכחי עוסק בזווית ההפוכה: החובות הרגולטוריות שחלות עליכם כשאתם מפעילים מערכות AI על מידע אישי - מה מותר, מה דורש הסכמה, ומי אחראי בארגון.
תיקון 13 - מה השתנה ולמה קבלן ביטחוני צריך להתעורר
תיקון 13 לחוק הגנת הפרטיות אושר בכנסת ב-2024 ונכנס לתוקף שנה לאחר מכן, ב-14 באוגוסט 2025. הוא משנה את כללי המשחק בכמה מישורים מרכזיים: הגדרות עדכניות ל"מידע" ול"מידע בעל רגישות מיוחדת", הרחבה משמעותית של סמכויות האכיפה של הרשות להגנת הפרטיות (כולל עיצומים כספיים מוגברים), חובה חדשה למינוי ממונה על הגנת הפרטיות בסוגי ארגונים מסוימים, וצמצום חובת רישום מאגרי המידע.[2][8]
למה זה נוגע ישירות לקבלן ביטחוני? כי בניגוד לתפיסה הרווחת, קבלן ביטחוני פרטי אינו בהכרח "גוף ביטחוני" הפטור מהחוק. הפטור בחוק מכוון לגופי הביטחון של המדינה (כגון שב"כ, מוסד, צה"ל), לא לחברה מסחרית פרטית שמספקת להם. חברה כזו מעבדת בשגרה מידע בעל רגישות מיוחדת: נתוני בריאות של עובדים, ביומטריה לבקרת גישה, מידע פיננסי, ולעיתים נתונים המצביעים על סיווג ביטחוני. ברגע שמכניסים מערכת AI שמנתחת את המידע הזה - הרגולציה נכנסת לתמונה במלואה.
🟠 תקופת אי-אכיפה זמנית - ולא ארכה כללית
הרשות הודיעה על מדיניות אי-אכיפה זמנית לגבי חובת מינוי ממונה הגנת פרטיות עד 31 באוקטובר 2025, כדי לתת לארגונים זמן היערכות. חשוב להבין: מדובר בהקלה נקודתית וקצובה על סעיף הממונה - לא בדחיית כניסת החוק כולו. יתר הוראות תיקון 13 חלות מיום 14.8.2025. נכון ל-2026, "חלון החסד" הזה מאחורינו.[1][6]
הנחיית הרשות להגנת הפרטיות על מערכות בינה מלאכותית
במקביל לתיקון 13 פרסמה הרשות להגנת הפרטיות טיוטת הנחיה על החלת חוק הגנת הפרטיות על מערכות בינה מלאכותית (הטיוטה הועמדה להערות הציבור עד 5 ביוני 2025). ההנחיה מבהירה את פרשנות הרשות לגבי חובות הארגון בכל שלבי מחזור החיים של מערכת AI - מאיסוף וסינון נתוני האימון, דרך אימון המודל, ועד ההפעלה התפעולית. אלה עמודי התווך של ההנחיה:[3][4]
מסקנות והסקות של AI = מידע אישי
עמדת הרשות: כל מערכת שמאחסנת, מעבדת או מסיקה מידע אישי - כולל תובנות, סיווגים או תחזיות התנהגותיות על אדם מזוהה - כפופה לחוק, גם אם המידע לא נמסר במפורש על ידי אותו אדם. פרופיל שנוצר על ידי המודל הוא מידע אישי לכל דבר, ולעיתים מידע רגיש.
הסכמה מדעת ושקיפות
שימוש במידע אישי במערכת AI מחייב הסכמה מדעת. יש ליידע את מושא המידע על מטרות האיסוף, אופן העיבוד ב-AI, מקורות המידע, הסיכונים, והאם מעורבת מערכת אוטומטית בקבלת ההחלטה. שקיפות "ברירת מחדל" כבר לא מספיקה.
גריפת מידע (Scraping) לאימון - הפרה
לפי ההנחיה, גריפת מידע אישי מהאינטרנט לאימון מודלים ללא הסכמת מושא המידע מהווה פגיעה שלא כדין בפרטיות. עצם פרסום מידע ברשת חברתית אינו מהווה הסכמה תקפה לשימוש בו לאימון AI - נקודה קריטית לכל צוות שבונה מודל פנימי מ"נתונים ציבוריים".
תסקיר השפעה על הפרטיות (DPIA)
הרשות ממליצה לבצע תסקיר השפעה על הפרטיות (DPIA) לפני הטמעת מערכת AI, כדרך הטובה ביותר לוודא ולהוכיח עמידה בדרישות. זהו תהליך שיטתי הממפה את השפעת העיבוד על הפרטיות ומתעד את השיקולים - כלי מרכזי גם להגנה משפטית בדיעבד.
הצל של Shadow AI בארגון ביטחוני
ההנחיה מתייחסת גם לשימוש בכלי AI כלליים (כמו ChatGPT) על ידי עובדים. הרשות מצפה שהארגון יגדיר מדיניות: אילו עובדים רשאים להשתמש בכלים אלה, אילו סוגי מידע מותר להעלות, וכמה זמן נשמרים ה-prompts. עבור קבלן ביטחוני, העלאת מידע רגיש או מסווג ל-LLM ענני חיצוני היא לא רק סיכון פרטיות - היא עלולה להוות דליפה ביטחונית. מדיניות Shadow AI ברורה היא היום חלק בלתי נפרד מהנהלים הארגוניים.
ממונה הגנת הפרטיות (DPO) - החובה החדשה וההשלכה על הקבלן
אחד החידושים המרכזיים של תיקון 13 הוא חובת מינוי ממונה על הגנת הפרטיות (Data Protection Officer) בסוגי ארגונים מוגדרים. הממונה משמש כסמכות המקצועית ומרכז הידע לענייני פרטיות בארגון, ומהווה גם נקודת ממשק מול הרשות ומול מושאי המידע.[2][6]
לפי פרסומי הרשות ומשרדי עורכי הדין, החובה חלה בין היתר על: גופים ציבוריים (משרדי ממשלה, רשויות מקומיות וגופים נוספים) - למעט גופי ביטחון של המדינה; סוחרי מידע המחזיקים מאגר של מעל 10,000 אנשים; גופים העוסקים בניטור שיטתי בהיקף נרחב; וגופים שעיסוקם העיקרי כרוך בעיבוד היקפים גדולים של מידע בעל רגישות מיוחדת (בנקים, חברות ביטוח, בתי חולים וקופות חולים).
🔴 נקודת התפר שקבלנים מפספסים
קבלן ביטחוני שמעבד בהיקף נרחב מידע רגיש - למשל נתוני בריאות/ביומטריה של עובדים או מאגר לקוחות גדול - עלול להיכנס לחובת מינוי ממונה, גם אם אינו "בנק" או "קופת חולים". השאלה אם ארגון ספציפי חייב ממונה תלויה בהיקף ובאופי העיבוד, ומחייבת בדיקה משפטית פרטנית - אין להסתמך על הנחה כללית. הרשות פרסמה טיוטת הבהרה ייעודית לקריטריונים למינוי ממונה.[6]
מעבר לחובה הפורמלית, תיקון 13 מדגיש אחריות ברמת ההנהלה והדירקטוריון על עיבוד המידע ואבטחתו. זה אומר שתקציב הפרטיות והסייבר כבר אינו "עניין של ה-IT" - הוא סעיף שדורש אישור וליווי מלמעלה, בדומה למגמה שראינו בטיוטת חוק הגנת הסייבר הלאומי 2026.
5 שכבות היערכות לקבלן ביטחוני שמשתמש ב-AI
ההיערכות אינה פרויקט משפטי מנותק - היא משתלבת בתהליך טבעי של חיזוק ממשל הנתונים והאבטחה. אלו חמש השכבות המעשיות:
אכיפת 2026 - למה ההמתנה מסוכנת
הסיכום השנתי של גורמי המקצוע ל-2025 והתחזית ל-2026 ברורים: תקופת ההיערכות שניתנה למשק הסתיימה, והרשות להגנת הפרטיות צפויה להעצים אכיפה אקטיבית ולהפעיל את סמכויותיה המורחבות. הרשות כבר החלה ב"פיקוח רוחב" על רשויות מקומיות, חברות מסחר אלקטרוני ואפליקציות בשימוש נרחב - סימן למגמת עיבוי הפיקוח.[5][7]
תיקון 13 העניק לרשות כלי עיצומים כספיים מוגברים משמעותית לעומת העבר. הסכום המדויק תלוי בסוג ההפרה ובנסיבות, ולכן אין להסתמך על מספר בודד - אך המגמה חד-משמעית: עלות אי-הציות עולה, וההגנה הטובה ביותר היא תיעוד שמראה תהליך תקין. ארגון שביצע DPIA, הגדיר ממונה, וכתב מדיניות Shadow AI - נמצא בעמדה שונה לחלוטין מארגון שמגיב רק אחרי פנייה מהרשות.
צ'קליסט מעשי לרבעון הקרוב
- מיפוי כל מערכות ה-AI שנוגעות במידע אישי - כולל כלי SaaS ופיצ'רים מובנים.
- סיווג המידע: היכן מעובד מידע בעל רגישות מיוחדת (בריאות, ביומטריה, פיננסי).
- בדיקה משפטית פרטנית: האם חלה חובת מינוי ממונה הגנת פרטיות על הארגון.
- ביצוע DPIA לפחות למערכת ה-AI המהותית ביותר שכבר פעילה בייצור.
- כתיבת נוהל Shadow AI: מי מורשה, איזה מידע אסור, שמירת prompts.
- עדכון מדיניות הפרטיות והודעות ההסכמה כך שיכללו שימוש ב-AI וקבלת החלטות אוטומטית.
- הוספת סעיפי עיבוד מידע ואיסור אימון-על-נתונים לחוזי ספקים חדשים.
- הצגת התמונה להנהלה/דירקטוריון - כי האחריות בתיקון 13 היא ברמת ההנהלה.
השורה התחתונה
אבטחת בינה מלאכותית ורגולציה בישראל כבר אינה שאלה עתידית. תיקון 13 בתוקף מ-14.8.2025, הנחיית הרשות ל-AI מתווה ציפיות ברורות - הסקות של AI הן מידע אישי, גריפה ללא הסכמה היא הפרה, ו-DPIA הוא הסטנדרט - ואכיפת 2026 כבר כאן. עבור קבלן ביטחוני שמעבד מידע רגיש, החפיפה בין חובת הפרטיות לבין דרישות הסייבר והביטחון יוצרת חשיפה כפולה.
ההיערכות הנכונה משלבת את שלושת המישורים: ממשל נתונים ופרטיות, אבטחת מידע, וניהול שרשרת אספקה. KPLNS מבצעת סקר ביטחון 360° ובניית נהלים שממפים בדיוק היכן שימוש ה-AI שלכם נפגש עם חובות תיקון 13 - ומה לתקן קודם, לפני שהפנייה מגיעה מהרשות או מהלקוח הראשי.
מקורות
- law.co.il — הרשות להגנת הפרטיות מעדכנת את הנחיותיה לאחר כניסת תיקון 13 לתוקף (14.8.2025)
- IAPP — Israel marks a new era in privacy law: Amendment 13 ushers in sweeping reform
- Gornitzky — Privacy in Artificial Intelligence Systems: Guidelines of the Israeli Privacy Protection Authority
- EBN — Draft Guidance from the Israeli PPA on the Application of the Privacy Law to AI Systems
- Barnea Jaffa Lande — 2025 Year-End Review: Privacy Protection and Artificial Intelligence
- Arnon, Tadmor-Levy — Draft Clarification on New Requirements for Appointment of Data Protection Officers
- הרשות להגנת הפרטיות — אתר רשמי (gov.il)
- Goldfarb Gross Seligman — כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף