שלושה חוקים, שלושה סיכונים — ורשימת הדיוור שלך חשופה לכולם
9 באפריל 2026 | עו"ד איתן שמיר, עורך דין לעסקים ותאגידים | הגנת פרטיות, חוק הספאם וחוזים מסחריים
רשימת דיוור של עסק ישראלי חשופה לשלושה חוקים נפרדים בו-זמנית — חוק הגנת הפרטיות (קנסות עד 5% מהמחזור), חוק הספאם (תביעות ייצוגיות של מאות מיליונים), ואחריות חוזית מול ספק ה-CRM. האחריות על השולח, לא על הפלטפורמה.
כל עסק ישראלי ששולח ניוזלטרים, SMSים או הודעות שיווקיות דרך CRM חשוף לשלושה מקורות אחריות שונים בו-זמנית: חוק הגנת הפרטיות (קנסות מנהליים של עד 5% מהמחזור השנתי + תביעות אזרחיות), חוק הספאם (תביעות ייצוגיות בלבד — אבל של מאות מיליוני שקלים), וחבות חוזית מול ספק הטכנולוגיה שגורמת לך לספוג לבד נזק שהוא גרם. שלושה חוקים שונים, שלושה מנגנוני אכיפה שונים, ושלושה סוגי חשיפה שמכים מכיוונים שונים. החוק מטיל את האחריות על השולח — לא על הפלטפורמה. Mailchimp, HubSpot ו-ActiveCampaign לא ישלמו את הקנס במקומך.
כשה-CRM הפך לנשק נגד בעל העסק עצמו: סיפור מקרה
ירון, בעלים של סוכנות שיווק, התקשר אליי יום אחד נרגש. "איתן, לקוח ענק! חתמתי איתם על תהליך טכנולוגי מדהים — הכל אוטומטי: SMSים, ניוזלטרים, CRM אמריקאי שעושה הכל." כעורך דין שנמצא עמוק בתוך עולם העסקים כמעט עשרים שנה, שמעתי את המשפט הזה מאות פעמים — ובדרך כלל, ה"חלום" הזה מגיע עם פסקה קטנה בהסכם שאף אחד לא טרח לקרוא.
שאלתי שאלה אחת: "ירון, מאיפה הגיעו הנתונים של הנמענים ברשימה הזו? קיבלת אותם ישירות מהאנשים עצמם?" הוא שתק. ואז אמר — "זה רשימה שבנינו לאורך השנים, חלקה מכנסים, חלקה מפנייה טלפונית, חלקה מרשימות שקנינו." ברגע הזה הבנתי שירון לא רק בבעיה של ספאם. הוא בבעיה בשלושה מישורים שונים לגמרי — ורוב בעלי העסקים לא מבינים שהם מישורים נפרדים בכלל.
רשימת דיוור ו-CRM: לא "חוקי פרטיות" — שלושה משטרים משפטיים נפרדים
הנה הדבר שרוב בעלי העסקים, ואפילו לא מעט עורכי דין, מערבבים: כשמדברים על "סיכון ברשימת דיוור" לא מדברים על חוק אחד. מדברים על שלושה חוקים שונים לחלוטין, עם חובות שונות, אכיפה שונה, ותוצאות שונות. הערבוב ביניהם הוא מסוכן — כי מי שמטפל רק בשכבה אחת חושב שהוא מוגן, ובפועל הוא חשוף מכיוונים שלא חלם עליהם.
בואו נפרק את זה.
שכבה ראשונה: חוק הגנת הפרטיות — החזקה ועיבוד של מידע אישי
מקור: חוק הגנת הפרטיות, תשמ"א-1981
השכבה הזו עוסקת בשאלה הכי בסיסית: האם מותר לך בכלל להחזיק את המידע האישי של האנשים ברשימה שלך?
אם לא קיבלת את הנתונים ישירות מהאנשים עצמם — יש לך בעיה עוד לפני כל שאלה של דיוור. החזקת מידע אישי ללא בסיס חוקי היא הפרה בפני עצמה.
גם אם יש לך הסכמה תקינה להחזיק מידע, חוק הגנת הפרטיות מחייב אותך בחובות ספציפיות: הודעה לנושאי המידע על עיבוד המידע (סעיף 11 לחוק), אבטחת מידע ברמה שנקבעת לפי מספר הרשומות, רגישות המידע ומספר מורשי הגישה, ורישום מאגר מידע במקרים שנדרש.
דיוור ישיר — סעיף 17ג לחוק: אם אתה שולח הודעות על בסיס מאפיין אישי (גיל, מיקום, תחום עיסוק, היסטוריית רכישות) — זה "דיוור ישיר" לפי החוק. ושימו לב: בדיוור ישיר, נמען שפונה אליך לא רק מבקש "להפסיק לקבל הודעות" — הוא דורש מחיקת הרשומה שלו מהמאגר. זו חובה שונה לגמרי מהסרה מרשימת דיוור.
המספרים שצריכים להרתיע: אם יש לך מעל 10,000 רשומות ואתה מבצע דיוור ישיר — חלה עליך חובה למנות ממונה הגנת פרטיות (DPO) ולרשום את מאגר המידע שלך. אי-מינוי DPO? קנס של 200,000 ש"ח. אי-רישום מאגר? קנסות גבוהים מאוד, בנפרד לחלוטין מכל קנס על הפרת אבטחת מידע.
ומה שהופך את השכבה הזו למפחידה באמת — מנגנון "גם וגם": חוק הגנת הפרטיות הוא החוק היחיד מבין השלושה שבו הרשות להגנת הפרטיות יכולה להטיל עליך קנסות מנהליים (עד 5% מהמחזור השנתי מאז תיקון 13, אוגוסט 2025) — וגם אתה חשוף לתביעות אזרחיות ותביעות ייצוגיות. לא "או". גם וגם. מי שחשב שקנס מנהלי "סוגר" את העניין — טעה.
תקדימים: חברת Data Online — קנס 320,000 ש"ח (נובמבר 2022, עוד לפני תיקון 13). HOT טלקום — 70,000 ש"ח (2025) על דיוור ישיר לנמען שביקש הסרה, כשההודעות אפילו לא סומנו כ"דיוור ישיר". עובד ביטוח לאומי — 75,000 ש"ח, הקנס הראשון לפי תיקון 13. EY ישראל ו-PwC ישראל — 15,000 ש"ח כל אחת על סריקת תעודות זהות ללא הודעה מוקדמת.
שכבה שנייה: חוק הספאם — הסכמה לקבלת דיוור
מקור: סעיף 30א לחוק התקשורת ("חוק הספאם")
השכבה הזו לא עוסקת בפרטיות בכלל. היא עוסקת בשאלה אחרת לגמרי: האם הנמען הסכים לקבל ממך הודעות?
ישראל אימצה את המודל האירופי: אסור לשלוח הודעת פרסומת לאדם שלא נתן הסכמה "מראש ובכתב." זה הפוך מארה"ב, שם מותר לשלוח כל עוד הנמען לא סירב. בישראל — אם אין לך הוכחה שהנמען הסכים, אתה מפר את החוק מההודעה הראשונה.
מה נחשב "דבר פרסומת"? הגדרה רחבה מאוד: כל הודעה שמופצת מסחרית ומעודדת רכישה. ניוזלטר עם טיפים מקצועיים שכולל קישור לשירות שלך? דבר פרסומת. הצעה ל"ניסיון חינם"? דבר פרסומת. אפילו SMS מנציג מכירות מהטלפון האישי שלו עשוי להיות דבר פרסומת (תקדים פלאפון/סלקום).
נמען שרוצה לצאת — חובה לאפשר באותו אמצעי. אם שלחת מייל, הנמען צריך יכולת הסרה דרך מייל. אם הנמען עונה למייל ומבקש הסרה אבל הדואר הנכנס שלך לא מנוטר — אתה מפר את החוק. תקלה טכנית שבגללה לינק ההסרה לא עובד? אתה מפר את החוק. ושימו לב להבדל הקריטי מהשכבה הראשונה: בספאם, אין חובה למחוק את הרשומה — רק להפסיק לשלוח.
הפיצוי: עד 1,000 ש"ח לכל הודעה, בלי צורך להוכיח נזק. תכפילו את זה ב-47 הודעות ממוצע ל-800,000 נמענים ותגיעו לתביעה ייצוגית של 200 מיליון ש"ח — בדיוק מה שקרה לחברת כנסים (ת"צ 46345-09-18, בית המשפט המחוזי בחיפה).
ההבדל הכי חשוב מהשכבה הראשונה: לחוק הספאם אין אכיפה מנהלית. אין קנסות מהרשות להגנת הפרטיות. החשיפה היא רק אזרחית — תביעות פרטניות ותביעות ייצוגיות. אבל אל תזלזלו: 45 תובעים סדרתיים פעילים פגעו בעסקים קטנים עד שהכנסת נאלצה לחוקק את תיקון 16 לחוק תובענות ייצוגיות כדי להגביל אותם. בעלת עסק קטן מהקריות נתבעה ב-2.5 מיליון ש"ח על ידי תובע סדרתי. וזה רק חוק הספאם — בחוק הגנת הפרטיות הפיצוי הסטטוטורי הוא פי 10 (10,000 ש"ח לכל הפרה), ומאגר המטרות רחב הרבה יותר — כי לכולם יש אתר אינטרנט.
שכבה שלישית: אחריות חוזית — מול ספק הטכנולוגיה
מקור: חוק החוזים (חלק כללי), תשל"ג-1973
השכבה הזו היא המלכודת השקטה. גם אם לא הפרת שום חוק פרטיות, גם אם לא שלחת ספאם — תקלה טכנית בפלטפורמה יכולה ליצור לך חשיפה שאתה סופג לבד.
תפתחו את ה-Terms of Service של Mailchimp או HubSpot. חפשו את הסעיפים Limitation of Liability ו-Indemnification. תמצאו שם משפטים כמו "you are solely responsible for the content you send" ו-"you agree to indemnify us against any claims." תרגום לעברית: אם נגרמת תקלה בצד שלהם שגרמה להפרת חוק — אתה משלם, לא הם.
אבל יש גם סעיף חוזי שמגיע מכיוון חוק הגנת הפרטיות: אם אתה ברמת אבטחה בסיסית ומעלה, חובתך לחתום הסכם עיבוד מידע (DPA) עם ספק הטכנולוגיה, שכולל הוראות מחייבות לפי תקנה 15 לתקנות הגנת הפרטיות. ההסכם הזה צריך לכלול הערכת סיכוני אבטחת מידע ובדיקת נאותות של הספק.
הנקודה העדינה שחשוב להבין (ושמנגנון "תקנו את ההסכמים" לבדו לא מכסה): אם ירון עשה הכל נכון — רמת אבטחה תקינה, חתם DPA לאחר הערכת סיכונים, בדק את הספק כנדרש בחוק — אז פריצה בצד של Mailchimp לבדה לא הייתה מחמירה את מצבו המשפטי. ציות נכון באמת מגן. אבל — הרשות להגנת הפרטיות עדיין תחקור. ואם יש מה למצוא, היא תמצא.
טבלת השוואה: שלוש השכבות זו מול זו
| ממד | חוק הגנת הפרטיות | חוק הספאם | אחריות חוזית |
|---|---|---|---|
| מקור חקיקתי | חוק הגנת הפרטיות, תשמ"א-1981 | ס' 30א ("חוק הספאם") | חוק החוזים |
| חובה מרכזית | איך אתה מחזיק ומעבד מידע | הסכמה לקבלת הודעות | חלוקת אחריות בינך לספק |
| אכיפה | "גם וגם" — קנסות מנהליים ואישום פלילי + תביעות אזרחיות | תביעות אזרחיות/ייצוגיות בלבד | הפרת חוזה בלבד |
| מי אוכף | הרשות להגנת הפרטיות + תובעים פרטיים | תובעים פרטיים בלבד | תובעים פרטיים בלבד |
| מחיקת רשומה | חובה (בדיוור ישיר) | לא נדרש — רק הפסקת דיוור | לא רלוונטי |
| קנס מנהלי מקסימלי | יכול להגיע למליונים | אין | אין |
| חובת מינוי של מנהל ספציפי | כן - חושבה למנות ממונה הגנת פרטיות בתנאים מסויימים | לא | לא רלוונטי (אבל רצוי שיהיה לכם עורך דין שמבין עניין) |
| רישום מאגר מידע, דיווחים לרשויות | כן, בתנאים מסויימים | לא | לא רלוונטי |
תסתכלו על העמודה האמצעית: "תובעים פרטיים בלבד." נראה פחות מפחיד? נראה אתכם מול תביעה ייצוגית של 2.5 מיליון ש"ח על שלושה אימיילים.
ועכשיו תסתכלו על העמודה השמאלית: "גם וגם." זה מה שהופך את חוק הגנת הפרטיות למפחיד באמת — לא רק תביעות, אלא גם קנסות מנהליים, במקביל, מהרשות.
מה קובע את רמת הסיכון שלך? לא רק גודל הרשימה
הרבה בעלי עסקים שואלים "יש לי X אנשים ברשימה — כמה אני חשוף?" התשובה לא כזו פשוטה. החוק לא עובד לפי טבלה של "עד X זה בסדר, מעל Y זה בעיה." רמת החשיפה שלך נקבעת לפי שילוב של כמה פרמטרים שפועלים במקביל:
כמה רשומות יש לך במאגר: מעל 10,000 רשומות + דיוור ישיר או העברת מידע לגורם שלישי = חובת רישום מאגר + מינוי ממונה הגנת פרטיות (DPO). אי-מינוי = 200,000 ש"ח קנס. אי-רישום = 150,000 ש"ח קנס. מעל 100,000 רשומות = רמת אבטחה גבוהה עם ביקורות חדירה וסקרי סיכונים כל 18 חודשים.
כמה אנשים יש להם גישה למידע: עסק שבו שניים-שלושה אנשים ניגשים ל-CRM — רמת אבטחה אחת. עסק שבו 10+ אנשים ניגשים — רמה אחרת. מעל 100 נקודות גישה עם מידע רגיש — רמת אבטחה גבוהה. כל נקודת גישה היא וקטור חשיפה.
האם המידע רגיש: מידע על מצב בריאותי, נטייה מינית, דעות פוליטיות, מצב כלכלי — כל אלה "מידע רגיש" בחוק. העיצומים מוכפלים: 100 ש"ח לאדם במקום 50 ש"ח על אי-מתן הודעת ס' 11. מינימום קנס 200,000 ש"ח על עיבוד ללא בסיס חוקי. שאלת "מה המחזור שלך?" בטופס באתר = איסוף מידע רגיש.
האם אתה מעביר מידע או משמש כמעבד מידע: עסק שמעביר רשימות לגורם שלישי (למשל, סוכנות שיווק ששולחת בשם לקוח) — חובת רישום מאגר מ-10,000 רשומות. מעבד מידע (processor) עבור ארגון אחר — רמת אבטחה בינונית כרצפה, לפני שבודקים בכלל את שאר הפרמטרים.
האם אתה עוקב אחרי אנשים באופן שיטתי: ניטור התנהגות, מיקום, או פעולות של 1,000+ אנשים באופן שיטתי = חובת מינוי DPO. עסקים שמשתמשים ב-CRM עם מעקב אוטומטי אחרי התנהגות גולשים — שימו לב.
והעיצומים מחושבים לפי אדם, לא לפי עסק: לא שלחת הודעת ס' 11 ל-10,000 איש? 50 ש"ח לאדם = 500,000 ש"ח. מידע רגיש? 100 ש"ח לאדם = מיליון ש"ח. וזה לפני תביעות אזרחיות, לפני תביעות ייצוגיות, לפני האחריות החוזית מול ספק הטכנולוגיה. הכל רץ במקביל.
לכן אי אפשר לענות "כמה אני חשוף?" בלי לבדוק את כל הפרמטרים ביחד. זה בדיוק מה שאנחנו עושים בפגישת ייעוץ — ממפים את המצב בכל הפרמטרים, בכל שלוש השכבות, ומחזירים תמונת סיכון מלאה.
בדיקת ציות לרשימת דיוור: 7 שאלות שיגלו את החשיפה המשפטית שלך
עניתם "לא" על שאלה אחת או יותר? הסיכון שלכם אמיתי — והסיכון מגיע מהשכבה המשפטית שרשומה מימין.
- האם יש לכם תיעוד מוכח של הסכמת Opt-in מכל נמען ברשימת הדיוור, כולל חותמת זמן ומקור ההסכמה? ← שכבה 2: חוק הספאם
- האם קראתם את סעיפי הגבלת האחריות (Limitation of Liability) בהסכם עם ספק ה-CRM שלכם? ← שכבה 3: חוזית
- האם כל הודעה שאתם שולחים כוללת סימון "דיוור ישיר", שם בעל המאגר, ואפשרות מחיקת רשומה? ← שכבה 1: הגנת פרטיות
- האם חתמתם על הסכם עיבוד מידע (DPA) עם ספק הטכנולוגיה שלכם, לפי תקנה 15? ← שכבה 1 + 3
- האם בדקתם אם מאגרי המידע שלכם חייבים ברישום ובמינוי ממונה הגנת פרטיות? ← שכבה 1: הגנת פרטיות
- האם יש לכם נוהל מתועד למחיקת רשומות של נמענים שביקשו — ולא רק הסרה מהרשימה? ← שכבה 1: הגנת פרטיות
- האם מנגנון ההסרה שלכם עובד בפועל באותו אמצעי שבו נשלחה ההודעה? ← שכבה 2: חוק הספאם
תוכנית פעולה לרשימת דיוור: ציות לפי שכבה משפטית
שכבה 1 (הגנת פרטיות) — מה לבדוק קודם
פתחו את ספק ה-CRM שלכם. בדקו כמה רשומות יש לכם. מעל 10,000? אתם חייבים ממונה הגנת פרטיות ורישום מאגר — אם עוד לא עשיתם את זה, תעשו את זה מיד כי הקנסות על אי-ציות הם 200,000 ש"ח ומעלה. ודאו שכל הודעת דיוור ישיר כוללת את כל הגילויים הנדרשים לפי סעיף 17ג. בדקו שנוהל מחיקת רשומות (לא רק הסרה) קיים ומתועד.
שכבה 2 (חוק הספאם) — מה לבדוק אחר כך
בדקו שיש לכם תיעוד הסכמה (לוג, טופס הרשמה, צילום מסך) לכל נמען. אם הרשימה נבנתה "לאורך השנים" בלי תיעוד — שלחו קמפיין אישור מחדש (re-confirmation) ומי שלא מאשר יוצא. ודאו שמנגנון ההסרה עובד בפועל — תנסו אותו בעצמכם, תשלחו מייל חזרה ותראו אם הוא נקלט.
שכבה 3 (חוזית) — מה לעשות מיד
פתחו את ה-Terms of Service של כל פלטפורמת דיוור שאתם משתמשים בה (Mailchimp: Settings > Legal > Terms of Service). חפשו "Limitation of Liability" ו-"Indemnification". אם כתוב שם "you are solely responsible" — אתם צריכים הסכם עיבוד מידע (DPA) שמגדיר חלוקת אחריות ברורה, ועדכון ההסכמים שלכם מול הלקוחות שכולל סעיפי הגבלת אחריות לתקלות טכנולוגיות.
שאלות נפוצות על רשימות דיוור, הגנת פרטיות וחוק הספאם
מה ההבדל בין "דיוור ישיר" בחוק הגנת הפרטיות לבין "דבר פרסומת" בחוק הספאם?
אם אני משתמש בפלטפורמת CRM בינלאומית כמו HubSpot — זה לא מגן עליי?
מה הקנס המקסימלי שעסק קטן עם רשימה של 200 איש יכול לספוג?
האם הרשות להגנת הפרטיות באמת אוכפת את החוק?
הגנו על רשימת הדיוור שלכם — משלושה כיוונים משפטיים, לא מאחד
ירון הבין מהר. לא הפסקנו את האוטומציות שלו — אבל תיקנו את ההגנה בכל שלוש השכבות. עדכנו את ההסכמים מול הלקוחות (שכבה 3), הסדרנו את תהליכי ההסכמה לדיוור (שכבה 2), ווידאנו שהמאגר רשום ושמונה ממונה הגנת פרטיות כנדרש (שכבה 1). הוצאנו אותו מהסיכון עוד לפני שהסיכון הפך לבעיה אמיתית.
אם קראתם את הרשימה למעלה וגיליתם שיש לכם חורים — זה הזמן לסגור אותם. הרשות להגנת הפרטיות לא שולחת התראה לפני שהיא פותחת תיק. ותובעים סדרתיים לפי חוק הספאם בטוח לא.
— בפגישה נבדוק שלושה דברים שתואמים את שלוש השכבות: (1) את מצב הציות שלכם לחוק הגנת הפרטיות — רישום מאגר, מינוי DPO, רמת אבטחה, (2) את תקינות ההסכמות ברשימת הדיוור שלכם לפי חוק הספאם, (3) את ההסכמים שלכם מול ספקי הטכנולוגיה ואת רמת החשיפה החוזית. אחרי הפגישה תקבלו מפת סיכונים לפי שכבה עם סדר עדיפויות לטיפול — מה דחוף, מה חשוב, ומה יכול לחכות.
