תיקון 13 הוא עדכון לחוק הגנת הפרטיות 1981, מבוסס על GDPR האירופי. תוקף: 1.8.2025 (יש תקופת חסד עד 1.8.2026 לחלק מהסעיפים). חל על: כל עסק שמחזיק מידע אישי על תושבי ישראל - כולל מייל. קנס: עד 320,000 ש"ח לכל הפרה + 5% מחזור שנתי. למה זה משנה: עד 2024 הרשות לא אכפה. מ-2025 יש תקציב, צוות ייעודי, וסבב פעיל של בדיקות. עסקים שלא מסתדרים = יעמדו בקנס.

1) הסכמה מפורשת מדעת (לא טיק מסומן מראש). 2) מסירת זהות הגורם הגובה. 3) מטרת השימוש מפורטת. 4) אפשרות הסרה בכל מייל (קישור unsubscribe). 5) מאגר מידע רשום ברשות (אם 10,000+ רשומות). 6) ניהול הסכמות (תיעוד מתי + איך + IP). 7) זכות עיון - 30 יום לתשובה. 8) זכות תיקון/מחיקה. 9) אחריות על מעבד חיצוני (Mailchimp/Klaviyo). 10) הודעת אבטחה אם דליפה. 11) מינוי DPO (100K+ רשומות). 12) מדיניות פרטיות פומבית באתר.

מצב התחלתי 2024: רשימה של 3,200 מנויים. לא היה תיעוד opt-in, לא היה קישור הסרה בחלק מהמיילים. תהליך התאמה ל-2025: (א) הוסיפו checkbox 'אני מסכים/ה' ללא ברירת מחדל מסומנת. (ב) שלחו מייל re-consent לכל הרשימה - 1,400 חזרו וחתמו, השאר נמחקו. (ג) הוסיפו קישור הסרה לכל מייל. (ד) פרסמו מדיניות פרטיות באתר. תוצאה: רשימה ירדה ל-1,400 אבל ה-engagement עלה פי 2.3 (open עבר מ-18% ל-41%). הכנסה עלתה למרות הרשימה הקטנה.

1) קניית רשימות: אסור מוחלט. גם אם 'הלקוח הסכים' אצל מישהו אחר - אתה צריך הסכמה אישית אליך. 2) שיווק 'משדרגים' לקוחות קיימים: מי שקנה אצלך לא חתם על שיווק. אסור לשלוח מבצעים בלי הסכמה ספציפית. 3) הסכמה שלא נשמרת: אם רשות שואלת 'מתי X הסכים?' - חייב להיות לוג עם תאריך, מקור, IP. בלי - הקנס בדרך.