ביום 3/9/2025 פרסמה נציבות שירות המדינה את הנחיה מס’ 1.23, להסדרת מעמד ותפקוד הממונים על הגנת הפרטיות (DPO) במשרדי הממשלה. ההנחיה נועדה ליישם את תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקפו ביום 14/8/2025, וליצור מנגנון ברור של אחריות, כשירות ופיקוח פנימי במשרדי הממשלה. ההנחיה חלה ישירות על עובדי המדינה במשרדי הממשלה וביחידות הסמך בלבד, ואין לה תחולה פורמלית על רשויות מקומיות, תאגידים עירוניים או גופים ציבוריים אחרים. עם זאת, לנוכח עמדת הרשות להגנת הפרטיות והסטנדרטים שהוצבו, ברור כי הנחיה זו תשמש גם כמדד לבחינת עמידת גופים אחרים בחובותיהם לפי תיקון 13 לחוק. במילים אחרות, ההנחיה אינה בגדר “המלצה בלבד” עבור רשויות מקומיות, אלא מהווה רף מעשי שהרשות להגנת הפרטיות עשויה להחיל הלכה למעשה בכל ביקורת או הליך אכיפה.
מה תפקידי הממונה על הגנת הפרטיות במשרדי הממשלה?
ההנחיה מגדירה את הממונה על הגנת הפרטיות כרגולטור פנימי בארגון, שתפקידו לפקח באופן עצמאי ואפקטיבי על אופן יישום דיני הגנת הפרטיות. בין תפקידיו העיקריים נמנים מתן ייעוץ מקצועי להנהלת המשרד ולעובדיו בכל הנוגע לחוק ולתקנות, הכנת תוכניות הדרכה והטמעתן כדי לייצר תרבות ארגונית מודעת וחסינה לסיכוני פרטיות, בקרה שוטפת על יישום הוראות הדין ודיווח שיטתי על ליקויים בצירוף המלצות לתיקונם.
בנוסף, הממונה אחראי לטיפול ישיר בפניות הציבור ובבקשות נושאי מידע לעיון, תיקון או מחיקה, ומשמש כתובת רשמית לשיח שוטף מול הרשות להגנת הפרטיות.
על מי חלה הנחיית נציבות שירות המדינה?
ההנחיה חלה על משרדי הממשלה ויחידות הסמך בלבד. אין לה תוקף ביחס לרשויות המקומיות, לתאגידים עירוניים, לגופים ציבוריים או כלפי גופים פרטיים. עם זאת, לנוכח עמדת הרשות להגנת הפרטיות והסטנדרטים שהוצבו, ברור כי הנחיה זו תשמש גם כמדד לבחינת עמידת גופים אחרים בחובותיהם לפי תיקון 13 לחוק.
מה תנאי הכשירות וההכשרה של ה-DPO במשרדי הממשלה?
הנחיה 1.23 מאמצת את ההוראות בחוק הגנת הפרטיות. היינו, תנאי סף ברורים: השכלה אקדמית (יתרון למשפטים והסמכה לעריכת דין), ידע מעמיק בדיני פרטיות, הבנה בתחומי טכנולוגיה ואבטחת מידע וניסיון מקצועי רלוונטי.
מעבר לכך, ממונים שייבחרו לתפקיד יחויבו להשלים הכשרה מקצועית בסיסית עד לתום שנת כהונתם הראשונה, במסגרת השתלמות תעודה לממוני הגנת הפרטיות או השתלמות תעודה בתחום הגנת המידע האישי, מטעם הרשות להגנת הפרטיות או בחסותה, בהיקף של לפחות 40 שעות.
עצמאות ומניעת ניגודי עניינים
תיקון 13 לחוק קבע כי –
“הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה”.
על הממונה על הגנת הפרטיות בארגון לדווח ישירות למנכ”ל המשרד/יחידת הסמך או לעובד הכפוף ישירות למנכ”ל. הכפפת הממונה יכולה להיות למנכ”ל או למנהל בכיר בדרגת סמנכ”ל ובלבד שתחום אחריותו אינו יוצר ניגוד עניינים עם תפקיד הממונה, ולכן, אינו יכול להיות כפוף למנהל מערכות המידע (מנמ”ר). ממילא, לא ניתן למנות לתפקיד ממונה הגנת הפרטיות את מנהל מערכות המידע (מנמ”ר) או מי מהכפופים לו.
אישור הלשכה המשפטית להיעדר ניגוד עניינים
כל מינוי של ממונה הגנת הפרטיות, במסגרת “הטלת תפקיד” או בכפיפות לגורם שאינו מנכ”ל המשרד, חייב לקבל את אישור הלשכה המשפטית במשרד/יחידת הסמך.
האם מנהל מערכות מידע (מנמ”ר) יכול לשמש כממונה הגנת פרטיות?
לפי הנחיה 1.23 ותיקון 13 לחוק, לא. חל איסור על מינוי מנמ”ר או עובד הכפוף לו לתפקיד DPO בשל חשש מובנה לניגוד עניינים. הממונה נדרש לפקח על מערכות המידע באופן עצמאי, ולכן אינו יכול להיות הגורם המנהל אותן.
אספקת תנאים ומשאבים למילוי התפקיד
על המשרד לספק לממונה על הגנת הפרטיות את התנאים והמשאבים הדרושים למילוי נאות של התפקיד. נעיר, גם כאן, כי ההנחיה קובעת כי המשרדים חייבים לספק לממונה משאבים מתאימים, אך אינה מפרטת מהם המשאבים הנדרשים, מה היקף התקציב המינימלי, או כיצד יתוקצב הדבר במשרדי הממשלה. בכך נוצרת חובה עמומה: היא אמנם קיימת, אך לא ניתן למדוד או לבקר אותה בצורה ברורה.
ממונה הגנת פרטיות במגזר הפרטי מול שירות המדינה
בעוד שבמגזר העסקי מינוי DPO נתפס לעיתים כחלק ממערך הציות התאגידי או ניהול הסיכונים, במגזר הציבורי מדובר בפונקציה סטטוטורית בעלת מאפיינים ייחודיים ומחייבים. ההבדל אינו טכני בלבד, אלא מהותי, ונוגע בליבת האחריות המנהלית והמשמעתית של עובד המדינה.
בשונה ממקבילו בחברה פרטית, ממונה הגנת הפרטיות בשירות המדינה פועל תחת “נאמנות כפולה”: לחוק הגנת הפרטיות מחד, ולכללי האתיקה והמשמעת של השירות הציבורי מאידך. הנחיית הנציב קובעת כי הממונה נושא באחריות אישית למילוי תפקידו. המשמעות היא כי כשל מהותי בפיקוח על מאגרי מידע או בהדרכת עובדים עלול להוביל לנקיטת צעדים משמעתיים על ידי אגף המשמעת בנציבות, ללא קשר לאחריות המשרד כגוף משפטי.
חובת מינוי DPO ביחידת סמך
“יחידת סמך” היא רשות או יחידה הפועלת במסגרתו של משרד ממשלתי, שהוענקו לה סמכויות מינהליות מהסמכויות של המשרד.
החוזר מדגיש כי, ככלל, יש למנות ממונה על הגנת הפרטיות בכל משרד ממשלתי ויחידת סמך באופן נפרד. עם זאת, במקרים חריגים, ולאחר קבלת אישור מנכ”ל משרד האם, אישור הנהלת יחידת הסמך, חוות דעת של הרשות להגנת הפרטיות ואישור אגף משרדי הממשלה ויחידות הסמך בנציבות שירות המדינה – ניתן למנות ממונה אחד למשרד וליחידת הסמך.
נציבות שירות המדינה מבהירה כי אלו שני תפקידים שונים ובכתבי מינוי נפרדים – כתב מינוי כממונה על הגנת הפרטיות של משרד האם (שיינתן על ידי הנהלת המשרד), וכתב מינוי לממונה על הגנת הפרטיות ביחידת הסמך (שיינתן על ידי הנהלת יחידת הסמך). כל זאת, בשים לב כי יש לוודא שתפקידו של הממונה ביחידת הסמך לא יביא לקיומו של ניגוד עניינים בביצוע תפקידו במשרד האם.
מתכונת העסקת DPO במשרדי הממשלה
העסקת ממוני הגנת הפרטיות תתבצע באמצעות תקן ייעודי או בדרך של הטלת תפקיד, בהתאם למידת הסיכון לפרטיות הכרוכה בפעילות המשרד. רמת הסיכון תיקבע, בין היתר, בהתבסס על מאפייני המשרד ותחומי פעילותו, היקף המידע המעובד או המוחזק במשרד, סוגי המידע המעובדים וכן, פוטנציאל הפגיעה בפרטיות הכרוך באופי פעילות העיבוד. במילים אחרות, ככלל, קובעת הנחיה 1.23 כי לא ניתן למנות DPO במיקור חוץ במשרדי הממשלה.
לדעתנו, רבים מהגופים הציבוריים, ובכללם גם משרדי הממשלה, אינם ערוכים להקים תקן ייעודי פנימי. ההגבלה על מיקור חוץ עלולה לגרום לקושי מעשי ביישום ההנחיה, לבזבוז תקציבים ולהשארת משרות ריקות במשך חודשים ארוכים.
מה משמעויות ההנחיה לרשויות מקומיות ולתאגידים עירוניים
כאמור, ההנחיה חלה על עובדי המדינה בלבד, אך השלכותיה חורגות הרבה מעבר לכך. רשויות מקומיות ותאגידים עירוניים כפופים אף הם לחובת מינוי ממונה על הגנת הפרטיות לפי תיקון 13 לחוק, ולמרות שהחוק לא קבע עבורם הוראות אופרטיביות מפורטות, ברור כי עקרונות ההנחיה ישמשו בסיס לציפיות הרגולטור גם במישור המקומי. המשמעות המעשית היא שכל רשות מקומית או תאגיד עירוני חייבים לאמץ באופן יזום את הסטנדרטים שנקבעו: עצמאות, כשירות, בקרה, מניעת ניגודי עניינים והקצאת משאבים. בהקשר זה, יש לראות גם את טיוטת הנחיית הרשות להגנת הפרטיות באשר לסטנדרטים למילוי תפקידו של ה-DPO (כאן).
בפועל, מרבית הרשויות אינן מקצות תקן ייעודי פנימי ומסתייעות בממונה חיצוני (DPO as a Service). מצב זה מחייב התייחסות חוזית קפדנית: על ההסכם עם ה־DPO החיצוני לכלול היקף שעות מינימלי מותאם להיקף עיבוד המידע, חובת עדכון והכשרה מתמשכת, איסור מפורש על ניגודי עניינים, קביעת מנגנון דיווח ישיר להנהלת הרשות והתחייבות לסודיות מלאה ולביטוח אחריות מקצועית. מעבר לכך, נכון לעגן בהסכמים גם חובת הכנת תוכנית עבודה שנתית. תוכנית זו צריכה לכלול הדרכות לעובדים, ביצוע תסקירי השפעה (DPIA), פיקוח שוטף על מאגרי מידע והצגת דו”חות תקופתיים בפני הנהלת הרשות. הממונה, גם אם חיצוני, חייב להיות “הכתובת הרשמית” מול הרשות להגנת הפרטיות, בדומה למבנה שהוגדר במשרדי הממשלה.
לעיון בהנחיה מס’ 1.23, להסדרת מעמד ותפקוד הממונים על הגנת הפרטיות (DPO) במשרדי הממשלה, כאן.
סיכום
הנחיית נציבות שירות המדינה מס’ 1.23 מהווה ציון דרך בהטמעת תיקון 13 לחוק הגנת הפרטיות. אמנם תחולתה הישירה מוגבלת למשרדי ממשלה ולעובדי המדינה, אך משמעותה רחבה בהרבה. היא מציבה סטנדרט מקצועי ומבני שראוי לכל גוף ציבורי לאמץ – ובמיוחד לרשויות מקומיות ותאגידים עירוניים החייבים במינוי DPO. בפועל, המשמעות היא אחת: ניהול פרטיות ואבטחת מידע חייבים להפוך לחלק אינטגרלי מהניהול השוטף של כל גוף. הסכמים וחוזים, תסקירי הגנה על הפרטיות, הוראות מכרזיות, מנגנוני פיקוח ונהלי עבודה חייבים להיות מותאמים לרף זה.
משרד וולר ושות’ הנו אחד ממשרדי עורכי הדין המובילים בתחום דיני הגנת הפרטיות ודיני הרשויות המקומיות, ומשלב מומחיות ייחודית בשני תחומים אלה. המשרד מלווה באופן שוטף רשויות מקומיות, תאגידים עירוניים, תאגידי מים וביוב, חברות פרטיות ומלכ”רים ביישום דיני הגנת הפרטיות, תוך בניית מערכי ציות פנימיים והסדרת התקשרויות עם ממונים חיצוניים. השירות כולל עריכת חוות דעת משפטיות, ניסוח חוזי שירות מקיפים ל־DPO חיצוני, בניית תוכניות עבודה שנתיות, ביצוע הדרכות לעובדים, עריכת תסקירי השפעה (DPIA), בקרה על מאגרי מידע ודיווח שוטף לגורמי הניהול. בנוסף, המשרד מייצג ומייעץ לגופים ציבוריים בהתמודדות מול הרשות להגנת הפרטיות, לרבות בהליכי פיקוח ואכיפה, ומספק כלים פרקטיים להפחתת חשיפות משפטיות וציבוריות.
נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.
פורסם: 04/09/2025. עודכן לאחרונה 21/03/2026.
תחום: הגנת הפרטיות ואבטחת מידע.
