מהו סקר ציות בתחום הגנת הפרטיות?

סקר ציות הוא כלי לאמידת התאמת הארגון לדרישות חוק הגנת הפרטיות, תקנות אבטחת מידע, ISO 27001 ו-GDPR.

מה כוללת המסגרת הארגונית שנבדקת בסקר ציות?

הבדיקה כוללת מינוי DPO, קיום מדיניות פרטיות מעודכנת, נהלי איסוף ושימוש במידע, והדרכת עובדים.

אילו היבטים טכנולוגיים נבדקים בסקר ציות?

סיווג מאגרי מידע, בקרות גישה, מערכות גיבוי, הצפנה, ניהול הרשאות ותוכנית תגובה לאירועי אבטחה.

כיצד נבדק ממשק הארגון עם גורמים חיצוניים?

נבדקים הסכמי עיבוד מידע (DPA) עם ספקים, הרשאות להעברת מידע לחו"ל ותיעוד הסכמות נושאי מידע.

מה כוללת טבלת פערים בסקר ציות?

השוואה בין המצב הקיים לנדרש בדין בשלוש רמות חומרה: פערים גבוהים, בינוניים ונמוכים.

מי חייב לבצע סקר ציות לפי תיקון 13?

חובת הציות חלה על כל גוף המחזיק מאגר מידע. חובת מינוי DPO חלה על גופים ציבוריים וגופים המעבדים מידע רגיש.

מה הסנקציות על אי-עמידה בחוק לאחר תיקון 13?

עיצומים כספיים כבדים, פיצויים ללא הוכחת נזק עד 15,000 ש"ח, ואחריות אישית של נושאי משרה.

האם תיקון 13 חל גם על עסקים קטנים?

כן, החוק חל על כל גוף המעבד מידע אישי בישראל, ללא תלות בגודל הארגון.

מהו ממונה הגנת הפרטיות ומה תפקידיו?

בעל תפקיד האחראי על ייעוץ, הדרכה, בקרה שוטפת, קיום נוהל אבטחת מידע וטיפול בפניות נושאי מידע.

מה ההבדל בין סקר ציות לפרטיות לבין DPIA?

סקר ציות הוא בדיקה כוללת, בעוד DPIA היא הערכת סיכונים ממוקדת לתהליך עיבוד מידע ספציפי ורגיש.

כמה זמן תקף סקר ציות?

מומלץ לבצעו מחדש בכל שינוי מהותי בפעילות הארגון, ולפחות פעם בשנה להוכחת ציות מתמשך.

האם סקר ציות מקנה הגנה משפטית לנושאי משרה?

כן, ביצוע סקר מתועד מהווה ראיה לפעולה בתום לב ועשוי להפחית אחריות אישית ועיצומים.

מה הקשר בין GDPR לחוק הישראלי?

תיקון 13 מיישר קו עם ה-GDPR האירופי כדי לשמור על הכרת האיחוד האירופי בישראל כמדינה בטוחה.

מה נדרש בנוגע להעברת מידע לחו"ל?

העברה מחייבת בסיס משפטי כגון הסכמה מפורשת, מדינה מאושרת או הסדר חוזי (SCC).

כיצד וולר ושות' מלווה בביצוע סקר ציות?

המשרד משלב מומחיות משפטית עם הבנה טכנולוגית לניתוח פערים ותוכניות עבודה יישומיות.

סקר ציות בהגנת הפרטיות - שלבים, פערים, רגולציה ויישום

Q: מה ההבדל בין ממונה אבטחת מידע לממונה הגנת פרטיות (DPO)?

ממונה אבטחת מידע עוסק בטכנולוגיה, בעוד DPO הוא תפקיד משפטי-ארגוני האחראי על ציות לדיני הפרטיות.

טופס סקר ציות לפרטיות עם סימני ביקורת, עט, ואייקונים המייצגים עין, מחשב, שרשרת אספקה, מסמכים מאובטחים וטאבלט – על רקע כהה מקצועי.

סקר ציות בהגנת הפרטיות לפי תיקון 13

סקר ציות בתחום הגנת הפרטיות הוא כלי משפטי-ארגוני חיוני לעמידה בחוק הגנת הפרטיות ובתיקון 13, שנכנס לתוקף באוגוסט 2025. ארגון שלא ביצע סקר ציות חשוף לסנקציות מינהליות, תביעות ייצוגיות ואחריות אישית של נושאי משרה. הסקר כולל 5 שלבים: מיפוי זרימת מידע, בחינת מסגרת ארגונית, ניתוח פערים, בדיקת ממשקים חיצוניים ותוכנית תיקון. משרד וולר ושות' בחיפה, המדורג BDI ו-Dun's 100 לשנת 2026 ופועל מאז 1965, מלווה ארגונים, רשויות ציבוריות וחברות פרטיות בביצוע סקרי ציות מותאמים אישית.

מהו סקר ציות?

סקר ציות (Privacy Compliance Survey) הוא כלי חיוני בניהול אפקטיבי של מדיניות הגנת הפרטיות בארגונים ציבוריים ופרטיים כאחד, והוא מהווה חלק בלתי נפרד מחובות של "בעל מאגר מידע". מטרתו העיקרית של הסקר היא לאמוד את רמת ההתאמה של הארגון לדרישות הדין הרלוונטי, לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), הנחיות הרשות להגנת הפרטיות, מיטב הפרקטיקה המקצועית, תקני ISO רלוונטיים (27001/27701), רגולציית GDPR וכו’.

הצורך בסקר ציות נובע מהעובדה שהיבטי פרטיות, הגנה על מידע אישי ואבטחת מידע הם אינם רק חובה רגולטורית, כאמור, אלא מרכיב מהותי בניהול הממשל התאגידי, כלי לצמצום סיכונים כספיים ומשפטיים, וכלי להגדלת אמון הציבור והלקוחות בארגון. הארגון מחויב לא רק לשמור על שלמות, סודיות וזמינות המידע שברשותו, על פי הצהרותיו, אלא גם להוכיח כי הוא פועל להגנה על הפרטיות באופן אקטיבי ואפקטיבי.

מה השתנה בתיקון 13 – ומה זה אומר עבורך?

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, הקנה לרשות סמכויות אכיפה נרחבות, כולל עיצומים כספיים של עד 15,000 ₪ ללא הוכחת נזק, חובת מינוי ממונה הגנת פרטיות (DPO) לגופים מסוימים, ותקופת התיישנות של 7 שנים. ארגון שלא ביצע סקר ציות ממועד כניסת החוק לתוקף – חשוף לסנקציות מיידיות.

אופן ביצוע סקר ציות

ההליך כולל בחינה שיטתית של מכלול ההיבטים הרלוונטיים להבטחת עמידה בדין, בראש ובראשונה –

המסגרת הארגונית

האם מונה ממונה על הגנת הפרטיות (DPO)? האם קיימת מדיניות הגנת הפרטיות? והאם קיימים נהלים פנימיים להבטחת פרטיות, וביניהם נהלי איסוף, עיבוד, שימוש, מסירה ומחיקה של מידע אישי?

רמת אבטחת המידע בהיבט הטכנולוגי

סיווג המאגרים, רישום מאגרי מידע, בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים.

ממשק הארגון עם גורמים חיצוניים

קיומם של הסכמים מתאימים עם ספקים המעבדים מידע אישי, הכוללת רמת אבטחת המידע אצל הספקים, לניהול שרשרת האספקה.
האם קיימות הרשאות להעברת מידע לגורמים חיצוניים (ובפרט מחוץ לישראל).
תיעוד של הסכמות מצד נושאי המידע.

רמת המודעות וההדרכה בקרב העובדים

זהו היבט שלעיתים מוזנח למרות שהוא מהותי. ארגון שהעובדים בו אינם מבינים מהו מידע אישי, מתי מותר לחשוף אותו, ומהם כללי השמירה עליו, עלול להיקלע להפרות חמורות – אף אם קיימות מערכות טכנולוגיות מתקדמות.

המלצות ותכנית עבודה לתיקון ליקויים

על בסיס הממצאים, נבנית מפת סיכונים הכוללת המלצות קונקרטיות: עידכון נהלים, שדרוג מערכות, הטמעת מדיניות מחודשת, הכשרות עובדים, בחינה מחדש של מאגרים, ועוד.

כיצד מבצעים סקר ציות בתחום הגנת הפרטיות?

עריכת סקר ציות (Privacy Compliance Survey) היא משימה מקצועית הדורשת שילוב של ידע משפטי, הבנה טכנולוגית ויכולת לנתח את המבנה הארגוני והנהלים הפנימיים של הגוף הנבדק. להלן פירוט שיטתי של שלבי העבודה המרכזיים בעריכת סקר ציות:

שלב 1: הגדרת מטרות, היקף והמסגרת הארגונית

בשלב הראשון יש להגדיר בצורה מדויקת את מטרות הסקר: האם מדובר בביקורת כוללת על כלל מערכות הארגון? האם מדובר בבחינה של תהליך מסוים? בשלב זה גם ממונה "רכז סקר" מטעם הארגון – לרוב סמנכ"ל תפעול, DPO, יועץ משפטי פנימי או ממונה על אבטחת מידע.

שלב 2: איסוף מידע ומסמכים רלוונטיים

השלב הבא כולל איסוף מסמכים קיימים, כדוגמת: מדיניות פרטיות; נהלי אבטחת מידע; חוזים עם ספקים; רישום מאגרי מידע; תרשימי זרימת מידע וראיונות עומק.

שלב 3: מיפוי תהליכי עיבוד מידע אישי

בשלב זה נעשה מיפוי מלא של כל זרימות המידע (Data Flow) בארגון: מקורות המידע, סוגי המידע, מטרות האיסוף, הבסיס המשפטי לעיבוד, משך השמירה ומימוש זכויות עיון ותיקון.

שלב 4: ניתוח פערים ובחינה משפטית-טכנולוגית

השוואה שיטתית בין המצב הקיים בפועל לדרישות הדין והנחיות הרשות להגנת הפרטיות:

רישום מאגרי מידע: האם קיימת רשימה מלאה ומדויקת? האם המאגר נרשם כדין לפי סעיף 8 לחוק הגנת הפרטיות?
נהלים פנימיים: האם קיימים נהלים כתובים בנוגע לניהול המידע האישי, שיתוף ומחיקה?
מדיניות אבטחת מידע: האם קיימת מדיניות מעודכנת העומדת בדרישות תקנות אבטחת מידע (התשע"ז-2017)?
אמצעי הגנה טכנולוגיים: האם הותקנו חומות אש, הצפנה וניהול הרשאות?
מימוש זכויות נושאי המידע: האם קיימת תשתית למתן אפשרות לעיון ובקשה לתיקון?
הדרכה והסמכה: האם קיימת תוכנית הדרכה שנתית לעובדים?
היערכות לאירועי אבטחה: קיום מדיניות תגובה (Incident Response Plan).
הסכמים עם צדדים שלישיים: קיום הסכמי עיבוד מידע (DPA) לפי תקנה 15.

שלב 5: הכנת דו"ח סקר ציות והמלצות אופרטיביות

גיבוש דו"ח סופי מפורט הכולל מבוא, מפת מאגרים, טבלת פערים, דירוג סיכונים ותוכנית פעולה יישומית עם לוחות זמנים.

הצגה וניתוח פערים מסקר ציות

ניתוח הפערים מוצג בטבלת השוואה המציגה את המצב הרצוי לעומת המצב הקיים, בדירוג הבא:

פערים ברמת חומרה גבוהה: סיכון ממשי להפרות חוק, סנקציות מנהליות חמורות ותביעות משפטיות.
פערים ברמת חומרה בינונית (משמעותיים): פערים הדורשים טיפול בטווח הזמן הקצר למניעת חשיפה רגולטורית.
פערים ברמת חומרה נמוכה: פערים בעלי אופי טכני או תפעולי הניתנים לתיקון בעבודה השוטפת.

🔒 הארגון שלכם ערוך לתיקון 13?

ארגון שלא ביצע סקר ציות מאז כניסת תיקון 13 לתוקף (אוגוסט 2025) – חשוף לעיצומים כספיים, תביעות ייצוגיות ואחריות אישית של נושאי משרה. אל תמתינו לביקורת רגולטורית. משרד וולר ושות', עם מומחיות ייחודית בדיני פרטיות ורגולציה, מלווה ארגונים מאז 1965, מדורג BDI ו-Dun's 100 לשנת 2026.

📞 04-8662067 | 💬 052-4264318 | ✉️ [email protected]

מה ההבדל בין ממונה אבטחת מידע לממונה הגנת פרטיות (DPO)?

ההבדל העיקרי נעוץ במיקוד:

ממונה אבטחת מידע (CISO) מתמקד בהגנה טכנולוגית על כלל נכסי המידע של הארגון מפני פריצות, דליפות מידע ואיומי סייבר. במסגרת אחריותו, גיבוש מדיניות אבטחה, הטמעת פתרונות טכנולוגיים, ניהול אירועי סייבר ובקרה על יישום נהלי אבטחה.

ממונה הגנת פרטיות (DPO) מתמקד בציות לחוק, פיקוח על אופן השימוש במידע, ביצוע תסקירי השפעה על הפרטיות (DPIA), הדרכת עובדים ושימוש כאיש קשר מול הרשות להגנת הפרטיות.

האם אדם אחד יכול למלא את שני התפקידים?

לא. למרות שיש חפיפה מסוימת, הרשות להגנת הפרטיות מדגישה כי שילוב התפקידים מורכב ועלול ליצור ניגוד עניינים. ה-CISO מקבל החלטות אבטחה וטכנולוגיה, בעוד ה-DPO אמור לבקר את ההחלטות הללו מהיבט של פרטיות וזכויות הפרט.

סיכום: סקר ציות

על פי הרגולציה בישראל ובעולם, קיומם של מדיניות או נהלים אינם מספיקים. יש לבחון את התנהלות הארגון ואת האפקטיביות של הפעולות. הכלי המרכזי בעניין זה הוא סקר ציות, שלאחריו יגבש הארגון תכנית אכיפה פנימית אפקטיבית.

סקר ציות בתחום הגנת הפרטיות הוא כלי ניהולי-משפטי מרכזי להוכחת עמידה בחוק הגנת הפרטיות ובתיקון 13. ביצוע סקר תקופתי ותיעוד ממצאים מהווים נדבך מרכזי בהיערכות לביקורת רגולטורית.

משרד עורכי הדין וולר ושות' מלווה ארגונים, רשויות ציבוריות וחברות פרטיות בבניית תשתיות רגולטוריות, תוך התמחות ייחודית בביצוע סקרי ציות מותאמים אישית. צוות המשרד משלב מומחיות משפטית עם הבנה טכנולוגית לניתוח מדויק של פערים ותוכנית עבודה יישומית.

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 25/05/2025. עידכון אחרון: 03/05/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

סקר ציות בתחום הגנת הפרטיות