top image

סקר ציות בתחום הגנת הפרטיות

טופס סקר ציות לפרטיות עם סימני ביקורת, עט, ואייקונים המייצגים עין, מחשב, שרשרת אספקה, מסמכים מאובטחים וטאבלט – על רקע כהה מקצועי.
⚖️
תמצית המנהלים | סקר ציות לפרטיות

סקר ציות בתחום הגנת הפרטיות הוא בדיקה משפטית-ארגונית שמטרתה לוודא עמידה בחוק הגנת הפרטיות, בתקנות אבטחת מידע ובתיקון 13. זהו כלי אסטרטגי קריטי להבטחת עמידה בחוק הגנת הפרטיות ותיקון 13. המדריך משרטט מפת דרכים של 5 שלבים אופרטיביים – ממיפוי זרימת המידע ועד לתיקון פערים בפועל. יישום נכון מהווה הגנה משפטית מהותית לנושאי משרה מפני סנקציות וקנסות כבדים בעידן הרגולציה החדש.

 

מהו סקר ציות?

סקר ציות (Privacy Compliance Survey) הוא כלי חיוני בניהול אפקטיבי של מדיניות הגנת הפרטיות בארגונים ציבוריים ופרטיים כאחד, והוא מהווה חלק בלתי נפרד מחובות של “בעל מאגר מידע”. מטרתו העיקרית של הסקר היא לאמוד את רמת ההתאמה של הארגון לדרישות הדין הרלוונטי, לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), הנחיות הרשות להגנת הפרטיות, מיטב הפרקטיקה המקצועית, תקני ISO רלוונטיים (27001/27701), רגולציית GDPR וכו’.

הצורך בסקר ציות נובע מהעובדה שהיבטי פרטיות, הגנה על מידע אישי ואבטחת מידע הם אינם רק חובה רגולטורית, כאמור, אלא מרכיב מהותי בניהול הממשל התאגידי, כלי לצמצום סיכונים כספיים ומשפטיים, וכלי להגדלת אמון הציבור והלקוחות בארגון. הארגון מחויב לא רק לשמור על שלמות, סודיות וזמינות המידע שברשותו, על פי הצהרותיו, אלא גם להוכיח כי הוא פועל להגנה על הפרטיות באופן אקטיבי ואפקטיבי.

 

אופן ביצוע סקר ציות

ההליך כולל בחינה שיטתית של מכלול ההיבטים הרלוונטיים להבטחת עמידה בדין, בראש ובראשונה –

המסגרת הארגונית

האם מונה ממונה על הגנת הפרטיות (DPO)? האם קיימת מדיניות הגנת הפרטיות? והאם קיימים נהלים פנימיים להבטחת פרטיות, וביניהם נהלי איסוף, עיבוד, שימוש, מסירה ומחיקה של מידע אישי?

רמת אבטחת המידע בהיבט הטכנולוגי

סיווג המאגרים, רישום מאגרי מידע, בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים.

ממשק הארגון עם גורמים חיצוניים

  • קיומם של הסכמים מתאימים עם ספקים המעבדים מידע אישי, הכוללת רמת אבטחת המידע אצל הספקים, לניהול שרשרת האספקה.
  • האם קיימות הרשאות להעברת מידע לגורמים חיצוניים (ובפרט מחוץ לישראל).
  • תיעוד של הסכמות מצד נושאי המידע.

רמת המודעות וההדרכה בקרב העובדים

זהו היבט שלעיתים מוזנח למרות שהוא מהותי. ארגון שהעובדים בו אינם מבינים מהו מידע אישי, מתי מותר לחשוף אותו, ומהם כללי השמירה עליו, עלול להיקלע להפרות חמורות – אף אם קיימות מערכות טכנולוגיות מתקדמות.

המלצות ותכנית עבודה לתיקון ליקויים

על בסיס הממצאים, נבנית מפת סיכונים הכוללת המלצות קונקרטיות: עידכון נהלים, שדרוג מערכות, הטמעת מדיניות מחודשת, הכשרות עובדים, בחינה מחדש של מאגרים, ועוד.

 

כיצד מבצעים סקר ציות בתחום הגנת הפרטיות?

עריכת סקר ציות (Privacy Compliance Survey) היא משימה מקצועית הדורשת שילוב של ידע משפטי, הבנה טכנולוגית ויכולת לנתח את המבנה הארגוני והנהלים הפנימיים של הגוף הנבדק. להלן פירוט שיטתי של שלבי העבודה המרכזיים בעריכת סקר ציות:

שלב 1: הגדרת מטרות, היקף והמסגרת הארגונית

בשלב הראשון יש להגדיר בצורה מדויקת את מטרות הסקר: האם מדובר בביקורת כוללת על כלל מערכות הארגון? האם מדובר בבחינה של תהליך מסוים? בשלב זה גם ממונה “רכז סקר” מטעם הארגון – לרוב סמנכ”ל תפעול, DPO, יועץ משפטי פנימי או ממונה על אבטחת מידע.

שלב 2: איסוף מידע ומסמכים רלוונטיים

השלב הבא כולל איסוף מסמכים קיימים, כדוגמת: מדיניות פרטיות; נהלי אבטחת מידע; חוזים עם ספקים; רישום מאגרי מידע; תרשימי זרימת מידע וראיונות עומק.

שלב 3: מיפוי תהליכי עיבוד מידע אישי

בשלב זה נעשה מיפוי מלא של כל זרימות המידע (Data Flow) בארגון: מקורות המידע, סוגי המידע, מטרות האיסוף, הבסיס המשפטי לעיבוד, משך השמירה ומימוש זכויות עיון ותיקון.

שלב 4: ניתוח פערים ובחינה משפטית-טכנולוגית

השוואה שיטתית בין המצב הקיים בפועל לדרישות הדין והנחיות הרשות להגנת הפרטיות:

  • רישום מאגרי מידע: האם קיימת רשימה מלאה ומדויקת? האם המאגר נרשם כדין לפי סעיף 8 לחוק הגנת הפרטיות?
  • נהלים פנימיים: האם קיימים נהלים כתובים בנוגע לניהול המידע האישי, שיתוף ומחיקה?
  • מדיניות אבטחת מידע: האם קיימת מדיניות מעודכנת העומדת בדרישות תקנות אבטחת מידע (התשע”ז-2017)?
  • אמצעי הגנה טכנולוגיים: האם הותקנו חומות אש, הצפנה וניהול הרשאות?
  • מימוש זכויות נושאי המידע: האם קיימת תשתית למתן אפשרות לעיון ובקשה לתיקון?
  • הדרכה והסמכה: האם קיימת תוכנית הדרכה שנתית לעובדים?
  • היערכות לאירועי אבטחה: קיום מדיניות תגובה (Incident Response Plan).
  • הסכמים עם צדדים שלישיים: קיום הסכמי עיבוד מידע (DPA) לפי תקנה 15.

שלב 5: הכנת דו”ח סקר ציות והמלצות אופרטיביות

גיבוש דו”ח סופי מפורט הכולל מבוא, מפת מאגרים, טבלת פערים, דירוג סיכונים ותוכנית פעולה יישומית עם לוחות זמנים.

 

הצגה וניתוח פערים מסקר ציות

ניתוח הפערים מוצג בטבלת השוואה המציגה את המצב הרצוי לעומת המצב הקיים, בדירוג הבא:

  • פערים ברמת חומרה גבוהה: סיכון ממשי להפרות חוק, סנקציות מנהליות חמורות ותביעות משפטיות.
  • פערים ברמת חומרה בינונית (משמעותיים): פערים הדורשים טיפול בטווח הזמן הקצר למניעת חשיפה רגולטורית.
  • פערים ברמת חומרה נמוכה: פערים בעלי אופי טכני או תפעולי הניתנים לתיקון בעבודה השוטפת.

 

סיכום: סקר ציות

על פי הרגולציה בישראל ובעולם, קיומם של מדיניות או נהלים אינם מספיקים. יש לבחון את התנהלות הארגון ואת האפקטיביות של הפעולות. הכלי המרכזי בעניין זה הוא סקר ציות, שלאחריו יגבש הארגון תכנית אכיפה פנימית אפקטיבית.

סקר ציות בתחום הגנת הפרטיות הוא כלי ניהולי-משפטי מרכזי להוכחת עמידה בחוק הגנת הפרטיות ובתיקון 13. ביצוע סקר תקופתי ותיעוד ממצאים מהווים נדבך מרכזי בהיערכות לביקורת רגולטורית.

משרד עורכי הדין וולר ושות’ מלווה ארגונים, רשויות ציבוריות וחברות פרטיות בבניית תשתיות רגולטוריות, תוך התמחות ייחודית בביצוע סקרי ציות מותאמים אישית. צוות המשרד משלב מומחיות משפטית עם הבנה טכנולוגית לניתוח מדויק של פערים ותוכנית עבודה יישומית.

 

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 25/05/2025. עידכון אחרון: 19/03/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

סקר ציות: שאלות ותשובות נפוצות

מהו סקר ציות להגנת הפרטיות?

זהו תהליך בדיקה הממפה את אופן איסוף, שמירת ועיבוד המידע האישי בארגון, במטרה לוודא התאמה להוראות חוק הגנת הפרטיות ותקנות אבטחת המידע.

מי צריך לבצע סקר ציות?

סקר הציות מתאים במיוחד לגופים ציבוריים, רשויות מקומיות, מוסדות חינוך, ארגונים עתירי מידע וספקים הפועלים כמעבדי מידע (Processors).

האם הסקר חובה על פי חוק?

לא. החוק אינו מחייב במפורש “סקר ציות” בשמו זה, אך הוא מחייב עמידה בתקנות אבטחת מידע וביצוע סקר סיכונים תקופתי (כל 18 חודשים לארגונים מסוימים) ובדיקות חדירות, המהווים חלק בלתי נפרד מהציות.

מה ההבדל בין סקר ציות לסקר סיכוני אבטחת מידע?

סקר ציות מתמקד בהיבט המשפטי והרגולטורי (לדוגמה, האם יש הסכמה? האם המאגר רשום?), בעוד סקר סיכונים מתמקד בהיבט הטכנולוגי והגנת המערכות מפני פריצות ואיומי סייבר.

האם מספיק שיש לארגון מדיניות פרטיות ונהלים כתובים?

קיומם של מסמכים “על הנייר” אינו מספיק. יש לבחון את האפקטיביות שלהם בפועל בשטח. סקר הציות מוודא שהנהלים מוטמעים בתרבות הארגונית היומיומית ופועלים למניעת הפרות.

מהן ההשלכות של מציאת פערים ברמת חומרה גבוהה?

פערים ברמת חומרה גבוהה יוצרים סיכון ממשי להפרות חוק משמעותיות. הם עלולים לחשוף את הארגון לקנסות כספיים כבדים (במיוחד תחת תיקון 13), תביעות משפטיות, ואחריות אישית של נושאי משרה.

מה כוללת הבחינה הטכנולוגית בסקר?

הבחינה כוללת סיווג מאגרים, בדיקת בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים בהתאם לתקנות אבטחת המידע.

כיצד הסקר עוזר בהיערכות לביקורת הרשות להגנת הפרטיות?

ביצוע סקר תקופתי ותיעוד הממצאים מהווים הוכחה אקטיבית לכך שהארגון פועל לצמצום סיכונים. הדו”ח הסופי משמש כ”מפת דרכים” לתיקון ליקויים לפני הגעת ביקורת רשמית של הרשות להגנת הפרטיות.

האם עדיין חובה לרשום מאגרי מידע?

כן. תיקון 13 צמצם את חובת הרישום עבור מאגרים שאינם מכילים מידע רגיש או מידע על מעל 10,000 איש, אך החובה נותרה על כנה עבור מאגרים הכוללים מידע רגיש או העברת מידע לצד ג’.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign