שירותי ממונה הגנת הפרטיות במיקור חוץ (DPO As a Service)

שירות DPO חיצוני הוא פתרון מיקור חוץ המאפשר לארגונים למנות ממונה הגנת פרטיות מוסמך, ללא יחסי עובד-מעביד, לצורך עמידה בדרישות תיקון 13 לחוק הגנת הפרטיות. התיקון לחוק הגנת הפרטיות, שנכנס לתוקף ביום 14/8/2025, הרחיב את החובות החלות על רשויות, ארגונים ועסקים, והגביר את החשיפה המשפטית בגין אי־ציות להוראות החוק. אחד השינויים המרכזיים והמהותיים בתיקון לחוק, הוא חובת מינוי ממונה הגנת הפרטיות (DPO – Data Protection Officer), בגופים שמעבדים מידע בהיקף נרחב או מאחסנים תכנים רגישים. תפקיד הממונה הוא לסייע לארגון בעמידה מלאה בדרישות הדין, במטרה למנוע פגיעה בפרטיותם של אזרחים, עובדים, לקוחות וספקים. תחת התיקון, הורחבו משמעותית סמכויות האכיפה של הרשות להגנת הפרטיות, לרבות היכולת לנקוט בהליכים מנהליים, עיצומים כספיים כבדים, תביעות ייצוגיות ותביעות ללא הוכחת נזק, פגיעה במוניטין, ואף לחשיפה אישית של בעלי תפקידים. משרד עו”ד וולר ושות’ מספק שירותי DPO חיצוני (ממונה הגנת פרטיות) המותאמים לכל ארגון – חברות ציבוריות, פרטיות, רשויות מקומיות, תאגידים עירוניים ומלכ”רים.

מינוי DPO בארגונים

המסגרת המשפטית שקדמה לתיקון 13

בשנת 2022, המליצה הרשות להגנת הפרטיות למנות ממוני הגנת הפרטיות לארגונים האוספים ומעבדים מידע אישי, אך באופן וולונטרי. לעמדת הרשות, הדבר מהווה פרקטיקה ראויה ומומלצת (Best Practice), אך אינו מהווה חובה חוקית. אלא שעם תיקון 13 לחוק הגנת הפרטיות, הפכה ההמלצה – לחובה.

DPO פנימי או חיצוני?

התיקון לחוק קובע, בתמצית, את סוגי הגופים החייבים במינוי, את תמצית תפקידי ה-DPO, את כישורי ה-DPO, מעמדו, ניגודי עניינים אפשריים וכיוצ”ב.

על פי סעיף 17ב3(ב) לחוק, ה-DPO יכול להיות פנימי (דהיינו, עובד הארגון), או במיקור חוץ לארגון (דהיינו, נותן במתכונת של נותן שירותים – קבלן). אופטימאלית רצוי שהממונה יהיה עובד הארגון וחלק אינטגרלי מן הארגון, באופן שיאפשר ל-DPO היכרות מעמיקה ואינטימית עם מבנה הארגון , תחומי פעילותו ותרבותו הארגונית, כמו גם זמינות ונגישות בלתי אמצעית לעובדים ולמנהלים – כולם יתרונות חשובים אשר יגבירו את יכולת ההשפעה של הממונה בתוך הארגון ויעצימו את יכולתו לבצע את תפקידו באופן מיטבי. עם זאת, ברור כי ארגונים רבים אינם יכולים להעמיד תקן ייעודי לנושא.

לפיכך, ההחלטה על מתכונת ההעסקה צריכה להתקבל בכל מקרה לגופו, בשים לב למאפייני הארגון, היקף כח האדם, פעולות עיבוד המידע שהוא מבצע והמשאבים העומדים לרשותו, וכן שיקולים נוספים. גם זמינותו של ה-DPO המיועד, השכלתו, ניסיונו, מהווים שיקול רלבנטי לקביעת מתכונת ההעסקה.

השוואה: DPO פנימי מול DPO חיצוני

האם ה-DPO יכול להיות תאגיד או לפעול מרחוק?

DPO כתאגיד – איסור מוחלט

לא. רק יחיד (אדם טבעי) יכול להתמנות בידי ארגון לכהונת ממונה על הגנת הפרטיות בו, בין אם מדובר בעובד הארגון או בנותן שירותים חיצוני. אין מניעה שהתקשרות עם הארגון תתבצע באמצעות חברה בה הוא מועסק.

מתן שירות מרחוק – תנאים ומגבלות

על פניו, אין מניעה שהשירותים יינתנו מרחוק, אולם הרשות מדגישה בגילוי הדעת שפרסמה ביום 23/7/2025 (וכאן קישור ישיר) כי על ה-DPO להיות זמין ונגיש גם באופן פיזי בארגון ככל הנדרש לביצוע נאות של תפקידיו, בהתאם למאפייני הארגון בו הוא מכהן, מתכונת העבודה בו וצרכיו הקונקרטיים.

פיקוח על מתן שירותי DPO חיצוני

נדגיש כי אין בהוצאת תפקיד ה-DPO למיקור חוץ, משמעותו כי הארגון מתפרק מאחריות. ההיפך הוא הנכון. בהוצאת התחום למיקור-חוץ, הארגון מקבל על עצמו נורמות מקצועיות, אתיות וציבוריות של הגנת הפרטיות, ובעלי התפקידים בארגון ממשיכים להיות שותפים פעילים.

הכניסה לתפקיד – מה חייב לקרות בחודש הראשון

זו הסיבה שאנחנו מחייבים (ומתחייבים בעצמנו) כי ה-DPO החיצוני, יקדיש מאמצים בתוך זמן קצר (ככלל, בתוך החודש הראשון להתקשרות), להכרת הארגון ומאפייניו בהיבטים שבאחריותו; עיון במסמכי התשתית, מערכות מידע ומאגרי מידע; ביצוע ראיונות ואבחון ראשוני; ביצוע סקר ציות (Privacy Compliance Survey); והכנת הצעה לתכנית עבודה שנתית בתחום הגנת הפרטיות, שממנה יגזרו אבני דרך, לוחות-זמנים והצעת תקציב שנתי; עדכון הגורמים המוסמכים בארגון במסקנות; ולאחר מכן, קביעת סדרי קדימויות לטיפול בהיבטים השונים, בהתאם לשיקול דעתו של ה-DPO, בשיתוף פעולה עם ה-CISO, ובכפוף להנחיות הגורמים האחראיים (מנכ”ל, ועדת היגוי, ועדת משנה של הדירקטוריון, מנהל או מפקח וכו’). גם בתהליך אינטנסיבי זה, על ה-DPO לתת מענה לאירועים שונים שוטפים.

שנת ההתקשרות הראשונה – “יישור קו”

אנחנו מקפידים כי, ככלל, שנת ההתקשרות הראשונה בין הצדדים תוקדש לבחינת מצב הארגון, השתתפות בדיונים, סקרים לזיהוי פערים בתחום הגנת הפרטיות, בחינת רמת התאמת הארגון לדרישות הדין, הצגת מסקנות והמלצות, ליווי הטיפול בליקויים שנתגלו על ידי הגורמים המוסמכים (ככל שנתגלו), סיוע בעדכון והכנת מסמכים, הסכמים ונהלי עבודה, ביצוע הדרכות לעובדים ומנהלים, ביצוע תהליכי רכש, הצטיידות והטמעה, רישום ו/או עדכון מאגרי מידע, וכל הדרוש להקמה, ניהול ותפעול של מערך הגנת הפרטיות כנדרש בדין. עם זאת, נוכח העובדה שתיקון 13 נכנס לתוקף, אנחנו קובעים סדרי עדיפויות לטיפול בנושאי הפרטיות, מטמיעים במהירות תוכנית עבודה ותוצרים מדידים, בשיתוף ובהתייעצות עם הנהלת הגוף.

תכנית העבודה השנתית של ה-DPO

גיבוש תכנית עבודה שנתית בתחום הגנת הפרטיות איננה דרישה שבדין (נכון להיום), אלא מהווה דרישה ארגונית חיונית, הנגזרת מהסטנדרטים המקצועיים בתחום. תוכנית העבודה, אותה מכין ה-DPO ואותה מאשר הארגון, נועדה לשמש מסגרת מחייבת לניהול סיכוני פרטיות, לקביעת יעדים ומדדים, לגיבוש סדרי עדיפויות, ולבקרה שוטפת אחר יישום ההחלטות.

תוכנית העבודה תועבר לאישור הנהלת הארגון והגורמים המוסמכים. גורמים אלו מוסמכים להורות על שינויים, להוסיף דגשים ונושאים לטיפול או להורות על שינוי בסדרי קדימויות ובזמנים לטיפול שנקבעו. לאחר אישורם, על ה-DPO לפעול בהתאם לתוכנית העבודה המאושרת, בהתאם ללוחות הזמנים, ההיקף והמשאבים שנקבעו לנושאי הטיפול השונים. בכל מקרה, על ה-DPO לדווח ללא דיחוי על כל חריגה צפויה, ככל שעשויה להתרחש.

מה כולל שירות DPO חיצוני?

אנו ממנים עבורכם ממונה הגנת פרטיות חיצוני (DPO) מקצועי, שמלווה את הארגון בתחום הגנת הפרטיות, והתאמת הפעילות השוטפת לדרישות החוק והתקנות.

• גיבוש מדיניות ונהלים בתחום אבטחת מידע ופרטיות. כתיבת נהלים, הנחיות והסכמי עיבוד מידע (DPA), עריכת מדיניות פרטיות, הודעות הסכמה לעיבוד מידע אישי, טפסים ובקשות נושאי מידע למימוש זכויותיהם בהקשר למידע אישי, בחינת נהלים ומדיניות פנימיים של הארגון, ועוד.
• סקרי סיכונים תקופתיים. זיהוי נקודות תורפה, הערכת סיכונים והמלצות יישום אמצעים מתקנים.
• טיפול בפניות נושאי מידע. בהתאם להוראות סעיף 17ב2(4), על ה-DPO לתעד, באופן שיטתי ומדויק, כל פנייה של נושא מידע, לרבות: פרטי הפנייה (תאריך, אמצעי ההתקשרות, תוכן הבקשה); אופן קבלת הפניה; הערכה של הפנייה וזיהוי הנושאים שאליהם היא מתייחסת; אימות זהות הפונה, בהתאם לנהלי הרשות; פעולות שבוצעו לטיפול בפנייה, כולל מועדי ביצוע (ולרבות פעולות פנים-ארגוניות); תשובות שניתנו לפונה, לרבות תשובות ביניים, כולל העתקי המסמכים שנמסרו; והחלטות או חריגות, לרבות נימוקים לדחיית הבקשה, אם רלוונטי.
• בקרה: גיבוש תוכנית בקרה על עמידה בהוראות הדין, ביקורת פנימית, ובדיקת יישומה על ידי הארגון ועל ידי צדדים הקשורים לארגון.
• טיפול בהסכמים ובחוזים: בחינה ותיקון של חוזי ספקים המעבדים מידע אישי, על מנת להבטיח כי ההסכמים עם הספקים כוללים את כלל ההתחייבויות לסטנדרטים ואמצעי האבטחה הנדרשים תחת הוראות הדין. במקרה הצורך, תיקון ההסכמים, הוספת נספחי הגנת הפרטיות ואבטחת מידע, וכיוצ”ב.
• חוות דעת בנושאי פרטיות במכרזים.
• תסקיר השפעה על הפרטיות (DPIA) – זיהוי, ניתוח והפחתת סיכונים לפגיעה בפרטיות הקשורים לפעילויות עיבוד מידע, טרם נקיטת פעולה.
• הדרכה: הקניית מודעות לעובדים והדרכות על מתודולוגיות עמידה בדרישות פרטיות ואבטחת מידע, כולל בתיקון 13.
• מעקב שוטף ועדכוני רגולציה: שינויים בחקיקה ובהנחיות הרשות להגנת הפרטיות מחייבים התאמות ושינויים. צוות המשרד מלווה אתכם באופן שוטף, מספק עדכונים והנחיות בזמן אמת.

מינוי DPO: לא עוד מינוי על הנייר, אלא נושא לבדיקת עומק מצד הרשות להגנת הפרטיות

ביום 23 ביולי 2025 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת שלפיה הרשות תפעיל את סמכויותיה כדי לוודא שמינוי ממונה על הגנת הפרטיות בארגונים ייעשה בהתאם לקריטריונים שנקבעו בתיקון 13, וכי מדובר בבעל תפקיד בעל מומחיות מהותית בדין ובפיקוח רגולטורי של פרטיות, בעל אי תלות וגישה ישירה להנהלה.

המשמעות הפרקטית לארגונים היא שמינוי “על הנייר” לא יספיק. על הארגון לספק ולהוכיח כשירות וניסיון, אי תלות וניגוד עניינים, זמינות אפקטיבית בארגון, תיעוד שיטתי של פעילויות עיבוד, הערכות השפעה על פרטיות ונוהלי תגובה לאירועים, לצד דיווח ברור להנהלה. בהיעדר מוכנות, גוברת החשיפה לאמצעי פיקוח ואכיפה מנהליים, לרבות הנחיות מתקנות וסנקציות כספיות על הפרות. במבנה כזה, DPO במיקור חוץ, כפי שאנו מציעים, מאפשר עמידה מדויקת בדרישות הדין.

עדכון: היתרונות הכלכליים של מינוי ממונה הגנת פרטיות 

מינוי ממונה הגנת הפרטיות הפך בשנים האחרונות לנכס אסטרטגי עבור ארגונים, ולא רק לדרישה רגולטורית. ניתוח מקיף שערכה רשות הפרטיות הצרפתית (CNIL), המבוסס על סקר סטטיסטי רחב ומחקר איכותני, מדגים כי תפקיד ה-DPO יוצר תועלת כלכלית ממשית עבור חברות המאמצות גישה פרואקטיבית לעמידה בדין. במילים אחרות, הארגונים המפיקים את מירב הערך ממינוי DPO הם אלו הרואים בעמידה בחוק יתרון עסקי ולא נטל תפעולי.

המחקר מצביע על ארבעה צירי תועלת מרכזיים. ראשית, נוכחות DPO משמשת מנגנון מהותי במכרזים ובהליכי רכש: הוכחת עמידה בדין, בנייה נכונה של מנגנוני עיבוד מידע ותיעוד נאות – מייצרות יתרון תחרותי ומעלות את סיכויי הזכייה. שנית, ה-DPO מפחית באופן ניכר את חשיפת החברה לסנקציות מנהליות. עצם קיומו של גורם מקצועי המוביל בקרה, ייעוץ וליווי מקטין סיכוני קנס, ומגן על מוניטין הארגון. שלישית, ל-DPO תרומה ממשית בצמצום אירועי אבטחת מידע. שילובו בהליכי ניהול סיכונים, בהערכת השפעה על פרטיות, בהדרכות ובהתרעות מבצעיות מפחית את הסיכון לדליפות מידע (שבפועל מלוות בהפסדים מהותיים), ופגיעה בשרשראות מימון ותפעול. ורביעית, יישום עקרונות צמצום מידע, הגבלת שימוש ושיפור מבנה המאגרים מניב חיסכון תפעולי: הפחתת עלויות אחסון, הקטנת וקטורי תקיפה, והגברת יעילות גישה למידע.

למה לבחור במשרד וולר ושות’ כממונה הגנת פרטיות במיקור חוץ (שירותי DPO)?

• מומחיות משפטית וטכנולוגית. צוות עורכי הדין והיועצים הטכנולוגיים של המשרד, משלב ידע משפטי בדיני הגנת פרטיות, לצד ניסיון ניהולי בכיר, והבנה טכנולוגית.

• יישום מבוסס סיכון: מיפוי פעילויות עיבוד, ניתוח פערים, דירוג סיכונים, תעדוף בקרות ומדיניות פרקטיות, ולא רק “קלסר נהלים”.

• שירות רציף או נקודתי: החל מביצוע פרויקט נקודתי, כתיבת נהלים, מדיניות פרטיות, מתן חוות דעת, עדכון הסכמים, DPIA, סקר ציות, עריכת ביקורות, ייעוץ פרטני לאירוע אבטחה חמור ועד ליווי מלא כ־DPO – לפי הצרכים של הארגון.

• חיסכון בעלויות. אין צורך בגיוס עובד נוסף, וללא צורך בהכשרות מתמשכות. ניתן לקבל את השירותים באופן קבוע או זמני, במודלים גמישים של ריטיינר חודשי או לביצוע פרויקט, בהיקף המתאים לצרכי הארגון.

• היעדר ניגוד עניינים. על פי הוראות הדין, הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו. כמשרד עורכי דין המשמש ממונה חיצוני, המשרד פועל ללא ניגוד עניינים, ומספק שיקוף אובייקטיבי של מצב הארגון.

• מדדים ותוצרים מדידים: לוחות זמנים, אבני דרך ותוצרי חובה לכל רבעון. תשלום לפי תוצרים ולא לפי תשומות או הבטחות.

• חיסיון עו״ד-לקוח: עבודה באמצעות משרד עורכי דין יוצרת “שכבת הגנה” מובנית בתגובה לאירועים ובמתן חוות דעת.

• עדכון שוטף לתיקוני חקיקה. אנו עוקבים אחר הנחיות הרשות להגנת הפרטיות, ומטמיעים אותן באופן מיידי בתהליכי העבודה.

תיקון 13 לחוק הגנת הפרטיות מסמן נקודת מפנה במהות ההגנה על מידע אישי בישראל ומציב רף גבוה של אחריות משפטית וכלכלית על מי שמעבד או מאחסן נתונים רגישים. מינוי DPO מקצועי חיצוני מבטיח לארגון עבודה בהתאם להוראות החוק, מונע ומקטין סיכונים משפטיים, ומאפשר להתמקד בליבת הפעילות העסקית. משרד עו”ד וולר ושות’ מציע לכם שירותי DPO במיקור חוץ: מינוי בהתאם לדרישות החוק, כתיבת מדיניות פרטיות, דיווח שוטף, סקרי סיכונים, הדרכות וניהול פניות – כחבילה גמישה המותאמת לצרכים המדויקים שלכם. מעוניינים להתחיל? נבצע פגישת אבחון ממוקדת, נציג תכנית עבודה תלת־שלבית ותוצרים לכל רבעון, ונקבע מנגנון דיווח להנהלה. לקבלת הצעת התקשרות מותאמת, פנו אלינו עוד היום.

פורסם: 3/05/2025. עידכון אחרון: 02/12/2025.

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

תחום: הגנת הפרטיות ואבטחת מידע.

שאלות ותשובות (FAQ)