top image

שירותי ממונה הגנת הפרטיות במיקור חוץ (DPO As a Service)

ממשק הגנת הפרטיות עם טביעת אצבע, מצלמות אבטחה, מגן וסמל DPO במיקור חוץ

תיקון מס’ 13 לחוק הגנת הפרטיות, משנה באופן מקיף את מסגרת ההגנה על פרטיות המידע בישראל. התיקון, שייכנס לתוקף ביום 14/8/2025, מרחיב את החובות החלות על רשויות, ארגונים ועסקים, ומגביר את החשיפה המשפטית בגין אי־ציות להוראות החוק. אחד השינויים המרכזיים והמהותיים בתיקון לחוק, הנו החובה במינוי ממונה הגנת הפרטיות (DPO – Data Protection Officer), בגופים שמעבדים מידע בהיקף נרחב או מאחסנים תכנים רגישים. תפקיד הממונה הוא לסייע לארגון בעמידה מלאה בדרישות הדין, במטרה למנוע פגיעה בפרטיותם של אזרחים, עובדים, לקוחות וספקים. תחת התיקון, הורחבו משמעותית סמכויות האכיפה של הרשות להגנת הפרטיות, לרבות היכולת לנקוט בהליכים מנהליים, עיצומים כספיים כבדים, תביעות ייצוגיות ותביעות ללא הוכחת נזק, פגיעה במוניטין, ואף לחשיפה אישית של בעלי תפקידים. משרד עו”ד וולר ושות’ מספק שירותי DPO חיצוני (ממונה הגנת פרטיות) המותאמים לכל ארגון – חברות פרטיות, עמותות, רשויות מקומיות ותאגידים עירוניים.

 

מינוי DPO בארגונים

בשנת 2022, המליצה הרשות להגנת הפרטיות למנות ממוני הגנת הפרטיות לארגונים האוספים ומעבדים מידע אישי, אך באופן וולונטרי. לעמדת הרשות, הדבר מהווה פרקטיקה ראויה ומומלצת (Best Practice), אך אינו מהווה חובה חוקית. אלא שעם תיקון 13 לחוק הגנת הפרטיות, הפכה ההמלצה – לחובה.

DPO פנימי או חיצוני?

התיקון לחוק קובע, בתמצית, את סוגי הגופים החייבים במינוי, את תמצית תפקידי ה-DPO, את כישורי ה-DPO, מעמדו, ניגודי עניינים אפשריים וכיוצ”ב.

על פי סעיף 17ב3(ב) לחוק, ה-DPO יכול להיות פנימי (דהיינו, עובד הארגון), או במיקור חוץ לארגון (דהיינו, נותן במתכונת של נותן שירותים – קבלן). אופטימאלית רצוי שהממונה יהיה עובד הארגון וחלק אינטגרלי מן הארגון, באופן שיאפשר ל-DPO היכרות מעמיקה ואינטימית עם מבנה הארגון , תחומי פעילותו ותרבותו הארגונית, כמו גם זמינות ונגישות בלתי אמצעית לעובדים ולמנהלים – כולם יתרונות חשובים אשר יגבירו את יכולת ההשפעה של הממונה בתוך הארגון ויעצימו את יכולתו לבצע את תפקידו באופן מיטבי. עם זאת, ברור כי ארגונים רבים אינם יכולים להעמיד תקן ייעודי לנושא.

לפיכך, ההחלטה על מתכונת ההעסקה צריכה להתקבל בכל מקרה לגופו, בשים לב למאפייני הארגון, היקף כח האדם, פעולות עיבוד המידע שהוא מבצע והמשאבים העומדים לרשותו, וכן שיקולים נוספים. גם זמינותו של ה-DPO המיועד, השכלתו, ניסיונו, מהווים שיקול רלבנטי לקביעת מתכונת ההעסקה.

האם ה-DPO יכול להיות חברה?

לא. רק יחיד (אדם טבעי) יכול להתמנות בידי ארגון לכהונת ממונה על הגנת הפרטיות בו, בין אם מדובר בעובד הארגון או בנותן שירותים חיצוני. אין מניעה שהתקשרות עם הארגון תתבצע באמצעות חברה בה הוא מועסק.

האם ה-DPO יכול לתת שירותים מרחוק?

על פניו, אין מניעה שהשירותים יינתנו מרחוק, אולם הרשות מדגישה בגילוי הדעת שפרסמה ביום 23/7/2025, כי על ה-DPO להיות זמין ונגיש גם באופן פיזי בארגון ככל הנדרש לביצוע נאות של תפקידיו, בהתאם למאפייני הארגון בו הוא מכהן, מתכונת העבודה בו וצרכיו הקונקרטיים.

 

פיקוח על מתן שירותי ממונה הגנת הפרטיות DPO חיצוני

נדגיש כי אין בהוצאת תפקיד ה-DPO למיקור חוץ, משמעותו כי הארגון מתפרק מאחריות. ההיפך הוא הנכון. בהוצאת התחום למיקור-חוץ, הארגון מקבל על עצמו נורמות מקצועיות, אתיות וציבוריות של הגנת הפרטיות, ובעלי התפקידים בארגון ממשיכים להיות שותפים פעילים.

כניסת DPO במיקור חוץ לתפקיד

זו הסיבה שאנחנו מחייבים (ומתחייבים בעצמנו) כי ה-DPO החיצוני, יקדיש מאמצים בתוך זמן קצר (ככלל, בתוך החודש הראשון להתקשרות), להכרת הארגון ומאפייניו בהיבטים שבאחריותו; עיון במסמכי התשתית, מערכות מידע ומאגרי מידע; ביצוע ראיונות ואבחון ראשוני; ביצוע סקר ציות (Privacy Compliance Survey); והכנת הצעה לתכנית עבודה שנתית בתחום הגנת הפרטיות, שממנה יגזרו אבני דרך, לוחות-זמנים והצעת תקציב שנתי; עדכון הגורמים המוסמכים בארגון במסקנות; ולאחר מכן, קביעת סדרי קדימויות לטיפול בהיבטים השונים, בהתאם לשיקול דעתו של ה-DPO, בשיתוף פעולה עם ה-CISO, ובכפוף להנחיות הגורמים האחראיים (מנכ”ל, ועדת היגוי, ועדת משנה של הדירקטוריון, מנהל או מפקח וכו’). גם בתהליך אינטנסיבי זה, על ה-DPO לתת מענה לאירועים שונים שוטפים.

“יישור קו”

אנחנו מקפידים כי, ככלל, שנת ההתקשרות הראשונה בין הצדדים תוקדש לבחינת מצב הארגון, השתתפות בדיונים, סקרים לזיהוי פערים בתחום הגנת הפרטיות, בחינת רמת התאמת הארגון לדרישות הדין, הצגת מסקנות והמלצות, ליווי הטיפול בליקויים שנתגלו על ידי הגורמים המוסמכים (ככל שנתגלו), סיוע בעדכון והכנת מסמכים, הסכמים ונהלי עבודה, ביצוע הדרכות לעובדים ומנהלים, ביצוע תהליכי רכש, הצטיידות והטמעה, רישום ו/או עדכון מאגרי מידע, וכל הדרוש להקמה, ניהול ותפעול של מערך הגנת הפרטיות כנדרש בדין. עם זאת, נוכח העובדה שתיקון 13 נכנס לתוקף, אנחנו קובעים סדרי עדיפויות לטיפול בנושאי הפרטיות, מטמיעים במהירות תוכנית עבודה ותוצרים מדידים, בשיתוף ובהתייעצות עם הנהלת הגוף.

תכנית העבודה השנתית של ה-DPO – חובה ארגונית ולא בגדר המלצה

גיבוש תכנית עבודה שנתית בתחום הגנת הפרטיות איננה דרישה שבדין (נכון להיום), אלא מהווה דרישה ארגונית חיונית, הנגזרת מהסטנדרטים המקצועיים בתחום. תוכנית העבודה, אותה מכין ה-DPO ואותה מאשר הארגון, נועדה לשמש מסגרת מחייבת לניהול סיכוני פרטיות, לקביעת יעדים ומדדים, לגיבוש סדרי עדיפויות, ולבקרה שוטפת אחר יישום ההחלטות.

תוכנית העבודה תועבר לאישור הנהלת הארגון והגורמים המוסמכים. גורמים אלו מוסמכים להורות על שינויים, להוסיף דגשים ונושאים לטיפול או להורות על שינוי בסדרי קדימויות ובזמנים לטיפול שנקבעו. לאחר אישורם, על ה-DPO לפעול בהתאם לתוכנית העבודה המאושרת, בהתאם ללוחות הזמנים, ההיקף והמשאבים שנקבעו לנושאי הטיפול השונים. בכל מקרה, על ה-DPO לדווח ללא דיחוי על כל חריגה צפויה, ככל שעשויה להתרחש.

 

שירותי ממונה הגנת הפרטיות DPO חיצוני

אנו ממנים עבורכם ממונה הגנת פרטיות חיצוני (DPO) מקצועי, שמלווה את הארגון בתחום הגנת הפרטיות, והתאמת הפעילות השוטפת לדרישות החוק והתקנות.

  • גיבוש מדיניות ונהלים בתחום אבטחת מידע ופרטיות. כתיבת נהלים, הנחיות והסכמי עיבוד מידע (DPA), עריכת מדיניות פרטיות, הודעות הסכמה לעיבוד מידע אישי, טפסים ובקשות נושאי מידע למימוש זכויותיהם בהקשר למידע אישי, בחינת נהלים ומדיניות פנימיים של הארגון, ועוד.
  • סקרי סיכונים תקופתיים. זיהוי נקודות תורפה, הערכת סיכונים והמלצות יישום אמצעים מתקנים.
  • טיפול בפניות נושאי מידע. בהתאם להוראות סעיף 17ב2(4), על ה-DPO לתעד, באופן שיטתי ומדויק, כל פנייה של נושא מידע, לרבות: פרטי הפנייה (תאריך, אמצעי ההתקשרות, תוכן הבקשה); אופן קבלת הפניה; הערכה של הפנייה וזיהוי הנושאים שאליהם היא מתייחסת; אימות זהות הפונה, בהתאם לנהלי הרשות; פעולות שבוצעו לטיפול בפנייה, כולל מועדי ביצוע (ולרבות פעולות פנים-ארגוניות); תשובות שניתנו לפונה, לרבות תשובות ביניים, כולל העתקי המסמכים שנמסרו; והחלטות או חריגות, לרבות נימוקים לדחיית הבקשה, אם רלוונטי.
  • בקרה – גיבוש תוכנית בקרה על עמידה בהוראות הדין, ובדיקת יישומה על ידי הארגון ועל ידי צדדים הקשורים לארגון.
  • דיווח לרשויות – הכנה והגשה של דוחות עמידה ייעודיים לרשות להגנת הפרטיות ולרשויות נוספות.
  • טיפול בהסכמים ובחוזים – בחינה ותיקון של חוזי ספקים המעבדים מידע אישי, על מנת להבטיח כי ההסכמים עם הספקים כוללים את כלל ההתחייבויות לסטנדרטים ואמצעי האבטחה הנדרשים תחת הוראות הדין. במקרה הצורך, תיקון ההסכמים, הוספת נספחי הגנת הפרטיות ואבטחת מידע, וכיוצ”ב.
  • חוות דעת בנושאי פרטיות במכרזים.
  • תסקיר השפעה על הפרטיות (DPIA) – זיהוי, ניתוח והפחתת סיכונים לפגיעה בפרטיות הקשורים לפעילויות עיבוד מידע, טרם נקיטת פעולה.
  • הדרכה. הקניית מודעות לעובדים והדרכות על מתודולוגיות עמידה בדרישות פרטיות ואבטחת מידע, כולל בתיקון 13.
  • מעקב שוטף ועדכוני רגולציה. שינויים בחקיקה ובהנחיות הרשות להגנת הפרטיות מחייבים התאמות ושינויים. צוות המשרד מלווה אתכם באופן שוטף, מספק עדכונים והנחיות בזמן אמת.

 

מינוי DPO: לא עוד מינוי על הנייר, אלא נושא לבדיקת עומק מצד הרשות להגנת הפרטיות

ביום 23 ביולי 2025 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת שלפיה הרשות תפעיל את סמכויותיה כדי לוודא שמינוי ממונה על הגנת הפרטיות בארגונים ייעשה בהתאם לקריטריונים שנקבעו בתיקון 13, וכי מדובר בבעל תפקיד בעל מומחיות מהותית בדין ובפיקוח רגולטורי של פרטיות, בעל אי תלות וגישה ישירה להנהלה.

המשמעות הפרקטית לארגונים היא שמינוי “על הנייר” לא יספיק. יידרשו הוכחות כשירות וניסיון, אי תלות וניגוד עניינים, זמינות אפקטיבית בארגון, תיעוד שיטתי של פעילויות עיבוד, הערכות השפעה על פרטיות ונוהלי תגובה לאירועים, לצד דיווח ברור להנהלה. בהיעדר מוכנות, גוברת חשיפה לאמצעי פיקוח ואכיפה מנהליים, לרבות הנחיות מתקנות וסנקציות כספיות על הפרות. במבנה כזה, DPO במיקור חוץ, כפי שאנו מציעים, מאפשר עמידה מדויקת בדרישות הדין.

 

למה לבחור במשרד וולר ושות’ כממונה הגנת פרטיות במיקור חוץ (שירותי DPO)?

  • מומחיות משפטית וטכנולוגיתצוות עורכי הדין והיועצים הטכנולוגיים של המשרד, משלב ידע משפטי בדיני הגנת פרטיות, לצד ניסיון ניהולי בכיר, והבנה טכנולוגית.

  • יישום מבוסס סיכון: מיפוי פעילויות עיבוד, ניתוח פערים, דירוג סיכונים, תעדוף בקרות ומדיניות פרקטיות, ולא רק “קלסר נהלים”.

  • שירות רציף או נקודתי: החל מביצוע פרויקט נקודתי, כתיבת נהלי עבודה, מדיניות פרטיות, מתן חוות דעת, עדכון הסכמים וחוזים, DPIA, סקר ציות, עריכת ביקורות, ייעוץ פרטני לאירוע אבטחה חמור ועד ליווי מלא כ־DPO במיקור חוץ – לפי הצרכים של הארגון.

  • חיסכון בעלויות. אין צורך בגיוס עובד נוסף, וללא צורך בהכשרות מתמשכות. ניתן לקבל את השירותים באופן קבוע או זמני, במודלים גמישים של ריטיינר חודשי או לביצוע פרויקט, בהיקף המתאים לצרכי הארגון.

  • היעדר ניגוד עניינים. על פי הוראות הדין, הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו. כמשרד עורכי דין המשמש ממונה חיצוני, המשרד פועל ללא ניגוד עניינים, ומספק שיקוף אובייקטיבי של מצב הארגון.

  • מדדים ותוצרים מדידים: לוחות זמנים, אבני דרך ותוצרי חובה לכל רבעון. תשלום לפי תוצרים ולא לפי תשומות או הבטחות.

  • חיסיון עו״ד-לקוח: עבודה באמצעות משרד עורכי דין יוצרת “שכבת הגנה” מובנית בתגובה לאירועים ובמתן חוות דעת.

  • עדכון שוטף לתיקוני חקיקה. אנו עוקבים אחר תיקון 13 לחוק הגנת הפרטיות והנחיות הרשות להגנת הפרטיות, ומטמיעים אותן באופן מיידי בתהליכי העבודה של הארגון.

תיקון 13 לחוק הגנת הפרטיות מסמן נקודת מפנה במהות ההגנה על מידע אישי בישראל ומציב רף גבוה של אחריות משפטית וכלכלית על מי שמעבד או מאחסן נתונים רגישים. מינוי DPO מקצועי חיצוני מבטיח לארגון עבודה בהתאם להוראות החוק, מונע ומקטין סיכונים משפטיים, ומאפשר להתמקד בליבת הפעילות העסקית. משרד עו”ד וולר ושות’ מציע לכם שירותי DPO במיקור חוץ: מינוי בהתאם לדרישות החוק, כתיבת מדיניות פרטיות, דיווח שוטף, סקרי סיכונים, הדרכות וניהול פניות – כחבילה גמישה המותאמת לצרכים המדויקים שלכם.

מעוניינים להתחיל? נבצע פגישת אבחון ממוקדת, נציג תכנית עבודה תלת־שלבית ותוצרים לכל רבעון, ונקבע מנגנון דיווח להנהלה. לקבלת הצעת התקשרות מותאמת, פנו אלינו עוד היום.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign