תוכנית עבודה ל-DPO

DPO הוא ממונה הגנת פרטיות בארגון: תפקיד שנולד מתוך הצורך להבטיח את ההגנה על פרטיות המידע של לקוחות, עובדים, ספקים ושותפים עסקיים של הארגון, עמידה בהוראות הדין הישראלי (דוגמת חוק יסוד: כבוד האדם וחירותו וחוק הגנת הפרטיות, התשמ”א-1981) וברגולציות בינלאומיות (דוגמת ה-GDPR). תיקון מס’ 13 לחוק הגנת הפרטיות חייב גופים ציבוריים, בארגונים שעיסוקם העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, ובארגונים שפעילותם כרוכה במעקב או התחקות שיטתית אחר אנשים בהיקף ניכר, במינוי DPO.

אלא שלאחר מינויו של ה-DPO בארגון, ולאחר הסדרת תפקידו, סמכויותיו והמשאבים העומדים לרשותו, על ה-DPO לקבוע את תוכניות העבודה השנתיות. תוכנית עבודה שנתית מובנית לתחום הגנת הפרטיות ואבטחת המידע (Privacy Workplan) ממלאת תפקיד מפתח בהבטחת ציות אפקטיבי לדין, בניהול הסיכונים הארגוניים ובהטמעת תרבות פרטיות מבוססת מדיניות, נהלים וכלים טכנולוגיים. איך עושים את זה?

המסגרת הרגולטורית לפעילות ה- DPO  

מהם תפקידיו של ה- DPO?

תפקידו המרכזי של ה- DPO הוא לוודא כי הארגון עומד בדרישות הרגולציה בתחום הגנת הפרטיות, ולדאוג ליישם את דרישות דיני הגנת הפרטיות בהתאם. ה-DPO משמש כסמכות מקצועית ומוקד ידע בתחום הגנת הפרטיות בארגון. באופן ממוקד, במסגרת תפקידו כלולים התחומים שלהלן:

• ייעוץ לדירקטוריון, להנהלה הבכירה ולעובדים בנושאים הקשורים להגנת הפרטיות.
• ​מיפוי מאגרי המידע בארגון.
• כתיבת תיק נהלי אבטחת מידע ופיקוח על נהלי אבטחת מידע. ה-DPO מוודא קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שיובאו לאישור הנהלת הארגון, כנדרש לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז –2017.​
• תסקיר השפעת פרטיות (DPIA).
• הכנת תוכניות בקרה: ה-DPO אחראי להכין תוכנית לבקרה שוטפת על העמידה בהוראות חוק הגנת הפרטיות.
• גיבוש מדיניות פרטיות.
• הכנת תוכנית הדרכות וסדנאות למודעות עובדים, ולפקח על ביצוען.
• איש קשר לרשות להגנת הפרטיות.
• הכנת דו”חות שוטפים ודיווח על אירועים חמורים.
• טיפול בפניות של נושאי מידע: ה-DPO מטפל בפניות של נושאי מידע, ובכלל זה בקשות לעיון במידע או לתיקונו.​

מה המשמעות של אי מינוי DPO?

ארגון שלא מילא את החובות ביחס למינוי ה- DPO, יהיה חשוף לסנקציות משפטיות, מנהליות, כלכליות ואף פליליות. תיקון 13 העניק לרשות סמכות להטיל עיצומים כספיים משמעותיים על גופים שלא ממנים DPO כנדרש או שפעולתם נוגדת את הוראות החוק. גובה הקנס נגזר מהיקף ההפרה, מהות המידע המעובד, סוג/ גודל הארגון, ומספר הנפגעים הפוטנציאליים. הרשות להגנת הפרטיות רשאית להורות לארגון על הפסקת ההפרה ועל הדרך לתקנה, להטיל עיצום כספי על הארגון (גובה העיצום יקבע לפי גודל וסוג המאגר), לבקש מבית המשפט להוציא צו להפסקת פעולות עיבוד המידע, ועוד. מלבד זאת, אי מינוי DPO כדין עשוי להוות עילה לתביעה בגין עוולה נזיקית ו/או בסיס לתובענה ייצוגית.

חשיבות תוכנית עבודה שנתית ל- DPO

עמידה בדרישות הדין ומזעור חשיפה משפטית

תוכנית עבודה מקצועית בתחום הגנת המידע מבססת את תשתית הציות הרגולטורית של הארגון, באופן שיטתי ומגובה ראיות. בהתאם לדין הישראלי, עיבוד מידע אישי כפוף לשורה של הוראות נורמטיביות ובראשן: חוק הגנת הפרטיות, התשמ”א–1981, המחייב רישום מאגרי מידע, הגבלת מטרות עיבוד, שמירה על סודיות ויישום אמצעי אבטחה; תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, הקובעות רמות אבטחה (בסיסית, בינונית, גבוהה), חובת מיפוי, ניתוח סיכונים, ניהול הרשאות, קיום לוגים, וביצוע מבדקי חדירות; וכן תיקון מס’ 13 לחוק, שייכנס לתוקף ביום 15/8/2025. לצד אלה, סמכויות פיקוח מרחיבות לרשות להגנת הפרטיות, וחובות דיווח חדשות.

תוכנית העבודה מספקת מסגרת לביצוע מיפוי של מאגרים, עריכת DPA (Data Protection Assessments), בקרת ספקים (Vendor Privacy Compliance), ניהול אירועים ודיווח לרשות. בכך היא משמשת ככלי קריטי לארגון לצמצום חשיפה לתביעות אזרחיות (לרבות ייצוגיות).

ניהול סיכונים והגנה על נכסי מידע אסטרטגיים

מידע אישי אינו רק משאב רגולטורי אלא נכס עסקי רגיש. לעיתים קרובות הוא מהווה את התשתית לפעילות הליבה של הארגון. כשל באבטחת מידע עלול להוביל לא רק לפגיעה בזכויות נושאי המידע אלא גם לפגיעה משמעותית בארגון עצמו – בדמות אובדן מידע, השבתת מערכות, תביעות נזיקיות, התקפות כופר (Ransomware), חשיפת קניין רוחני, אירוע ביטוחי, ונזקים תדמיתיים חמורים.

תוכנית עבודה מספקת מענה כולל לסיכונים אלה, באמצעות יישום מתודולוגיה שיטתית של ניהול סיכונים (Risk Management), הכוללת זיהוי נכסים, מיפוי איומים, הערכת סבירות ונזק, תעדוף תגובות והקצאת בקרות מתאימות (כגון הצפנה, בקרת גישה, גיבויים, אימות רב-שלבי, זיהוי אנומליות ועוד). כמו כן, התוכנית כוללת תרחישי תגובה לאירועים ותרגול תקופתי כהכנה למקרי אמת, שבהם נדרשת תגובה מיידית, מתועדת, ולעיתים גם מתואמת מול רגולטור.

עיגון תרבות פרטיות ארגונית וחיזוק ממשל תאגידי

ביסוס של “תרבות פרטיות” (Privacy Culture) בארגון מחייב מעבר מהתנהלות תגובתית – כתגובה לפרצות ולבעיות – להתנהלות יזומה, פרואקטיבית ושיטתית. תוכנית עבודה שנתית מאפשרת לארגון להטמיע את נושא ההגנה על מידע אישי בכל שכבות הארגון – החל מהדרכת עובדים שוטפת, דרך קורסים ייעודיים לצוותי טכנולוגיה, ועד סדנאות הנהלה בכירה ודירקטוריון. כך הופך נושא הגנת המידע ממטלה של מחלקת אבטחה או יועץ משפטי – לעניין ארגוני כולל.

במקביל, התוכנית מעגנת שקיפות כלפי ההנהלה באמצעות דיווחים רבעוניים, שימוש במדדים כמותיים (KPI), והצגת סטטוס ביצוע של משימות קריטיות. כלים אלו מחזקים את ממשל התאגידי (Data Governance), תומכים בקבלת החלטות אסטרטגיות, ומאפשרים לארגון להציג מוכנות ועמידה בסטנדרטים בפני גופים רגולטוריים, שותפים עסקיים, וגופים ממשלתיים.

הטמעת עקרונות Privacy by Design ובקרה טכנולוגית מתקדמת

תוכנית עבודה אפקטיבית מהווה פלטפורמה ליישום עקרונות המתקדמים ביותר בתחום, ובראשם עקרון “פרטיות בעיצוב” (Privacy by Design). במסגרת זו, פרטיות אינה נבחנת רק בדיעבד – אלא נלקחת בחשבון כבר בתהליך התכנון של מוצרים, שירותים, מערכות מידע ואפליקציות. הדבר כולל הגדרת מטרות עיבוד כבר בשלב האפיון, צמצום איסוף נתונים מיותר (Data Minimization), הפרדת תשתיות רגישות, ושימוש באמצעי בקרה אוטומטיים.

כמו כן, התוכנית מאפשרת לארגון להיערך לדרישות תקני פרטיות גלובליים – דוגמת ISO/IEC 27701 (PIMS), ולהקים תשתיות כגון פורטל מימוש זכויות, מערכת לניהול הסכמות, כלי DPIA אוטומטיים, ו־מערך רישום עיבודים (ROPA). בכך נוצר ארגון גמיש, המותאם לעמידה בדרישות רגולציה נוכחיות ועתידיות.

תמיכה בצמיחה עסקית ובניית אמון ציבורי

בעולם תחרותי ודיגיטלי, שמירה על פרטיות אינה רק חובה – אלא יתרון תחרותי מהותי. ארגונים בעלי תשתית פרטיות ואבטחת מידע יציבה נהנים מגישה לשווקים גלובליים, יכולים להתקשר עם לקוחות גדולים הדורשים תאימות לתקנים מחמירים, ואף להציע פתרונות חדשניים תוך שמירה על אמון הלקוחות. תוכנית העבודה מאפשרת לארגון לשלב את נושא הגנת המידע באסטרטגיה העסקית – כמסייעת להרחבת קווי מוצרים, שיתופי פעולה, ועמידה במכרזים רגישים. בכך, היא מחזקת את אמון הציבור, הלקוחות, העובדים, והמשקיעים, ותורמת באופן מובהק ליציבות, לרווחיות, ולהישרדות ארגונית.

מפת דרכים להכנת תוכנית עבודה בתחום הגנת הפרטיות

המסגרת התפעולית לניהול פרטיות:

מדיניות, נהלים ומסמכים מחייבים

יישום אפקטיבי של חובות הגנת הפרטיות ואבטחת המידע בארגון מחייב גיבוש מערך נהלים ומסמכים פנים-ארגוני, תכליתי ועדכני, המשקף את דרישות החוק, התקנות והפסיקה, את דרישות הביטוח ואת מיטב הפרקטיקה המקצועית בתחום. מסמכים אלו חיוניים לצורך הוכחת עמידה ברגולציה, ביסוס אחריות ניהולית, תגובה לאירועים, ותכנון תהליכי עיבוד עתידיים. להלן פירוט חלק מהמסמכים ההכרחיים, אשר נדרשים להיכלל במערך המדיניות והנהלים הארגוני, בהתאם להוראות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), תיקון 13 לחוק, והנחיות רהשות להגנת הפרטיות:

1. מדיניות פרטיות ארגונית (Organizational Privacy Policy)

מדיניות פרטיות כללית מהווה את המסמך העליון במדרג מדיניות הגנת המידע בארגון. מדובר במסמך המאושר ברמת הנהלה בכירה, המבטא את מחויבות הארגון לעקרונות המשפטיים החלים עליו, ואת עקרונות “Privacy by Design” ו-“Transparency”. מדיניות זו חלה על כלל היחידות הארגוניות, ועל נותני שירות חיצוניים (מיקור חוץ). היא כוללת הסבר לעובדים באשר לחובותיהם, והצגה פומבית של התחייבות הארגון כלפי נושאי המידע (לקוחות, משתמשים, ספקים, מועמדים לעבודה וכדומה).

בין היתר, המדיניות מפרטת את מטרות העיבוד, סוגי המידע הנאסף, הבסיס החוקי לעיבוד (כגון הסכמה, חובה חוקית, אינטרס לגיטימי), פרקי הזמן לשמירה, זכות העיון והתיקון, רשימת מקבלי מידע צד ג’, והפניה לערוצים למימוש זכויות.

2. נוהל דיווח וטיפול באירועי אבטחת מידע (Security Incident Response Procedure)

נוהל זה נועד להבטיח תגובה מהירה, מדורגת ומתועדת לכל חשד לאירוע אבטחת מידע – לרבות דליפת מידע, גישה בלתי מורשית, אובדן נתונים, פריצה למערכות, או מתקפה מסוג כופר (Ransomware).

הנוהל קובע סיווג חומרה (Low / Medium / High / Critical), אמות מידה להפעלת צוות תגובה ייעודי (Incident Response Team), והנחיות מפורטות לשרשרת הדיווח הפנימית – החל מהעובד המדווח, דרך מנהל המחלקה, ועד ל-CISO, ה-DPO ולמנכ”ל.

בהתאם להנחיית הרשות להגנת הפרטיות מס’ 1/2022, יש לדווח לרשות תוך 72 שעות באירוע חמור – קרי, אירוע העשוי לגרום לפגיעה של ממש בזכות לפרטיות של נושאי המידע. הנוהל גם מגדיר את תהליך התחקור הפנימי (Post-Mortem) ואת חובת התיעוד ביומן אבטחת המידע.

3. נוהל מימוש זכויות נושאי מידע (Data Subject Rights Procedure)

סעיפים 13–14 לחוק הגנת הפרטיות מעגנים את זכויותיו של נושא המידע לעיין, לתקן, למחוק ולהתנגד לעיבוד. בהתאם לכך, נדרש נוהל פורמלי, אשר מגדיר את מנגנון קבלת הבקשה, אימות זהות הפונה, הנחיות לעיבוד פנימי (לרבות שיתוף עם יועץ משפטי), ומתן מענה במועד הקבוע בדין – קרי, 21 ימי עבודה.

הנוהל מפרט גם את סוגי התשובות האפשריות, מצבים בהם ניתן לסרב לבקשה (למשל, במקרה של פגיעה בזכויות צד שלישי), ומדיניות רישום כל הבקשות לצרכי ביקורת.

4. מדיניות שימור ומחיקת מידע (Data Retention and Disposal Policy)

על פי עקרונות דיני הפרטיות, יש לשמור מידע באופן מצומצם ותכליתי, ורק כל עוד הדבר נדרש לצורך מטרת העיבוד המקורית. המדיניות מתארת את פרקי הזמן המאושרים לכל סוג מידע – לרבות קבצי לקוחות, רשומות רפואיות, תלושי שכר, נתוני נוכחות, קורות חיים ומסמכי התקשרות.

המדיניות כוללת טבלת שימור (Retention Table), המלצות טכנולוגיות למחיקה מבוקרת (Secure Deletion), והבחנה בין מידע חיוני עסקית (Operational Data) לבין מידע שניתן לאנונימיזציה.

5. נוהל אבטחת מידע טכנולוגית (Information Security Policy)

נוהל אבטחת המידע קובע את החובות החלות על כלל עובדי הארגון ומנהליו בכל הנוגע לשימוש במערכות מידע, גישה לקבצים, שמירת סיסמאות, התחברות מרחוק, עבודה עם התקנים ניידים, והגנה על מידע המוזן למערכות ERP/CRM.

הנוהל נדרש בהתאם לתקנות אבטחת המידע (2017) וכולל התייחסות לאמצעים כגון Multi-Factor Authentication, מנגנוני הצפנה (Encrypt at Rest & Transit), הפרדת רשתות (Network Segmentation), ומדיניות Backup & Recovery.

6. הערכת השפעה על פרטיות 

הערכת השפעה על פרטיות (Data Protection Impact Assessment) נדרשת לפי סעיף 13ד לחוק ותיקון 13, עבור כל מערכת חדשה או שינוי מהותי בתהליך עיבוד קיים, אשר טומן בחובו סיכון גבוה לפרטיות נושאי המידע.

הטופס כולל שאלות מתודולוגיות: תיאור המערכת, הצדקה לעיבוד, סוגי מידע, אמצעי אבטחה קיימים, ניתוח סיכונים, תוצאה צפויה של הפגיעה האפשרית, ופעולות מתוכננות להפחתת הסיכון. הטופס נחתם על ידי DPO ומוצג להנהלה כחלק מהליכי האישור הפרויקטלי.

7. גיליון מיפוי מידע ותהליכים (Data Mapping Sheet)

מדובר בכלי עבודה דינמי, המשמש לתיעוד שיטתי של כלל המאגרים, מערכות המידע, תהליכי העיבוד, בעלי הרשאות, העברות מידע לצדדים שלישיים, ושימוש בענן.

גיליון זה נדרש לצורך עמידה בדרישת התיעוד שבסעיף 8 לחוק, משמש בסיס ל-DPIA, לניהול סיכונים, לביקורת פנימית וחיצונית, ולבניית מדדי ציות (KPIs). המבנה המקובל כולל שדות כגון: שם המערכת, סוג המידע, מיקום אחסון, קהל יעד, משך שמירה, הבסיס החוקי לעיבוד, וזהות הספק.

8. אישור רישום מאגרי מידע

על אף העובדה שתיקון 13 הפחית מהחובה לרשום מאגרי מידע, ארגונים רבים וגופים ציבוריים עודם מחוייבים לכך. האישור המונפק מאת הרשם מהווה אסמכתה באשר לעצם הרישום, ואת פרטיו: שם בעל המאגר, מטרות, סוגי מידע, מי מורשה לגשת למידע, ועוד. מסמך זה נדרש לצרכי בקרה רגולטורית, ניהול ביקורות פנים, התקשרויות חוזיות, והגנה משפטית בפני טענות לא חוקיות עיבוד.

מדדים להצלחה (KPIs)

לסיכום: למה כל ארגון חייב תוכנית עבודה בתחום הגנת הפרטיות?

המידע האישי הפך בעשור האחרון לנכס הארגוני הרגיש והחשוב ביותר. עסקים, מוסדות ציבוריים וארגונים ללא מטרות רווח כאחד – כולם מעבדים מידע אישי כחלק משגרת פעילותם. אך יחד עם האפשרויות שמביאה הדיגיטליזציה, מגיעים גם סיכונים: פרצות אבטחה, תביעות ייצוגיות, קנסות רגולטוריים, ונזק תדמיתי שעלול להימשך שנים. כאן נכנסת לתמונה תוכנית העבודה השנתית של ממונה הגנת הפרטיות (DPO) – כלי חיוני להתנהלות אחראית, מקצועית וצופה פני עתיד.

תוכנית העבודה של ממונה הגנת הפרטיות אינה רק דרישה רגולטורית: היא הדרך הנכונה, המקצועית והיעילה ביותר להתנהל בעולם שבו המידע הוא משאב קריטי. בין אם אתם רשות מקומית, תאגיד עירוני, עמותה, סטארט-אפ או חברה ותיקה – זה הזמן לעשות את השינוי.

משרד עו”ד מומחה להגנת הפרטיות

משרד עורכי הדין וולר ושות’ הוא אחד מהמשרדים הוותיקים והמובילים בישראל, עם ניסיון של למעלה מ-50 שנה במתן ייעוץ משפטי ברמה הגבוהה ביותר. עו”ד רועי וולר (M.A, LL.B) הוא ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים. עו”ד וולר כיהן כמנכ”ל רשות מקומית, וכקצין (מיל.) ביחידה 8200, ומביא עמו ניסיון ניהולי ומקצועי עשיר.