תיקון 13 לחוק הגנת הפרטיות, ותקנות אבטחת מידע, מחייבים כי כל “עיבוד מידע” הנעשה בשירותים חיצוניים, יוסדר בחוזה או במסמך משפטי מחייב: הסכם עיבוד מידע (Data Processing Agreement – DPA). אלו קובעים את נושא העיבוד, משך העיבוד, מטרתו, סוגי המידע והזכויות/החובות של הצדדים. החל מיום 14/8/2025, כל ארגון שיבצע מיקור‑חוץ של עיבוד מידע – באמצעות חברות, קבלני משנה, תוכנות מחשב וכו’ – יידרש לתמוך את ההעברה ב-DPA. להלן סקירה המיועדת למקבלי החלטות, DPO, מנהלי מערכות מידע ויועצים משפטיים, המבקשים להבין כיצד לתכנן, לנסח וליישם DPA.
המקור הנורמטיבי: בין תקנה 28 ל-GDPR לבין תיקון 13 לחוק הגנת הפרטיות
על פי תקנה 28 ל-GDPR, כל עיבוד הנתבצע עבור “בעל‑מאגר” יוסדר בחוזה או במסמך משפטי מחייב הקובע את הנושא, משך העיבוד, מטרתו, סוגי המידע והזכויות/החובות של הצדדים. וכלשון הסעיף:
“Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.
The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.
Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor…”
המחוקק הישראלי הלך בנתיב דומה. תיקון 13 לחוק הגנת הפרטיות, החליף את המונחים “בעל מאגר” ו”מחזיק”, ב‑”בעל שליטה” (Controller) ו-“מחזיק” (Processor), הרחיב את סמכויות האכיפה והוסיף חובת מינוי DPO במגזר הציבורי – ובכך יישר קו עם דיני האיחוד האירופי.
DPA בחוק הגנת הפרטיות בישראל
ביטוי לרצון המחוקק הישראלי בהגנה על המידע, ובקביעה כי האחריות היא על בעל מאגר המידע, מתבטאים גם בתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017, ובפרט בתקנה 15 לתקנות אבטחת מידע שכותרתה “מיקור חוץ“, הקובעת כי –
15.(א) בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע –
(1) יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכוני אבטחת המידע הכרוכים בהתקשרות;(2) יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו – ההסכם) את כל אלה, בשים לב לסיכונים לפי פסקה (1):(א)המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות;
(ב)מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;
(ג)סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;
(ד)משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;
(ה)אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע;
(ו)חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת משנה (ה);
(ז)התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף – חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;
(ח)חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה;
(3)יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה (2)(א) עד (ה), וכן יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;(4)ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1)…”
בפועל, DPA ערוך כראוי ממלא את דרישות תקנה 15 ואף מרחיבן:
- הוא עוסק לא רק באבטחת המידע, אלא גם בהיבטי ליבה של הגנת הפרטיות: משפטי‑חוזי, טכנולוגי וארגוני.
- הוא מספק מנגנון אכיפה: אפשרות להשעות עיבוד ולדרוש תרופה מיידית על כל הפרה.
- הוא משַתֵּף את ה‑DPO בתהליך הבקרה השוטפת, כפי שמתחייב מתיקון 13.
רכיבי החובה של מסמך ה-DPA להבטחת הגנת הפרטיות
מסמך ה-DPA צריך לכלול את כל הסעיפים החשובים הנדרשים להסדרת עיבוד המידע האישי, כמו מטרת העיבוד, סוגי המידע, תקופת העיבוד, אבטחת מידע, העברת מידע, זכויות נושאי המידע ועוד. סטייה מרכיבי החובה המינימאליים, עלולה לסכל את תוקפו של החוזה ולהעמיד את הצדדים בסיכון לסנקציות מנהליות, תביעות אישיות וייצוגיות, קנסות ועוד. נפרט:
פרטי הצדדים והגדרות תפקיד
ההסכם נפתח בזיהוי “בעל השליטה” (Controller) ו-“המעבד” (Processor), מטרת ההסכם, והבהרה שהיחסים ביניהם מתוחמים לחוקי הגנת הפרטיות.
תחום העיבוד
המפרט את נושא ההתקשרות; משך ההתקשרות; מהות, מטרת ותיאור העיבוד; סוגי המידע; וקטגוריות נושאי‑המידע. תיעוד 5 (חמשת) הפרטים הללו הנה דרישת מינימום.
הנחיות חד‑משמעיות של בעל השליטה
המעבד מתחייב לפעול אך ורק על‑פי הוראות בכתב של בעל השליטה, תוך איסור מפורש על שימוש בנתונים לצרכי של המעבד, או לכל שימוש אחר. על מנת לאפשר גמישות טכנית וניהולית, ניתן להוסיף נספח שינויים, עבור כל שינוי בהיקף העיבוד.
חובת הסודיות
כל עובד, יועץ, שלוח, יועץ או קבלן של המעבד יחתום על כתב התחייבות, והמעבד ידאג כי הגישה למידע תינתן תהיה על בסיס “Need‑to‑Know”. העובדים יחתמו על הצהרות והתחייבויות, ואלו יהיו מגובים בסנקציות חוזיות.
אמצעי אבטחת מידע
התחייבות כי מעבד המידע ינקוט בכל אמצעי אבטחת המידע הנדרשים על מנת להגן על המידע האישי מפני גישה בלתי מורשית, אובדן או שינוי. בסעיף זה יופיעו דרישות האבטחה המחייבות (Encryption, IAM, DRP וכו’), עמידה בתקנים מחייבים שבדין, וכן תעודות ISO 27001/SOC‑2.
ניהול ספקי משנה/ מעבדי-משנה (Sub‑processors)
מעבד המידע לא יעביר את המידע האישי לצדדים ג’, ללא אישור, בכתב, מראש של בעל השליטה, למעט במקרים בהם הדבר נדרש על פי דין. נציין כי נושא זה הנו נקודת תורפה נפוצה, ולפיכך “זוכה” לטיפול קשיח. מינוי, שימוש או עדכון של מעבד‑משנה, ספק, קבלן משנה וכו’, מחייב אישור ספציפי של בעל השליטה במאגר. זאת, מלבד חתימה והתחייבות של המעבד‑הראשי לחתום עם אותו גורם על חוזה “מראה”, המאמץ את הוראות ה-DPA, לכל הפחות.
אלא שכאמור, נושא זה מורכב, מפאת העובדה שגם ספק המשנה עושה שימוש בספקי משנה רבים (ובפרט שחלקם נמצאים בחו”ל), הרי שהדבר אינו מאפשר שליטה טכנית-ריאלית של בעל השליטה. אפשר שמבחינה משפטית, ההתחייבויות החוזיות יעמדו בתוקף, אולם מהותית – לא ימנעו מקרים של זליגת מידע ו/או שימוש בספק לא מורשה.
התחייבות לסיוע בזכויות נושא‑המידע
המעבד מתחייב, “ככל האפשר”, לתמוך בבעל‑השליטה במענה לבקשות גישה, תיקון, מחיקה או ניוד. מומלץ כי המסמך יקבע סד זמנים מוקשה למסירת תוצרי בקשה בדבר נושא המידע.
התראה ודיווח על אירועי אבטחה
חובות מעבד המידע בנוגע לעיבוד המידע, כוללים, בין היתר –
- חובה לעבד את המידע רק בהתאם להוראות בעל השליטה.
- חובה להודיע לבעל השליטה על כל אירוע אבטחה, באופן מיידי.
- חובה לאפשר לבעל השליטה לבצע ביקורות מעקב ובקרה.
- חובה למחוק או להחזיר את המידע לבעל השליטה בסיום ההתקשרות.
העברת מידע בינלאומית
תקנות הגנת הפרטיות קובעות כי לא ניתן להעביר מידע אישי מישראל אל מחוץ לגבולותיה, אלא אם רמת ההגנה על מידע אישי במדינה אליה מועבר המידע עומדת בסטנדרט אבטחת מידע והגנת הפרטיות דומה או מחמיר יותר מזה הקיים בישראל. עם זאת, בתקנות נמנים כמה חריגים לכלל, המתירים את העברת המידע לחו”ל. לפי אחד החריגים, ההעברה מותרת אם הגורם אליו המידע מועבר התחייב לנהוג בו בהתאם לכללים הרלוונטיים בישראל, בשינויים המחויבים.
לפי עמדת הרשות להגנת הפרטיות, ההתחייבות צריכה להיות זהות בתוכנן לאלו הקבועות בחוק הגנת הפרטיות; כי במדינה אליה מועבר המידע, תחול חובת רישום מאגרי מידע כפי שקיימת בישראל; כי יינקלטו אמצעי אבטחה הולמים; מתן אפשרות לנושאי המידע לממש את זכויותיהם; ועוד. במקרים של התנגשות בין הדין בישראל, לבין הדין הזר, ארגונים צריכים הכללת הניסוח המחמיר.
מחיקה או השבה בסיום ההתקשרות
על המעבד לבצע, לפי בחירת בעל השליטה, מחיקת המידע בסיום ההתקשרות, או בכל נקודת זמן שקודמת לה, מכל סיבה שהיא. המעבד יחתום על הצהרה בה הוא מתחייב שלא נשארו ברשותו רכיבים כלשהם הנוגעים למערכת ו/או מידע אודות המזמין. לצורך כך, על המעבד לספק אישור מחיקה (Data Deletion Certificate) המאשר כי לא נשמר מידע רגיש לאחר ההיפרדות.
זכויות פיקוח, בקרה ותיעוד
זכותו של בעל השליטה לבצע פיקוח ובקרה על פעולותיו של מעבד המידע, כדי לוודא עמידה בדרישות החוק והתקנות. בנוסף, בעל השליטה רשאי לדרוש דו”חות SOC 2, לבצע ביקור באתר, לדרוש קבלת רישומים, דו”חות, דו”חות פנימיים וכו’, דו”חות אבטחת מידע/ ביקורת, וכו’.
אחריות ושיפוי
תקנות ה‑GDPR אינן מחייבות תניית פיצוי, אולם יש לקבוע הוראות בדבר פיצויים מוסכמים, אחריות ושיפוי לטובת בעל השליטה, בגין חריגה ו/או נזק שנגרם כתוצאה מהפרת המעבד ו/או בקרות אירוע מסויים.
סעיפים כללים
המסדירים את הסודיות הכללית (Non‑Disclosure), תקופת התיישנות, דין ומקום שיפוט, ועוד.
אכיפה וסנקציות: מדוע מסמך ה-DPA הוא “חגורת בטיחות”
תיקון 13 לחוק הגנת הפרטיות, מעניק לראש הרשות להגנת הפרטיות סמכויות עיצום כספי, אפשרות להוצאת צווים מינהליים, פרסום ההפרות ושמות המפירים, ואף אחריות פלילית, לרבות נגד “בעל שליטה” שנכשל בפיקוח על מעבדיו. מכאן, שהיעדר DPA עשוי להיחשב להפרה מהותית ובסיסית, ולגרור –
- קנסות עד 150,000 ₪ לכל הפרה בסיסית, כפל סכום במאגרים גדולים;
- שלילת כושר השתתפות במכרזים ציבוריים (מכרזים מחייבים ציות מלא לחוק);
- פסיקת פיצויים אזרחיים ללא הוכחת נזק, במקרים של חשיפת מידע.
השלכות מיוחדות על המגזר הציבורי והרשויות המקומיות
עורכי מכרזים במגזר הציבורי, נדרשים לשלב נספח DPA מחייב, במסמכי המכרז. בלעדיו, אפשר שעורך המכרז לא יעמוד בהוראות חוק הגנת הפרטיות, בהנחיות הרשות להגנת הפרטיות, וייתכן שאף בהוראות החשב הכללי (תכ”מ). כידוע, תיקון והוספת דרישות לאחר המכרז ובתקופת ההתקשרות, אינן תמיד אפשריות מבחינת דיני המכרזים, ובוודאות ייקרו את ההוצאה הציבורית.
מנכ״ל הרשות חייב לוודא שה‑DPA מתואם עם מדיניות הרשות, נהלי הרשות, מאגרי המידע של הרשות, וכי ה‑DPO והממונה על אבטחת המידע מקבלים סמכות פיקוח ובקרה שוטפים.
לסיכום
ה‑DPA איננו “עוד מסמך משפטי”, אלא דרישה חוקית ברורה, לצורך צמצום סיכוני אבטחת מידע והגנת הפרטיות. ההמלצה המקצועית הברורה: התחילו כבר כעת בגיבוש נוסח DPA מאוחד, התאימו אותו לפרופיל הסיכונים ואל תמתינו לרגע האחרון.
משרד עורכי דין וולר ושות’: מומחי הגנת הפרטיות
במשרד וולר ושות’ אנו מלווים את לקוחותינו – חברות פרטיות, רשויות מקומיות, תאגידים עירוניים ומלכ”רים, בתחום הגנת הפרטיות: גיבוש נוהל אבטחת מידע, רישום מאגרי מידע, כתיבת נהלים והנחיות, וציות להוראות תקנות אבטחת מידע והגנת הפרטיות. צוות המשרד והשותפים מספקים חבילות שירותי DPO (“ממונה הגנת הפרטיות”) במיקור‑חוץ, עריכת DPA, ניהול סקרי סיכונים, הכנת מסמכים, ניהול מו״מ מול ספקים כדי להטמיע שירותי DPO והתאמה לתקני שירותי אבטחת מידע וסייבר, ומייצגים לקוחות בהליכים מול הרגולטור. אם אתם שואלים “מה זה DPO”, או מחפשים עורך‑דין אבטחת מידע שיקפיץ אתכם קדימה – משרד עו”ד וולר ושות’ מעניק פתרון מקיף, משפטי וטכנולוגי כאחד, היוצר שכבת הגנה נוספת לעסק שלכם ומבטיח ציות ללא פשרות.
