תיקון 13 לחוק הגנת הפרטיות, ותקנות אבטחת מידע, מחייבים כי כל “עיבוד מידע” הנעשה בשירותים חיצוניים, יוסדר בחוזה או במסמך משפטי מחייב: הסכם עיבוד מידע (Data Processing Agreement – DPA). חוזה זה מסדיר את היחסים בין “בעל השליטה במאגר” (Data Controller), לבין “מעבד הנתונים” (Data Processor), וקובע את נושא העיבוד, משך העיבוד, מטרתו, סוגי המידע והזכויות/החובות של הצדדים. החל מיום 14/8/2025, כל ארגון שיבצע מיקור חוץ של עיבוד מידע – באמצעות חברות, קבלני משנה, תוכנות מחשב וכו’ – יידרש לחתום על DPA. להלן סקירה המיועדת למקבלי החלטות, DPO, מנהלי מערכות מידע ויועצים משפטיים, המבקשים להבין כיצד לתכנן, לנסח וליישם DPA.
המקור הנורמטיבי: תקנה 28 ל-GDPR ותיקון 13 לחוק הגנת הפרטיות
על פי תקנה 28 ל-GDPR, כל עיבוד הנתבצע עבור “בעל‑מאגר” יוסדר בחוזה או במסמך משפטי מחייב הקובע את הנושא, משך העיבוד, מטרתו, סוגי המידע והזכויות/החובות של הצדדים. וכלשון הסעיף:
“Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.
The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.
Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor…”
המחוקק הישראלי הלך בנתיב דומה. תיקון 13 לחוק הגנת הפרטיות, החליף את המונחים “בעל מאגר” ו”מחזיק”, ב‑”בעל שליטה” (Controller) ו-“מחזיק” (Processor), הרחיב את סמכויות האכיפה והוסיף חובת מינוי DPO במגזר הציבורי – ובכך יישר קו עם דיני האיחוד האירופי.
DPA בחוק הגנת הפרטיות בישראל
ביטוי לרצון המחוקק הישראלי בהגנה על המידע, ובקביעה כי האחריות היא על בעל מאגר המידע, מתבטאים גם בתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017, ובפרט בתקנה 15 לתקנות אבטחת מידע שכותרתה “מיקור חוץ“, הקובעת כי –
15.(א) בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע –
(1) יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכוני אבטחת המידע הכרוכים בהתקשרות;(2) יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו – ההסכם) את כל אלה, בשים לב לסיכונים לפי פסקה (1):(א)המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות;
(ב)מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;
(ג)סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;
(ד)משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;
(ה)אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע;
(ו)חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת משנה (ה);
(ז)התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף – חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;
(ח)חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה;
(3)יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה (2)(א) עד (ה), וכן יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;(4)ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1)…”
בפועל, DPA ערוך כראוי ממלא את דרישות תקנה 15 ואף מרחיבן:
- הוא עוסק לא רק באבטחת המידע, אלא גם בהיבטי ליבה של הגנת הפרטיות: משפטי‑חוזי, טכנולוגי וארגוני.
- הוא מספק מנגנון אכיפה: אפשרות להשעות עיבוד ולדרוש תרופה מיידית על כל הפרה.
- הוא משַתֵּף את ה‑DPO בתהליך הבקרה השוטפת, כפי שמתחייב מתיקון 13.
רכיבי החובה של מסמך ה-DPA להבטחת הגנת הפרטיות
מסמך ה-DPA צריך לכלול את כל הסעיפים החשובים הנדרשים להסדרת עיבוד המידע האישי, כמו מטרת העיבוד, סוגי המידע, תקופת העיבוד, אבטחת מידע, העברת מידע, זכויות נושאי המידע ועוד. סטייה מרכיבי החובה המינימאליים, עלולה לסכל את תוקפו של החוזה ולהעמיד את הצדדים בסיכון לסנקציות מנהליות, תביעות אישיות וייצוגיות, קנסות ועוד. נפרט:
פרטי הצדדים והגדרות תפקיד
ההסכם נפתח בזיהוי “בעל השליטה” (Controller) ו-“המעבד” (Processor), מטרת ההסכם, והבהרה שהיחסים ביניהם מתוחמים לחוקי הגנת הפרטיות.
תחום העיבוד
המפרט את נושא ההתקשרות; משך ההתקשרות; מהות, מטרת ותיאור העיבוד; סוגי המידע; וקטגוריות נושאי‑המידע. תיעוד 5 (חמשת) הפרטים הללו הנה דרישת מינימום.
הנחיות חד‑משמעיות של בעל השליטה
המעבד מתחייב לפעול אך ורק על‑פי הוראות בכתב של בעל השליטה, תוך איסור מפורש על שימוש בנתונים לצרכי של המעבד, או לכל שימוש אחר. על מנת לאפשר גמישות טכנית וניהולית, ניתן להוסיף נספח שינויים, עבור כל שינוי בהיקף העיבוד.
חובת הסודיות
כל עובד, יועץ, שלוח, יועץ או קבלן של המעבד יחתום על כתב התחייבות, והמעבד ידאג כי הגישה למידע תינתן תהיה על בסיס “Need‑to‑Know”. העובדים יחתמו על הצהרות והתחייבויות, ואלו יהיו מגובים בסנקציות חוזיות.
אמצעי אבטחת מידע
התחייבות כי מעבד המידע ינקוט בכל אמצעי אבטחת המידע הנדרשים על מנת להגן על המידע האישי מפני גישה בלתי מורשית, אובדן או שינוי. הדרישות העיקריות צריכות להיות:
- שימוש בטכנולוגיה חדישה. על בעל השליטה ועל המעבד, לעשות ליישם אמצעים טכנולוגיים וארגוניים מתאימים, במטרה להבטיח אבטחה המתאימה לסיכון.
- ביצוע הערכת סיכונים.
- דרישות האבטחה המחייבות (Encryption, IAM, DRP וכו’), עמידה בתקנים מחייבים שבדין, וכן תעודות ISO 27001/SOC‑2.
- ערבויות מספיקות להבטחת הביצוע של הנ”ל.
ניהול ספקי משנה/ מעבדי-משנה (Sub‑processors)
מעבד המידע לא יעביר את המידע האישי לצדדים ג’, ללא אישור, בכתב, מראש של בעל השליטה, למעט במקרים בהם הדבר נדרש על פי דין. נציין כי נושא זה הנו נקודת תורפה נפוצה, ולפיכך “זוכה” לטיפול קשיח. מינוי, הוספה, שימוש או עדכון של מעבד‑משנה, ספק, קבלן משנה וכו’, מחייב אישור ספציפי של בעל השליטה במאגר. זאת, מלבד חתימה והתחייבות של המעבד‑הראשי לחתום עם אותו גורם על חוזה “מראה”, המאמץ את הוראות ה-DPA, לכל הפחות.
אלא שכאמור, נושא זה מורכב, מפאת העובדה שגם ספק המשנה עושה שימוש בספקי משנה רבים (ובפרט שחלקם נמצאים בחו”ל), הרי שהדבר אינו מאפשר שליטה טכנית-ריאלית של בעל השליטה. אפשר שמבחינה משפטית, ההתחייבויות החוזיות יעמדו בתוקף, אולם מהותית – לא ימנעו מקרים של זליגת מידע ו/או שימוש בספק לא מורשה.
בכל מקרה, אם מעבד מידע מעסיק מעבד/ים אחר/ים לפעולות עיבוד ספציפיות, המעבד הראשוני נושא באחריות מלאה לביצוע התחייבויותיו של כל מעבד המשנה.
התחייבות לסיוע בזכויות נושא‑המידע
המעבד מתחייב, “ככל האפשר”, לתמוך בבעל‑השליטה במענה לבקשות גישה, תיקון, מחיקה או ניוד. מומלץ כי המסמך יקבע סד זמנים קשיח למסירת תוצרי בקשה בדבר נושא המידע.
התראה ודיווח על אירועי אבטחה
חובות מעבד המידע בנוגע לעיבוד המידע, כוללים, בין היתר –
- חובה לעבד את המידע רק בהתאם להוראות בעל השליטה.
- חובה להודיע לבעל השליטה על כל אירוע אבטחה, באופן מיידי.
- חובה לאפשר לבעל השליטה לבצע ביקורות מעקב ובקרה.
- חובה למחוק או להחזיר את המידע לבעל השליטה בסיום ההתקשרות.
העברת מידע בינלאומית
תקנות הגנת הפרטיות קובעות כי לא ניתן להעביר מידע אישי מישראל אל מחוץ לגבולותיה, אלא אם רמת ההגנה על מידע אישי במדינה אליה מועבר המידע עומדת בסטנדרט אבטחת מידע והגנת הפרטיות דומה או מחמיר יותר מזה הקיים בישראל. עם זאת, בתקנות נמנים כמה חריגים לכלל, המתירים את העברת המידע לחו”ל. לפי אחד החריגים, ההעברה מותרת אם הגורם אליו המידע מועבר התחייב לנהוג בו בהתאם לכללים הרלוונטיים בישראל, בשינויים המחויבים.
לפי עמדת הרשות להגנת הפרטיות, ההתחייבות צריכה להיות זהות בתוכנן לאלו הקבועות בחוק הגנת הפרטיות; כי במדינה אליה מועבר המידע, תחול חובת רישום מאגרי מידע כפי שקיימת בישראל; כי יינקלטו אמצעי אבטחה הולמים; מתן אפשרות לנושאי המידע לממש את זכויותיהם; ועוד. במקרים של התנגשות בין הדין בישראל, לבין הדין הזר, ארגונים צריכים הכללת הניסוח המחמיר.
מחיקה או השבה בסיום ההתקשרות
על המעבד לבצע, לפי בחירת בעל השליטה, מחיקת המידע בסיום ההתקשרות, או בכל נקודת זמן שקודמת לה, מכל סיבה שהיא. המעבד יחתום על הצהרה בה הוא מתחייב שלא נשארו ברשותו רכיבים כלשהם הנוגעים למערכת ו/או מידע אודות המזמין. לצורך כך, על המעבד לספק אישור מחיקה (Data Deletion Certificate) המאשר כי לא נשמר מידע רגיש לאחר ההיפרדות.
זכויות פיקוח, בקרה ותיעוד
זכותו של בעל השליטה לבצע פיקוח ובקרה על פעולותיו של מעבד המידע, כדי לוודא עמידה בדרישות החוק והתקנות. בנוסף, בעל השליטה רשאי לדרוש דו”חות SOC 2, לבצע ביקור באתר, לדרוש קבלת רישומים, דו”חות, דו”חות פנימיים וכו’, דו”חות אבטחת מידע/ ביקורת, וכו’.
אחריות ושיפוי
תקנות ה‑GDPR אינן מחייבות תניית פיצוי, אולם יש לקבוע הוראות בדבר פיצויים מוסכמים, אחריות ושיפוי לטובת בעל השליטה, בגין חריגה ו/או נזק שנגרם כתוצאה מהפרת המעבד ו/או בקרות אירוע מסויים.
סעיפים כללים
המסדירים את הסודיות הכללית (Non‑Disclosure), תקופת התיישנות, דין ומקום שיפוט, ועוד.
מה קורה אם אין הסכם עיבוד נתונים?
אי חתימה על DPA בין הצדדים עלול להוות הפרה של הוראות חוק הגנת הפרטיות. אם בעל השליטה במאגר אינו מבטיח, באמצעות DPA, כי ספקיו פועלים בהתאם לדרישות החוק. זאת ועוד, בהתאם למדרג החומרה של תיקון 13, היעדר הסכם עם מעבד מידע עשוי להיחשב כהפרה חמורה או לכל הפחות משמעותית – בהתאם למאפייני המידע והיקפו. בנוסף לכך, ללא DPA, בעל השליטה עלול להיות חשוף לאירועי אבטחת מידע ודליפה, באופן מלא, מבלי שיש לו יכולת לחלוק בסיכון עם המעבד.
אכיפה וסנקציות: מדוע מסמך ה-DPA הוא “חגורת בטיחות”
תיקון 13 לחוק הגנת הפרטיות, מעניק לראש הרשות להגנת הפרטיות סמכויות עיצום כספי, אפשרות להוצאת צווים מינהליים, פרסום ההפרות ושמות המפירים, ואף אחריות פלילית, לרבות נגד “בעל שליטה” שנכשל בפיקוח על מעבדיו. מכאן, שהיעדר DPA עשוי להיחשב להפרה מהותית ובסיסית, ולגרור –
- קנסות עד 150,000 ₪ לכל הפרה בסיסית, כפל סכום במאגרים גדולים;
- שלילת כושר השתתפות במכרזים ציבוריים (מכרזים מחייבים ציות מלא לחוק);
- פסיקת פיצויים אזרחיים ללא הוכחת נזק, במקרים של חשיפת מידע.
השלכות מיוחדות על המגזר הציבורי והרשויות המקומיות
עורכי מכרזים במגזר הציבורי, נדרשים לשלב נספח DPA מחייב, במסמכי המכרז. בלעדיו, אפשר שעורך המכרז לא יעמוד בהוראות חוק הגנת הפרטיות, בהנחיות הרשות להגנת הפרטיות, וייתכן שאף בהוראות החשב הכללי (תכ”מ). כידוע, תיקון והוספת דרישות לאחר המכרז ובתקופת ההתקשרות, אינן תמיד אפשריות מבחינת דיני המכרזים, ובוודאות ייקרו את ההוצאה הציבורית. מנכ״ל הרשות חייב לוודא שה‑DPA מתואם עם מדיניות הרשות, נהלי הרשות, מאגרי המידע של הרשות, וכי ה‑DPO והממונה על אבטחת המידע מקבלים סמכות פיקוח ובקרה שוטפים.
סיכום והמלצות
בעלי מאגרי מידע, ובמיוחד גופים ציבוריים, מחויבים על פי דין לפעול בזהירות ובאחריות בכל הנוגע לשיתופי פעולה עם ספקים חיצוניים, המקבלים לידיהם מידע אישי לצורך עיבוד. ספקים אלו ממלאים את תפקיד ה”מעבד” של המידע – בין אם מדובר בשירותי מחשוב, ענן, שירותי תמיכה, הנהלת חשבונות או שיווק. לפיכך, ההמלצה הראשונה והבסיסית היא לא להתקשר עם כל גורם חיצוני שעשוי להיחשף למידע אישי או לבצע עליו עיבוד, אלא אם נחתם עמו הסכם עיבוד נתונים (DPA) כתוב ומפורט, בהתאם לדרישות חוק הגנת הפרטיות (לאחר תיקון 13), ולתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017.
הסכם זה אינו רק “פרוצדורה” פורמלית, אלא הוא משקף את חובתו של בעל המאגר להבטיח שהעיבוד ייעשה תחת סטנדרטים קבועים מראש של סודיות, שמירה על אבטחת מידע, מניעת גישה לא מורשית, מחיקה בתום העיבוד, דיווח על אירועים חריגים, שמירה על תיעוד פנימי ועוד. החתימה על ההסכם אינה מספקת כשלעצמה: יש לוודא גם שההוראות שבו נאכפות בפועל.
המלצה חשובה נוספת היא לכלול במסגרת הסכם ה-DPA סעיפי אחריות, פיצוי והגבלת נזק, שיבהירו מהי אחריות הספק למקרה של הפרת מידע, מהם הסעדים שזכאי להם בעל המאגר, ואילו הליכים יחולו במקרה של הפרה או סיום התקשרות. מסמך זה גם יסייע לבעל המאגר להפחית את אחריותו במקרה של תקלה מצד הספק. בלעדיו, הרשות להגנת הפרטיות והערכאות המשפטיות עלולים לראות בבעל המאגר כאחראי הישיר לעיבוד הרשלני.
בנוסף, בשירותים מבוססי ענן או בהתקשרויות בינלאומיות, יש לוודא כי הסכם ה-DPA כולל מנגנוני העברת מידע חוקיים לחו”ל, כדוגמת התחייבות לעמידה בתקן אבטחת מידע מתאים, תיחום הגישה למידע, שמירה על המידע בשרתים ספציפיים ועוד. היעדר הסדרה ברורה בנושא זה עלול להוביל לאיסור מוחלט על העברת המידע, ולפגיעה תפעולית קשה בגוף הארגוני.
לבסוף, מומלץ להטמיע את ה-DPA כחלק אינטגרלי ממערך ההתקשרויות של הארגון ובכל הליך מכרזי. כך, בהליכים המכרזיים וטרם חתימת כל חוזה עם נותן שירותים, ספק או קבלן משנה, נדרש למפות את הסיכונים, במטרה לבדוק האם הספק המיועד עלול להיחשף למידע אישי. אם כן, יש לוודא שההסכם כולל נספח ייעודי לעיבוד נתונים, או לחלופין שההתקשרות כפופה ל-DPA כללי שמצורף כחלק בלתי נפרד מהחוזה. עורכי מכרזים ויועצים משפטיים, המאפשרים יציאה להליכי מכרז או רכש, או מאשרים הרחבת/ המשך התקשרות עם ספקים, ללא הסכם DPA, חושפים את הארגון משמעותית.
בשורה התחתונה: ה‑DPA איננו “עוד מסמך משפטי”, אלא דרישה חוקית ברורה, לצורך צמצום סיכוני אבטחת מידע והגנת הפרטיות. ללא הסכם DPA – אין שליטה על אופן העיבוד; אין תיעוד לקיום החובות של בעל המאגר; ויש סיכון ממשי לקנס, תביעה אזרחית, ופגיעה במוניטין. ההמלצה המקצועית הברורה: התחילו כבר כעת בגיבוש נוסח DPA מאוחד, התאימו אותו לפרופיל הסיכונים ואל תמתינו לרגע האחרון.
משרד עורכי דין וולר ושות’: מומחי הגנת הפרטיות
במשרד וולר ושות’ אנו מלווים את לקוחותינו – חברות פרטיות, רשויות מקומיות, תאגידים עירוניים ומלכ”רים, בתחום הגנת הפרטיות: גיבוש נוהל אבטחת מידע, רישום מאגרי מידע, כתיבת נהלים והנחיות, וציות להוראות תקנות אבטחת מידע והגנת הפרטיות. צוות המשרד והשותפים מספקים חבילות שירותי DPO (“ממונה הגנת הפרטיות”) במיקור‑חוץ, עריכת DPA, ניהול סקרי סיכונים, הכנת מסמכים, ניהול מו״מ מול ספקים כדי להטמיע שירותי DPO והתאמה לתקני שירותי אבטחת מידע וסייבר, ומייצגים לקוחות בהליכים מול הרגולטור. אם אתם שואלים “מה זה DPO”, או מחפשים עורך‑דין אבטחת מידע שיקפיץ אתכם קדימה – משרד עו”ד וולר ושות’ מעניק פתרון מקיף, משפטי וטכנולוגי כאחד, היוצר שכבת הגנה נוספת לעסק שלכם ומבטיח ציות ללא פשרות.
