מה ההבדל בין התראה מינהלית לעיצום כספי בדיני הגנת הפרטיות?

התראה מינהלית היא שלב ביניים מקל — אזהרה רשמית שמאפשרת תיקון ליקויים ללא קנס מיידי. עיצום כספי הוא סנקציה כספית ישירה, ללא הוכחת יסוד נפשי פלילי, שיכולה להגיע למאות אלפי שקלים ואף למיליונים. תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2025) הרחיב משמעותית את סמכויות הרשות להטיל עיצומים, כולל בהליך מנהלי מהיר. ההתראה ניתנת בלשון 'רשאי' — כלומר אפילו בנסיבות המאפשרות אותה, הרשות יכולה לבחור בקנס ישיר.

על אילו הפרות לא ניתנת התראה מינהלית — רק קנס?

על חמש קטגוריות הפרה לא קיים מסלול התראה — רק עיצום כספי ישיר: (1) אי-מינוי DPO (ממונה הגנת פרטיות) לפי תיקון 13; (2) אי-מינוי ממונה אבטחת מידע במאגרים ברמה בינונית או גבוהה; (3) כשל בדיווח על אירועי אבטחה לרשם מאגרי המידע; (4) פגיעה בזכויות נושאי מידע — זכות עיון, מחיקה או תיקון; (5) העברת מידע לחו"ל ללא הסמכה כנדרש בתקנות. ארגון שטרם מינה DPO חשוף לעיצום כספי ישיר, ללא שום שלב ביניים של התראה.

מתי הרשות להגנת הפרטיות בוחרת בהתראה ולא בקנס?

תקנות ההתראה המינהלית 2026 מגדירות ארבע נסיבות בלבד שבהן ייתכן שתינתן התראה: הפרה ראשונה בתוך שלושה חודשים מכניסת הוראה חדשה לתוקף; מצב של חוסר בהירות רגולטורית על תחולת הדין; שינוי מדיניות אכיפה לחומרה כשההפרה בוצעה בהסתמך על פרשנות ישנה; והפרה ראשונה של הוראות מסוימות באבטחת מידע בנסיבות ספציפיות. רשימה זו ממצה — מה שאינו בה אינו מאפשר התראה. גם בנסיבות אלו, הסמכות היא 'רשאי' ולא 'חייב'.

מה לעשות בשעות הראשונות לאחר קבלת התראה מינהלית מהרשות להגנת הפרטיות?

בשעות הראשונות חשוב לפעול לפי פרוטוקול מובנה: ב-24 השעות הראשונות — ניתוח משפטי של ההתראה לזיהוי בסיס ההפרה, מקור הסמכות ונקודות מחלוקת. ב-48 שעות — מיפוי מערכתי פנימי של מאגרי מידע, הרשאות גישה והסכמי DPA. ב-72 שעות — בניית תוכנית תיקון סדורה עם לוחות זמנים ואחריות מוגדרת, לצד הכנת תגובה משפטית רשמית לרשות. הטעות הנפוצה היא ניסיון לסגור את הבעיה מול הרשות באופן לא פורמלי — דבר שעלול לשמש ראיה נגד הארגון.

האם הרשות להגנת הפרטיות יכולה להטיל קנס ללא התראה מוקדמת?

כן. בחלק ניכר מהמקרים הנפוצים — ובכל ההפרות החמורות המוגדרות בתקנות — הרשות מוסמכת לעבור ישירות לעיצום כספי ללא שלב ביניים. תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2025) הסמיך את הרשות לפעול כך בהליך מנהלי מהיר, ללא צורך בהוכחת יסוד נפשי פלילי. בנוסף, גם בנסיבות המאפשרות התראה, הסמכות היא שיקולית — ראש הרשות 'רשאי', לא 'חייב', לבחור בהתראה. ארגון שמתבסס על ציפייה לקבל התראה לפני קנס נוטל סיכון משפטי ממשי.

מהי חובת מינוי DPO לפי תיקון 13 ומה הסיכון באי-עמידה?

תיקון 13 לחוק הגנת הפרטיות (בתוקף מאוגוסט 2025) מטיל חובת מינוי ממונה הגנת פרטיות (DPO) על ארגונים שמידע אישי הוא לב פעילותם, או שפעילותם יוצרת סיכון מוגבר לפרטיות. אי-מינוי DPO הוא הפרה ישירה שאינה נכנסת לרשימת נסיבות ההתראה — כלומר, הסנקציה היא עיצום כספי ישיר, ללא אפשרות להתראה. ארגונים שאינם מעסיקים מומחה פרטיות במשרה מלאה יכולים להיעזר בשירות DPO חיצוני — פתרון המאפשר עמידה בחובה גם לארגונים קטנים ובינוניים.

מהו הסיכון העסקי האמיתי מהפרת הוראות תיקון 13 מעבר לקנס הישיר?

הסיכון אינו מוגבל לעיצום הכספי הישיר. תיקון 13 מאפשר לראשונה פיצויים בלא הוכחת נזק — מה שפותח את הדלת לתביעות ייצוגיות מצד לקוחות, עובדים וספקים. לצד זאת, הרשות עדכנה את מדיניות הפרסום שלה: סנקציות שמוטלות מפורסמות ברבים, מה שיוצר פגיעה מוניטינית ממשית. בנוסף, תיקון 13 מטיל אחריות ישירה על נושאי משרה — מנכ"לים ודירקטורים עלולים לשאת באחריות אישית.

אילו פעולות נדרשות בארגון כדי להוכיח עמידה בתקנות אבטחת מידע?

ארגונים נדרשים ליישם מנגנוני הזדהות חזקים, ניהול הרשאות גישה קפדני, ביצוע מבדקי חדירות תקופתיים, הצפנת נתונים ברשתות וניהול יומני רישום (Logs). העדר מנגנונים אלו מהווה הפרה מבנית של תקנות אבטחת המידע ומונע מהארגון ליהנות מהגנת התראה מינהלית מקילה בעת משבר.

מהו תפקידו של ממונה הגנת הפרטיות (DPO) בעת קבלת מכתב בירור?

ה-DPO מהווה את זרוע הציות הרגולטורית בארגון. תפקידו לרכז את הנתונים הטכניים, לנהל את הבקרה מול מנהלי מערכות המידע, לנסח את הדוחות הפנימיים ולשמש כאיש הקשר המקצועי מול הרשות להגנת הפרטיות, תחת פיקוח משפטי הדוק של משרדנו כדי לשמר חיסיון חוקי.

האם רשלנות של ספק שירותי ענן חיצוני מסירה אחריות מהארגון?

לא. הגנת הפרטיות מטילה את האחריות המרכזית על 'בעל המאגר' (הארגון). גם אם הכשל הטכני אירע בשרתים של ספק חיצוני, הארגון יימצא אחראי אם לא חתם מול הספק על הסכם עיבוד מידע (DPA) תקין ומפורט או אם כשל בפיקוח על רמת האבטחה שלו.

מהן ההשלכות המשפטיות של אירוע דלף מידע שלא דווח במועד?

אי-דיווח מיידי על אירוע אבטחת מידע חמור לרשם מאגרי המידע מהווה הפרה עצמאית חמורה, השוללת באופן אוטומטי כל אפשרות לקבלת התראה מינהלית ומעבירה את הארגון למסלול מהיר של סנקציות כספיות ישירות ופתיחת חקירה פלילית נגד נושאי המשרה.

מה המשמעות של הצגת 'תוכנית תיקון סדורה' בשלב השימוע?

הצגת תוכנית עבודה (Remediation Roadmap) מפורטת הכוללת יעדים מדידים ולוחות זמנים, משדרת לרגולטור שהארגון פועל בתום לב ומחויב לתיקון הליקויים. זהו הטיעון החזק ביותר להפחתת גובה הקנסות או להמרת העיצום הכספי בהתראה מנהלית מקילה.

האם תקנות הגנת הפרטיות החדשות חלות גם על עמותות וגופים ללא כוונת רווח?

כן, החוק והתקנות אינם מפריעים בין גופים מסחריים לגופים ציבוריים או מלכ"רים. עמותות המנהלות מאגרי מידע על תורמים, מטופלים או חברים בהיקפים משמעותיים, כפופות לחלוטין לתקנות אבטחת המידע, לתיקון 13 ולחובת מינוי DPO, וחשופות לסנקציות זהות.

מדוע ליווי משפטי ייעודי חיוני לניהול נכון של התראה מינהלית?

התמודדות עם הרשות דורשת שילוב בין הבנה טכנולוגית למומחיות במשפט מנהלי ורגולציה. משרד וולר ושות', בהובלת עו'ד רועי וולר (לשעבר מנכ"ל רשות מקומית וראש מטה שר), מעניק מעטפת הגנה הרמטית מאז 1965 הכוללת הפעלה מהירה של פרוטוקול 72 שעות, גיבוש מענה מנומק ומניעת זליגת אחריות להנהלה. טלפון: 04-8661537.

תקנות הגנת הפרטיות (התראה מינהלית) 2026 - ניתוח משפטי מלא

תקנות הגנת הפרטיות (התראה מינהלית) 2026 – מה שחייבים לדעת

תקנות הגנת הפרטיות (התראה מינהלית), התשפ"ו-2026, קובעות רשימה סגורה ומצמצמת של נסיבות שבהן רשאי ראש הרשות להגנת הפרטיות לבחור בהתראה חלף עיצום כספי – בעיקר הפרות ראשונות בחודשים הראשונים לכניסת הוראה חדשה לתוקף, או מצבי חוסר בהירות רגולטורית. על אי-מינוי DPO, אי-מינוי ממונה אבטחת מידע, כשל בדיווח על אירועי אבטחה ופגיעה בזכויות נושאי מידע – אין מסלול התראה. רק קנס. הסמכות היא "רשאי", לא "חייב" – ואפילו בתנאי הרשימה, הרשות שומרת לעצמה שיקול דעת מלא. משרד וולר ושות', המדורג BDI ו-Dun's 100 לשנת 2026 ופועל מאז 1965, מלווה ארגונים בבניית מערך ציות מניעתי לתיקון 13 לחוק הגנת הפרטיות.

מהי התראה מינהלית?

התראה מינהלית היא כלי אכיפה חלופי, מקל ומניעתי, שרשות שלטונית מוסמכת להוציא כנגד אזרח, תאגיד או מעסיק שהפרו את החוק, והיא מהווה אזהרה רשמית לפני הטלת עיצום כספי (קנס מינהלי). מטרתה העיקרית היא לאפשר למפר לתקן את הליקויים ללא סנקציה כספית מיידית. ההתראה ניתנת לרוב כאשר מדובר בהפרה ראשונית, כאשר קיים פוטנציאל לתיקון מהיר, או כאשר אין הצדקה לאכיפה מחמירה בשלב ראשון. אי-טיפול בהתראה עלול להוביל להסלמת ההליך לעיצום כספי משמעותי ואף להליכים נוספים.

מה המשמעות המשפטית של התראה?

התראה מינהלית אינה "הערה מנהלית". היא מסמך בעל משמעות משפטית אופרטיבית. היא מגדירה את ההפרה הנטענת, את הדרישות לתיקון ואת פרק הזמן לביצוע. אי-עמידה בדרישות ההתראה עלולה לשמש בסיס להחמרת האכיפה, לרבות הטלת עיצום כספי ללא צורך בהליך אזהרה נוסף. במובן זה, ההתראה מהווה שלב ביניים מחייב בתוך רצף אכיפתי מדורג.

תיקון 13 לחוק הגנת הפרטיות כנקודת מפנה

תיקון 13 לחוק הגנת הפרטיות (אוגוסט 2025) הגדיר מחדש את יחסי הכוחות בין הרשות להגנת הפרטיות לבין המגזר העסקי והציבורי. התיקון העניק לרשות ארגז כלים אגרסיבי, הכולל סמכויות חקירה מורחבות ויכולת להטיל עיצומים כספיים משמעותיים בהליך מנהלי מהיר, ללא צורך בהוכחת יסוד נפשי פלילי.

במסגרת זו, הותקנו תקנות ההתראה המינהלית, המאפשרות לראש הרשות להמיר עיצום כספי בהתראה – מעין "כרטיס צהוב" רגולטורי. אולם, חשוב להבין את המגבלות המובנות במנגנון זה.

מתי הרשות בוחרת התראה ולא קנס?

הרשות להגנת הפרטיות אינה פועלת באופן אחיד בכל המקרים, אלא מפעילה שיקול דעת אכיפתי בהתאם למכלול נסיבות ההפרה. התראה מינהלית תינתן לרוב כאשר מדובר בהפרה ראשונית, כאשר הארגון מציג שיתוף פעולה, או כאשר ניתן לתקן את ההפרה ללא צורך בהרתעה כספית מיידית.

לעומת זאת, כאשר מדובר בהפרה חוזרת, עיבוד מידע רגיש בהיקף רחב, פגיעה בזכויות נושאי מידע או היעדר מנגנוני אבטחה בסיסיים, הנטייה היא לעבור ישירות למסלול של עיצום כספי.

המשמעות המעשית היא כי סוג ההפרה אינו רק שאלה משפטית, אלא גם שאלה של מדיניות אכיפה.

סמכות שיקול הדעת בתקנות: "רשאי", לא "חייב"

התקנות מסמיכות את ראש הרשות לשקול מתן התראה מינהלית – אך אינן מחייבות אותו לעשות כן. הלשון היא "רשאי", לא "חייב". כלומר, גם בתוך התנאים שהתקנות מפרטות, שמורה לראש הרשות סמכות שיקול דעת מלאה לבחור בעיצום כספי ישיר. מדובר בהתראה כאפשרות, לא כזכות.

מהן הנסיבות שבהן ייתכן שתינתן התראה?

התקנות מבהירות באופן שאינו משתמע לשתי פנים כי הסמכות למתן התראה היא סמכות שבשיקול דעת ("רשאי"). אין מדובר בזכות מוקנית של התאגיד המפר. גם כאשר התנאים מתקיימים, ראש הרשות רשאי לבחור במסלול של עיצום כספי מיידי.

הפרה ראשונה בתוך שלושה חודשים מכניסתה לתוקף של הוראה חדשה – כאשר ברור שלארגון לא הייתה הזדמנות סבירה להיערך.
מצב של חוסר בהירות רגולטורית – כאשר נסיבות ההפרה מעלות שאלה פרשנית לא פתורה לגבי תחולת הדין.
שינוי מדיניות אכיפה לחומרה – כאשר הרשות שינתה עמדה קודמת שלה, וההפרה בוצעה בהסתמך על הפרשנות הישנה.
הפרה ראשונה של הוראות מסוימות באבטחת מידע – בנסיבות ספציפיות ומצומצמות.

רשימה זו היא ממצה. כלומר, מה שלא נכנס לרשימה, לא מאפשר התראה. ועבור מרבית ההפרות הנפוצות, הרשימה אינה רלוונטית.

מהן ההפרות שעליהן לא תינתן התראה מינהלית?

זהו החלק הקריטי שארגונים רבים מחמיצים. על ההפרות הבאות, החמורות ביותר מבחינה עסקית, לא קיימת אפשרות של התראה. רק קנס:

1. אי-מינוי DPO (ממונה הגנת פרטיות)

תיקון 13 מטיל חובת מינוי DPO על ארגונים שמידע אישי הוא לב פעילותם, או שהפעילות יוצרת סיכון מוגבר לפרטיות. אי-מינוי הוא הפרה מיידית שאינה נכנסת לתנאי ההתראה. ארגון שעדיין אינו ממנה DPO חשוף לעיצום כספי ישיר.

2. אי-מינוי ממונה אבטחת מידע

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, מחייבות מינוי ממונה אבטחת מידע במאגרים ברמת אבטחה בינונית וגבוהה.

3. כשל ברישום ודיווח

אירועי אבטחה במאגר מידע ברמה בינונית ומעלה חייבים בדיווח לרשם מאגרי המידע. כשל בדיווח – הפרה שאינה מוכנסת לגדר ההתראה.

4. פגיעה בזכויות נושאי מידע

כל הפרה של זכות עיון, זכות מחיקה או זכות תיקון של אדם ביחס למידע עצמו, מהווה הפרה ישירה של החוק, ללא מסלול התראה.

5. העברת מידע לחו"ל ללא הסמכה

עבירה על תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, ותקנות יבוא המידע מאירופה. הפרות בתחום זה חמורות ואינן נכנסות לגדר ההתראה.

דוגמאות ליישום התראה מינהלית בפועל

בפועל, מנגנון ההתראה המינהלית מיושם במגוון רחב של מצבים שבהם הרשות להגנת הפרטיות סבורה כי קיימת הפרה ראשונית או הפרה שאינה מצדיקה בשלב ראשון הטלת עיצום כספי מלא.

כך למשל, במקרה שבו ארגון אוסף נתונים אישיים של לקוחות באמצעות טפסים מקוונים, אך אינו מציג מדיניות פרטיות מלאה או אינו מפרט את מטרות העיבוד, הרשות עשויה לבחור תחילה במסלול של התראה מינהלית, המחייבת תיקון ליקויים בתוך פרק זמן מוגדר.

דוגמה נוספת היא מצב שבו חברה עושה שימוש במאגר מידע לצורכי שיווק ישיר, אך אינה מקפידה על מנגנון הסרה מסודר (opt-out) כנדרש בדין. גם כאן, הרשות עשויה להעדיף התראה מינהלית המחייבת הסדרה עתידית של ההתנהלות, במקום מעבר מיידי למסלול ענישה כספי.

דוגמה שלישית רלוונטית לגופים ציבוריים או תאגידים עירוניים, שבהם נמצאים ליקויים בניהול הרשאות גישה למידע אישי, כגון היעדר בקרה מספקת על עובדים או ספקים חיצוניים. במצבים אלה ההתראה משמשת כלי רגולטורי לתיקון מערכתי ולא רק נקודתי.

במקרים חמורים יותר, כאשר מדובר בהפרה חוזרת או במידע רגיש במיוחד, הרשות עשויה לדלג על שלב ההתראה ולעבור ישירות להליכי אכיפה מחמירים, לרבות עיצומים כספיים משמעותיים.

למה ארגונים מפרשים את התקנות בצורה שגויה?

הפרשנות המוטעית נובעת מכותרת התקנות. "התראה מינהלית" נשמעת כמו הקלה. בתחומי משפט אחרים, כגון דיני עבודה או דיני תכנון ובניה, התראה מינהלית אכן מהווה שלב ראשון שגרתי לפני סנקציה. אך כאן, המחוקק בחר במכוון להגביל את ההתראה לנסיבות יוצאות דופן בלבד.

ארגון שיקרא "תקנות התראה מינהלית" ויסיק כי "יש לנו זמן" – עלול לגלות במהרה כי ההפרה שלו אינה נכנסת לרשימה, וכי הרשות בחרה שלא להשתמש בשיקול הדעת לטובתו. במצב כזה, הקנס, שיכול להגיע למאות אלפי שקלים ואף למיליונים, יוטל ללא כל התראה מוקדמת.

מהו הסיכון העסקי האמיתי?

הסיכון אינו מוגבל לקנסות הישירים. תיקון 13 מאפשר לראשונה פיצויים בלא הוכחת נזק. המשמעות: חשיפה לתביעות ייצוגיות מצד לקוחות, עובדים וספקים, לצד ההליך המנהלי מול הרשות.

לצד זאת, הרשות עדכנה את מדיניות הפרסום שלה: הסנקציות שהיא מטילה מפורסמות ברבים. פגיעה במוניטין (שלעתים כואבת יותר מהקנס עצמו) הפכה לתוצאה ריאלית ולא תיאורטית.

כיצד להיערך נכון?

ניסיון משרד וולר ושות' בתחום הגנת הפרטיות מלמד כי ארגונים שמקדימים תרופה למכה מתמקדים בחמישה תחומים עיקריים:

א. מיפוי מאגרי המידע ורמות הסיכון

הצעד הראשון הוא הבנה מדויקת של אילו מאגרי מידע מצויים ברשות הארגון, ומהי רמת האבטחה הנדרשת לכל אחד מהם – בסיסית, בינונית או גבוהה, בהתאם לתקנות אבטחת המידע. מיפוי לא מדויק הוא בעצמו כשל ציות.

ב. מינוי DPO וממונה אבטחה מתאימים

החוק אינו מגדיר דרישות השכלה ספציפיות לDPO, אך הרשות מצפה לבעל כשירות מקצועית רלוונטית. שירות DPO חיצוני – פתרון שמשרד וולר ושות' מציע ומוביל עבור ארגונים שאינם מעסיקים מומחה פרטיות במשרה מלאה – מאפשר עמידה בחובה גם לארגונים קטנים ובינוניים.

ג. עדכון מדיניות הפרטיות והסכמי העיבוד

מדיניות פרטיות מיושנת, שנכתבה לפני תיקון 13, או מדיניות שאינה מותאמת לארגון, אינה עומדת בדרישות חובת היידוע המורחבת. יש לעדכן את ניסוחי ההסכמה, הסכמי עיבוד מידע מול ספקים, ומסמכי מדיניות פנימיים.

ד. בניית נהלי תגובה לאירועי אבטחה

גם ארגון מוגן לא חסין לחלוטין. אירוע אבטחה שמטופל נכון, תוך עמידה בחובת הדיווח בלוחות הזמנים שנקבעו, יכול להישאר ב"רמת הנזק" של עיצום מינורי. אירוע שמטופל בכשל, אפילו אם הארגון היה מוגן אחרת, הופך לבעיה משפטית כבדה.

ה. ביקורת ציות שנתית

הרשות ממליצה, וצפוי כי בעתיד תדרוש, עריכת סקרי סיכונים ומבדקי חדירות תקופתיים לארגונים עם מאגרים ברמה גבוהה. ביקורת ציות שנתית — גם כאשר אינה חובה — מהווה הגנה משפטית בפני טענה כי הארגון פעל בהתעלמות.

מה עושים עכשיו? מדריך פעולה לאחר קבלת התראה מינהלית

קבלת התראה מינהלית מטעם הרשות להגנת הפרטיות מחייבת הפעלה מיידית של מנגנון תגובה משפטי-ארגוני מסודר. בשלב זה, לכל עיכוב או טיפול חלקי עשויה להיות משמעות מהותית מבחינת היקף החשיפה, אופי ההליך והסיכון להסלמה לעיצומים כספיים או להליכים רגולטוריים נוספים.

הטיפול בהתראה אינו יכול להתבסס על תגובה נקודתית בלבד, אלא על מהלך מובנה הכולל ניתוח משפטי, מיפוי מערכתי, בניית תוכנית תיקון והכנת תגובה רגולטורית מסודרת.

פרוטוקול פעולה מובנה

פרק זמן	שלב פעולה	תכלית משפטית וארגונית	תוצרים נדרשים
0–24 שעות	ניתוח משפטי של ההתראה	זיהוי בסיס ההפרה הנטענת, בחינת מקור הנורמה המשפטית והיקף תחולתה	חוות דעת ראשונית, מיפוי סעיפי הפרה, זיהוי נקודות מחלוקת משפטיות
24–48 שעות	מיפוי מערכתי פנימי	בחינת מערכות מידע, מאגרי מידע, הרשאות גישה, נהלי פרטיות והסכמים עם ספקים	דו"ח פערים ארגוני, זיהוי כשלים נקודתיים מול כשלים מערכתיים
48–72 שעות	בניית תוכנית תיקון סדורה	גיבוש תוכנית פעולה מתקנת הכוללת צעדים מידיים ושינויים מערכתיים	תוכנית תיקון כתובה, לוחות זמנים, חלוקת אחריות פנימית
במקביל (0–72 שעות)	הכנת תגובה משפטית לרשות	הצגת טענות משפטיות, עובדתיות ופרשניות, והפחתת חשיפה רגולטורית	טיוטת תגובה רשמית לרשות, כולל נספחים תומכים

הטעות הנפוצה ביותר של הנהלות בשעות הראשונות היא ניסיון "לפתור" את הבעיה מול הפקידות ברשות באופן לא פורמלי, או לחלופין – כניסה למגננה מוחלטת. תפקידו של הייעוץ המשפטי ביממה הראשונה הוא לבצע ניתוח מדויק של הנורמה המשפטית שהופרה לכאורה. אם הרשות להגנת הפרטיות טוענת למאגר מידע שאינו רשום או לדלף נתונים, עלינו למפות במדויק את מתחם הסמכות שלה באותו מקרה ספציפי. חוות הדעת הראשונית המופקת בשלב זה אינה נועדה לעיני הרשות; היא נועדה לעיני המנכ"ל והדירקטוריון, ומטרתה להגדיר בצורה חדה את רמת הסיכון (נמוך, בינוני או קריטי) וליישר קו ארגוני.

ביום השני, הפרוטוקול עובר מהמישור המשפטי אל המישור הטכנולוגי והארגוני של הארגון. שלב זה מציב את האתגר הניהולי הגבוה ביותר, שכן הוא מחייב שיתוף פעולה פנים-ארגוני מהיר ונטול אגו. מנהל אבטחת המידע (CISO) והיועצים הטכנולוגיים נדרשים לשלוף נתונים, לבחון הרשאות גישה בפועל ולספק את הסכמי המחשוב וה-DPA (הסכמי עיבוד המידע) מול ספקי המישנה. המטרה אינה להצביע על אשמים, אלא לייצר דו"ח פערים ארגוני אמיתי. אם הניהול בפועל של מאגרי המידע סטה מהוראות החוק או מתקנון החברה, פער זה חייב לצוף כאן בצורה גלויה, כדי שנוכל לבנות את הטיעון המשפטי הבא.

היממה השלישית מיועדת להציג בפני הרשות תוכנית תיקון סדורה. התוכנית אינה מתיימרת לתקן את כל כשלים הטכנולוגיים באופן מיידי, אלא מציגה לוחות זמנים מחייבים, חלוקת תפקידים ויעדים מדידים לתיקון המערך כולו. הצגת תוכנית חתומה כזו מוכיחה לרשות כי הארגון פועל בתום לב, מחויב לציות רגולטורי ומנטרל את הצורך באכיפה אגרסיבית או קשוחה.

לאורך כל התקופה, במקביל לפעולות המיפוי והתיקון הפנימיות, נכתבת טיוטת התגובה הרשמית לרשות. כל פיסת מידע, כל כשל שהתגלה וכל צעד מתקן שננקט מותמרים מיד לתוך טיעונים משפטיים מבוססי פסיקה והנחיות מנהליות.

מסגרת פעולה משלימה

התגובה להתראה מינהלית נבחנת בפועל על ידי הרשות לא רק לפי תוכנה המשפטי, אלא גם לפי מידת הסדירות, המהירות והעקביות של ההתנהלות הארגונית לאחר קבלתה. לפיכך, נדרש לנהל את האירוע כפרויקט משפטי-רגולטורי לכל דבר ועניין, תוך תיאום בין גורמי משפט, מערכות מידע, אבטחת מידע וניהול בכיר.

במקרים רבים, הצגת תהליך סדור בתוך פרק זמן קצר עשויה להשפיע באופן ממשי על אופן סיווג האירוע על ידי הרשות, על עוצמת האכיפה ואף על עצם ההחלטה האם להמשיך בהליך של עיצום כספי.

בנוסף, יש להבחין בין תיקון נקודתי של ליקוי לבין שינוי מערכתי של תהליכי עבודה. הרשות נוטה לייחס משקל גבוה יותר לשאלת קיומה של תשתית ציות ארגונית ולא רק לתיקון הפרה ספציפית.

מה לא לעשות לאחר קבלת התראה?

לאחר קבלת התראה מינהלית, טעויות נפוצות עלולות להחמיר את המצב המשפטי:

ראשית, התעלמות מההתראה או דחיית הטיפול בה מתוך הנחה כי מדובר בהליך לא מחייב. בפועל, התעלמות עלולה להוביל להסלמה מיידית.

שנית, תיקון חלקי בלבד של הליקויים מבלי לבנות מנגנון מערכתי מלא, דבר שעלול להביא להפרה חוזרת.

שלישית, התכתבות לא פורמלית בלבד עם הרשות במקום תגובה משפטית מסודרת ומגובה בתיעוד.

רביעית, היעדר תיעוד של פעולות תיקון, דבר שמקשה להוכיח עמידה בדרישות.

מה שלא כתוב בחוק – החלק הכי חשוב

התקנות קובעות מתי ייתכן שתינתן התראה. אבל הן לא קובעות מתי חייבת להינתן. ראש הרשות יכול תמיד לבחור בעיצום. ניסיוננו מלמד שהרשות להגנת הפרטיות מאמצת מדיניות אכיפה פרואקטיבית. ארגון שמסתמך על "נקבל התראה ואז נסתדר" עלול לגלות שהחשבון הגיע לפני ההתראה.

לפעמים, מה שלא כתוב בחוק הוא החלק הכי חשוב.

לעיון בנוסח התקנות המלא, כאן.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים, תאגידי מים וביוב, חברות ממשלתיות ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, מכהן כ-DPO ומסייע בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 26/02/2026. עידכון אחרון: 28/05/2026.

תקנות הגנת הפרטיות (התראה מינהלית)