תיקון 13 לחוק הגנת הפרטיות מחייב תאגידי מים וביוב, במינוי ממונה הגנת פרטיות (DPO) חיצוני ובלתי תלוי. משרד וולר ושות' מספק ליווי מקצועי המבטיח עמידה ברגולציה וצמצום חשיפה משפטית של נושאי משרה.
אילו מאגרי מידע קיימים בתאגידי מים וביוב?
תאגידי מים וביוב מנהלים בפועל מערכות מידע מורכבות ורב שכבתיות, אשר אינן מסתכמות במערכת חיובים בלבד. מבחינה משפטית ורגולטורית, מדובר באקוסיסטם של מאגרי מידע נפרדים, שכל אחד מהם כפוף לרמות שונות של רגישות, אבטחה וחובות ציות לפי חוק הגנת הפרטיות ותיקון 13.
ניתן לזהות חמישה אשכולות מרכזיים של מאגרים. הראשון הוא מאגר הצרכנים, הכולל נתוני זיהוי, כתובות, בעלות או שכירות, נתוני צריכה היסטוריים, חיובים, הנחות ותשלומים. מאגר זה מאפשר ניתוח התנהגות צריכה ולכן נחשב רגיש מבחינה פרופילית. השני הוא מאגר גבייה ואכיפה, הכולל חובות, התראות, עיקולים, הליכים משפטיים ותכתובות עם גורמי אכיפה, ומייצר חשיפה משפטית מוגברת.
השלישי הוא מאגר עובדים, הכולל נתונים אישיים, שכר, הערכות, משמעת ולעיתים גם מידע רפואי, המוגדר כמידע בעל רגישות מיוחדת. הרביעי הוא מאגר ספקים וקבלנים, הכולל מידע חוזי, פיננסי וחשבונאי. החמישי, והמתפתח ביותר, הוא מאגרי IoT ומדידה חכמה, הכוללים מדי מים חכמים, חיישנים ומערכות קריאה מרחוק.
הגנת הפרטיות בתאגידי מים וביוב – מהו "מידע אישי"?
חוק הגנת הפרטיות מגדיר "מידע אישי" כנתון הנוגע לאדם מזוהה. בהקשר של תאגידי מים מדובר בפרטי זיהוי מלאים, כתובות מגורים, חוזי שכירות, מספרי נכסים, נתוני צריכת מים, חיובים ותשלומים, וחובות כספיים. לכך מתווספים נתונים בדבר זכאות להנחות, הקלטות שיחות עם מוקד השירות, ותיעוד פניות בדיגיטל (WhatsApp). מכלול נתונים אלו מציב את התאגידים כבעלי מאגרי מידע מהותיים המחייבים ניהול מקצועי.
מה השלכות תיקון 13 על תאגידי מים וביוב?
תיקון 13, שנכנס לתוקף ב-2025, הגדיר את התאגידים כ"גוף ציבורי", מה שמטיל עליהם חובות קשיחות:
מינוי ממונה הגנת פרטיות (DPO)
כל תאגיד מחויב למנות ממונה בלתי-תלוי המדווח ישירות למנכ"ל. חשוב להדגיש: אין למנות את מנהל אבטחת המידע (CISO) לתפקיד ה-DPO. ה-CISO עוסק באבטחה טכנולוגית, בעוד ה-DPO אחראי על ניהול סיכוני פרטיות ודיווח לרגולטור. שילוב התפקידים יוצר ניגוד עניינים מהותי.
ניהול ורישום מאגרי מידע
חובה למפות, לרשום ולדווח על מאגרי מידע ברשות להגנת הפרטיות. עיבוד המידע יתבצע אך ורק למטרות שהוגדרו, וגישה למידע תותר לעובדים מורשים בלבד תוך בקרת גישה תקופתית.
נהלים, בקרה והדרכה
על התאגיד לקיים מערך נהלים כתובים ולבצע סקרי סיכונים והערכות השפעה על פרטיות (DPIA), בפרט בפרויקטים של טכנולוגיות מדידה חכמה (IoT). קיימת חובה להטמיע תוכנית הדרכה לעובדים להבטחת ציות להוראות הדין.
השוואה אסטרטגית: DPO חיצוני מול פנימי
| קריטריון | ממונה פנימי (In-house) | DPO חיצוני (וולר ושות') |
|---|---|---|
| ניגוד עניינים | סיכון גבוה (כפיפות להנהלה) | בלתי תלוי – אובייקטיביות מלאה |
| מאגרי מצלמות ועובדים | טיפול טכני בלבד | ניהול רגולטורי מלא וסקרי סיכונים |
| אחריות נושאי משרה | חשיפה משפטית גבוהה | צמצום חשיפה וליווי הגנתי |
זקוקים לממונה הגנת פרטיות (DPO) חיצוני?
צרו קשר עם משרד עו"ד וולר ושות' לייעוץ וליווי רגולטורי מקיף.
דרישות אבטחת מידע: חוק ותקנות רשות המים
אספקת מים היא שירות חיוני. פגיעה במערכות אלו עלולה להוביל לנזק תפקודי וכלכלי כבד. על רקע איומי הסייבר (בפרט בחירום), תאגידי המים מחויבים לעמוד בתקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 ובנוהל הגנת סייבר של רשות המים.
תשלומים וסליקה
מועד התשלום הוא רגע רגיש שבו נמסר מידע פיננסי בעל ערך. גם כשהסליקה מבוצעת על ידי ספק חיצוני, התאגיד נותר בעל המאגר והאחראי עליו. חובה לוודא שימוש בפרוטוקולים מוצפנים ושקיפות מלאה מול הצרכן לגבי אופן הטיפול בנתוניו.
מאגרי מצלמות ועובדים
מאגר מצלמות: הפעלת מערכות מעקב (CCTV) מחייבת רישום מאגר, הצבת שילוט וקביעת נוהל עבודה מסודר למניעת פגיעה בפרטיות העובדים והציבור.
מאגר עובדים: מרכז נתונים רגישים (רפואיים ופיננסיים). חובת ה-DPO להבטיח שימוש למטרות העסקה בלבד ושמירה על זכות העיון.
מערכות IoT, מדי מים חכמים והשלכות פרטיות
הטמעת מערכות מדידה חכמות (AMI) ותשתיות IoT בתאגידי מים וביוב משנה באופן מהותי את אופי המידע הנאסף והמעובד. בעוד שבעבר הנתונים התבססו על קריאות תקופתיות, כיום מדובר באיסוף רציף, מדויק ולעיתים התנהגותי של מידע על צרכנים.
מערכות אלו מאפשרות ניתוח מתקדם של דפוסי צריכה, איתור חריגות בזמן אמת ואף הסקת מסקנות עקיפות לגבי אורח חיים, זמני שהייה בנכס והרגלי שימוש. מבחינה משפטית, הדבר מעלה שאלה מהותית של גבולות עיבוד מידע אישי.
עקרון המידתיות הופך מרכזי במיוחד: יש לבחון האם היקף המידע הנאסף הכרחי לצורך התפעולי או חורג ממנו. בנוסף, חלה חובת שקיפות מוגברת כלפי הצרכן, הכוללת הסבר ברור על סוגי המידע הנאספים ושימושיהם האפשריים.
ברמה הרגולטורית, מערכות IoT מחייבות ביצוע הערכת השפעה על פרטיות (DPIA), הגדרת מטרות עיבוד מדויקות, הגבלת שימוש משני במידע והטמעת מנגנוני אנונימיזציה כאשר הדבר אפשרי.
הסיכון המרכזי אינו טכנולוגי אלא משפטי-מערכתי: שימוש יתר בנתונים עלול להיחשב עיבוד עודף ולהוביל להפרות רגולטוריות. לכן, נדרש איזון עדין בין חדשנות תפעולית לבין שמירה על זכויות הפרט.
מה הסיכון המשפטי לתאגיד שלא עומד בתיקון 13?
תיקון 13 לחוק הגנת הפרטיות יצר שינוי מהותי במודל האחריות של גופים ציבוריים, ובפרט תאגידי מים וביוב. המשמעות המרכזית היא מעבר ממודל תגובתי למודל ציות אקטיבי, שבו עצם היעדר תשתית ניהול מידע מספקת עשוי להיחשב הפרה רגולטורית, גם ללא אירוע אבטחה בפועל.
סנקציות ואכיפה בתאגידי מים וביוב
מערך האכיפה בתחום הגנת הפרטיות עבר בשנים האחרונות הידוק משמעותי, כאשר תיקון 13 לחוק הגנת הפרטיות חיזק את סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות. בתאגידי מים וביוב, החשיפה לסנקציות גבוהה במיוחד בשל אופיים כגופים ציבוריים המחזיקים מאגרי מידע רחבי היקף.
ברובד הראשון קיימות סנקציות מנהליות הכוללות עיצומים כספיים בגין הפרות כגון אי מינוי ממונה הגנת פרטיות, היעדר נהלים, כשלים במיפוי מאגרים או אי ביצוע הערכות השפעה על פרטיות. לצד זאת, לרשות קיימת סמכות להוציא צווים והתראות המחייבים תיקון ליקויים ולעיתים אף להגביל שימוש במערכות מידע עד להסדרתן.
ברובד השני, הסיכון האזרחי מתבטא בהגשת תביעות, בעיקר במקרים של דליפת מידע אישי, שימוש לא מורשה בנתונים או כשלי אבטחה מערכתיים. בתאגידי מים, שבהם קיימת אוכלוסייה רחבה ונתונים רגישים, פוטנציאל החשיפה גבוה במיוחד.
ברובד השלישי, קיים היבט של אחריות אישית לנושאי משרה. במצבים של היעדר מנגנוני פיקוח או התעלמות מסיכוני פרטיות ידועים, עשויה להתגבש אחריות ניהולית ואף משפטית אישית.
לסיכום
תאגידי המים אינם רק גופים הנדסיים, אלא מנהלי מאגרי מידע רחבי היקף. חובת הציות היא תנאי חיוני לשמירה על אמון הציבור והגנה מפני סנקציות. משרד וולר ושות' מלווה תאגידים בהיערכות מלאה לדרישות החוק ובניית מערך פרטיות יעיל.
נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CR.O.). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (D.P.O), בהתמודדות עם ביקורות פנימיות וחיצוניות, בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.
פורסם: 14/09/2025. עדכון אחרון: 15/03/2026.
תחום: הגנת הפרטיות ואבטחת מידע.

