top image

דיני הגנת הפרטיות בתאגידי מים וביוב

עמדת עבודה עם מדי מים, כלי עבודה ומערכות מידע דיגיטליות, הכוללות אייקונים תלת־ממדיים של הגנת הפרטיות בתאגידי מים וביוב
תאגידי המים והביוב הוקמו מכוח חוק תאגידי המים והביוב, התשס"א-2001, במטרה להסדיר את משק המים והביוב בישראל ולנתקו מתלות תקציבית ברשויות המקומיות. החוק ביקש להבטיח כי שירותי המים והביוב יינתנו לציבור ברמה נאותה של אמינות, איכות ושוויון, במחירים סבירים וללא הפליה. ואולם, ההגשמה של מטרות אלו כרוכה בהכרח בניהול מאגרי מידע נרחבים, הכוללים מידע אישי רגיש של צרכנים ותושבים.

תיקון 13 לחוק הגנת הפרטיות מחייב תאגידי מים וביוב, במינוי ממונה הגנת פרטיות (DPO) חיצוני ובלתי תלוי. משרד וולר ושות' מספק ליווי מקצועי המבטיח עמידה ברגולציה וצמצום חשיפה משפטית של נושאי משרה.

 

אילו מאגרי מידע קיימים בתאגידי מים וביוב?

תאגידי מים וביוב מנהלים בפועל מערכות מידע מורכבות ורב שכבתיות, אשר אינן מסתכמות במערכת חיובים בלבד. מבחינה משפטית ורגולטורית, מדובר באקוסיסטם של מאגרי מידע נפרדים, שכל אחד מהם כפוף לרמות שונות של רגישות, אבטחה וחובות ציות לפי חוק הגנת הפרטיות ותיקון 13.

ניתן לזהות חמישה אשכולות מרכזיים של מאגרים. הראשון הוא מאגר הצרכנים, הכולל נתוני זיהוי, כתובות, בעלות או שכירות, נתוני צריכה היסטוריים, חיובים, הנחות ותשלומים. מאגר זה מאפשר ניתוח התנהגות צריכה ולכן נחשב רגיש מבחינה פרופילית. השני הוא מאגר גבייה ואכיפה, הכולל חובות, התראות, עיקולים, הליכים משפטיים ותכתובות עם גורמי אכיפה, ומייצר חשיפה משפטית מוגברת.

השלישי הוא מאגר עובדים, הכולל נתונים אישיים, שכר, הערכות, משמעת ולעיתים גם מידע רפואי, המוגדר כמידע בעל רגישות מיוחדת. הרביעי הוא מאגר ספקים וקבלנים, הכולל מידע חוזי, פיננסי וחשבונאי. החמישי, והמתפתח ביותר, הוא מאגרי IoT ומדידה חכמה, הכוללים מדי מים חכמים, חיישנים ומערכות קריאה מרחוק.

 

הגנת הפרטיות בתאגידי מים וביוב – מהו "מידע אישי"?

חוק הגנת הפרטיות מגדיר "מידע אישי" כנתון הנוגע לאדם מזוהה. בהקשר של תאגידי מים מדובר בפרטי זיהוי מלאים, כתובות מגורים, חוזי שכירות, מספרי נכסים, נתוני צריכת מים, חיובים ותשלומים, וחובות כספיים. לכך מתווספים נתונים בדבר זכאות להנחות, הקלטות שיחות עם מוקד השירות, ותיעוד פניות בדיגיטל (WhatsApp). מכלול נתונים אלו מציב את התאגידים כבעלי מאגרי מידע מהותיים המחייבים ניהול מקצועי.

 

מה השלכות תיקון 13 על תאגידי מים וביוב?

תיקון 13, שנכנס לתוקף ב-2025, הגדיר את התאגידים כ"גוף ציבורי", מה שמטיל עליהם חובות קשיחות:

מינוי ממונה הגנת פרטיות (DPO)

כל תאגיד מחויב למנות ממונה בלתי-תלוי המדווח ישירות למנכ"ל. חשוב להדגיש: אין למנות את מנהל אבטחת המידע (CISO) לתפקיד ה-DPO. ה-CISO עוסק באבטחה טכנולוגית, בעוד ה-DPO אחראי על ניהול סיכוני פרטיות ודיווח לרגולטור. שילוב התפקידים יוצר ניגוד עניינים מהותי.

ניהול ורישום מאגרי מידע

חובה למפות, לרשום ולדווח על מאגרי מידע ברשות להגנת הפרטיות. עיבוד המידע יתבצע אך ורק למטרות שהוגדרו, וגישה למידע תותר לעובדים מורשים בלבד תוך בקרת גישה תקופתית.

נהלים, בקרה והדרכה

על התאגיד לקיים מערך נהלים כתובים ולבצע סקרי סיכונים והערכות השפעה על פרטיות (DPIA), בפרט בפרויקטים של טכנולוגיות מדידה חכמה (IoT). קיימת חובה להטמיע תוכנית הדרכה לעובדים להבטחת ציות להוראות הדין.

השוואה אסטרטגית: DPO חיצוני מול פנימי

קריטריון ממונה פנימי (In-house) DPO חיצוני (וולר ושות')
ניגוד עניינים סיכון גבוה (כפיפות להנהלה) בלתי תלוי – אובייקטיביות מלאה
מאגרי מצלמות ועובדים טיפול טכני בלבד ניהול רגולטורי מלא וסקרי סיכונים
אחריות נושאי משרה חשיפה משפטית גבוהה צמצום חשיפה וליווי הגנתי

זקוקים לממונה הגנת פרטיות (DPO) חיצוני?

צרו קשר עם משרד עו"ד וולר ושות' לייעוץ וליווי רגולטורי מקיף.

חייגו עכשיו: 04-8661537

 

דרישות אבטחת מידע: חוק ותקנות רשות המים

אספקת מים היא שירות חיוני. פגיעה במערכות אלו עלולה להוביל לנזק תפקודי וכלכלי כבד. על רקע איומי הסייבר (בפרט בחירום), תאגידי המים מחויבים לעמוד בתקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 ובנוהל הגנת סייבר של רשות המים.

תשלומים וסליקה

מועד התשלום הוא רגע רגיש שבו נמסר מידע פיננסי בעל ערך. גם כשהסליקה מבוצעת על ידי ספק חיצוני, התאגיד נותר בעל המאגר והאחראי עליו. חובה לוודא שימוש בפרוטוקולים מוצפנים ושקיפות מלאה מול הצרכן לגבי אופן הטיפול בנתוניו.

מאגרי מצלמות ועובדים

מאגר מצלמות: הפעלת מערכות מעקב (CCTV) מחייבת רישום מאגר, הצבת שילוט וקביעת נוהל עבודה מסודר למניעת פגיעה בפרטיות העובדים והציבור.
מאגר עובדים: מרכז נתונים רגישים (רפואיים ופיננסיים). חובת ה-DPO להבטיח שימוש למטרות העסקה בלבד ושמירה על זכות העיון.

 

מערכות IoT, מדי מים חכמים והשלכות פרטיות

הטמעת מערכות מדידה חכמות (AMI) ותשתיות IoT בתאגידי מים וביוב משנה באופן מהותי את אופי המידע הנאסף והמעובד. בעוד שבעבר הנתונים התבססו על קריאות תקופתיות, כיום מדובר באיסוף רציף, מדויק ולעיתים התנהגותי של מידע על צרכנים.

מערכות אלו מאפשרות ניתוח מתקדם של דפוסי צריכה, איתור חריגות בזמן אמת ואף הסקת מסקנות עקיפות לגבי אורח חיים, זמני שהייה בנכס והרגלי שימוש. מבחינה משפטית, הדבר מעלה שאלה מהותית של גבולות עיבוד מידע אישי.

עקרון המידתיות הופך מרכזי במיוחד: יש לבחון האם היקף המידע הנאסף הכרחי לצורך התפעולי או חורג ממנו. בנוסף, חלה חובת שקיפות מוגברת כלפי הצרכן, הכוללת הסבר ברור על סוגי המידע הנאספים ושימושיהם האפשריים.

ברמה הרגולטורית, מערכות IoT מחייבות ביצוע הערכת השפעה על פרטיות (DPIA), הגדרת מטרות עיבוד מדויקות, הגבלת שימוש משני במידע והטמעת מנגנוני אנונימיזציה כאשר הדבר אפשרי.

הסיכון המרכזי אינו טכנולוגי אלא משפטי-מערכתי: שימוש יתר בנתונים עלול להיחשב עיבוד עודף ולהוביל להפרות רגולטוריות. לכן, נדרש איזון עדין בין חדשנות תפעולית לבין שמירה על זכויות הפרט.

 

מה הסיכון המשפטי לתאגיד שלא עומד בתיקון 13?

תיקון 13 לחוק הגנת הפרטיות יצר שינוי מהותי במודל האחריות של גופים ציבוריים, ובפרט תאגידי מים וביוב. המשמעות המרכזית היא מעבר ממודל תגובתי למודל ציות אקטיבי, שבו עצם היעדר תשתית ניהול מידע מספקת עשוי להיחשב הפרה רגולטורית, גם ללא אירוע אבטחה בפועל.

 

סנקציות ואכיפה בתאגידי מים וביוב

מערך האכיפה בתחום הגנת הפרטיות עבר בשנים האחרונות הידוק משמעותי, כאשר תיקון 13 לחוק הגנת הפרטיות חיזק את סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות. בתאגידי מים וביוב, החשיפה לסנקציות גבוהה במיוחד בשל אופיים כגופים ציבוריים המחזיקים מאגרי מידע רחבי היקף.

ברובד הראשון קיימות סנקציות מנהליות הכוללות עיצומים כספיים בגין הפרות כגון אי מינוי ממונה הגנת פרטיות, היעדר נהלים, כשלים במיפוי מאגרים או אי ביצוע הערכות השפעה על פרטיות. לצד זאת, לרשות קיימת סמכות להוציא צווים והתראות המחייבים תיקון ליקויים ולעיתים אף להגביל שימוש במערכות מידע עד להסדרתן.

ברובד השני, הסיכון האזרחי מתבטא בהגשת תביעות, בעיקר במקרים של דליפת מידע אישי, שימוש לא מורשה בנתונים או כשלי אבטחה מערכתיים. בתאגידי מים, שבהם קיימת אוכלוסייה רחבה ונתונים רגישים, פוטנציאל החשיפה גבוה במיוחד.

ברובד השלישי, קיים היבט של אחריות אישית לנושאי משרה. במצבים של היעדר מנגנוני פיקוח או התעלמות מסיכוני פרטיות ידועים, עשויה להתגבש אחריות ניהולית ואף משפטית אישית.

 

לסיכום

תאגידי המים אינם רק גופים הנדסיים, אלא מנהלי מאגרי מידע רחבי היקף. חובת הציות היא תנאי חיוני לשמירה על אמון הציבור והגנה מפני סנקציות. משרד וולר ושות' מלווה תאגידים בהיערכות מלאה לדרישות החוק ובניית מערך פרטיות יעיל.

 


נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CR.O.). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (D.P.O), בהתמודדות עם ביקורות פנימיות וחיצוניות, בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 14/09/2025. עדכון אחרון: 15/03/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

פרטיות בתאגידי מים וביוב: שאלות ותשובות

מהו מידע אישי של תאגידי מים וביוב?

מידע זה כולל לא רק פרטי זיהוי מלאים, נתונים פיננסיים, אלא גם נתוני צריכת מים ברזולוציה גבוהה (שעתי/יומית, ממדי מים חכמים). נתונים אלו עלולים לחשוף דפוסי חיים ושימוש חריגים בבית, ולכן דורשים אבטחה ברמה גבוהה במיוחד.

מדוע חל איסור למנות את ה-CISO (מנהל אבטחת מידע) לתפקיד ה-DPO בתאגיד מים?

ניגוד עניינים מהותי: ה-CISO (או ממונה תמ"ח) אחראי על יישום טכנולוגי והגנת סייבר, ואילו ה-DPO אחראי על פיקוח ובקרה רגולטורית. שילוב התפקידים מונע ביקורת אובייקטיבית על היישום הטכנולוגי ומנוגד להנחיית הרשות.

מה היתרון של DPO חיצוני על פני פנימי?

DPO חיצוני ממשרד עורכי דין מבטיח אובייקטיביות, חוסר ניגוד עניינים, וסמכות מקצועית רחבה יותר מול הרשויות, תוך צמצום עלויות השכר של עובד קבוע.

מהו נוהל הגנת סייבר של רשות המים?

נוהל רשות המים קובע עקרונות מניעה והגנה על תשתיות קריטיות מפני איומי סייבר. יש לו קשר הדוק לפרטיות מכיוון שדליפת מידע אישי של צרכנים מתרחשת לעיתים קרובות דרך מתקפת סייבר מוצלחת (כשל באבטחת מידע).

מהי חובת ה-DPA (הסכם עיבוד מידע) בהתקשרות עם קבלנים?

בפרויקטים בעלי סיכון: חובה לבצע DPIA בפרויקטים שבהם מוטמעות טכנולוגיות חדשות, כגון מדי מים חכמים (IoT), או מערכות עיבוד מידע אוטומטיות, כדי לזהות ולצמצם סיכונים לפגיעה בפרטיות הצרכנים לפני היישום.

מהן חובות התאגיד בנוגע לנתוני תשלומים וסליקה?

התאגיד חייב לוודא שכל מערכת תשלומים פועלת בפרוטוקולים מאובטחים ומוצפנים (כדי למנוע דליפת פרטי אשראי). בנוסף, חובה לפרסם מדיניות פרטיות שקופה המפרטת אילו נתונים פיננסיים נאספים, מי מטפל בהם ולאיזו תקופה.

האם לתאגיד מים מותר להעביר מידע לחברות גבייה?

רק בכפוף למגבלות חוק הגנת הפרטיות ורישום מאגר כדין.

כיצד ניתן לממש את זכויות נושאי המידע במאגרי התאגיד?

על התאגיד לאפשר לצרכן לעיין במידע אודותיו ולהעביר עותק בלשון ברורה בזמן סביר. בנוסף, יש לאפשר תיקון או מחיקה של מידע שאינו נכון או שאינו נדרש עוד, ולפרט את הליכים אלה במדיניות הפרטיות.

מה המשמעות של שמירת נתוני מדי מים חכמים מעבר לנדרש?

שמירת נתוני צריכה ברזולוציה גבוהה מעבר לתקופה סבירה מהווה שמירת מידע עודף. הדבר מנוגד לעקרונות החוק, מעלה את סיכון הדליפה ומחייב את התאגיד לבצע אנונימיזציה לנתונים שאינם נדרשים עוד לצורכי חיוב או תפעול.

מהי החשיבות של חובת הדירקטוריון וההנהלה בהגנת הפרטיות בתאגיד?

אחריות ניהולית בכירה: הנהלת התאגיד והדירקטוריון חייבים לדרוש דיווחי DPO שוטפים, לאשר תוכניות עבודה שנתיות ולדאוג להקצאת משאבים. שמירה על פרטיות הצרכנים הנה דרישה חוקית ורגולטורית.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן