הרשות להגנת הפרטיות: פתיחת הליכי פיקוח

פיקוח הרשות להגנת הפרטיות על מאגרי מידע ועמידה בדרישות תיקון 13 לחוק הגנת הפרטיות

📌 הליכי פיקוח של הרשות להגנת הפרטיות, בתמצית

פתיחת הליכי פיקוח של הרשות להגנת הפרטיות היא שלב אכיפה פעיל, המחייב ארגונים להציג ציות להוראות חוק הגנת הפרטיות ותקנות אבטחת מידע. הפיקוח נועד לבחון האם לארגון קיימת מערכת ציות פעילה, מתועדת ויישומית, ולא רק עמידה פורמלית בדרישות החוק. מכתב אזהרה, דרישה ו/או שימוע מהווה שלב מקדים לקנסות, סנקציות ואחריות אישית לנושאי משרה.

עדכון דחוף: 14 בדצמבר, 2025

מערך האכיפה של הרשות להגנת הפרטיות

מערך פיקוח הרוחב של הרשות להגנת הפרטיות, מבצע ביקורת במגזרים שונים, בהתאם לסקר הסיכונים של הרשות. זאת, במטרה לבדוק ציות וקיום הוראות חוק הגנת הפרטיות ותקנותיו על פני מגזרים נבחרים. מערך פיקוח הרוחב פועל באמצעות הפצת שאלוני ביקורת, ניתוחם, דרישות להשלמת מידע בכתב או באמצעות פיקוחי שטח, מתן הנחיות לתיקוני ליקויים פרטניים, הכנת דוחות הכוללים תמונת מצב ומסקנות מגזריות, ופרסום הנחיות כלליות.

ייחודו של מערך פיקוחי הרוחב הינו בהיותו הליך יזום מראשיתו ועד סופו, אשר השפעתו רחבה ותורמת למניעה והגברת חוסנו של המשק הישראלי. אם כי המערך הוקם בשנת 2018, רק בשנת 2024 עיגן המחוקק את פעילות מערך פיקוח הרוחב בחוק הגנת הפרטיות, במסגרת תיקון מס’ 13 לחוק, שאושר בקריאה שניה ושלישית על ידי הכנסת.

דו”חות הביקורת בשנים האחרונות

בנוסף, בכל שנה מבוצעים באופן מדגמי פיקוחי מעקב על חלק מהגופים בהם נמצאו ליקויים בכדי לוודא את יישום דרישות הרשות לתיקון הליקויים (וראו דו”ח ביקורת רוחב בחברות המספקות שירותים של אחסון ועיבוד מאגרי מידע, נובמבר 2020; דו”ח ביקורת רוחב במגזר העמותות והמגזר השלישי, פברואר 2022; דו”ח ממצאי הליך פיקוח רוחב בקרב רשויות מקומיות, ינואר 2023; דו”ח ממצאי פיקוח רוחב בבתי אבות והוסטלים, מאי 2023; דוח ממצאי הליך פיקוח הרוחב בקרב מוקדים טלפוניים, יוני 2023; דו”ח ממצאי פיקוח רוחב בחברות כוח אדם, ינואר 2025; ועוד.

סמכויות הרשות להגנת הפרטיות

הליכי הפיקוח שמובילה הרשות להגנת הפרטיות נועדו לבחון באופן שיטתי, מובנה ורוחבי את מידת עמידתם של ארגונים בהוראות חוק הגנת הפרטיות, התקנות וההנחיות הנלוות לו. אין מדובר בביקורת נקודתית או טכנית בלבד, אלא בתהליך פיקוח מקיף, הבוחן את מכלול מערך הציות הארגוני, לרבות מבנה הממשל התאגידי, מדיניות הפרטיות, תהליכי עיבוד מידע, אמצעי אבטחת מידע, ניהול ספקים, מימוש זכויות נשואי מידע והטמעת נהלים בפועל.

מטרת הפיקוח אינה מתמצה באיתור ליקויים פרטניים אצל גוף מסוים, אלא בגיבוש תמונת מצב מגזרית רחבה, המאפשרת לרשות לזהות כשלים רוחביים, דפוסי הפרה חוזרים ופערי יישום מערכתיים, ולגזור מהם מדיניות אכיפה, הנחיות משלימות ומהלכים רגולטוריים עתידיים. בכך מבקשת הרשות לחזק את רמת ההגנה על המידע האישי של הציבור, להגביר את אמון הציבור בגופים המפוקחים, ולהטמיע סטנדרטים מחייבים של ציות ואחריות.

להליכי הפיקוח נלוות השלכות משפטיות, כלכליות וארגוניות כבדות משקל. הרשות להגנת הפרטיות מוסמכת כיום, מכוח החוק והסמכויות שהורחבו בתיקון 13, להטיל עיצומים כספיים משמעותיים, אשר עשויים להגיע להיקפים של מיליוני שקלים, לפתוח בהליכים מנהליים כנגד גופים ונושאי משרה, ולהטיל מגבלות ותנאים לתיקון ליקויים. במקרים של הפרות מהותיות, שיטתיות או מכוונות, רשאית הרשות אף להעביר את הטיפול בתיקים למסלול פלילי, על כל המשתמע מכך מבחינת חשיפה אישית, סנקציות וכתם רגולטורי.

קיבלתם מכתב מהרשות להגנת הפרטיות? חובת שיתוף פעולה

ארגונים הכלולים בפיקוח מחויבים לשיתוף פעולה מלא. הימנעות ממסירת מידע, מסירת מידע חסר או עיכוב במענה – עלולים להיחשב כהפרה עצמאית.

נדגיש כי גופים הנכללים בהליכי הפיקוח מחויבים להעמיד לרשות את כל המידע, המסמכים, הנהלים והמערכות הנדרשים לצורך ביצוע הביקורת, ולפעול בהתאם לחובותיהם שבדין. מעבר לכך, מכוח סמכות זו נשלחים המכתבים עם דרישת ידיעות ומסמכים מכוח חוק הגנת הפרטיות.

מפקחי הרשות קיבלו סמכות כניסה לכל מקום שבו פועל ו/או מוחזק מאגר מידע ולערוך בו חיפוש ותפיסה, במטרה לפקח על ביצוע של הוראות דיני הגנת הפרטיות.

אי ציות עלול להביא לסנקציות לרבות ביטול אישור ניהול מאגר מידע, עיצומים כספיים (בסכומים של עד מיליוני ש”ח), עצירת עיבוד מידע, ובנסיבות מסויימות פתיחת הליכים פליליים. במקביל, במקביל, הרשות מפרסמת את הליכי האכיפה וההפרות בציבור – דבר המשליך על המוניטין העסקי.

ענפים/ ארגונים בהם תתמקד הביקורת (דצמבר 2025):

על פי הודעת הרשות, הפיקוח בשלב זה ממוקד באופן אקטיבי במגזרים הבאים:

רשויות מקומיות. הרשויות, כפי שסקרנו פעמים רבות, מחזיקות מאגרי מידע רחבי היקף על תושבים, עובדים וספקים ומפעילות מערכות מידע מורכבות בתחומי חינוך, רווחה, גבייה, תכנון ובנייה, מצלמות, מערכות עיר חכמה ושירותים דיגיטליים.
חברות העוסקות בסחר מקוון (אונליין). אלו אתרי מכירה ומפעילי שירותי תשלום, אשר אוספים ומעבדים מידע אישי, פיננסי והתנהגותי של לקוחות בהיקפים משמעותיים, לעיתים תוך שימוש בשירותי ענן, ספקי סליקה וכלי אנליטיקה.
אפליקציות הנמצאות בשימוש נפוץ בקרב הציבור. אלו אפליקציות הפועלות במודל מבוסס פרסום, העוסקות בניטור התנהגותי, איסוף נתוני מיקום, העדפות משתמשים ומידע רגיש, לעיתים ללא מנגנוני שקיפות, הסכמה או אבטחה מספקים.
מכוני סקר גנטי וגופים העוסקים בעיבוד מידע גנטי או ביומטרי, הנחשבים למידע בעל רגישות מיוחדת לפי חוק הגנת הפרטיות, ואשר עיבודו מחייב רמות הגנה, תיעוד ובקרה מחמירות במיוחד.
צהרונים ומסגרות חינוכיות משלימות. מסגרות אלו מטפלות במידע על קטינים, לרבות פרטים מזהים, מידע רפואי, רגישויות אישיות, תמונות ותיעוד דיגיטלי, כאשר הדין מחיל עליהן חובות מוגברות של זהירות, צמצום עיבוד ושקיפות כלפי הורים.

הערה מהותית וחשובה: הרשות להגנת הפרטיות מדגישה במפורש כי אין לראות ברשימה זו רשימה סגורה או ממצה. מדובר בגל פיקוח ראשון, אשר נועד לשמש שלב פתיחה בלבד במהלך אכיפה רחב ומתמשך. בהתאם להצהרת הרשות, צפויה הרחבה הדרגתית של היקף הפיקוח למגזרים נוספים, לרבות גופים ציבוריים, חברות טכנולוגיה, ספקי שירותים, גופים פיננסיים וארגונים עתירי מידע נוספים.

משמעות הדברים היא כי גם ארגונים שאינם כלולים בשלב זה במוקד האכיפה, אינם פטורים מהחובות הרגולטוריות. להיפך: פרק הזמן הנוכחי מהווה חלון הזדמנויות קריטי להשלמת תהליכי היערכות, סקרי סיכונים, מיפוי מאגרי מידע, הסדרת נהלים, מינוי ממונה הגנת פרטיות ובניית תיק ציות מבוסס ראיות. היערכות מוקדמת ופרואקטיבית צפויה לצמצם באופן משמעותי חשיפה להליכי אכיפה, קנסות מנהליים, אחריות אישית של נושאי משרה ופגיעה תדמיתית, עם התרחבות פעילות הפיקוח של הרשות בהמשך הדרך.

מכתב התראה מהרשות להגנת הפרטיות: מה עושים?

קבלת מכתב התראה מעבירה את הארגון לסטטוס של פיקוח רגולטורי פעיל. מרגע זה, הארגון מצוי תחת מעקב, וכל מענה חסר, תיקון חלקי, עיכוב בלתי מוסבר או היעדר פעולה, עלולים להיחשב כהחמרת ההפרה ולשמש בסיס להסלמה מהירה להליכי אכיפה מנהליים, לרבות הטלת עיצומים כספיים משמעותיים, פרסום פומבי של ממצאי הביקורת ופתיחת הליכים נוספים.

חשוב להדגיש: מכתב ההתראה מהווה שלב ראשון במנגנון אכיפה מדורג, אשר נועד לאפשר לארגון לתקן ליקויים בטרם הפעלת סמכויות האכיפה המחמירות שהוקנו לרשות בתיקון 13. פרשנות שגויה של מכתב ההתראה כ”אין קנס, אין סכנה” עלולה לחשוף את הארגון לסיכון רגולטורי, משפטי ותדמיתי מוגבר בהמשך הדרך.

מניסיוננו, מכתבי ההתראה מתמקדים, בין היתר, בהיעדר מינוי ממונה הגנת פרטיות (DPO) מקום שבו קיימת חובה בדין או צורך מהותי; ליקויים במערך אבטחת המידע והיעדר נהלים יישומיים ומתועדים; פערים ברישום ובניהול מאגרי מידע; מדיניות פרטיות שאינה מעודכנת או שאינה משקפת את פעילות הארגון בפועל; והיעדר הסדרה חוזית של עיבוד מידע עם ספקים ונותני שירותים.

מה עושים?

ההתמודדות הנכונה עם מכתב התראה מחייבת פעולה מיידית, שיטתית ומתועדת. בראש ובראשונה, יש לבצע מיפוי מלא של המידע האישי המצוי בידי הארגון, לרבות סוגי המידע, מטרות העיבוד, המערכות המעורבות, הספקים וההרשאות. במקביל, נדרש למנות גורם מקצועי ייעודי לניהול תחום הפרטיות, בעל ראייה רוחבית ויכולת להוביל תהליכי תיקון והטמעה. יש לעדכן מדיניות פרטיות ומנגנוני הסכמה, להסדיר הסכמי עיבוד מידע עם ספקים, ולהטמיע נהלים והדרכות עובדים בפועל, ולא רק ברמה הצהרתית.

מכתב ההתראה אינו, אפוא, איום תיאורטי אלא נקודת מפנה רגולטורית. זהו חלון זמן מוגבל לפעולה יזומה, אשר עשוי לצמצם באופן משמעותי חשיפה לקנסות, לאחריות אישית של נושאי משרה ולפגיעה תדמיתית. ארגון הבוחר לנצל שלב זה להיערכות מלאה ומקצועית, בליווי משפטי מתאים, משפר באופן ניכר את עמדתו מול הרשות ואת חוסנו הרגולטורי בהמשך הדרך.

המלצות להיערכות מיטבית ולהקטנת החשיפה

יישום דרישות החוק המתוקן והיערכות מקדימה לפיקוח מחייבים התאמה פרטנית למבנה ולפעילות הארגונית. להלן עיקרי הנושאים שיש לבחון ולהסדיר באופן מיידי:

מינוי בעלי תפקידים: בחינת חובת מינוי ממונה הגנת פרטיות (DPO) וממונה אבטחת מידע (CISO) בהתאם להנחיות בחוק ובתקנות. אין בעל תפקיד? הגדירו גורם אחר בארגון (מנכ”ל, יועץ משפטי) המוסמך לתקשר מול מפקחי הרשות בזמן אמת ולנהל את מסירת המידע.
רישום וניהול מאגרי מידע: וודאו כי בוצע רישום מאגר מידע כחוק (או בוצע דיווח עליהם), קיים מסמך הגדרות המאגר, ואין מאגרים “רדומים” שעלולים להוות עילה להפרה.
בסיס חוקי לעיבוד: ביסוס ואסדרה של הבסיס החוקי הנדרש לכל פעולת איסוף ועיבוד של מידע אישי על ידי הארגון.
הודעה והסכמה: הכינו מראש את מסמך מדיניות הפרטיות.
אבטחת מידע: סיווג רמת האבטחה של מאגרי המידע ועמידה קפדנית בהוראות אבטחת המידע החלות על כל רמת סיווג.
נהלים פנימיים: הכנת נהלים פנימיים, לרבות נוהל אבטחת מידע, נוהל ניהול אירוע אבטחת מידע, ומסמכי הגדרות מאגר.
מיפוי הרשאות ובקרת גישה: בצעו סקירה תקופתית להוכחת בקרה על הגישה למידע אישי של לקוחות ועובדים (כולל הזדהות), ומניעת זליגת מידע לצדדים שלישיים.
ניהול קשרי ספקים: מיפוי הספקים והמערכות המעבדים מידע אישי והסדרת חוזים מחייבים לעיבוד מידע (Data Processing Agreements – DPA) מולם.
העברות מידע בין-לאומיות: בחינה וקביעת מנגנוני העברה חוקיים להעברת מידע אישי מחוץ לגבולות ישראל.
זכויות נשואי מידע: כינון מנגנונים אפקטיביים להסדרת אופן מימוש זכויות נשואי המידע, ובפרט זכות העיון והתיקון, בהתאם להוראות הדין.

קישור ישיר להודעת הרשות מיום 10/12/2024, כאן.

ליווי משפטי, ציות ואסטרטגיית הגנת הפרטיות

משרד עו”ד וולר ושות’ מוביל את תחום הגנת הפרטיות, עם ניסיון עשיר בליווי גופים ציבוריים וחברות פרטיות למול רגולציה דינמית ומורכבת. הייחודיות של המשרד טמונה בסינרגיה שבין ידע משפטי מעמיק, הבנה טכנולוגית עדכנית וניסיון ניהולי בשטח.

אנו מלווים ארגונים בכל שלבי ההיערכות הרגולטורית: החל מביצוע סקרי ציות ומיפוי מאגרי מידע, דרך רישום והסדרת ממשקי ספקים, ועד לאיתור פערים תפעוליים החושפים את הארגון לסנקציות. הליווי כולל ניתוח עומק של חובות הדין, התאמת הממשל התאגידי והטמעת מנגנוני בקרה ותיעוד רגולטורי.

המשרד מעניק ייצוג משפטי צמוד בהליכי בדיקה ופיקוח של הרשות להגנת הפרטיות, רשויות המדינה, משרד מבקר המדינה והביקורת הפנימית, ומבטיח מענה מקצועי בביקורות, בשימועים, בהליכים לתיקון ליקויים, ומנסחים תגובות משפטיות המיועדות למנוע הליכים מנהליים ופליליים, תוך שמירה על המוניטין והאינטרסים של הארגון.

כחלק מהמעטפת המקצועית, עורכי הדין במשרדנו מכהנים כממוני הגנת פרטיות חיצוניים (DPO) עבור ארגונים ציבוריים ופרטיים עתירי מידע. במסגרת זו, אנו מסייעים לארגון לעמוד בחובות הפיקוח, הייעוץ, הדיווח והבקרה הנדרשים לפי חוק, ומבטיחים חסינות רגולטורית וארגונית.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם ביום: 14/12/2025.

תחום: הגנת הפרטיות ואבטחת מידע.

שאלות ותשובות נפוצות הליכי פיקוח (תיקון 13)

מה המשמעות של הליכי פיקוח של הרשות להגנת הפרטיות?

בדיקת ציות שמטרתה לאתר ליקויים מערכתיים בהגנת פרטיות ואבטחת מידע. זהו שלב אכיפה בפועל: איסוף נתונים, דרישת מסמכים ובחינת נהלים, לעיתים לפני נקיטת סנקציות.

מה סמכויות הרשות להגנת הפרטיות בהליך פיקוח?

לרשות סמכויות דרישת מידע, כניסה למקום עסק ותפיסת מסמכים/מחשבים.

האם ניתן לסרב להליך פיקוח?

סירוב עלול להוביל לסנקציות פליליות ומנהליות; מומלץ ליווי משפטי בזמן אמת.

כמה זמן נמשך הליך פיקוח של הרשות להגנת הפרטיות?

בדרך כלל בין מספר שבועות למספר חודשים. משך הזמן תלוי במורכבות מאגרי המידע, רמת שיתוף הפעולה של הארגון ומהירות תיקון הליקויים שנמצאו בביקורת.

מה נדרש לעשות מיד עם קבלת פנייה או דרישה מהרשות?

לרכז תיעוד ומסמכים רלוונטיים, לבצע בדיקת פערים מהירה, ולגבש תוכנית תיקון מדידה עם מועדים, אחראים וראיות ביצוע. תגובה כללית ללא תשתית ראייתית עלולה להיחשב כתגובה בלתי מספקת.

מהן הפעולות המיידיות שיש לנקוט בעת הגעת מפקח מהרשות להגנת הפרטיות לארגון?

יש לבקש לראות תעודת מפקח וצו (אם קיים), למנות גורם מקשר יחיד מול הרשות, ולפנות מיד לליווי משפטי. יש לשתף פעולה, אך להימנע ממסירת הצהרות או לתת גישה חופשית למאגרים ללא נוכחות עורך דין, כדי להגן על זכויות הארגון, נושאי משרה, ולמנוע הפללה עצמית.

מהם הליקויים הנפוצים שהרשות בודקת בהליכי פיקוח?

בדרך כלל: היעדר מיפוי מאגרי מידע ותהליכי עיבוד, הרשאות וגישה לא מבוקרות, חוסר בנהלי אבטחת מידע, היעדר ניהול ספקים ועיבוד במיקור חוץ, אי מינוי DPO, שמירת מידע עודפת, והיעדר תיעוד והוכחת נאותות.

תוך כמה זמן צריך להגיב לרשות?

המועד נקבע בפנייה הספציפית. ככלל, מומלץ לפעול מיד: לאתר את דרישות הרשות, להעריך פערים, ולהציג תוכנית תיקון עם לו״ז קצר. דחייה או אי־תגובה מגדילים חשיפה לאכיפה מחמירה.

כיצד משפיע תיקון 13 על אכיפה וענישה?

תיקון 13 מייצר כלים חדשים לאכיפה, כולל אימוץ סנקציות כלפי מפרי הדין. הרשות קיבלה סמכויות בחוק להטיל עיצומים כספיים משמעותיים ולהנחות על פרוצדורות תאימות.