top image

הרשות להגנת הפרטיות: פתיחת הליכי פיקוח רוחב 

פיקוח הרשות להגנת הפרטיות על מאגרי מידע ועמידה בדרישות תיקון 13 לחוק הגנת הפרטיות

עדכון דחוף: 14 בדצמבר, 2025

פתיחת הליכי פיקוח על ידי הרשות להגנת הפרטיות היא שלב אכיפה פעיל, המחייב ארגונים להציג ציות בפועל להוראות חוק הגנת הפרטיות ותקנות אבטחת מידע. הליכי הפיקוח נועדו לבחון האם לארגון קיימת מערכת ציות פעילה, מתועדת ויישומית, ולא רק עמידה פורמלית בדרישות החוק. מכתב אזהרה או דרישה מהווה שלב מקדים לקנסות, סנקציות ואחריות אישית לנושאי משרה בארגונים שלא יפעלו לתיקון ליקויים. הימנעות מתגובה מלאה עלולה להוביל לעיצומים כספיים ואחריות נושאי משרה.

 

מערך האכיפה של הרשות להגנת הפרטיות

מערך פיקוח הרוחב של הרשות להגנת הפרטיות, מבצע ביקורת במגזרים שונים, בהתאם לסקר הסיכונים של הרשות. זאת, במטרה לבדוק ציות וקיום הוראות חוק הגנת הפרטיות ותקנותיו על פני מגזרים נבחרים. מערך פיקוח הרוחב פועל באמצעות הפצת שאלוני ביקורת, ניתוחם, דרישות להשלמת מידע בכתב או באמצעות פיקוחי שטח, מתן הנחיות לתיקוני ליקויים פרטניים, הכנת דוחות הכוללים תמונת מצב ומסקנות מגזריות, ופרסום הנחיות כלליות.

ייחודו של מערך פיקוחי הרוחב הינו בהיותו הליך יזום מראשיתו ועד סופו, אשר השפעתו רחבה ותורמת למניעה והגברת חוסנו של המשק הישראלי. אם כי המערך הוקם בשנת 2018, רק בשנת 2024 עיגן המחוקק את פעילות מערך פיקוח הרוחב בחוק הגנת הפרטיות, במסגרת תיקון מס’ 13 לחוק, שאושר בקריאה שניה ושלישית על ידי הכנסת.

דו”חות הביקורת בשנים האחרונות 

בנוסף, בכל שנה מבוצעים באופן מדגמי פיקוחי מעקב על חלק מהגופים בהם נמצאו ליקויים בכדי לוודא את יישום דרישות הרשות לתיקון הליקויים (וראו דו”ח ביקורת רוחב בחברות המספקות שירותים של אחסון ועיבוד מאגרי מידע, נובמבר 2020; דו”ח ביקורת רוחב במגזר העמותות והמגזר השלישי, פברואר 2022; דו”ח ממצאי הליך פיקוח רוחב בקרב רשויות מקומיות, ינואר 2023; דו”ח ממצאי פיקוח רוחב בבתי אבות והוסטלים, מאי 2023; דוח ממצאי הליך פיקוח הרוחב בקרב מוקדים טלפוניים, יוני 2023; דו”ח ממצאי פיקוח רוחב בחברות כוח אדם, ינואר 2025; ועוד.

היקף האכיפה וסמכויות הרשות המורחבות

הליכי הפיקוח שמובילה הרשות להגנת הפרטיות נועדו לבחון באופן שיטתי, מובנה ורוחבי את מידת עמידתם של ארגונים בהוראות חוק הגנת הפרטיות, התקנות וההנחיות הנלוות לו. אין מדובר בביקורת נקודתית או טכנית בלבד, אלא בתהליך פיקוח מקיף, הבוחן את מכלול מערך הציות הארגוני, לרבות מבנה הממשל התאגידי, מדיניות הפרטיות, תהליכי עיבוד מידע, אמצעי אבטחת מידע, ניהול ספקים, מימוש זכויות נשואי מידע והטמעת נהלים בפועל.

מטרת הפיקוח אינה מתמצה באיתור ליקויים פרטניים אצל גוף מסוים, אלא בגיבוש תמונת מצב מגזרית רחבה, המאפשרת לרשות לזהות כשלים רוחביים, דפוסי הפרה חוזרים ופערי יישום מערכתיים, ולגזור מהם מדיניות אכיפה, הנחיות משלימות ומהלכים רגולטוריים עתידיים. בכך מבקשת הרשות לחזק את רמת ההגנה על המידע האישי של הציבור, להגביר את אמון הציבור בגופים המפוקחים, ולהטמיע סטנדרטים מחייבים של ציות ואחריות.

להליכי הפיקוח נלוות השלכות משפטיות, כלכליות וארגוניות כבדות משקל. הרשות להגנת הפרטיות מוסמכת כיום, מכוח החוק והסמכויות שהורחבו בתיקון 13, להטיל עיצומים כספיים משמעותיים, אשר עשויים להגיע להיקפים של מיליוני שקלים, לפתוח בהליכים מנהליים כנגד גופים ונושאי משרה, ולהטיל מגבלות ותנאים לתיקון ליקויים. במקרים של הפרות מהותיות, שיטתיות או מכוונות, רשאית הרשות אף להעביר את הטיפול בתיקים למסלול פלילי, על כל המשתמע מכך מבחינת חשיפה אישית, סנקציות וכתם רגולטורי.

 

חובת שיתוף פעולה

ארגונים הכלולים בפיקוח מחויבים לשיתוף פעולה מלא. הימנעות ממסירת מידע, מסירת מידע חסר או עיכוב במענה עלולים להיחשב כהפרה עצמאית.

נדגיש כי גופים הנכללים בהליכי הפיקוח מחויבים להעמיד לרשות את כל המידע, המסמכים, הנהלים והמערכות הנדרשים לצורך ביצוע הביקורת, ולפעול בהתאם לחובותיהם שבדין.

במציאות רגולטורית זו, היערכות מוקדמת, סדורה ומתועדת להליכי פיקוח אינה בגדר המלצה בלבד, אלא רכיב חיוני בניהול סיכונים ארגוני ואישי, ובהבטחת עמידה מתמשכת בדרישות הדין.

 

ענפים/ ארגונים בהם תתמקד הביקורת (דצמבר 2025):

על פי הודעת הרשות, הפיקוח בשלב זה ממוקד באופן אקטיבי במגזרים הבאים:

  • רשויות מקומיות. הרשויות, כפי שסקרנו פעמים רבות, מחזיקות מאגרי מידע רחבי היקף על תושבים, עובדים וספקים ומפעילות מערכות מידע מורכבות בתחומי חינוך, רווחה, גבייה, תכנון ובנייה, מצלמות, מערכות עיר חכמה ושירותים דיגיטליים.

  • חברות העוסקות בסחר מקוון (אונליין). להערכתנו, אתרי מכירה ומפעילי שירותי תשלום, אשר אוספים ומעבדים מידע אישי, פיננסי והתנהגותי של לקוחות בהיקפים משמעותיים, לעיתים תוך שימוש בשירותי ענן, ספקי סליקה וכלי אנליטיקה.

  • אפליקציות הנמצאות בשימוש נפוץ בקרב הציבור. להערכתנו, אפליקציות הפועלות במודל מבוסס פרסום, העוסקות בניטור התנהגותי, איסוף נתוני מיקום, העדפות משתמשים ומידע רגיש, לעיתים ללא מנגנוני שקיפות, הסכמה או אבטחה מספקים.

  • מכוני סקר גנטי וגופים העוסקים בעיבוד מידע גנטי או ביומטרי, הנחשבים למידע בעל רגישות מיוחדת לפי חוק הגנת הפרטיות, ואשר עיבודו מחייב רמות הגנה, תיעוד ובקרה מחמירות במיוחד.

  • צהרונים ומסגרות חינוכיות משלימות. מסגרות אלו מטפלות במידע על קטינים, לרבות פרטים מזהים, מידע רפואי, רגישויות אישיות, תמונות ותיעוד דיגיטלי, כאשר הדין מחיל עליהן חובות מוגברות של זהירות, צמצום עיבוד ושקיפות כלפי הורים.

הערה מהותית וחשובה: הרשות להגנת הפרטיות מדגישה במפורש כי אין לראות ברשימה זו רשימה סגורה או ממצה. מדובר בגל פיקוח ראשון, אשר נועד לשמש שלב פתיחה בלבד במהלך אכיפה רחב ומתמשך. בהתאם להצהרת הרשות, צפויה הרחבה הדרגתית של היקף הפיקוח למגזרים נוספים, לרבות גופים ציבוריים, חברות טכנולוגיה, ספקי שירותים, גופים פיננסיים וארגונים עתירי מידע נוספים.

משמעות הדברים היא כי גם ארגונים שאינם כלולים בשלב זה במוקד האכיפה, אינם פטורים מהחובות הרגולטוריות. להיפך: פרק הזמן הנוכחי מהווה חלון הזדמנויות קריטי להשלמת תהליכי היערכות, סקרי סיכונים, מיפוי מאגרי מידע, הסדרת נהלים, מינוי ממונה הגנת פרטיות ובניית תיק ציות מבוסס ראיות. היערכות מוקדמת ופרואקטיבית צפויה לצמצם באופן משמעותי חשיפה להליכי אכיפה, קנסות מנהליים, אחריות אישית של נושאי משרה ופגיעה תדמיתית, עם התרחבות פעילות הפיקוח של הרשות בהמשך הדרך.

 

מכתב התראה מהרשות להגנת הפרטיות: מה עושים?

קבלת מכתב התראה מעבירה את הארגון לסטטוס של פיקוח רגולטורי פעיל. מרגע זה, הארגון מצוי תחת מעקב, וכל מענה חסר, תיקון חלקי, עיכוב בלתי מוסבר או היעדר פעולה, עלולים להיחשב כהחמרת ההפרה ולשמש בסיס להסלמה מהירה להליכי אכיפה מנהליים, לרבות הטלת עיצומים כספיים משמעותיים, פרסום פומבי של ממצאי הביקורת ופתיחת הליכים נוספים.

חשוב להדגיש: מכתב ההתראה מהווה שלב ראשון במנגנון אכיפה מדורג, אשר נועד לאפשר לארגון לתקן ליקויים בטרם הפעלת סמכויות האכיפה המחמירות שהוקנו לרשות בתיקון 13. פרשנות שגויה של מכתב ההתראה כ”אין קנס, אין סכנה” עלולה לחשוף את הארגון לסיכון רגולטורי, משפטי ותדמיתי מוגבר בהמשך הדרך.

מניסיוננו, מכתבי ההתראה מתמקדים, בין היתר, בהיעדר מינוי ממונה הגנת פרטיות (DPO) מקום שבו קיימת חובה בדין או צורך מהותי; ליקויים במערך אבטחת המידע והיעדר נהלים יישומיים ומתועדים; פערים ברישום ובניהול מאגרי מידע; מדיניות פרטיות שאינה מעודכנת או שאינה משקפת את פעילות הארגון בפועל; והיעדר הסדרה חוזית של עיבוד מידע עם ספקים ונותני שירותים.

מה עושים?

ההתמודדות הנכונה עם מכתב התראה מחייבת פעולה מיידית, שיטתית ומתועדת. בראש ובראשונה, יש לבצע מיפוי מלא של המידע האישי המצוי בידי הארגון, לרבות סוגי המידע, מטרות העיבוד, המערכות המעורבות, הספקים וההרשאות. במקביל, נדרש למנות גורם מקצועי ייעודי לניהול תחום הפרטיות, בעל ראייה רוחבית ויכולת להוביל תהליכי תיקון והטמעה. יש לעדכן מדיניות פרטיות ומנגנוני הסכמה, להסדיר הסכמי עיבוד מידע עם ספקים, ולהטמיע נהלים והדרכות עובדים בפועל, ולא רק ברמה הצהרתית.

מכתב ההתראה אינו, אפוא, איום תיאורטי אלא נקודת מפנה רגולטורית. זהו חלון זמן מוגבל לפעולה יזומה, אשר עשוי לצמצם באופן משמעותי חשיפה לקנסות, לאחריות אישית של נושאי משרה ולפגיעה תדמיתית. ארגון הבוחר לנצל שלב זה להיערכות מלאה ומקצועית, בליווי משפטי מתאים, משפר באופן ניכר את עמדתו מול הרשות ואת חוסנו הרגולטורי בהמשך הדרך.

 

המלצות להיערכות מיטבית ולהקטנת החשיפה

יישום דרישות החוק המתוקן והיערכות מקדימה לפיקוח מחייבים אנליזה משפטית-טכנולוגית מעמיקה והתאמה פרטנית למבנה ולפעילות הארגונית. להלן עיקרי הנושאים שיש לבחון ולהסדיר באופן מיידי:

  1. מינוי בעלי תפקידים: בחינת חובת מינוי ממונה הגנת פרטיות (DPO) וממונה אבטחת מידע (CISO) בהתאם להנחיות בחוק ובתקנות.

  2. רישום וניהול מאגרי מידע: בחינת חובת רישום מאגר מידע או לחלופין, מסירת הודעה נאותה לרשות בדבר קיום מאגר, בהתאם למדרג הקבוע בדין.

  3. בסיס חוקי לעיבוד: ביסוס ואסדרה של הבסיס החוקי הנדרש לכל פעולת איסוף ועיבוד של מידע אישי על ידי הארגון.

  4. הודעה והסכמה: עדכון והתאמת מדיניות הפרטיות וטפסי ההסכמה של הארגון לדרישות הגילוי וההסכמה המחמירות של החוק המתוקן.

  5. אבטחת מידע: סיווג רמת האבטחה של מאגרי המידע ועמידה קפדנית בהוראות אבטחת המידע החלות על כל רמת סיווג.

  6. נהלים פנימיים: הכנת ואכיפת נהלים פנימיים מחייבים, לרבות נוהל אבטחת מידע, נוהל ניהול אירוע אבטחת מידע, ומסמכי הגדרות מאגר.

  7. ניהול קשרי ספקים: מיפוי הספקים והמערכות המעבדים מידע אישי והסדרת חוזים מחייבים לעיבוד מידע (Data Processing Agreements – DPA) מולם.

  8. העברות מידע בין-לאומיות: בחינה וקביעת מנגנוני העברה חוקיים להעברת מידע אישי מחוץ לגבולות ישראל.

  9. זכויות נשואי מידע: כינון מנגנונים אפקטיביים להסדרת אופן מימוש זכויות נשואי המידע, ובפרט זכות העיון והתיקון, בהתאם להוראות הדין.

קישור ישיר להודעת הרשות מיום 10/12/2024, כאן.

 

ליווי משפטי והיערכות רגולטורית לאכיפה בתחום הגנת הפרטיות

למשרד עו”ד וולר ושות’ ניסיון מצטבר ורב־שנים בליווי גופים ציבוריים ופרטיים בהתמודדות עם רגולציה מורכבת ודינמית בתחום הגנת הפרטיות. יתרונו של המשרד הוא בשילוב הדוק בין ידע משפטי מעמיק, הבנה רגולטורית עדכנית, ניסיון ניהולי והיכרות מעשית עם דרישות האכיפה של הרשות להגנת הפרטיות ומערך הסייבר הלאומי.

המשרד מלווה ארגונים לאורך כל מחזור ההיערכות הרגולטורית: ביצוע סקרי ציות מקיפים, מיפוי מלא ורישום מאגרי המידע, תהליכי העיבוד וממשקי הספקים, ואיתור פערים משפטיים, תפעוליים וטכנולוגיים העלולים לחשוף את הארגון לסנקציות. תהליך הליווי כולל ניתוח עומק של חובות הדין החלות על הארגון, התאמת מבנה הממשל התאגידי לדרישות החוק, והטמעה בפועל של נהלים, מנגנוני בקרה ותיעוד רגולטורי. בנוסף, המשרד מעניק ליווי משפטי צמוד בהליכי הבדיקה והפיקוח של הרשות להגנת הפרטיות, משרד מבקר המדינה והביקורת הפנימית, ומסייע במתן מענה משפטי ומקצועי לליקויים, ככל שנתגלו.

עורכי הדין במשרד משמשים בפועל כממוני הגנת פרטיות חיצוני (DPO) עבור ארגונים וגופים ציבוריים, תוך מילוי עצמאי של חובות הפיקוח, הייעוץ, הדיווח והבקרה הנדרשות בדין.

משרד וולר ושות’ מלווה גופים ציבוריים, רשויות מקומיות וארגונים עתירי מידע בהתמודדות עם הליכי פיקוח ואכיפה של הרשות להגנת הפרטיות, לרבות תגובות לפניות, תוכניות תיקון וייצוג מול הרגולטור.

שאלות ותשובות נפוצות - הליכי פיקוח (תיקון 13)

מה המשמעות של “הליכי פיקוח רוחב” של הרשות להגנת הפרטיות?

בדיקת ציות רוחבית ומדגמית במגזר/תחום מסוים, שמטרתה לאתר ליקויים מערכתיים בהגנת פרטיות ואבטחת מידע. זהו שלב אכיפה בפועל: איסוף נתונים, דרישת מסמכים ובחינת נהלים, לעיתים לפני נקיטת סנקציות.

מה נדרש לעשות מיד עם קבלת פנייה או דרישה מהרשות?

לרכז תיעוד ומסמכים רלוונטיים, לבצע בדיקת פערים מהירה, ולגבש תוכנית תיקון מדידה עם מועדים, אחראים וראיות ביצוע. תגובה כללית ללא תשתית ראייתית עלולה להיחשב כתגובה בלתי מספקת.

מהם הליקויים הנפוצים שהרשות בודקת בהליכי פיקוח?

בדרך כלל: היעדר מיפוי מאגרי מידע ותהליכי עיבוד, הרשאות וגישה לא מבוקרות, חוסר בנהלי אבטחת מידע, היעדר ניהול ספקים ועיבוד במיקור חוץ, אי מינוי DPO, שמירת מידע עודפת, והיעדר תיעוד והוכחת נאותות.

תוך כמה זמן צריך להגיב לרשות?

המועד נקבע בפנייה הספציפית. ככלל, מומלץ לפעול מיד: לאתר את דרישות הרשות, להעריך פערים, ולהציג תוכנית תיקון עם לו״ז קצר. דחייה או אי־תגובה מגדילים חשיפה לאכיפה מחמירה.

 

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם ביום: 29/12/2025.

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign