DPO הוא ממונה הגנת פרטיות בארגון: תפקיד שנולד מתוך הצורך להבטיח את ההגנה על פרטיות המידע של לקוחות, עובדים, ספקים ושותפים עסקיים של הארגון, עמידה בהוראות הדין הישראלי וברגולציות בינלאומיות (דוגמת ה-GDPR). תיקון מס’ 13 לחוק הגנת הפרטיות חייב גופים ציבוריים, בארגונים שעיסוקם העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, ובארגונים שפעילותם כרוכה במעקב או התחקות שיטתית אחר אנשים בהיקף ניכר, במינוי DPO.
אלא שלאחר מינויו הרשמי של ה-DPO בארגון, ולאחר הסדרת תפקידו, סמכויותיו והמשאבים העומדים לרשותו, על ה-DPO לקבוע את תוכניות העבודה השנתיות. יצירת תוכנית עבודה שנתית מובנית לתחום הגנת הפרטיות ואבטחת המידע מהווה בסיס להבטחת ציות אפקטיבי לדין, בניהול הסיכונים הארגוניים ובהטמעת תרבות פרטיות בארגון. איך מכינים תוכנית עבודה ל-DPO?
מהם תפקידיו של ה- DPO?
ראשית, כמה מילים נוספות על ממונה הגנת הפרטיות בארגון. תפקידו המרכזי של ה- DPO הוא לוודא כי הארגון עומד בדרישות הרגולציה בתחום הגנת הפרטיות, ולסייע ביישום דרישות דיני הגנת הפרטיות. ה-DPO משמש כסמכות מקצועית ומוקד ידע בתחום הגנת הפרטיות בארגון. באופן ממוקד, במסגרת תפקידו כלולים התחומים שלהלן:
- ייעוץ לדירקטוריון, להנהלה הבכירה ולעובדים בנושאים הקשורים להגנת הפרטיות.
- מיפוי מאגרי המידע בארגון.
- כתיבת תיק נהלי אבטחת מידע ופיקוח על נהלי אבטחת מידע. ה-DPO מוודא קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר, שיובאו לאישור הנהלת הארגון.
- תסקיר השפעת פרטיות (DPIA).
- הכנת תוכניות בקרה: ה-DPO אחראי להכין תוכנית לבקרה שוטפת על העמידה בהוראות חוק הגנת הפרטיות.
- גיבוש מדיניות פרטיות.
- הכנת תוכנית הדרכות וסדנאות למודעות עובדים, ולפקח על ביצוען.
- איש קשר לרשות להגנת הפרטיות.
- הכנת דו”חות שוטפים ודיווח על אירועים חמורים.
- טיפול בפניות של נושאי מידע: ה-DPO מטפל בפניות של נושאי מידע, ובכלל זה בקשות לעיון במידע או לתיקונו.
מה המשמעות של אי-מינוי DPO?
ארגון שלא מילא את החובות ביחס למינוי ה- DPO, יהיה חשוף לסנקציות משפטיות, מנהליות, כלכליות ואף פליליות. תיקון 13 העניק לרשות סמכות להטיל עיצומים כספיים משמעותיים על גופים שלא ממנים DPO כנדרש או שפעולתם נוגדת את הוראות החוק. גובה הקנס נגזר מהיקף ההפרה, מהות המידע המעובד, סוג/ גודל הארגון, ומספר הנפגעים הפוטנציאליים. הרשות להגנת הפרטיות רשאית להורות לארגון על הפסקת ההפרה ועל הדרך לתקנה, להטיל עיצום כספי על הארגון (גובה העיצום יקבע לפי גודל וסוג המאגר), לבקש מבית המשפט להוציא צו להפסקת פעולות עיבוד המידע, ועוד. מלבד זאת, אי מינוי DPO כדין עשוי להוות עילה לתביעה בגין עוולה נזיקית ו/או בסיס לתובענה ייצוגית.
חשיבות תוכנית עבודה שנתית ל- DPO
עמידה בדרישות הדין ומזעור חשיפה משפטית
תוכנית עבודה מקצועית בתחום הגנת המידע מבססת את תשתית הציות הרגולטורית של הארגון, באופן שיטתי ומגובה ראיות. בהתאם לדין הישראלי, עיבוד מידע אישי כפוף לשורה של הוראות נורמטיביות ובראשן: חוק הגנת הפרטיות, התשמ”א-1981, המחייב רישום מאגרי מידע, הגבלת מטרות עיבוד, שמירה על סודיות ויישום אמצעי אבטחה; תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, הקובעות רמות אבטחה (בסיסית, בינונית, גבוהה), חובת מיפוי, ניתוח סיכונים, ניהול הרשאות, קיום לוגים, וביצוע מבדקי חדירות; וכן תיקון מס’ 13 לחוק, שייכנס לתוקף ביום 15/8/2025. לצד אלה, סמכויות פיקוח מרחיבות לרשות להגנת הפרטיות, וחובות דיווח חדשות.
תוכנית העבודה מספקת מסגרת לביצוע מיפוי של מאגרים, עריכת DPA, בקרת ספקים (Vendor Privacy Compliance), ניהול אירועים ודיווח לרשות. בכך היא משמשת ככלי קריטי לארגון לצמצום חשיפה לתביעות אזרחיות (לרבות ייצוגיות).
ניהול סיכונים והגנה על נכסי מידע אסטרטגיים
מידע אישי אינו רק משאב רגולטורי אלא נכס עסקי רגיש. לעיתים קרובות הוא מהווה את התשתית לפעילות הליבה של הארגון. כשל באבטחת מידע עלול להוביל לא רק לפגיעה בזכויות נושאי המידע אלא גם לפגיעה משמעותית בארגון עצמו – בדמות אובדן מידע, השבתת מערכות, תביעות נזיקיות, התקפות כופר (Ransomware), חשיפת קניין רוחני, אירוע ביטוחי, ונזקים תדמיתיים חמורים.
תוכנית עבודה מספקת מענה כולל לסיכונים אלה, באמצעות יישום מתודולוגיה שיטתית של ניהול סיכונים (Risk Management), הכוללת זיהוי נכסים, מיפוי איומים, הערכת סבירות ונזק, תעדוף תגובות והקצאת בקרות מתאימות (כגון הצפנה, בקרת גישה, גיבויים, אימות רב-שלבי, זיהוי אנומליות ועוד). כמו כן, התוכנית כוללת תרחישי תגובה לאירועים ותרגול תקופתי כהכנה למקרי אמת, שבהם נדרשת תגובה מיידית, מתועדת, ולעיתים גם מתואמת מול רגולטור.
קביעת סדרי עדיפויות, סדרי קדימויות ולוחות זמנים
תכנית העבודה השנתית בתחום הגנת הפרטיות, המשמשת כבסיס לתכנון אבני הדרך, קביעת לוחות הזמנים והגדרת התקציב השנתי, הינה מסמך מסכם ומחייב הנגזר מהליך מובנה ומאושר על ידי הגורמים המוסמכים בארגון. הצעת התכנית, כפי שתוגש על ידי ממונה הגנת הפרטיות (DPO), נועדה לאפשר קביעת סדרי עדיפויות לטיפול בכלל ההיבטים הקשורים לפרטיות ולאבטחת המידע בארגון, וזאת באופן שיטתי, מדורג ומתועד.
באופן מיטבי, הצעת ה-DPO לתוכנית עבודה תועבר לאישור מנכ”ל הארגון, ועדת ההיגוי בתחום הפרטיות, ועדת משנה של הדירקטוריון או מפקח, אשר ידונו בהצעה ויהיו רשאיים להנחות בדבר שינויים נדרשים, להוסיף דגשים או נושאים נוספים לטיפול, ואף לשנות את סדרי הקדימויות או את לוחות הזמנים שנקבעו.
למותר לציין כי עם אישור תוכנית העבודה, על ה-DPO לפעול בהתאם לתכנית העבודה המאושרת, תוך הקפדה על סדרי העדיפויות, המשימות ולוחות הזמנים שהוגדרו, ובהיקף השעות/ כח האדם והמשאבים שהוקצו לכל אחד מנושאי הטיפול.
יצירה והתאמה של משאבים
לאחר עיון במסמכי התשתית, מערכות מידע, ראיונות ואבחון ראשוני, ולאחר ביצוע סקר ציות (Privacy Compliance Survey), תוכנית עבודה שנתית מאפשרת לארגון להעמיד וליצור משאבים כספיים וארגוניים קבועים בתחום הגנת הפרטיות.
עיגון תרבות פרטיות ארגונית וחיזוק ממשל תאגידי
ביסוס של “תרבות פרטיות” (Privacy Culture) בארגון מחייב מעבר מהתנהלות תגובתית, להתנהלות יזומה, פרו-אקטיבית ושיטתית. תוכנית עבודה שנתית מאפשרת לארגון להטמיע את נושא ההגנה על מידע אישי בכל שכבות הארגון. זאת, החל מהדרכת עובדים שוטפת (באחריות מחלקת כח האדם בארגון), עובר בקורסים ייעודיים ובהכשרות לצוותי טכנולוגיה וליועצים משפטיים, ועד סדנאות להנהלה הבכירה ולדירקטוריון.
במקביל, התוכנית מעגנת שקיפות ואחריותיות באמצעות דיווחים רבעוניים, שימוש במדדים כמותיים (KPI), והצגת סטטוס ביצוע של משימות קריטיות. במקרה של חריגה מן תכנית העבודה או מן ההיקף שאושרו, באחריות ה-DPO לדווח על כך ללא דיחוי לגורמים המוסמכים, בצירוף נימוקים והצעת דרכי פעולה לתיקון או התאמה.
הטמעת עקרונות “Privacy by Design” ובקרה טכנולוגית מתקדמת
תוכנית עבודה אפקטיבית מהווה פלטפורמה ליישום עקרונות המתקדמים ביותר בתחום, ובראשם עקרון “פרטיות בעיצוב” (Privacy by Design). במסגרת זו, פרטיות אינה נבחנת רק בדיעבד, אלא נלקחת בחשבון כבר בתהליך התכנון של מוצרים, שירותים, מערכות מידע ואפליקציות. הדבר כולל הגדרת מטרות עיבוד כבר בשלב האפיון, צמצום איסוף נתונים מיותר (Data Minimization), הפרדת תשתיות רגישות, ושימוש באמצעי בקרה אוטומטיים.
תמיכה בצמיחה עסקית ובניית אמון ציבורי
בעולם תחרותי ודיגיטלי, שמירה על פרטיות אינה רק חובה – אלא יתרון תחרותי מהותי. ארגונים בעלי תשתית פרטיות ואבטחת מידע יציבה נהנים מגישה לשווקים גלובליים, יכולים להתקשר עם לקוחות גדולים הדורשים תאימות לתקנים מחמירים, ואף להציע פתרונות חדשניים תוך שמירה על אמון הלקוחות. תוכנית העבודה מאפשרת לארגון לשלב את נושא הגנת המידע באסטרטגיה העסקית – כמסייעת להרחבת קווי מוצרים, שיתופי פעולה, ועמידה במכרזים רגישים. בכך, היא מחזקת את אמון הציבור, הלקוחות, העובדים, והמשקיעים, ותורמת באופן מובהק ליציבות, לרווחיות, ולהישרדות ארגונית.
מפת דרכים להכנת תוכנית עבודה בתחום הגנת הפרטיות
חריגה מתוכנית העבודה
תכנית עבודה שנתית נועדה לשמש מסגרת מחייבת לניהול פרויקטים ותהליכים בארגון. היא מגדירה יעדים, לוחות זמנים, אבני דרך ומשאבים נדרשים. חריגה מתכנית עבודה מתרחשת כאשר קיימת אי־התאמה בין התכנון המקורי לבין הביצוע בפועל. אי ההתאמה יכולה להיות תוצאה של שינויים בלוחות הזמנים; שינויים בפעולות ובמשימות; שינויים בתקציב או במשאבים שהוקצו; שינויים בסדרי קדימויות של הנהלת הארגון; אירועים בלתי צפויים (אירועי אבטחת מידע/ סייבר, אירועי פגיעה בפרטיות, ביקורות פנימיות או חיצוניות); או חריגת איכות (פער בין רמת התוצרים בפועל לבין הסטנדרטים או הדרישות שנקבעו בתכנית).
משמעויות חריגה מתוכניות העבודה
חריגה מן התכנון המקורי עלולה לפגוע ביכולת הבקרה של הגורמים המוסמכים בארגון, ולהקשות על קבלת החלטות מושכלות המבוססות על נתונים מדויקים. מעבר לכך, חריגה עשויה ליצור חשיפה משפטית של הארגון, במיוחד במקרים בהם אי העמידה בתכנית גוררת הפרה של התחייבויות חוזיות או של הוראות רגולטוריות מחייבות. לכך נלוות גם השלכות כלכליות משמעותיות, שכן חריגה מן התכנית עלולה להכביד על תקציב הארגון וליצור התחייבויות כספיות בלתי מתוכננות.
התמודדות עם חריגה מתוכניות העבודה
כדי להתמודד עם סיכונים אלו, נדרשים מנגנונים סדורים וברורים. בראש ובראשונה, קיימת חשיבות לדיווח שקוף וברור על כל חריגה צפויה, או חריגה בפועל, לגורמים המוסמכים, על מנת שניתן יהיה לתקן ב”זמן אמת”. לצד הדיווח, יש לבצע בחינת חלופות מעשית, דוגמת תיקון לוחות זמנים, הסטת משאבים או שינוי בסדרי הקדימויות. הנהלת הארגון, ועדת ההיגוי או המפקח שמונה לנושא מוסמכים, לרוב, להורות על שינויים, להוסיף דגשים ונושאים לטיפול או להורות על שינוי במשאבים, בסדרי קדימויות ובזמנים לטיפול שנקבעו. לאחר קבלת ההוראות, יש לפעול בהתאם לתוכנית המאושרת, בהתאם ללוחות הזמנים שנקבעו בה, ובהיקף השעות שנקבע בה לנושאי הטיפול השונים, ולהמשיך לדווח ללא דיחוי על כל חריגה צפויה, ככל שעשויה לקרות.
לבסוף, נדרש מנגנון של מעקב ובקרה רציפים, הכולל תיעוד שיטתי של כל חריגה, הפקת לקחים והטמעתם במערך התכנון העתידי, כך שהארגון ילמד מהתהליך וימנע הישנות של כשלים דומים בעתיד.
המסגרת לניהול פרטיות
מדיניות, נהלים ומסמכים מחייבים
יישום אפקטיבי של חובות הגנת הפרטיות ואבטחת המידע בארגון מחייב גיבוש מערך נהלים ומסמכים פנים-ארגוני, תכליתי ועדכני, המשקף את דרישות החוק, התקנות והפסיקה, את דרישות הביטוח ואת מיטב הפרקטיקה המקצועית. נהלים ומסמכים אלו חיוניים לצורך הוכחת עמידה ברגולציה, ביסוס אחריות ניהולית, תגובה לאירועים, תכנון תהליכי עיבוד עתידיים, והקטנת החשיפה המשפטית של הארגון ושל העומדים בראשו. להלן פירוט חלק מהמסמכים ההכרחיים, אשר נדרשים להיכלל במערך המדיניות והנהלים הארגוני, בהתאם להוראות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), תיקון 13 לחוק, והנחיות רהשות להגנת הפרטיות:
1. מדיניות פרטיות ארגונית
מדיניות פרטיות כללית מהווה את המסמך העליון במדרג מדיניות הגנת המידע בארגון. מדובר במסמך המאושר ברמת הנהלה בכירה, המבטא את מחויבות הארגון לעקרונות המשפטיים החלים עליו, ואת עקרונות “Privacy by Design”. מדיניות זו חלה על כלל היחידות הארגוניות, ועל נותני שירות חיצוניים (מיקור חוץ). היא כוללת הסבר לעובדים באשר לחובותיהם, והצגה פומבית של התחייבות הארגון כלפי נושאי המידע (לקוחות, משתמשים, ספקים, מועמדים לעבודה וכדומה).
בין היתר, המדיניות מפרטת את מטרות העיבוד, סוגי המידע הנאסף, הבסיס החוקי לעיבוד (כגון הסכמה, חובה חוקית, אינטרס לגיטימי), פרקי הזמן לשמירה, זכות העיון והתיקון, רשימת מקבלי מידע צד ג’, והפניה לערוצים למימוש זכויות.
2. נוהל דיווח וטיפול באירועי אבטחת מידע (Security Incident Response Procedure)
נוהל זה נועד להבטיח תגובה מהירה, מדורגת ומתועדת לכל חשד לאירוע אבטחת מידע, לרבות דליפת מידע, גישה בלתי מורשית, אובדן נתונים, פריצה למערכות, או מתקפת כופר.
הנוהל קובע סיווג חומרה, והנחיות מפורטות לשרשרת הדיווח הפנימית החל מהעובד המדווח, דרך מנהל המחלקה, ועד ל-CISO, ה-DPO ולמנכ”ל.
בהתאם להנחיית הרשות להגנת הפרטיות מס’ 1/2022, יש לדווח לרשות תוך 72 שעות באירוע חמור – קרי, אירוע העשוי לגרום לפגיעה של ממש בזכות לפרטיות של נושאי המידע. הנוהל גם מגדיר את תהליך התחקור הפנימי ואת חובת התיעוד.
3. נוהל מימוש זכויות נושאי מידע
סעיפים 13–14 לחוק הגנת הפרטיות מעגנים את זכויותיו של נושא המידע לעיין, לתקן ולהתנגד לעיבוד. בהתאם לכך, על הארגון לגבש נהלי עבודה ותהליכים פורמליים, המגדירים את מנגנון קבלת הבקשה, אימות זהות הפונה, הנחיות לעיבוד פנימי (לרבות שיתוף עם יועץ משפטי), ומתן מענה במועד הקבוע בדין.
הנוהל מפרט גם את סוגי התשובות האפשריות, מצבים בהם ניתן לסרב לבקשה (למשל, במקרה של פגיעה בזכויות צד ג’), ומדיניות רישום כל הבקשות לצרכי ביקורת.
4. מדיניות שימור ומחיקת מידע
על פי עקרונות דיני הפרטיות, יש לשמור מידע באופן מצומצם ותכליתי, ורק כל עוד הדבר נדרש לצורך מטרת העיבוד המקורית. המדיניות מתארת את פרקי הזמן המאושרים לכל סוג מידע, ובכלל זה קבצי לקוחות, רשומות רפואיות, תלושי שכר, נתוני נוכחות, קורות חיים, צילומי תעודות זהות, מסמכי התקשרות וכיוצ”ב.
המדיניות כוללת טבלת שימור (Retention Table), המלצות טכנולוגיות למחיקה מבוקרת, והבחנה בין מידע חיוני עסקית, לבין מידע שניתן לאנונימיזציה.
5. נוהל אבטחת מידע טכנולוגית
נוהל אבטחת המידע קובע את החובות החלות על כלל עובדי הארגון ומנהליו בכל הנוגע לשימוש במערכות מידע, גישה לקבצים, שמירת סיסמאות, התחברות מרחוק, עבודה עם התקנים ניידים, והגנה על מידע המוזן למערכות ERP/CRM.
הנוהל נדרש בהתאם לתקנות אבטחת המידע (2017) וכולל התייחסות לאמצעים כגון Multi-Factor Authentication, מנגנוני הצפנה (Encrypt at Rest & Transit), הפרדת רשתות (Network Segmentation), ומדיניות Backup & Recovery.
6. הערכת השפעה על פרטיות
הערכת השפעה על פרטיות (DPIA – Data Protection Impact Assessment) נדרשת לפי סעיף 13ד לחוק ותיקון 13, עבור כל מערכת חדשה או שינוי מהותי בתהליך עיבוד קיים, אשר טומן בחובו סיכון גבוה לפרטיות נושאי המידע.
הטופס כולל שאלות מתודולוגיות: תיאור המערכת, הצדקה לעיבוד, סוגי מידע, אמצעי אבטחה קיימים, ניתוח סיכונים, תוצאה צפויה של הפגיעה האפשרית, ופעולות מתוכננות להפחתת הסיכון. הטופס נחתם על ידי DPO ומוצג להנהלה כחלק מהליכי האישור הפרויקטלי. להרחבה בנושא ה-DPIA, ראו מאמר נפרד.
7. גיליון מיפוי מידע ותהליכים
מדובר בכלי עבודה דינמי, המשמש לתיעוד שיטתי של כלל המאגרים, מערכות המידע, תהליכי העיבוד, בעלי הרשאות, העברות מידע לצדדים שלישיים, ושימוש בענן.
גיליון זה נדרש לצורך עמידה בדרישת התיעוד שבסעיף 8 לחוק, משמש בסיס ל-DPIA, לניהול סיכונים, לביקורת פנימית וחיצונית, ולבניית מדדי ציות (KPIs). המבנה המקובל כולל שדות כגון: שם המערכת, סוג המידע, מיקום אחסון, קהל יעד, משך שמירה, הבסיס החוקי לעיבוד, וזהות הספק.
8. אישור רישום מאגרי מידע
על אף העובדה שתיקון 13 הפחית מהחובה לרשום מאגרי מידע, הוא לא ביטל את החובה. גופים ציבוריים, כמו גם ארגונים רבים ועודם מחוייבים לכך. האישור מאת הרשם מהווה אסמכתה לעצם הרישום, ולפרטיו: שם בעל המאגר, מטרות, סוגי מידע, מי מורשה לגשת למידע, ועוד. מסמך זה נדרש לצרכי בקרה רגולטורית, ניהול ביקורות פנים, התקשרויות חוזיות, והגנה משפטית בפני טענות לא חוקיות עיבוד.
מדדים להצלחה (KPIs) תוכנית העבודה של ה-DPO
| מדד | יעד |
|---|---|
| שיעור מאגרי המידע המתועדים והמסווגים של הארגון | 100% |
| שיעור ספקים החתומים על DPA | לפחות 80% |
| שיעור עובדים שהודרכו | 95% ומעלה |
| מענה לפניות נושאי מידע | עד 21 ימי עסקים |
| אירועים חמורים שלא דווחו בזמן | 0 |
לסיכום: למה כל ארגון חייב תוכנית עבודה בתחום הגנת הפרטיות?
המידע האישי הפך בעשור האחרון לנכס הארגוני הרגיש והחשוב ביותר. עסקים, מוסדות ציבוריים ומלכ”רים – כולם מעבדים מידע אישי כחלק משגרת פעילותם. אך יחד עם האפשרויות שמביאה הדיגיטליזציה, מגיעים גם סיכונים: פרצות אבטחה, תביעות ייצוגיות, קנסות רגולטוריים, ונזק תדמיתי שעלול להימשך שנים. כאן נכנסת לתמונה תוכנית העבודה השנתית של ממונה הגנת הפרטיות (DPO) – כלי חיוני להתנהלות אחראית, מקצועית וצופה פני עתיד.
משרד עו”ד מומחה להגנת הפרטיות
משרד עורכי הדין וולר ושות’ הוא אחד מהמשרדים הוותיקים והמובילים בישראל, עם ניסיון של למעלה מ-50 שנה במתן ייעוץ משפטי ברמה הגבוהה ביותר. עו”ד רועי וולר (M.A, LL.B) הוא ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים. עו”ד וולר כיהן כמנכ”ל רשות מקומית, וכקצין (מיל.) ביחידה 8200, ומביא עמו ניסיון ניהולי ומקצועי עשיר.
