top image

מינוי DPO לפי תיקון 13: מי חייב, איך ממנים, ומה הסיכון באי-מינוי

תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות מחייב גופים רבים למנות ממונה הגנת הפרטיות (Data Protection Officer – DPO). החובה חלה בעיקר על גופים ציבוריים (משרדי ממשלה, רשויות מקומיות, גופים סטטוטוריים); על מי שאוספים ומוסרים מידע אישי בהיקפים גדולים; על מי שמבצעים ניטור שיטתי של אנשים; ועל מי שמעבדים מידע “בעל רגישות מיוחדת” בהיקף ניכר (כגון בנקים, מבטחים, בתי חולים, קופות חולים, מלכ”רים וכו’). מינוי DPO הוא לא עוד “וי” רגולטורי: הוא מנגנון פיקוח עצמאי שמפחית סיכונים לעיצומים, תביעות ונזקי מוניטין, ובעיקר מגן על ההנהלה.

מה זה DPO?

DPO -ממונה הגנת הפרטיות – הוא “רגולטור פנימי” המפקח על עיבוד מידע אישי בארגון: בקרה על עמידה בדין, DPIA, ניהול בקשות נושאי מידע, בקרה על ספקים, הדרכות ותיעוד. הוא עצמאי, בלתי תלוי, ומדווח ישירות להנהלה. מינויו מחויב לפי תיקון 13 לחוק הגנת הפרטיות, התשמ”א-1981, בסוגי הגופים המנויים בחוק. בשונה מההמלצה הכללית שהייתה קיימת בעבר (Best Practice) , עתה מדובר בהוראת דין מחייבת.

למה זה חשוב למנכ״ל?

בעבר, מנהל המאגר היה “מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה”. במילים אחרות, מנהלי מאגרי מידע – מנהלי מחלקות, אגפים או עובדים, כל אחד בתחום סמכותו. אלא שתיקון 13 לחוק הגנת הפרטיות קבע כי “בעל שליטה במאגר מידע” (מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר) ו-“ומחזיק במאגר מידע” (גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע, דוגמת ספקים) – כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

במילים אחרות: DPO אפקטיבי מצמצם חשיפה לעיצומים ולתביעות, משפר מוכנות לאירועי אבטחת מידע, ומוכיח “שליטה ותיעוד” מול הרגולטור והציבור. מינוי לא תקין, או מינוי על הנייר בלבד, עלול להיחשב כהיעדר מינוי ולהוביל לסנקציות חמורות.

המהפכה הרגולטורית שבתיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות הנו המענה שנתן המחוקק לאתגרי העידן הדיגיטלי, קפיצות דרך טכנולוגיות, עיבוד מידע חוצה גבולות, שירותי ענן גלובליים, מערכות ניתוח נתונים אוטומטיות, AI, ורגולציה אירופאית (GDPR), ועל ההבנה כי “המידע הוא הזהב החדש”. נוכח מגמות אלו, נדרש עדכון משמעותי לחוק הגנת הפרטיות הוותיק, שנחקק אי אז בשנת 1981. במסגרת זו, מבקש התיקון להחיל סטנדרטים חדשים של זכויות הפרט על פרטיותו וזכויותיו, דרישות לשקיפות, אבטחת מידע, מניעת ניגוד עניינים, במקביל למתן “שיניים” לרשות להגנת הפרטיות כרגולטור אקטיבי, בעל סמכויות פיקוח, אכיפה והטלת עיצומים.

מי חייב במינוי DPO?

סעיף 17ב1(א) קובע את רשימת הגופים החייבים במינוי DPO:

(1) “בעל שליטה במאגר מידע שהוא גוף ציבורי…”. היינו, משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין.
(2) בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם;
(3) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר…
(4) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר תאגיד בנקאי, מבטח כהגדרתו בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ”א-1981, בית חולים כללי, קופת חולים.”

תפקידי וכישורי ה-DPO

מעבר להוראות שבחוק בדברי כישורי ה-DPO, מעמדו, תפקידו, תנאי הסף וכיוצ”ב, פרסמה הרשות להגנת הפרטיות בחודש יולי 2025, טיוטת גילוי דעת לעיון הציבור (כאן). הרשות מבהירה כי הממונה על הגנת הפרטיות הנו תפקיד סטטוטורי מהותי, בעל אחריות ישירה, המחייב עצמאות מקצועית מלאה, גישה בלתי אמצעית אל כלל מקורות המידע הארגוניים, ושיקול דעת עצמאי לחלוטין.

לפי הרשות, תפקידו של ה־DPO הוא “רגולטור פנימי”, הפועל על פי החוק והתקנות, מוודא עמידה מלאה בדרישות הדין, מוביל ביצוע סקרי סיכונים, תסקירי DPIA , פיקוח על עיבוד מידע רגיש, גיבוש מדיניות פרטיות ארגונית, ובחינת עמידת הארגון בחובותיו כלפי נושאי המידע, תוכניות עבודה שנתיות, בקרה על ספקים, מענה לפניות נושאי מידע, חינוך והדרכה של עובדים, מעקב אחר שינויים בחקיקה והגשת דוחות תקופתיים לרשות.

DPO אפקטיבי חייב להיות מעורב בתהליכים בזמן אמת, ולא בדיעבד. עליו להיות מוזמן לדיונים הנוגעים לפיתוח מערכות חדשות, התקשרויות עם צדדים שלישיים, ניתוח פרויקטים טכנולוגיים, ולפעול מתוך הבנה מערכתית רחבה. בהקשר זה, יש להבטיח כי כל שינוי מהותי בתהליכי עיבוד המידע יעבור תחת עינו הבוחנת של ה־DPO תוך ביצוע בדיקות סף והערכת סיכונים מקדימה.

ניגוד עניינים וכשירות – מי לא יכול להיות DPO

סוגיה מהותית נוספת שזוכה להבהרה בתיקון 13, ובהנחיות הרשות להגנת הפרטיות, היא שאלת ניגוד העניינים. ה-DPO חייב להיות בלתי תלוי. תפקידים ניהוליים שלגביהם קיימת אחריות ישירה על התהליכים המפוקחים – מנכ״ל, יועמ״ש פנימי, סמנכ״ל משאבי אנוש, מנהל מערכות מידע (CIO/CTO), מנהל כספים- אינם כשירים לכהן כ-DPO. לא ניתן להפקיד בידי אדם תפקיד פיקוח עצמאי על תהליכים אשר נמצאים תחת אחריותו הישירה. מינוי שכזה מהווה ליקוי מבני המונע ביצוע אפקטיבי של חובות הפיקוח והבקרה. הרשות מבהירה כי כל חשש לקיומו של ניגוד עניינים, יוביל לפסילת המינוי.

משכך: ארגונים שאינם מסוגלים למנות ממונה פנימי העונה על דרישות החוק (בשל היעדר כשירות של עובד פנימי, או חשש לניגוד עניינים), נדרשים למנות DPO במיקור חוץ. קרי, עורך דין או מומחה בתחום, הפועל במסגרת הסכם שירות עצמאי, וזוכה לסמכויות פיקוח מלאות ובלתי תלויות.

DPO פנימי מול חיצוני – יתרונות וחסרונות

החוק מאפשר לארגון לבחור בין מינוי פנימי של עובד לבין התקשרות עם נותן שירות חיצוני. משרדנו ממליץ על בחינה קונקרטית של המבנה הארגוני, רמת הסיכון, היקף עיבוד המידע והיכולת להעניק סמכויות פיקוח אפקטיביות. אף שהפתרון הפנימי עדיף ברמה התיאורטית – בהיבטי היכרות עם התרבות הארגונית וזמינות תפעולית – אין בכך כדי לגרוע מכשירותו של ממונה חיצוני, ובלבד שההתקשרות נעשית לפי כללי הדין, ומעניקה לו שיקול דעת עצמאי, נגישות מלאה, ומשאבים מספקים.
כמובן, לא ניתן למנות תאגיד או חברה כ־DPO . המינוי חייב להיעשות ליחיד (אדם טבעי) בלבד, גם אם ההתקשרות נעשית דרך חברה המספקת את השירותים. לשם כך נדרש הסכם מפורט הכולל היקף שעות, אחריות מקצועית, מנגנוני עדכון, ואיסור על ניגוד עניינים.

אי מינוי או מינוי לא אפקטיבי – עילות לאכיפה והטלת סנקציות

מוסד ה־DPO נתפס, בצדק, כקו ההגנה הראשון של הארגון מפני חשיפה משפטית. במקרה של אי-מינוי DPO, מינוי “על הנייר”, DPO תלוי, בלתי כשיר, או אם לא ניתנו לו סמכויות – הארגון צפוי להיחשף לשורת סנקציות חמורות, לרבות עיצומים כספיים בגין הפרת חובת מינוי, אי ביצוע חובות פיקוח, עיבוד מידע לא חוקי, וכן עילות לתביעות אזרחיות, לרבות תובענות ייצוגיות ופיצויים ללא הוכחת נזק. ברגולציית הפרטיות, “כוונת ציות” לא מספיקה: נדרש פיקוח אפקטיבי, מתועד ובעל סמכות.

צ’ק-ליסט מינוי אפקטיבי (לביצוע מיידי)

1. קביעה אם קיימת חובה חוקית (לפי פעילות, היקפים ורגישות)

השלב הראשון והבסיסי הוא בחינת תחולת החובה החוקית למנות DPO על הארגון, בהתאם לסעיף 17ב1(א) לחוק הגנת הפרטיות. הבחינה נעשית על בסיס שלושה פרמטרים עיקריים:

  1. אופי הפעילות: האם מדובר בגוף ציבורי (משרד ממשלתי, רשות מקומית, תאגיד עירוני, מוסד מדינה, עמותה הממלאת תפקיד ציבורי)? או בגוף פרטי המעבד מידע אישי במסגרת עסקית־מסחרית?

  2. היקף המידע: כמה נושאי מידע נמצאים במאגרים? האם מדובר ביותר מ־10,000 רשומות פעילות? האם קיימים מאגרי מידע נפרדים הפועלים במקביל (CRM, משאבי אנוש, שכר, ספקים, תלמידים, לקוחות וכו’)?

  3. רגישות המידע: האם המידע כולל נתונים רפואיים, ביומטריים, פיננסיים, או נתוני מיקום והתנהגות, החוסים תחת ההגדרה “מידע בעל רגישות מיוחדת”?

בנוסף, יש להעריך האם הארגון מבצע ניטור שיטתי, כלומר, איסוף או מעקב עקבי אחר פעילות, מיקום, הרגלים או ביצועים של אנשים, במטרה לנתחם או להסיק מסקנות עסקיות. אם אחד מהקריטריונים מתקיים, חלה חובה למנות DPO. גם בהיעדר חובה מפורשת, מומלץ למנות DPO.

2. בדיקת ניגודי עניינים לכל מועמד

לאחר קביעת החובה, יש לבחון כשירות ועצמאות המועמד, ולוודא שאין ניגוד עניינים העלול לפגוע באפקטיביות התפקיד. תיקון 13 קובע עקרון יסוד: ה-DPO הוא גורם פיקוח עצמאי, שאינו כפוף למנהלים או יחידות שאותם הוא נדרש לבקר. הליך בדיקת ניגוד עניינים כולל:

  • מיפוי כפיפויות: מיהם המנהלים או היחידות שעליהם תוטל הבקרה?

  • בדיקת תלות כלכלית או עסקית: האם למועמד יחסי תלות חוזיים, עסקיים או אישיים עם גורמים מפוקחים?

  • בחינת תפקידים מקבילים: האם המועמד ממלא תפקיד אחר שעלול לעמוד בניגוד עניינים (למשל מנהל מערכות מידע, יועץ טכנולוגי או ספק)?

  • חתימה על הצהרת עצמאות: כל מועמד נדרש לחתום על הצהרה בדבר היעדר ניגוד עניינים, עצמאות, שמירה על סודיות, וזמינות לביקורת.

תיעוד הבחינה הכרחי; הרשות להגנת הפרטיות עשויה לבקש בעת ביקורת הוכחה לעצמאות ולקיום תהליך מינוי תקין.

3. בחירת מודל מינוי (פנימי או חיצוני)

לאחר שהובהרה החובה ונבדקה כשירות, נדרש לבחור מודל מינוי מתאים לאופי הארגון:

  • DPO פנימי: עובד קבוע בארגון, בעל רקע משפטי/ניהולי/טכנולוגי מתאים, שאינו כפוף למנהלים שתחתיהם מבוצעים עיבודי המידע. מתאים לגופים גדולים עם יחידות פרטיות ייעודיות.

  • DPO חיצוני: מומחה עצמאי או עו”ד במיקור חוץ (Outsourced DPO), אשר ממלא את התפקיד מכוח הסכם שירות. יתרונו באובייקטיביות, גמישות וניסיון רוחבי.

בעת הבחירה יש לשקלל את היקף ועומק עיבוד הנתונים; רמת הסיכון המשפטי והציבורי; מידת הבשלות הארגונית בתחום פרטיות המידע; זמינות המשאבים (תקציב, הון אנושי, תמיכה טכנולוגית).

בגופים ציבוריים, נדרש לעיתים הליך מכרזי למינוי DPO חיצוני, הכולל דרישות כשירות וניסיון מקצועי מינימליות.

4. הסכם שירות (אם חיצוני): SLA, KPI, אחריות, סודיות, גישה מלאה

כאשר ממנים DPO במיקור חוץ, נדרש לערוך הסכם שירות מפורט המגדיר במדויק את היקף הסמכויות והאחריות.

עיקרי ההסכם:

  • הגדרת תפקיד: ייעוץ, בקרה, תיעוד, הדרכה, ליווי משפטי ורגולטורי.

  • SLA – Service Level Agreement: זמינות, זמני תגובה, תדירות דיווחים, שעות עבודה חודשיות, מנגנון ליווי באירועים.

  • KPI – Key Performance Indicators: מדדים כמותיים ואיכותיים להצלחת התפקיד.

  • אחריות מקצועית: ביטוח אחריות מקצועית, פטור מוגבל מאחריות, נוהל טיפול בליקויים.

  • סודיות ואבטחת מידע: התחייבות מוחלטת לשמירה על מידע ארגוני, גישה מאובטחת בלבד.

  • נגישות מלאה: זכות גישה לכל מסמך, מערכת ומידע הנדרש לביצוע הפיקוח.

  • עצמאות: סעיף מפורש האוסר על התערבות בהחלטות המקצועיות של ה-DPO.

  • דיווח: התחייבות להעברת דוחות תקופתיים להנהלה ולביקורת, ותיעוד פעילות שוטפת.

היעדר הסכם כתוב או הסכם שאינו מסדיר עצמאות וגישה, עשוי להיחשב למינוי פיקטיבי.

5. תוכנית עבודה ל-DPO (מיפוי, DPIA, הדרכות, בקרה על ספקים, דוחות)

תיקון 13 דורש ניהול מתמשך ולא חד־פעמי. לכן, על כל DPO לפעול לפי תוכנית עבודה שנתית מאושרת, הכוללת, בין היתר –

  1. מיפוי מאגרים וזרימות מידע (Data Mapping): איתור כל מאגרי המידע בארגון, לרבות מאגרי משנה, מערכות צד ג’, מערכות ב”ענן”, והגדרת מטרות השימוש בהם.

  2. ביצוע תסקירי DPIA (Data Protection Impact Assessments): ניתוח סיכונים לתהליכים חדשים או רגישים—לדוגמה, פרויקט דיגיטלי, מערכת CRM חדשה, או אפליקציה שירותית. כל תסקיר נדרש להגדיר רמות סיכון, צעדי צמצום, ומעקב ביצוע.

  3. הדרכות עובדים ומנהלים: הדרכה שנתית מחייבת, מותאמת תפקיד (מנהלים, שירות לקוחות, IT, כספים), עם תיעוד השתתפות ומבחני ידע.

  4. בקרה על ספקים (Third Parties): ביצוע ביקורות פרטיות, בדיקת הסכמי עיבוד (DPA), והערכת רמת אבטחת המידע אצל ספקים ושותפים.

  5. דו”חות ובקרה שוטפת: המלצות ראשונית לאחר מיפוי ראשוני, וקביעת סדרי עדיפויות לטיפול; דוח רבעוני להנהלה (ממצאים, חריגים, המלצות); דוח שנתי מסכם, המוגש גם לגורמי ביקורת פנימיים או לוועדת ביקורת; Dashboard ניהולי למדדי ביצוע (KPI).

  6. עדכון רגולציה: מעקב אחר הנחיות הרשות להגנת הפרטיות, פסיקה ופרסומים מקצועיים.

עשוי לעניין אותך המאמר: תוכנית עבודה ל-DPO

6. מנגנון תיעוד (החלטות, חריגים, בקשות נושאי מידע, אירועים)

אחת מחובות הליבה לפי תיקון 13 היא תיעוד והוכחת עמידה (“Accountability”). ה-DPO אחראי להקים ולתחזק מערך תיעוד מובנה, הכולל:

  • רשימת החלטות של הנהלה ו-DPO בנושא פרטיות.

  • חריגים והערות ביקורת: כל חריגה ממדיניות או תהליך מטופלת ומדווחת.

  • רישום בקשות נושאי מידע: בקשות לעיון, תיקון, מחיקה, הסרה ממאגר דיוור, ועוד – כולל זמני תגובה, סטטוס וסיום.

  • ניהול אירועים (Incident Log): תיעוד מפורט של כל אירוע אבטחת מידע—ממועד הגילוי ועד לטיפול הסופי.

  • פרוטוקולי DPIA: מסמכי ניתוח סיכון והחלטות נלוות.

  • תיעוד הדרכות, ביקורות ודוחות.

7. נוהל תגובה ודיווח (IR & Reporting to the Authority)

תיקון 13 מטיל חובת דיווח לרשות להגנת הפרטיות על אירועים חמורים של פגיעה בפרטיות. DPO אפקטיבי חייב להבטיח מוכנות מלאה באמצעות נוהל תגובה (Incident Response Procedure).

שאלות נפוצות (FAQ)

האם חברה פרטית שאינה גוף ציבורי חייבת ב-DPO?

כן, אם היא עומדת בקריטריונים: מסירת מידע לאחרים בהיקפים משמעותיים, ניטור שיטתי בהיקף ניכר, או עיבוד מידע רגיש בהיקף ניכר.

אפשר למנות DPO באמצעות חברה?

לא. המינוי הוא של אדם, בלבד. ניתן להתקשר עם חברה לקבלת שירותי הגנת הפרטיות, אך יש למנות (בכתב) אדם ספציפי בתפקיד DPO.

מהו “ניטור שיטתי”?

מעקב/התחקות עקביים אחרי התנהגות, מיקום או פעולות משתמשים, לאורך זמן ובהיקף ניכר (לדוגמה: פלטפורמות אנליטיקה/פרסום התנהגותי).

איך בוחרים DPO ללא ניגוד עניינים?

לא למנות בעלי תפקידים מפוקחים בארגון (מנכ״ל, יועמ״ש פנימי, מנהל/ת משאבי אנוש, מנמ”ר או CISO, מבקר פנימי, או סמנכ”ל כספים). ככל שלא נמצא בעל תפקיד מתאים, יש למנות DPO במיקור חוץ.

מה חייב להיכלל בתוכנית שנתית של DPO?

לכל הפחות – מיפוי מאגרים, DPIA לתהליכים מהותיים, נהלים ומדיניות, בקרה על ספקים, הדרכות, טבלת KPI, ודוחות רבעוניים להנהלה.

איך מוכיחים עצמאות DPO?

בין היתר, שרשור דיווח ישיר להנהלה; היעדר כפיפות למפוקחים; זכות עיון וגישה חופשית; חופש מקצועי; ותיעוד החלטות פיקוח.

אין לנו חובה פורמלית למנות DPO – כדאי למנות בכל זאת?

בארגונים עם חשיפה מובהקת (מותג/תחכום טכנולוגי/שרשרת ספקים מורכבת)- מינוי וולונטרי משפר שליטה, מוכנות ו-Trust.

סיכום

תיקון 13 לחוק הגנת הפרטיות מציב את מינוי ממונה הגנת פרטיות (DPO) כתנאי יסוד במשטר הציות החדש, המחייב גופים ציבוריים ופרטיים להבטיח פיקוח עצמאי, מקצועי ובלתי תלוי על עיבוד מידע אישי. הממונה מהווה חיץ משפטי וניהולי המפחית סיכונים רגולטוריים, משפטיים ותדמיתיים, מחזק את מנגנוני הבקרה הפנימיים, מאפשר תגובה יעילה לאירועי סייבר ומבטא מחויבות אסטרטגית להגנת זכויות הפרט. אי-מינוי, או מינוי לא אפקטיבי, עלולים לחשוף את הארגון לסנקציות חמורות, אחריות אישית של נושאי משרה, עיצומים כספיים ותביעות אזרחיות.

משרד וולר ושות’: היישום המשפטי, הרגולטורי והניהולי של חובת המינוי

משרד עו”ד וולר ושות’ מלווה מזה שנים רשויות מקומיות, עמותות, מוסדות ציבוריים, תאגידים עירוניים וחברות פרטיות, במדיניות בתחום הגנת הפרטיות, נהלי עבודה, גיבוש תוכנית עבודה שנתית, מיפוי ורישום מאגרים, עריכת מכרזים, הסכמים, ומערך נהלים כולל, וכן במינוי כ-DPO במיקור חוץ. צוות המשרד כולל עורכי דין מומחים בדיני פרטיות, יועצים טכנולוגיים, ומנהלי סיכונים, אשר יחד מבטיחים יישום קוהרנטי, אסטרטגי, ומותאם אישית של הוראות החוק, מתוך הבנה משפטית וארגונית כאחד.

 

פורסם: 9/10/2025.

נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign