top image

DPO בתיקון 13: מי חייב, איך ממנים, ומה הסיכון באי-מינוי

תיקון 13 לחוק הגנת הפרטיות

תמצית משפטית: מינוי DPO לפי תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ביום 14/8/2025, משנה מהיסוד את חובות הארגונים בישראל בכל הנוגע לעיבוד מידע אישי. בין עיקרי התיקון: הרחבת סמכויות האכיפה של הרשות להגנת הפרטיות, החמרת סנקציות בגין אי-ציות, קנסות ותביעות, כמו גם חובת מינוי ממונה הגנת פרטיות (DPO) בגופים העומדים בקריטריונים שנקבעו בדין.

האם הארגון שלך ערוך לתיקון 13? לייעוץ משפטי ובדיקת חשיפה לחצו כאן >

 

תיקון 13 לחוק הגנת הפרטיות מסמן את אחת הרפורמות המשמעותיות ביותר בעיבוד מידע אישי בישראל, בעשורים האחרונים. התיקון מחייב גופים רבים, ציבוריים ופרטיים כאחד, למנות ממונה הגנת הפרטיות (Data Protection Officer – DPO). החובה חלה לא רק על משרדי ממשלה, רשויות מקומיות וגופים סטטוטוריים, אלא גם על ארגונים המעבדים מידע אישי בהיקפים משמעותיים, מפעילים מערכות ניטור שיטתי של התנהגות ומיקום, או מחזיקים במידע בעל רגישות מיוחדת כגון מידע רפואי, פיננסי, ביומטרי או נתוני קטינים.

מינוי DPO מגן על הארגון, על הנהלתו ועל נושאי המידע באמצעות מנגנוני פיקוח מקצועיים, ניטרול ניגודי עניינים, ניהול סיכוני פרטיות ואבטחת מידע, וביסוס תיעוד ואחריותיות (Accountability). ארגון שאינו ממנה DPO, או ממנה ממונה שאיננו כשיר, אינו עצמאי או חסר סמכויות – חשוף לעיצומים כספיים, תביעות ייצוגיות, אחריות אישית של נושאי משרה, ופגיעה מהותית באמון הציבור.

תיקון מס’ 13 איננו רק שינוי חוקי, אלא שינוי תפיסתי: מעבר מציות פורמלי לציות מבוסס פיקוח, ניהול סיכונים ותרבות ארגונית, המעמידה את הגנת הפרטיות בליבת הפעילות. הסבר מלא על החובה החוקית, מהו DPO, מי חייב במינוי, כיצד מתבצע מינוי תקין ומהם הסיכונים הארגוניים, המשפטיים והניהוליים בהעדר מינוי אפקטיבי.

 

מה זה DPO?

DPO – ממונה הגנת הפרטיות – הוא “רגולטור פנימי” המפקח על עיבוד מידע אישי בארגון: בקרה על עמידה בדין, DPIA, ניהול בקשות נושאי מידע, בקרה על ספקים, הדרכות ותיעוד. הוא עצמאי, בלתי תלוי, ומדווח ישירות להנהלה. מינויו מחויב לפי תיקון 13 לחוק הגנת הפרטיות, התשמ”א-1981, בסוגי הגופים המנויים בחוק. בשונה מההמלצה הכללית שהייתה קיימת בעבר (Best Practice) , עתה מדובר בהוראת דין מחייבת.

 

למה זה חשוב למנכ״ל?

בעבר, מנהל המאגר היה “מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה“. במילים אחרות, מנהלי מאגרי מידע – דוגמת מנהלי מחלקות, אגפים או עובדים, כל אחד בתחום סמכותו. אלא שתיקון 13 לחוק הגנת הפרטיות קבע כי “בעל שליטה במאגר מידע” (מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר) ו-“ומחזיק במאגר מידע” (גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע, דוגמת ספקים) – כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

במילים אחרות: DPO אפקטיבי מצמצם חשיפה לעיצומים ולתביעות, משפר מוכנות לאירועי אבטחת מידע, ומוכיח “שליטה ותיעוד” מול הרגולטור והציבור. מינוי לא תקין, או מינוי על הנייר בלבד, עלול להיחשב כהיעדר מינוי ולהוביל לסנקציות חמורות.

 

המהפכה הרגולטורית שבתיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות הנו המענה שנתן המחוקק לאתגרי העידן הדיגיטלי, קפיצות דרך טכנולוגיות, עיבוד מידע חוצה גבולות, שירותי ענן גלובליים, מערכות ניתוח נתונים אוטומטיות, AI, ורגולציה אירופאית (GDPR), ועל ההבנה כי “המידע הוא הזהב החדש”. נוכח מגמות אלו, נדרש עדכון משמעותי לחוק הגנת הפרטיות הוותיק, שנחקק אי אז בשנת 1981. במסגרת זו, מבקש התיקון להחיל סטנדרטים חדשים של זכויות הפרט על פרטיותו וזכויותיו, דרישות לשקיפות, אבטחת מידע, מניעת ניגוד עניינים, במקביל למתן “שיניים” לרשות להגנת הפרטיות כרגולטור אקטיבי, בעל סמכויות פיקוח, אכיפה והטלת עיצומים.

 

מי חייב במינוי DPO? – הסבר מלא לסעיף 17ב1

סעיף 17ב1(א) לחוק מפרט ארבעה סוגי גופים החייבים במינוי:

(1) גופים ציבוריים – משרדי ממשלה, רשויות מקומיות, תאגידים עירוניים, גופים סטטוטוריים. “בעל שליטה במאגר מידע שהוא גוף ציבורי…” 
(2) בעלי מאגר שמטרתו העיקרית היא איסוף ומסירת מידע לאחר. “בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם”
(3) מי שעוסקים בניטור שיטתי של אנשים. “בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר…”
(4) מי שעוסקים בעיבוד מידע בעל רגישות מיוחדת בהיקף משמעותי. “בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר תאגיד בנקאי, מבטח כהגדרתו בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ”א-1981, בית חולים כללי, קופת חולים.”

 

בקיצור: מתי מינוי DPO הוא חובה ומתי המלצה?

מינוי DPO אינו חובה בכל ארגון, אך תיקון 13 קובע מבחנים מהותיים ולא רק גודל או מספר עובדים.

סוג הארגון חובת מינוי DPO הערה משפטית
רשות ציבורית חובה ללא שיקול דעת – עמידה מלאה בחוק
ארגון עם מידע רגיש בהיקף רחב חובה לפי מהות העיבוד והסיכון לנושאי המידע
חברה פרטית קטנה לרוב לא אלא אם מתקיים סיכון פרטיות חריג
ספק שירותים חיצוני תלוי בדיקה לפי תפקיד בפועל וגישה למאגרי מידע

 

תפקידי וכישורי ה-DPO

הרשות להגנת הפרטיות פרסמה בחודש יולי 2025, טיוטת גילוי דעת לעיון הציבור (כאן). הרשות מבהירה כי הממונה על הגנת הפרטיות הנו תפקיד סטטוטורי מהותי, בעל אחריות ישירה, המחייב עצמאות מקצועית מלאה, גישה בלתי אמצעית אל כלל מקורות המידע הארגוניים, ושיקול דעת עצמאי לחלוטין.

לפי הרשות, תפקידו של ה־DPO הוא “רגולטור פנימי”, הפועל על פי החוק והתקנות, מוודא עמידה מלאה בדרישות הדין, מוביל ביצוע סקרי סיכונים, תסקיר הערכת השפעה על הפרטיות (DPIA), פיקוח על עיבוד מידע רגיש, גיבוש מדיניות פרטיות ארגונית, ובחינת עמידת הארגון בחובותיו כלפי נושאי המידע, תוכניות עבודה שנתיות, בקרה על ספקים, מענה לפניות נושאי מידע, חינוך והדרכה של עובדים, מעקב אחר שינויים בחקיקה והגשת דוחות תקופתיים לרשות.

DPO אפקטיבי חייב להיות מעורב בתהליכים בזמן אמת, ולא בדיעבד. עליו להיות מוזמן לדיונים הנוגעים לפיתוח מערכות חדשות, התקשרויות עם צדדים שלישיים, ניתוח פרויקטים טכנולוגיים, ולפעול מתוך הבנה מערכתית רחבה. בהקשר זה, יש להבטיח כי כל שינוי מהותי בתהליכי עיבוד המידע יעבור תחת עינו הבוחנת של ה־DPO תוך ביצוע בדיקות סף והערכת סיכונים מקדימה.

ניגוד עניינים וכשירות – מי לא יכול להיות DPO?

סוגיה מהותית נוספת שזוכה להבהרה בתיקון 13, ובהנחיות הרשות להגנת הפרטיות, היא שאלת ניגוד העניינים. ה-DPO חייב להיות בלתי תלוי. תפקידים ניהוליים שלגביהם קיימת אחריות ישירה על התהליכים המפוקחים – מנכ״ל, יועמ״ש פנימי, סמנכ״ל משאבי אנוש, מנהל מערכות מידע (CIO/CTO), מנהל כספים- אינם כשירים לכהן כ-DPO. לא ניתן להפקיד בידי אדם תפקיד פיקוח עצמאי על תהליכים אשר נמצאים תחת אחריותו הישירה. מינוי שכזה מהווה ליקוי מבני המונע ביצוע אפקטיבי של חובות הפיקוח והבקרה. הרשות מבהירה כי כל חשש לקיומו של ניגוד עניינים, יוביל לפסילת המינוי.

משכך: ארגונים שאינם מסוגלים למנות ממונה פנימי העונה על דרישות החוק (בשל היעדר כשירות של עובד פנימי, או חשש לניגוד עניינים), נדרשים למנות DPO במיקור חוץ. קרי, עורך דין או מומחה בתחום, הפועל במסגרת הסכם שירות עצמאי, וזוכה לסמכויות פיקוח מלאות ובלתי תלויות.

 

DPO פנימי מול חיצוני – יתרונות וחסרונות

החוק מאפשר לארגון לבחור בין מינוי פנימי של עובד לבין התקשרות עם נותן שירות חיצוני. משרדנו ממליץ על בחינה קונקרטית של המבנה הארגוני, רמת הסיכון, היקף עיבוד המידע והיכולת להעניק סמכויות פיקוח אפקטיביות. אף שהפתרון הפנימי עדיף ברמה התיאורטית – בהיבטי היכרות עם התרבות הארגונית וזמינות תפעולית – אין בכך כדי לגרוע מכשירותו של ממונה חיצוני (מיקור חוץ), ובלבד שההתקשרות נעשית לפי כללי הדין, ומעניקה לו שיקול דעת עצמאי, נגישות מלאה, ומשאבים מספקים.

כמובן, לא ניתן למנות תאגיד או חברה כ־DPO . המינוי חייב להיעשות ליחיד (אדם טבעי) בלבד, גם אם ההתקשרות נעשית דרך חברה המספקת את השירותים. לשם כך נדרש הסכם מפורט הכולל היקף שעות, אחריות מקצועית, מנגנוני עדכון, ואיסור על הימצאות בניגוד עניינים.

 

השוואה מקצועית: DPO פנימי מול DPO חיצוני

סקירת היתרונות וההתאמה הארגונית לאור תיקון 13 לחוק הגנת הפרטיות

מאפיין DPO פנימי (עובד ארגון) DPO חיצוני
היכרות עם הארגון היכרות עמוקה עם התרבות הארגונית, המבנה האופרטיבי וממשקי העבודה. הבנה אינטואיטיבית של זרימת מידע. זמן הסתגלות קצר, אך מביא ניסיון רוחבי מארגונים דומים ומתודולוגיות מוכחות.
זמינות תפעולית זמינות גבוהה במשרדים ובזמן אמת. ליווי פרויקטים ונוכחות פיזית בישיבות שוטפות. זמינות לפי SLA מוגדר. פתרון אידיאלי לגופים שאינם זקוקים למשרה מלאה.
עלויות ותקציב עלות שכר עובד בכיר + סוציאליות + הכשרות שוטפות ותחזוקת ידע מקצועי. עלות גמישה המותאמת להיקף העבודה. ללא עלויות שכר נלוות או פיתוח מקצועי על חשבון הארגון.
עצמאות מקצועית עלול לסבול מניגוד עניינים פנימי או לחצים היררכיים; נדרשת רגולציה פנימית להבטחת עצמאות. עצמאות מובנית. אינו מושפע מפוליטיקה ארגונית ופועל כגורם ביקורת אובייקטיבי.
ניסיון רוחבי מיקוד מעמיק בתחום הפעילות הספציפי של הארגון. ניסיון בין-ארגוני רחב המאפשר זיהוי מהיר של סיכונים “חוזרים” ופתרונות מוכחים.
התאמה לארגון רשויות גדולות, משרדי ממשלה, אקדמיה וחברות ענק עם מחלקות משפטיות ענפות. רשויות מקומיות, מלכ”רים, מוסדות חינוך, מרפאות, סוכנויות ביטוח וארגוני SME.
רגולציה וביקורת ידע פנימי ממוקד; עשוי להיות מושפע מתרבות הציות הקיימת בארגון. מומחה בביקורות רגולטוריות מול הרשות; מייצר תיעוד והוכחות ציות ברמה הגבוהה ביותר.

 

סנקציות על אי-מינוי או מינוי לא אפקטיבי

מוסד ה־DPO מהווה את “קו ההגנה הראשון” של הארגון מפני חשיפה משפטית בתחום הפרטיות. במקרה של אי-מינוי DPO, מינוי “על הנייר”, DPO תלוי, בלתי כשיר, או אם לא ניתנו לו סמכויות – הארגון צפוי להיחשף לשורת סנקציות חמורות, לרבות עיצומים כספיים בגין הפרת חובת מינוי, אי ביצוע חובות פיקוח, עיבוד מידע לא חוקי, וכן עילות לתביעות אזרחיות, לרבות תובענות ייצוגיות ופיצויים ללא הוכחת נזק. ברגולציית הפרטיות, “כוונת ציות” לא מספיקה: נדרש פיקוח אפקטיבי ומתועד.

 

צ’ק-ליסט מינוי אפקטיבי (לביצוע מיידי)

1. קביעה אם קיימת חובה חוקית (לפי פעילות, היקפים ורגישות)

השלב הראשון והבסיסי הוא בחינת תחולת החובה החוקית למנות DPO על הארגון, בהתאם לסעיף 17ב1(א) לחוק הגנת הפרטיות. הבחינה נעשית על בסיס שלושה פרמטרים עיקריים:

  • אופי הפעילות: האם מדובר בגוף ציבורי (משרד ממשלתי, רשות מקומית, תאגיד עירוני, מוסד מדינה, עמותה הממלאת תפקיד ציבורי)? או בגוף פרטי המעבד מידע אישי במסגרת עסקית־מסחרית?

  • היקף המידע: כמה נושאי מידע נמצאים במאגרים? האם מדובר ביותר מ־10,000 רשומות פעילות? האם קיימים מאגרי מידע נפרדים הפועלים במקביל (CRM, משאבי אנוש, שכר, ספקים, תלמידים, לקוחות וכו’)?

  • רגישות המידע: האם המידע כולל נתונים רפואיים, ביומטריים, פיננסיים, או נתוני מיקום והתנהגות, החוסים תחת ההגדרה “מידע בעל רגישות מיוחדת”?

בנוסף, יש להעריך האם הארגון מבצע ניטור שיטתי, כלומר, איסוף או מעקב עקבי אחר פעילות, מיקום, הרגלים או ביצועים של אנשים, במטרה לנתחם או להסיק מסקנות עסקיות. אם אחד מהקריטריונים מתקיים, חלה חובה למנות DPO. גם בהיעדר חובה מפורשת, מומלץ למנות DPO.

2. בדיקת ניגודי עניינים לכל מועמד

לאחר קביעת החובה, יש לבחון כשירות ועצמאות המועמד, ולוודא שאין ניגוד עניינים העלול לפגוע באפקטיביות התפקיד. תיקון 13 קובע עקרון יסוד: ה-DPO הוא גורם פיקוח עצמאי, שאינו כפוף למנהלים או יחידות שאותם הוא נדרש לבקר. הליך בדיקת ניגוד עניינים כולל:

  • מיפוי כפיפויות: מיהם המנהלים או היחידות שעליהם תוטל הבקרה?

  • בדיקת תלות כלכלית או עסקית: האם למועמד יחסי תלות חוזיים, עסקיים או אישיים עם גורמים מפוקחים?

  • בחינת תפקידים מקבילים: האם המועמד ממלא תפקיד אחר שעלול לעמוד בניגוד עניינים (למשל מנהל מערכות מידע, יועץ טכנולוגי או ספק)?

  • חתימה על הצהרת עצמאות: כל מועמד נדרש לחתום על הצהרה בדבר היעדר ניגוד עניינים, עצמאות, שמירה על סודיות, וזמינות לביקורת.

תיעוד הבחינה הכרחי; הרשות להגנת הפרטיות עשויה לבקש בעת ביקורת הוכחה לעצמאות ולקיום תהליך מינוי תקין.

3. בחירת מודל מינוי (פנימי או חיצוני)

לאחר שהובהרה החובה ונבדקה כשירות, נדרש לבחור מודל מינוי מתאים לאופי הארגון:

  • DPO פנימי: עובד קבוע בארגון, בעל רקע משפטי/ניהולי/טכנולוגי מתאים, שאינו כפוף למנהלים שתחתיהם מבוצעים עיבודי המידע. מתאים לגופים גדולים עם יחידות פרטיות ייעודיות.

  • DPO חיצוני: מומחה עצמאי או עו”ד במיקור חוץ (Outsourced DPO), אשר ממלא את התפקיד מכוח הסכם שירות. יתרונו באובייקטיביות, גמישות וניסיון רוחבי.

בעת הבחירה יש לשקלל את היקף ועומק עיבוד הנתונים; רמת הסיכון המשפטי והציבורי; מידת הבשלות הארגונית בתחום פרטיות המידע; זמינות המשאבים (תקציב, הון אנושי, תמיכה טכנולוגית).

בגופים ציבוריים, נדרש לעיתים הליך מכרזי למינוי DPO חיצוני, הכולל דרישות כשירות וניסיון מקצועי מינימליות.

4. הסכם שירות (אם חיצוני): SLA, KPI, אחריות, סודיות, גישה מלאה

כאשר ממנים DPO במיקור חוץ, נדרש לערוך הסכם שירות מפורט המגדיר במדויק את היקף הסמכויות והאחריות. עיקרי ההסכם:

  • הגדרת תפקיד: ייעוץ, בקרה, תיעוד, הדרכה, ליווי משפטי ורגולטורי.

  • SLA – Service Level Agreement: זמינות, זמני תגובה, תדירות דיווחים, שעות עבודה חודשיות, מנגנון ליווי באירועים.

  • KPI – Key Performance Indicators: מדדים כמותיים ואיכותיים להצלחת התפקיד.

  • אחריות מקצועית: ביטוח אחריות מקצועית, פטור מוגבל מאחריות, נוהל טיפול בליקויים.

  • סודיות ואבטחת מידע: התחייבות מוחלטת לשמירה על מידע ארגוני, גישה מאובטחת בלבד.

  • נגישות מלאה: זכות גישה לכל מסמך, מערכת ומידע הנדרש לביצוע הפיקוח.

  • עצמאות: סעיף האוסר על התערבות בהחלטות המקצועיות של ה-DPO. במקביל, דיווח ישירות למנכ”ל הגוף.

  • דיווח: התחייבות להעברת דוחות תקופתיים להנהלה ולביקורת, ותיעוד פעילות שוטפת.

היעדר הסכם כתוב או הסכם שאינו מסדיר עצמאות וגישה, עשוי להיחשב למינוי פיקטיבי.

5. תוכנית עבודה ל-DPO (מיפוי, DPIA, הדרכות, בקרה על ספקים, דוחות)

תיקון 13 דורש ניהול מתמשך ולא חד־פעמי. לכן, על כל DPO לפעול לפי תוכנית עבודה שנתית מאושרת, הכוללת, בין היתר –

  • מיפוי מאגרים וזרימות מידע (Data Mapping): איתור כל מאגרי המידע בארגון, לרבות מאגרי משנה, מערכות צד ג’, מערכות ב”ענן”, והגדרת מטרות השימוש בהם.

  • ביצוע תסקירי DPIA (Data Protection Impact Assessments): ניתוח סיכונים לתהליכים חדשים או רגישים—לדוגמה, פרויקט דיגיטלי, מערכת CRM חדשה, או אפליקציה שירותית. כל תסקיר נדרש להגדיר רמות סיכון, צעדי צמצום, ומעקב ביצוע.

  • הדרכות עובדים ומנהלים: הדרכה שנתית מחייבת, מותאמת תפקיד (מנהלים, שירות לקוחות, IT, כספים), עם תיעוד השתתפות ומבחני ידע.

  • בקרה על ספקים (Third Parties): ביצוע ביקורות פרטיות, בדיקת הסכמי עיבוד (DPA), והערכת רמת אבטחת המידע אצל ספקים ושותפים.

  • דו”חות ובקרה שוטפת: המלצות ראשונית לאחר מיפוי ראשוני, וקביעת סדרי עדיפויות לטיפול; דוח רבעוני להנהלה (ממצאים, חריגים, המלצות); דוח שנתי מסכם, המוגש גם לגורמי ביקורת פנימיים או לוועדת ביקורת; Dashboard ניהולי למדדי ביצוע (KPI).

  • עדכון רגולציה: מעקב אחר הנחיות הרשות להגנת הפרטיות, פסיקה ופרסומים מקצועיים.

עשוי לעניין אותך המאמר: תוכנית עבודה ל-DPO.

6. מנגנון תיעוד (החלטות, חריגים, בקשות נושאי מידע, אירועים)

אחת מחובות הליבה לפי תיקון 13 היא תיעוד והוכחת עמידה (“Accountability”). ה-DPO אחראי להקים ולתחזק מערך תיעוד מובנה. המערך כולל:

  • רשימת החלטות של הנהלה ו-DPO בנושא פרטיות.

  • חריגים והערות ביקורת: כל חריגה ממדיניות או תהליך מטופלת ומדווחת.

  • רישום בקשות נושאי מידע: בקשות לעיון, תיקון, מחיקה, הסרה ממאגר דיוור, ועוד – כולל זמני תגובה, סטטוס וסיום.

  • ניהול אירועים (Incident Log): תיעוד מפורט של כל אירוע אבטחת מידע—ממועד הגילוי ועד לטיפול הסופי.

  • פרוטוקולי DPIA: מסמכי ניתוח סיכון והחלטות נלוות.

  • תיעוד הדרכות, ביקורות ודוחות.

7. נוהל תגובה ודיווח

תיקון 13 מטיל חובת דיווח לרשות להגנת הפרטיות (ולעיתים לנושאי המידע), תוך פרק זמן קצר, על אירועים חמורים של פגיעה בפרטיות. על הדיווח לכלול את תוך תיאור האירוע, והתגובה. תפקיד ה-DPO הוא לוודא שהארגון מוכן לאירועים אלו, באמצעות נוהל תגובה מוכן מראש, להוביל את התיעוד והדיווח. אי-עמידה בדרישות עלולה לגרור עיצומים כספיים משמעותיים וסנקציות נוספות.

 

סיכום

תיקון 13 לחוק הגנת הפרטיות מציב את מינוי ממונה הגנת פרטיות (DPO) כתנאי יסוד במשטר הציות החדש, המחייב גופים ציבוריים ופרטיים להבטיח פיקוח עצמאי, מקצועי ובלתי תלוי על עיבוד מידע אישי. הממונה מהווה חיץ משפטי וניהולי המפחית סיכונים רגולטוריים, משפטיים ותדמיתיים, מחזק את מנגנוני הבקרה הפנימיים, מאפשר תגובה יעילה לאירועי סייבר ומבטא מחויבות אסטרטגית להגנת זכויות הפרט. אי-מינוי, או מינוי לא אפקטיבי, עלולים לחשוף את הארגון לסנקציות חמורות, אחריות אישית של נושאי משרה, עיצומים כספיים ותביעות אזרחיות.

 

משרד וולר ושות’: יישום משפטי, רגולטורי וניהולי במינוי DPO

משרד עו”ד וולר ושות’ מלווה מזה שנים רשויות מקומיות, עמותות, מוסדות ציבוריים, תאגידים עירוניים וחברות פרטיות, במדיניות בתחום הגנת הפרטיות, נהלי עבודה, גיבוש תוכנית עבודה שנתית, מיפוי ורישום מאגרים, עריכת מכרזים, הסכמים, ומערך נהלים כולל, וכן במינוי כ-DPO במיקור חוץ. צוות המשרד כולל עורכי דין מומחים בדיני פרטיות, יועצים טכנולוגיים, ומנהלי סיכונים, אשר יחד מבטיחים יישום קוהרנטי, אסטרטגי, ומותאם אישית של הוראות החוק, מתוך הבנה משפטית וארגונית כאחד.

שאלות ותשובות: מינוי ממונה הגנת הפרטיות (DPO)

מהו תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 הוא עדכון מקיף לחוק הגנת הפרטיות בישראל, שנכנס לתוקף ביום 14/8/2025, שמחייב גופים מסוימים למנות ממונה הגנת פרטיות (DPO) ומרחיב את סמכויות האכיפה על עיבוד מידע אישי.

האם כל גוף ציבורי חייב למנות DPO?

כן. כל גוף המוגדר “גוף ציבורי” בחוק הגנת הפרטיות (משרדי ממשלה, רשויות מקומיות, תאגידים עירוניים, גופים סטטוטוריים ומוסדות מדינה) – חייב במינוי ממונה הגנת פרטיות. החובה חלה ללא קשר להיקף המידע, למספר מורשי הגישה ו/או לרגישות המידע.

נחזור שוב: תיקון 13 הפך את מינוי ממונה הגנת הפרטיות מ- “Best Practice”, להוראת דין מחייבת. החוק קובע רשימה סגורה של גופים שחייבים במינוי DPO, ומוסיף מנגנון אכיפה ועיצומים בגין אי־מינוי, מינוי לא כשיר או מינוי “על הנייר”.

האם חברה פרטית שאינה גוף ציבורי חייבת במינוי DPO?

כן, אם היא עומדת בקריטריונים: מסירת מידע לאחרים בהיקפים משמעותיים, ניטור שיטתי בהיקף ניכר, או עיבוד מידע רגיש בהיקף ניכר.

מה ההבדל בין DPO פנימי ל-DPO חיצוני?

  • DPO פנימי הוא עובד של הארגון, שמקבל תפקיד סטטוטורי נוסף. יתרון: היכרות עמוקה עם התרבות הארגונית, המערכות והאנשים.

  • DPO חיצוני הוא מומחה במיקור חוץ (לרוב עו”ד או מומחה פרטיות וסייבר), שמלווה כמה ארגונים במקביל. יתרון: עצמאות גבוהה יותר, ניסיון רוחבי, פחות סיכון לניגוד עניינים.

החוק מאפשר את שני המודלים, כל עוד נשמרים עצמאות מקצועית, נגישות מלאה למידע ומשאבים מספקים לביצוע הפיקוח.

אילו כשורים נדרשים מממונה הגנת הפרטיות?

מהחוק ומהנחיות הרשות עולים 3 תחומי ידע עיקריים:

  • משפטי. חוק הגנת הפרטיות, תקנות אבטחת מידע, תיקון 13, הנחיות הרשות להגנת הפרטיות, דיני סייבר.

  • טכנולוגי. ארכיטקטורת מערכות מידע, סיכוני סייבר, אבטחת מידע, שירותי ענן, גיבויים.

  • ארגוני- ניהולי של הגוף בו הוא ממלא תפקיד.  ממשקי עבודה עם ההנהלה, משאבי האנוש, שכר, כספים, רכש ומכרזים, מחשוב, פרסום ושיווק, רגולציה, אבטחה.

אפשר למנות DPO שהוא חברה?

לא. המינוי הוא של אדם, בלבד. אפשר להתקשר עם חברה המספקת שירותי DPO, אך בתוך ההסכם חייב להיקבע מי הוא האדם שמכהן כדין כממונה.

האם ה-DPO חייב להיות עובד בתוך הארגון?

לא. ניתן למנות DPO כנותן שירות חיצוני (Outsourced DPO), בתנאי שהוא בעל הכישורים המקצועיים הנדרשים ואין לו ניגוד עניינים עם תפקידים אחרים בארגון.

האם אפשר שמנכ"ל, יועמ"ש או מנהל IT ישמשו כ-DPO?

טיוטת גילוי הדעת קובעת כי בעלי תפקידים שיש להם אחריות ישירה על תהליכי עיבוד המידע (מנכ”ל, יועמ”ש פנימי, מנהל מערכות מידע, סמנכ”ל כספים, מנהל משאבי אנוש) נמצאים בניגוד עניינים מובנה, ולכן אינם כשירים לשמש DPO. מי שמנהל את התהליך לא יכול גם לפקח עליו.

מהן הסנקציות על אי-מינוי DPO?

תיקון 13 מגדיל משמעותית את הקנסות המנהליים. אי-מינוי ממונה כנדרש בחוק עלול להוביל לעיצומים כספיים של מאות אלפי שקלים, מעבר לנזק התדמיתי והמשפטי.

 

 

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה חברות ממשלתיות, רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם: 9/10/2025. עודכן לאחרונה: 12/01/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign