תיקון 13 לחוק הגנת הפרטיות: מדוע מינוי DPO הוא הצעד הראשון, ההכרחי והמהותי מינוי ממונה הגנת הפרטיות בארגון (Data Protection Officer – DPO) הפך בעקבות תיקון מס’ 13 לחוק הגנת הפרטיות, התשמ”א–1981, לחובה חוקית עבור רשימה ארוכה של ארגונים, חברות ורשויות. לנוכח השינויים הדרמטיים שמחולל תיקון 13 בשיטת ההגנה על פרטיות המידע בישראל, מתחדדת ההבנה כי מינוי DPO מהווה לא רק דרישת רגולציה פורמלית, אלא בסיס לצמצום סיכונים משפטיים, כלכליים וחוקיים, המכוונים בראש ובראשונה, אל המנכ”ל.
המהפכה הרגולטורית שבתיקון 13 לחוק הגנת הפרטיות
תיקון 13 לחוק הגנת הפרטיות הנו המענה שנתן המחוקק לאתגרי העידן הדיגיטלי, קפיצות דרך טכנולוגיות, עיבוד מידע חוצה גבולות, שירותי ענן גלובליים, מערכות ניתוח נתונים אוטומטיות, AI, ורגולציה אירופאית (GDPR), ועל ההבנה כי “המידע הוא הזהב החדש”. נוכח מגמות אלו, נדרש עדכון משמעותי לחוק הגנת הפרטיות הוותיק, שנחקק אי אז בשנת 1981. במסגרת זו, מבקש התיקון להחיל סטנדרטים חדשים של זכויות הפרט על פרטיותו וזכויותיו, דרישות לשקיפות, אבטחת מידע, מניעת ניגוד עניינים, במקביל למתן “שיניים” לרשות להגנת הפרטיות כרגולטור אקטיבי, בעל סמכויות פיקוח, אכיפה והטלת עיצומים.
מי הגורם האחראי (באופן אישי) על יישום תיקון 13?
בעבר, מנהל המאגר היה “מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה”. במילים אחרות, מנהלי מאגרי מידע – מנהלי מחלקות, אגפים או עובדים, כל אחד בתחום סמכותו. אלא שתיקון 13 קבע כי “בעל שליטה במאגר מידע” (מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר) ו-“ומחזיק במאגר מידע” (גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע, דוגמת ספקים) – כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.
מינוי DPO
אחד מעמודי התווך של תיקון זה, הוא מיסוד חובת המינוי של DPO בכל גוף המעבד מידע אישי בהיקף רחב, מחזיק מאגרי מידע רגישים, או עוסק במעקב שיטתי אחר אנשים. בשונה מההמלצה הכללית שהייתה קיימת בעבר (Best Practice) , עתה מדובר בהוראת דין מחייבת.
מי חייב במינוי DPO?
סעיף 17ב1(א) קובע את רשימת הגופים החייבים במינוי DPO:
(1) “בעל שליטה במאגר מידע שהוא גוף ציבורי…”. היינו, משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין.
(2) בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם;
(3) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר…
(4) בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין השאר תאגיד בנקאי, מבטח כהגדרתו בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ”א-1981, בית חולים כללי, קופת חולים.”
הצורך והחובה שבמינוי DPO
ניתוח לעומק של הצורך והחובה שבמינוי DPO מעלה כי מהווה אמצעי מרכזי להפחתת סיכונים משפטיים, רגולטוריים, ארגוניים, ניהוליים וטכנולוגיים.
- ציות לדין והימנעות מסנקציות – מינוי DPO בהתאם לתיקון 13 לחוק הגנת הפרטיות הוא חובה משפטית בגופים המעבדים מידע אישי רגיש או בהיקף רחב. הימנעות ממינוי, מינוי בלתי תקני (DPO שאינו כשיר), תלות, ניגוד עניינים, או אי העמדת משאבים מתאימים למילוי התפקיד – חושפים את הארגון לעיצומים מנהליים, צווים רגולטוריים, תביעות ללא הוכחת נזק ואף תביעות ייצוגיות. DPO מאפשר לארגון להראות עמידה אקטיבית בדרישות החוק, קיומה של בקרה פנימית, ומנגנון מניעת הפרות – ובכך מהווה הגנה טובה בפני טענות ציות.
- מניעת אחריות נושאי משרה – תיקון 13 מרחיב את האפשרות להטיל אחריות אישית על המנכ”ל, מנהל מערכות מידע, יועץ משפטי ובעלי תפקידים בכירים, ככל שהוכח כי ידעו או היו צריכים לדעת על הפרה ולא פעלו. מינוי DPO מהווה חיץ משפטי ומקטין את החשש לאחריות אישית של הנהלה.
- הקטנת חשיפה לתביעות אזרחיות – ה־ DPO מוודא קיום של מדיניות פרטיות, תיעוד, תסקירים, ניהול בקשות של נושאי מידע (עיון ותיקון), והסכמי עיבוד עם ספקים (DPA), ובכך מצמצם באופן ישיר את החשיפה של הארגון.
- סיוע במניעת אירועי אבטחת מידע – DPO העובד בהתאם לתוכנית עבודה סדורה, כולל ביצוע סקרי סיכונים ומבדקי חדירות, פועל לרישום מאגרי מידע, הגדרת מאגרי מידע, נהלים, הדרכות וכו’ – מקטין את הסיכון לאירועי סייבר, חדירות והדלפות.
- תגובה מהירה והפחתת נזק בפועל – במקרה של אירוע, כגון מתקפת כופר או דליפת מידע, נוכחותו, ולמצער מינוי של DPO בארגון, מאפשרת תגובה מהירה, מתואמת ומתועדת מול הרגולטור. תגובה כזו עשויה להוביל להפחתת עיצום כספי או הימנעות מהגשת כתב אישום.
- פיקוח עצמאי בתוך הארגון – ה־DPO הוא פונקציה עצמאית, שככלל אינה כפופה למנהלים שתחת אחריותם מצויים תחומי עיבוד המידע. בכך, הוא מהווה אמצעי איזון פנים־ארגוני, בדומה למבקר הפנימי או לקצין ציות. יכולתו להעיר, לבלום תהליכים ולדווח ישירות להנהלה מאפשרת איתור מוקדם של ליקויים, והפעלת ביקורת בזמן אמת, ולא בדיעבד.
- אמון הציבור – כשלי פרטיות מובילים כיום לפגיעה קשה במוניטין, לאובדן אמון צרכנים ולפגיעה כלכלית ארוכת טווח. מינוי DPO נתפס כסמן לציות, רצינות ורגישות מוסדית, הן בעיני לקוחות, הן בעיני שותפים עסקיים, והן מול הרשויות.
עשוי לעניין אותך המאמר: ניהול מכרזים והתקשרויות לאור תיקון 13 >>
תפקידי וכישורי ה-DPO
מעבר להוראות שבחוק בדברי כישורי ה-DPO, מעמדו, תפקידו, תנאי הסף וכיוצ”ב, פרסמה הרשות להגנת הפרטיות בחודש יולי 2025, טיוטת גילוי דעת, המהווה מדריך יישומי לפרשנות הוראות החוק.
הרשות מבהירה כי הממונה על הגנת הפרטיות הנו תפקיד סטטוטורי מהותי, בעל אחריות ישירה, המחייב עצמאות מקצועית מלאה, גישה בלתי אמצעית אל כלל מקורות המידע הארגוניים, ושיקול דעת עצמאי לחלוטין.
לפי הרשות, תפקידו של ה־DPO הוא “רגולטור פנימי”, הפועל על פי החוק והתקנות, מוודא עמידה מלאה בדרישות הדין, מוביל ביצוע סקרי סיכונים, תסקירי DPIA , פיקוח על עיבוד מידע רגיש, גיבוש מדיניות פרטיות ארגונית, ובחינת עמידת הארגון בחובותיו כלפי נושאי המידע, תוכניות עבודה שנתיות, בקרה על ספקים, מענה לפניות נושאי מידע, חינוך והדרכה של עובדים, מעקב אחר שינויים בחקיקה והגשת דוחות תקופתיים לרשות.
DPO אפקטיבי חייב להיות מעורב בתהליכים בזמן אמת, ולא בדיעבד. עליו להיות מוזמן לדיונים הנוגעים לפיתוח מערכות חדשות, התקשרויות עם צדדים שלישיים, ניתוח פרויקטים טכנולוגיים, ולפעול מתוך הבנה מערכתית רחבה. בהקשר זה, יש להבטיח כי כל שינוי מהותי בתהליכי עיבוד המידע יעבור תחת עינו הבוחנת של ה־DPO תוך ביצוע בדיקות סף והערכת סיכונים מקדימה.
מניעת ניגוד עניינים
סוגיה מהותית נוספת שזוכה להבהרה, היא שאלת ניגוד העניינים. תיקון 13 קבע הוראה כללית בדבר ניגוד עניינים, וטיוטת גילוי הדעת צועדת צעד נוסף ומונה בעלי תפקידים אשר אינם כשירים לכהן בתפקיד DPO: מנכ”ל, יועץ משפטי פנימי, סמנכ”ל משאבי אנוש, מנהל מערכות מידע ומנהל כספים. לא ניתן להפקיד בידי אדם תפקיד פיקוח עצמאי על תהליכים אשר נמצאים תחת אחריותו הישירה. מינוי שכזה מהווה ליקוי מבני המונע ביצוע אפקטיבי של חובות הפיקוח והבקרה. הרשות מבהירה כי כל חשש לקיומו של ניגוד עניינים, יוביל לפסילת המינוי.
משכך, ארגונים שאינם מסוגלים למנות ממונה פנימי העונה על דרישות החוק, נדרשים לבחון אפשרות של מינוי DPO במיקור חוץ – קרי, עורך דין או מומחה בתחום, הפועל במסגרת הסכם שירות עצמאי, וזוכה לסמכויות פיקוח מלאות ובלתי תלויות.
הבחנה בין DPO פנימי לחיצוני
החוק מאפשר לארגון לבחור בין מינוי פנימי של עובד לבין התקשרות עם נותן שירות חיצוני. משרדנו ממליץ על בחינה קונקרטית של המבנה הארגוני, רמת הסיכון, היקף עיבוד המידע והיכולת להעניק סמכויות פיקוח אפקטיביות. אף שהפתרון הפנימי עדיף ברמה התיאורטית – בהיבטי היכרות עם התרבות הארגונית וזמינות תפעולית – אין בכך כדי לגרוע מכשירותו של ממונה חיצוני, ובלבד שההתקשרות נעשית לפי כללי הדין, ומעניקה לו שיקול דעת עצמאי, נגישות מלאה, ומשאבים מספקים.
כמובן, לא ניתן למנות תאגיד או חברה כ־DPO . המינוי חייב להיעשות ליחיד (אדם טבעי) בלבד, גם אם ההתקשרות נעשית דרך חברה המספקת את השירותים. לשם כך נדרש הסכם מפורט הכולל היקף שעות, אחריות מקצועית, מנגנוני עדכון, ואיסור על ניגוד עניינים.
אי מינוי או מינוי לא אפקטיבי – עילות לאכיפה והטלת סנקציות
מוסד ה־DPO נתפס, בצדק, כקו ההגנה הראשון של הארגון מפני חשיפה משפטית. בהיעדרו, או אם לא מופעל כדין, הארגון צפוי להיחשף לשורת סנקציות חמורות – לרבות עיצומים כספיים בגין הפרת חובת מינוי, אי ביצוע חובות פיקוח, עיבוד מידע לא חוקי, וכן עילות לתביעות אזרחיות, לרבות תובענות ייצוגיות ופיצויים ללא הוכחת נזק.
ככל שיתברר כי המינוי נעשה מן השפה ולחוץ – ללא סמכות, הכשרה או נגישות – עשוי הארגון להיחשב כמי שלא מינה כלל ממונה כנדרש, ולפיכך תיחשב הפרתו להפרה מהותית ומובנית של החוק.
סיכום
תיקון 13 לחוק הגנת הפרטיות מציב את מינוי ממונה הגנת פרטיות (DPO) כתנאי יסוד במשטר הציות החדש, המחייב גופים ציבוריים ופרטיים להבטיח פיקוח עצמאי, מקצועי ובלתי תלוי על עיבוד מידע אישי. הממונה מהווה חיץ משפטי וניהולי המפחית סיכונים רגולטוריים, משפטיים ותדמיתיים, מחזק את מנגנוני הבקרה הפנימיים, מאפשר תגובה יעילה לאירועי סייבר ומבטא מחויבות אסטרטגית להגנת זכויות הפרט. אי-מינוי, או מינוי לא אפקטיבי, עלולים לחשוף את הארגון לסנקציות חמורות, אחריות אישית של נושאי משרה, עיצומים כספיים ותביעות אזרחיות.
משרד וולר ושות’: היישום המשפטי, הרגולטורי והניהולי של חובת המינוי
משרד עו”ד וולר ושות’ מלווה מזה שנים רשויות מקומיות, עמותות, מוסדות ציבוריים, תאגידים עירוניים וחברות פרטיות, במדיניות בתחום הגנת הפרטיות, נהלי עבודה, גיבוש תוכנית עבודה שנתית, מיפוי ורישום מאגרים, עריכת מכרזים, הסכמים, ומערך נהלים כולל, וכן במינוי כ-DPO במיקור חוץ. צוות המשרד כולל עורכי דין מומחים בדיני פרטיות, יועצים טכנולוגיים, ומנהלי סיכונים, אשר יחד מבטיחים יישום קוהרנטי, אסטרטגי, ומותאם אישית של הוראות החוק, מתוך הבנה משפטית וארגונית כאחד.
