top image

תקנה 15 לתקנות הגנת הפרטיות: מיקור חוץ

איש מקצוע בארגון בוחן התקשרות עם ספק מיקור חוץ בחדר שרתים מאובטח, תוך ניהול סיכוני אבטחת מידע ועמידה בתקנה 15 של תקנות הגנת הפרטיות

תקנה 15 לתקנות אבטחת מידע מחייבת כל גוף המעביר מידע אישי לספק חיצוני להסדיר את ההתקשרות בהסכם כתוב, לקבוע חובות אבטחת מידע, בקרה ואיסור שימוש חורג במידע. אי־עמידה בתקנה חושפת את בעל המאגר לקנסות, אחריות אישית והפרת חוק הגנת הפרטיות.

 

מה הצורך בתקנה 15

העמדת מידע אישי ממאגרי הארגון לרשות ספק חיצוני מייצרת חשיפה משפטית וסיכוני סייבר משמעותיים, שכן הפיקוח הישיר על הנתונים מוגבל. כדי להסדיר זאת, קובעת תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) חובות קפדניות על בעלי מאגרים בעת התקשרות עם ספקים. נוכח הגידול באירועי דליפת מידע ומתקפות סייבר על שרשראות אספקה, הרשות להגנת הפרטיות פרסמה הנחיות מחייבות ליישום התקנה. משרדנו מלווה חברות וארגונים בגיבוש הסכמי הגנת פרטיות, בחינת הציות של ספקי המשנה ויישום מדריך הפעולה של הרשות, במטרה להבטיח הגנה מקסימלית על המידע ומניעת עיצומים כספיים ותביעות נזיקין.

 

התשתית הנורמטיבית: תקנה 15 

תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, קובעת את חובותיו של בעל מאגר מידע בעת התקשרות עם גורם חיצוני (מיקור חוץ) לצורך קבלת שירות הכרוך בגישה למאגר המידע, לרבות בחינת סיכונים, קביעת תנאים מפורשים בהסכם, פירוט בנוהל האבטחה ונקיטת אמצעי בקרה ופיקוח. התקנה מייצרת, למעשה, מנגנון ציות המתחיל בבחינה טרם ההתקשרות ונמשך לאורך כל תקופת היחסים עם הספק. החובות כוללות בדיקה מקדמית מעמיקה, קביעת אמצעי פיקוח ובקרה, ועריכת הסכם מפורט הכולל את כל ההוראות הנדרשות ליצירת ממשק מאובטח בין הארגון לבין הספק.

בפועל, התקנה מעגנת תפיסה רגולטורית המזהה את הספק כ”חוליה חלשה” מבחינה מבצעית: גורם שאינו חלק מהארגון, שמקבל גישה למידע ולעתים אף מעבדו, ולכן דורש פיקוח מוגבר, בדיקות תקופתיות, ספציפיקציה של נהלים, ותיעוד נרחב של פעולותיו. חשיבותה של תקנה 15 מתעצמת נוכח תיקון 13 לחוק הגנת הפרטיות, המחיל דרישות מחמירות יותר על בעלי מאגרים ועל מחזיקים, ובפרט חובת דיווח על אירועי אבטחה חמורים, דרישות שקיפות, וצורך בתיעוד סביר של כל מנגנוני עיבוד המידע.

 

בדיקה מקדמית: בחינת סיכונים כתנאי סף להתקשרות עם הספק

שלב הבדיקה המקדמית מהווה נדבך יסוד בהתקשרות עם ספקי מיקור חוץ. מטרתו לבחון האם השירות שמבקש בעל המאגר לקבל מחייב גישה למידע אישי, מהו סוג המידע, מה רמת הרגישות, ומהם הסיכונים הנלווים לגישה זו. רק על בסיס הערכה מודעת ומקצועית של סיכונים ניתן להחליט אם נכון להתקשר עם הספק ואם נדרשים סייגים או אמצעי זהירות נוספים.

מדריך הרשות מציע שאלון בדיקה מפורט המהווה כלי עזר בלבד, אולם הוא מדגים את היקף הבדיקה המצופה מבעל המאגר: בחינת נהלי אבטחת המידע של הספק, קיום תקנים (כגון ISO 27001), נוהלי התמודדות עם אירועי אבטחה, היסטוריית אירועים, קיומם של מנגנוני תיעוד, מערכי גיבוי, מנגנוני זיהוי דו־שלבי, אמצעי הפרדה בין לקוחות, מבנה תחנות הקצה והאם קיימת תשתית מיגון אפליקטיבית.

המשמעות המשפטית היא כפולה: ראשית, ללא בדיקה מקדמית נאותה ההתקשרות עלולה להיחשב כתרשלנות רגולטורית; שנית, בדיקה זו היא שמאפשרת התאמה של תנאי ההסכם לנסיבות הספציפיות. היא גם מאפשרת לבעל המאגר להוכיח בעת ביקורת כי פעל בהתאם לסעיפי החוק ולתקנות, וכי החליט על־יסוד שיקולים מקצועיים ולא בהתבסס על נוחות תפעולית בלבד.

 

הסכם בין בעל המאגר לבין הספק: מנגנון הציות

הסכם ההתקשרות מהווה את העוגן המשפטי המרכזי של תקנה 15. ההסכם עם הגורם החיצוני צריך לכלול פירוט של המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו, מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן, סוג העיבוד או הפעולה המותרים, משך ההתקשרות, אופן השבת המידע או השמדתו בסיום ההתקשרות ודיווח על כך. כמו כן, יש לפרט את אופן יישום חובות אבטחת המידע, חובת הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לסודיות ושימוש במידע לפי ההסכם, וחובתו לדווח לבעל המאגר על ביצוע חובותיו ועל אירועי אבטחה. אם הותרה התקשרות עם גורם נוסף, על ההסכם לכלול את כל הנושאים המפורטים בתקנה זו גם לגביו.

במרכז ההוראות נמצאת החובה להגדיר בדיוק את סוגי המידע אליהם יוכל הספק לגשת, את המטרה שלשמה הוא רשאי להשתמש בכל סוג מידע, ואת מערכות המאגר בהן יקבל הרשאות. נדרש תיאור של מורשי הגישה מטעם הספק, לרבות שמות, תפקידים, רמת הרשאה, והאופן שבו תנוהל גישתם. כמו כן יש להגדיר מה רשאי הספק לעשות בנתונים: עיון בלבד, עיבוד מוגבל, יצירת מידע חדש, או בשילוב נתונים עם מערכותיו. לאחרונה, נוכח הוראות נוספות של הרשות להגנת הפרטיות, יש לכלול גם התייחסות לשימוש בנתונים לצורך בינה מלאכותית ואימון AI.

עוד מחייבת התקנה פירוט מלא של הליך סיום ההתקשרות: כיצד יושבו או יושמדו הנתונים (וכאן הרחבה), היכן מצויים גיבויים, כיצד יימחק מידע ממערכות דיוור, תיבות דוא”ל, תיקיות משותפות והתקנים חיצוניים. בעל המאגר מחויב לקבל מהספק דיווח חתום המאשר כי כל המידע הושב או הושמד, לרבות מידע המצוי אצל ספקי משנה.

כאשר הספק מוגדר כ”מחזיק” (במילים אחרות, כאשר עיבוד המידע נעשה דרך קבע במאגר המצוי בשליטתו של הספק), ההסכם חייב לכלול הוראות המפורטות בתקנות, לרבות חובת דיווח לרשות להגנת הפרטיות על אירועי אבטחה חמורים.

 

העברת מידע אישי לספק חיצוני ללא הסכם לפי תקנה 15 מהווה הפרת חובה רגולטורית. האחריות אינה “עוברת” לספק, אלא נותרת על בעל המאגר, גם אם הדליפה או הכשל נגרמו אצל הספק.

פיקוח ובקרה: אחריות מתמשכת של בעל המאגר

מדריך הרשות מחדד כי ביצוע בדיקה מקדמית והסדרת ההסכם אינם מספקים. בעל המאגר מחויב לקבוע בנוהל אבטחת המידע שלו הוראות מפורטות לגבי אופן הפיקוח על הספק, תדירות הבקרה, ובחינת עמידתו בהסכם. הפיקוח נדרש להתבצע בהתאם לרמת הסיכון שהספק יוצר וביחס למטרה שלשמה ניתנה לו גישה.

חשיבות מיוחדת ניתנת לשאלון הבקרה התקופתית שהרשות מציעה לשלוח לספק אחת לשנה. השאלון נועד לבחון שינויים בתשתיות המחשוב, תקפות תקני אבטחת המידע, קיום הדרכות, היקף אירועי סייבר, מגעים עם רגולטורים, עדכוני נהלים והתמודדות עם תקלות. באמצעות שאלון זה מבטיח בעל המאגר תיעוד סדור של מכלול פעולות הספק, תיעוד שהינו חיוני בעת ביקורת, בעת אירוע אבטחה, ובעת הצורך להוכיח עמידה בהוראות הדין.

במקרים בהם הספק עושה שימוש בספק משנה, נדרש בעל המאגר לוודא כי קיים הסכם תקין בין הספק הראשי לבין ספק המשנה, וכי כל הוראות תקנה 15 חלות גם עליו. היעדר בקרה על שרשרת הספקים מייצר חשיפה רגולטורית ופוטנציאל להטלת עיצומים מנהליים.

 

שאלוני בדיקה

הרשות מציגה במדריך שני נוסחים משלימים של שאלוני בדיקה: שאלון מקדמי לבחינת יכולותיו של הספק טרם ההתקשרות, ושאלון בקרה תקופתית לצורך בחינה שוטפת של עמידתו בהוראות הדין ובדרישות אבטחת המידע. נדגיש כי הרשות מצהירה כי השאלונים מהווים כלי עזר בלבד, ואינם מהווים תחליף לניתוח עצמאי, להטמעת נהלים מקיפים או לעמידה מלאה בחובות המעוגנות בחוק הגנת הפרטיות ותקנותיו. היקף השאלונים, כפי שפורטו בנספחי המדריך, מקיף תשתיות ונהלים מרכזיים של הספק, ובהם: בחינת מדיניות האבטחה ויישומה בפועל, נוכחות תקני אבטחת מידע מקובלים, נהלי תיעוד ובקרת גישה, ביצוע הדרכות לעובדים, והיערכות לניהול אירועי אבטחת מידע לרבות איתור, תחקור ודיווח.

לעניין שאלון הבקרה התקופתית, הרשות ממליצה להעבירו לספק אחת לשנה, לשם בחינת שינויים שנערכו במדיניות האבטחה ובמערכות הטכנולוגיות של הספק, מעקב אחר קיום הדרכות ופעולות הסמכה, סקירת אירועי סייבר שאירעו במהלך השנה, בחינת מנגנוני הדיווח, וכן איתור פערים או כשלים המחייבים טיפול במסגרת הפיקוח השוטף.

 

המשמעויות המשפטיות והרגולטוריות של המדריך ליישום תקנה 15

הפרשנות שמעניקה הרשות להגנת הפרטיות לתקנה 15 אינה טכנית בלבד. היא מכוננת למעשה משטר ציות חדש ומורכב, המחייב את בעלי המאגרים להפעיל תהליכי בקרה, תיעוד ושיקול דעת מהותיים בכל הקשור להסתייעות בספקי מיקור חוץ. המשמעויות המרכזיות הן אלה:

1. החמרת חובת הזהירות של בעל המאגר

בעל המאגר – משרד ממשלתי, חברה ממשלתית, יחידת סמך, רשות מקומית, תאגיד עירוני, גוף סטטוטורי, חברה פרטית או מלכ”ר – נדרש להוכיח כי פעל בהתאם לחוק ולהוראות הרגולטור. האחריות אינה מועברת לספק ואינה מתחלקת עמו. בעל המאגר ממשיך להיות הגורם המרכזי האחראי לאבטחת המידע. המשמעות: כל כשל של הספק, לרבות דליפה, תקלה, או שימוש בלתי מורשה – מיוחס בראש ובראשונה לבעל המאגר, שלא פיקח כראוי.

2. הפיכת נוהל אבטחת המידע למסמך מחייב

אם בעבר נהלי אבטחת המידע שימשו מסגרת כללית בלבד, המדריך ליישום תקנה 15 מחייב כי נוהל האבטחה יכלול התייחסות מפורטת להתקשרויות עם ספקים: אופן הבחינה, שיטת הפיקוח, טבלת הרשאות, נהלי סיום התקשרות, תיעוד ועוד. המשמעות: נוהל שאינו כולל הסדרה פרטנית של תקנה 15 ייחשב כחסר ובלתי תואם לדרישות הדין.

3. שינוי נקודת המבט: מהסכם שירות להסכם עיבוד מידע

הרשות מצפה כי ארגונים יפסיקו לראות בספק “נותן שירותים טכנולוגיים” בלבד. ההסכם הופך בפועל להסכם עיבוד נתונים, המקביל להסכמי DPA הנהוגים באירופה. ההנחה היא שהספק הוא חלק ממנגנון עיבוד המידע של הארגון, והפיקוח עליו חייב להיות הדוק וממוסמך. המשמעות: כל הסכם עם ספק, גם אם הוא ספק תמיכה, ספק תוכנה, חשב שכר, מוקד שירות, חברת מצלמות, חברת אבטחה, ספק IT או ענן – חייב לכלול את הוראות תקנה 15.

4. החמרת חשיפת הארגון לעיצומים מנהליים

אי־עמידה בתקנה 15 עלולה להיחשב כהפרה של חובת האבטחה בתקנות, ובמקרים מסוימים כהפרה של תיקון 13. הפרות אלה עשויות להוביל לעיצומים בסכומים ניכרים, לביקורת ולחשיפה משפטית מול נושאי מידע. המשמעות: רף האכיפה עלה משמעותית, והיעדר תיעוד נחשב כהיעדר ציות.

5. אחריות מוגברת לגבי ספקי משנה

הספק הראשי אינו “מגן” על בעל המאגר מפני ספק המשנה. בעל המאגר חייב לוודא שבין הספק הראשי לספק המשנה יש הסכם מלא העומד בדרישות התקנות. הנמקה כללית אינה מספיקה. המשמעות: גם ספק משנה בחו”ל, או ספק משנה של ספק ענן, חייב להיות מכוסה משפטית ובקרתית.

6. התבססות על תיעוד כראיה מרכזית

בביקורת פרטיות, הרשות להגנת הפרטיות תבחן, בראש ובראשונה:

  • האם הבחינה המקדמית מתועדת?
  • קיום שאלונים חתומים?
  • ביצוע בדיקות תקופתיות?
  • אסמכתאות למחיקת מידע בסיום ההתקשרות?

 

סיכום: תקנה 15 

מדריך הרשות להגנת הפרטיות מציג תפיסה רגולטורית סדורה, המזהה במדויק את נקודות הסיכון הגלומות בממשקי ספקים חיצוניים. תקנה 15 יוצרת משטר ציות מפורט ואופרטיבי, כזה שאינו מאפשר עוד הסתפקות בחתימה על סעיף כללי בהסכם שירות, אלא דורש ניהול שיטתי ושקוף של כל שלב בעיבוד המידע. ארגונים נדרשים כיום לנהל מאגרי מידע באופן מקצועי ומבוקר, ולדאוג כי ספקי מיקור חוץ, לרבות ספקי משנה, עומדים בכל היבטי החוק, התקנות, הנחיות הרשות וכללי אבטחת המידע המקובלים. אי עמידה בחובות עשויה להוביל להליכים מנהליים, לעיצומים כספיים משמעותיים, לנזקים תדמיתיים ולפגיעה ממשית בנושאי המידע.

משרד וולר ושות’ מלווה ארגונים בהטמעת תקנה 15, בסקר ציות, בגיבוש הסכמי עיבוד (DPA), בביצוע בדיקות מקדמיות, בהובלת תהליכי ציות ובהתמודדות עם דרישות הרשות להגנת הפרטיות בהתאם לתיקון 13. אנו מעמידים לרשות לקוחותינו תשתית משפטית־טכנולוגית מלאה, המשלבת ידע רגולטורי עדכני וניסיון רב־שנים ביישום הפרקטיקות הנדרשות, תוך ניהול מדויק ומקצועי של הסיכונים הנלווים לעיבוד מידע אישי.

קישור למדריך – כאן.

שאלות ותשובות נפוצות - תקנה 15 והתקשרות עם ספקים חיצוניים

על מי חלה חובת הביקורת לפי תקנה 15?

החובה חלה על כל גוף המנהל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה. זה כולל, בין היתר, גופים ציבוריים, מוסדות פיננסיים, גופי בריאות, וכל עסק המנהל מידע רגיש על מעל 1,000 איש או מידע על מעל 10,000 איש שאינו נחשב רגיש.

האם כל ספק חייב בהסכם אבטחת מידע?

כן, אם הוא נחשף למידע אישי או מעבד אותו.

מי אחראי במקרה של דליפת מידע אצל ספק?

בעל המאגר, לרבות נושאי משרה.

האם החובה חלה גם על רשויות מקומיות וגופים ציבוריים?

כן, במלואה.

מי מוסמך לבצע את הביקורת?

הביקורת תבוצע על ידי גורם מוסמך – פנימי או חיצוני – ובלבד שהוא אינו מנהל מאגר המידע או ממונה אבטחת המידע של אותו מאגר (כדי למנוע ניגוד עניינים). ליווי של עורך דין המתמחה בהגנת פרטיות מבטיח שדוח הביקורת יכלול את כל ההיבטים הרגולטוריים הנדרשים.

מהן ההשלכות של אי-קיום הביקורת?

מעבר לקנסות מנהליים מהרשות להגנת הפרטיות, העדר דוח ביקורת תקף מהווה “פרצה קוראת לתביעה”. במקרה של דליפת מידע, הארגון יתקשה להוכיח כי עמד בחובתיו לפי הדין.

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם ביום: 20/11/2025.

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign