top image

יישום תקנה 15: התקשרות עם ספקי מיקור חוץ

איש מקצוע בארגון בוחן התקשרות עם ספק מיקור חוץ בחדר שרתים מאובטח, תוך ניהול סיכוני אבטחת מידע ועמידה בתקנה 15 של תקנות הגנת הפרטיות

ארגונים מאמצים שירותים חיצוניים לצורכי תפעול, אבטחה, תמיכה טכנית, פיתוח מערכות, שירותי ענן, גבייה, שכר ומשאבי אנוש ושירותים מקצועיים אחרים, מתוך כוונה לייעל תהליכים, להתמקד בתחומי הליבה ולשפר את איכות השירות. אולם לצד יתרונות אלו מתעוררת סוגיית יסוד: העמדת מידע אישי המצוי במאגרי הארגון לרשות גורם חיצוני, שאינו חלק מן המערכת הפנימית וממילא אינו נתון לפיקוח ישיר ומתמשך. חשיפת נתונים לשימוש צד שלישי מחייבת אפוא עמידה קפדנית בחובות החוקיות, ובראשן תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017.

נוכח ריבוי אירועי סייבר, דליפות מידע ומקרי כשל בממשקי ספקים, פרסמה הרשות להגנת הפרטיות מדריך פעולה מקיף ליישום תקנה 15. המדריך נועד לסייע לבעלי מאגרים ולמחזיקים להבין את מכלול החובות המוטלות עליהם בעת הענקת גישה למאגר מידע, ולפרט את האופן שבו עליהם לנסח, ליישם ולבקר את ההתקשרות עם ספקים חיצוניים. סקירה תמציתית של המדריך, משמעויות ודרכי היישום, מאת משרד עו”ד וולר ושות’.

 

התשתית הנורמטיבית: תקנה 15 

תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, קובעת את חובותיו של בעל מאגר מידע בעת התקשרות עם גורם חיצוני (מיקור חוץ) לצורך קבלת שירות הכרוך בגישה למאגר המידע, לרבות בחינת סיכונים, קביעת תנאים מפורשים בהסכם, פירוט בנוהל האבטחה ונקיטת אמצעי בקרה ופיקוח. התקנה מייצרת, למעשה, מנגנון ציות המתחיל בבחינה טרם ההתקשרות ונמשך לאורך כל תקופת היחסים עם הספק. החובות כוללות בדיקה מקדמית מעמיקה, קביעת אמצעי פיקוח ובקרה, ועריכת הסכם מפורט הכולל את כל ההוראות הנדרשות ליצירת ממשק מאובטח בין הארגון לבין הספק.

בפועל, התקנה מעגנת תפיסה רגולטורית המזהה את הספק כ”חוליה חלשה” מבחינה מבצעית: גורם שאינו חלק מהארגון, שמקבל גישה למידע ולעתים אף מעבדו, ולכן דורש פיקוח מוגבר, בדיקות תקופתיות, ספציפיקציה של נהלים, ותיעוד נרחב של פעולותיו. חשיבותה של תקנה 15 מתעצמת נוכח תיקון 13 לחוק הגנת הפרטיות, המחיל דרישות מחמירות יותר על בעלי מאגרים ועל מחזיקים, ובפרט חובת דיווח על אירועי אבטחה חמורים, דרישות שקיפות, וצורך בתיעוד סביר של כל מנגנוני עיבוד המידע.

 

בדיקה מקדמית: בחינת סיכונים כתנאי סף להתקשרות עם הספק

שלב הבדיקה המקדמית מהווה נדבך יסוד בהתקשרות עם ספקי מיקור חוץ. מטרתו לבחון האם השירות שמבקש בעל המאגר לקבל מחייב גישה למידע אישי, מהו סוג המידע, מה רמת הרגישות, ומהם הסיכונים הנלווים לגישה זו. רק על בסיס הערכה מודעת ומקצועית של סיכונים ניתן להחליט אם נכון להתקשר עם הספק ואם נדרשים סייגים או אמצעי זהירות נוספים.

מדריך הרשות מציע שאלון בדיקה מפורט המהווה כלי עזר בלבד, אולם הוא מדגים את היקף הבדיקה המצופה מבעל המאגר: בחינת נהלי אבטחת המידע של הספק, קיום תקנים (כגון ISO 27001), נוהלי התמודדות עם אירועי אבטחה, היסטוריית אירועים, קיומם של מנגנוני תיעוד, מערכי גיבוי, מנגנוני זיהוי דו־שלבי, אמצעי הפרדה בין לקוחות, מבנה תחנות הקצה והאם קיימת תשתית מיגון אפליקטיבית.

המשמעות המשפטית היא כפולה: ראשית, ללא בדיקה מקדמית נאותה ההתקשרות עלולה להיחשב כתרשלנות רגולטורית; שנית, בדיקה זו היא שמאפשרת התאמה של תנאי ההסכם לנסיבות הספציפיות. היא גם מאפשרת לבעל המאגר להוכיח בעת ביקורת כי פעל בהתאם לסעיפי החוק ולתקנות, וכי החליט על־יסוד שיקולים מקצועיים ולא בהתבסס על נוחות תפעולית בלבד.

 

הסכם בין בעל המאגר לבין הספק: מנגנון הציות

הסכם ההתקשרות מהווה את העוגן המשפטי המרכזי של תקנה 15. ההסכם עם הגורם החיצוני צריך לכלול פירוט של המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו, מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן, סוג העיבוד או הפעולה המותרים, משך ההתקשרות, אופן השבת המידע או השמדתו בסיום ההתקשרות ודיווח על כך. כמו כן, יש לפרט את אופן יישום חובות אבטחת המידע, חובת הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לסודיות ושימוש במידע לפי ההסכם, וחובתו לדווח לבעל המאגר על ביצוע חובותיו ועל אירועי אבטחה. אם הותרה התקשרות עם גורם נוסף, על ההסכם לכלול את כל הנושאים המפורטים בתקנה זו גם לגביו.

במרכז ההוראות נמצאת החובה להגדיר בדיוק את סוגי המידע אליהם יוכל הספק לגשת, את המטרה שלשמה הוא רשאי להשתמש בכל סוג מידע, ואת מערכות המאגר בהן יקבל הרשאות. נדרש תיאור של מורשי הגישה מטעם הספק, לרבות שמות, תפקידים, רמת הרשאה, והאופן שבו תנוהל גישתם. כמו כן יש להגדיר מה רשאי הספק לעשות בנתונים: עיון בלבד, עיבוד מוגבל, יצירת מידע חדש, או בשילוב נתונים עם מערכותיו. לאחרונה, נוכח הוראות נוספות של הרשות להגנת הפרטיות, יש לכלול גם התייחסות לשימוש בנתונים לצורך בינה מלאכותית ואימון AI.

עוד מחייבת התקנה פירוט מלא של הליך סיום ההתקשרות: כיצד יושבו או יושמדו הנתונים (וכאן הרחבה), היכן מצויים גיבויים, כיצד יימחק מידע ממערכות דיוור, תיבות דוא”ל, תיקיות משותפות והתקנים חיצוניים. בעל המאגר מחויב לקבל מהספק דיווח חתום המאשר כי כל המידע הושב או הושמד, לרבות מידע המצוי אצל ספקי משנה.

כאשר הספק מוגדר כ”מחזיק” (במילים אחרות, כאשר עיבוד המידע נעשה דרך קבע במאגר המצוי בשליטתו של הספק), ההסכם חייב לכלול הוראות המפורטות בתקנות, לרבות חובת דיווח לרשות להגנת הפרטיות על אירועי אבטחה חמורים.

 

פיקוח ובקרה: אחריות מתמשכת של בעל המאגר

מדריך הרשות מחדד כי ביצוע בדיקה מקדמית והסדרת ההסכם אינם מספקים. בעל המאגר מחויב לקבוע בנוהל אבטחת המידע שלו הוראות מפורטות לגבי אופן הפיקוח על הספק, תדירות הבקרה, ובחינת עמידתו בהסכם. הפיקוח נדרש להתבצע בהתאם לרמת הסיכון שהספק יוצר וביחס למטרה שלשמה ניתנה לו גישה.

חשיבות מיוחדת ניתנת לשאלון הבקרה התקופתית שהרשות מציעה לשלוח לספק אחת לשנה. השאלון נועד לבחון שינויים בתשתיות המחשוב, תקפות תקני אבטחת המידע, קיום הדרכות, היקף אירועי סייבר, מגעים עם רגולטורים, עדכוני נהלים והתמודדות עם תקלות. באמצעות שאלון זה מבטיח בעל המאגר תיעוד סדור של מכלול פעולות הספק, תיעוד שהינו חיוני בעת ביקורת, בעת אירוע אבטחה, ובעת הצורך להוכיח עמידה בהוראות הדין.

במקרים בהם הספק עושה שימוש בספק משנה, נדרש בעל המאגר לוודא כי קיים הסכם תקין בין הספק הראשי לבין ספק המשנה, וכי כל הוראות תקנה 15 חלות גם עליו. היעדר בקרה על שרשרת הספקים מייצר חשיפה רגולטורית ופוטנציאל להטלת עיצומים מנהליים.

 

שאלוני בדיקה

הרשות מציגה במדריך שני נוסחים משלימים של שאלוני בדיקה: שאלון מקדמי לבחינת יכולותיו של הספק טרם ההתקשרות, ושאלון בקרה תקופתית לצורך בחינה שוטפת של עמידתו בהוראות הדין ובדרישות אבטחת המידע. נדגיש כי הרשות מצהירה כי השאלונים מהווים כלי עזר בלבד, ואינם מהווים תחליף לניתוח עצמאי, להטמעת נהלים מקיפים או לעמידה מלאה בחובות המעוגנות בחוק הגנת הפרטיות ותקנותיו. היקף השאלונים, כפי שפורטו בנספחי המדריך, מקיף תשתיות ונהלים מרכזיים של הספק, ובהם: בחינת מדיניות האבטחה ויישומה בפועל, נוכחות תקני אבטחת מידע מקובלים, נהלי תיעוד ובקרת גישה, ביצוע הדרכות לעובדים, והיערכות לניהול אירועי אבטחת מידע לרבות איתור, תחקור ודיווח.

לעניין שאלון הבקרה התקופתית, הרשות ממליצה להעבירו לספק אחת לשנה, לשם בחינת שינויים שנערכו במדיניות האבטחה ובמערכות הטכנולוגיות של הספק, מעקב אחר קיום הדרכות ופעולות הסמכה, סקירת אירועי סייבר שאירעו במהלך השנה, בחינת מנגנוני הדיווח, וכן איתור פערים או כשלים המחייבים טיפול במסגרת הפיקוח השוטף.

 

המשמעויות המשפטיות והרגולטוריות של המדריך ליישום תקנה 15

הפרשנות שמעניקה הרשות להגנת הפרטיות לתקנה 15 אינה טכנית בלבד. היא מכוננת למעשה משטר ציות חדש ומורכב, המחייב את בעלי המאגרים להפעיל תהליכי בקרה, תיעוד ושיקול דעת מהותיים בכל הקשור להסתייעות בספקי מיקור חוץ. המשמעויות המרכזיות הן אלה:

1. החמרת חובת הזהירות של בעל המאגר

בעל המאגר – משרד ממשלתי, חברה ממשלתית, יחידת סמך, רשות מקומית, תאגיד עירוני, גוף סטטוטורי, חברה פרטית או מלכ”ר – נדרש להוכיח כי פעל בהתאם לחוק ולהוראות הרגולטור. האחריות אינה מועברת לספק ואינה מתחלקת עמו. בעל המאגר ממשיך להיות הגורם המרכזי האחראי לאבטחת המידע. המשמעות: כל כשל של הספק, לרבות דליפה, תקלה, או שימוש בלתי מורשה – מיוחס בראש ובראשונה לבעל המאגר, שלא פיקח כראוי.

2. הפיכת נוהל אבטחת המידע למסמך מחייב

אם בעבר נהלי אבטחת המידע שימשו מסגרת כללית בלבד, המדריך ליישום תקנה 15 מחייב כי נוהל האבטחה יכלול התייחסות מפורטת להתקשרויות עם ספקים: אופן הבחינה, שיטת הפיקוח, טבלת הרשאות, נהלי סיום התקשרות, תיעוד ועוד. המשמעות: נוהל שאינו כולל הסדרה פרטנית של תקנה 15 ייחשב כחסר ובלתי תואם לדרישות הדין.

3. שינוי נקודת המבט: מהסכם שירות להסכם עיבוד מידע

הרשות מצפה כי ארגונים יפסיקו לראות בספק “נותן שירותים טכנולוגיים” בלבד. ההסכם הופך בפועל להסכם עיבוד נתונים, המקביל להסכמי DPA הנהוגים באירופה. ההנחה היא שהספק הוא חלק ממנגנון עיבוד המידע של הארגון, והפיקוח עליו חייב להיות הדוק וממוסמך. המשמעות: כל הסכם עם ספק, גם אם הוא ספק תמיכה, ספק תוכנה, חשב שכר, מוקד שירות, חברת מצלמות, חברת אבטחה, ספק IT או ענן – חייב לכלול את הוראות תקנה 15.

4. החמרת חשיפת הארגון לעיצומים מנהליים

אי־עמידה בתקנה 15 עלולה להיחשב כהפרה של חובת האבטחה בתקנות, ובמקרים מסוימים כהפרה של תיקון 13. הפרות אלה עשויות להוביל לעיצומים בסכומים ניכרים, לביקורת ולחשיפה משפטית מול נושאי מידע. המשמעות: רף האכיפה עלה משמעותית, והיעדר תיעוד נחשב כהיעדר ציות.

5. אחריות מוגברת לגבי ספקי משנה

הספק הראשי אינו “מגן” על בעל המאגר מפני ספק המשנה. בעל המאגר חייב לוודא שבין הספק הראשי לספק המשנה יש הסכם מלא העומד בדרישות התקנות. הנמקה כללית אינה מספיקה. המשמעות: גם ספק משנה בחו”ל, או ספק משנה של ספק ענן, חייב להיות מכוסה משפטית ובקרתית.

6. התבססות על תיעוד כראיה מרכזית

בביקורת פרטיות, הרשות להגנת הפרטיות תבחן, בראש ובראשונה:

  • האם הבחינה המקדמית מתועדת?
  • קיום שאלונים חתומים?
  • ביצוע בדיקות תקופתיות?
  • אסמכתאות למחיקת מידע בסיום ההתקשרות?

 

סיכום: תקנה 15 

מדריך הרשות להגנת הפרטיות מציג תפיסה רגולטורית סדורה, המזהה במדויק את נקודות הסיכון הגלומות בממשקי ספקים חיצוניים. תקנה 15 יוצרת משטר ציות מפורט ואופרטיבי, כזה שאינו מאפשר עוד הסתפקות בחתימה על סעיף כללי בהסכם שירות, אלא דורש ניהול שיטתי ושקוף של כל שלב בעיבוד המידע. ארגונים נדרשים כיום לנהל מאגרי מידע באופן מקצועי ומבוקר, ולדאוג כי ספקי מיקור חוץ, לרבות ספקי משנה, עומדים בכל היבטי החוק, התקנות, הנחיות הרשות וכללי אבטחת המידע המקובלים. אי עמידה בחובות עשויה להוביל להליכים מנהליים, לעיצומים כספיים משמעותיים, לנזקים תדמיתיים ולפגיעה ממשית בנושאי המידע.

משרד וולר ושות’ מלווה ארגונים בהטמעת תקנה 15, בסקר ציות, בגיבוש הסכמי עיבוד (DPA), בביצוע בדיקות מקדמיות, בהובלת תהליכי ציות ובהתמודדות עם דרישות הרשות להגנת הפרטיות בהתאם לתיקון 13. אנו מעמידים לרשות לקוחותינו תשתית משפטית־טכנולוגית מלאה, המשלבת ידע רגולטורי עדכני וניסיון רב־שנים ביישום הפרקטיקות הנדרשות, תוך ניהול מדויק ומקצועי של הסיכונים הנלווים לעיבוד מידע אישי.

קישור למדריך – כאן.

 

פורסם ביום: 20/11/2025.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

תחום: הגנת הפרטיות ואבטחת מידע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign