מאז שתיקון 13 לחוק הגנת הפרטיות נכנס לתוקף, השאלה "האם אנחנו חייבים למנות ממונה על הגנת הפרטיות?" הפכה מהתלבטות תיאורטית לשאלה תפעולית דחופה. לצד החובה המשפטית, הרשות להגנת הפרטיות קיבלה סמכויות אכיפה חדשות ומשמעותיות, כולל הטלת עיצומים כספיים גבוהים.
רוב התוכן שנכתב על הנושא מגיע מזווית משפטית טהורה. אבל בפועל, מינוי ממונה על הגנת הפרטיות הוא לא רק סעיף בחוק שצריך לסמן עליו וי – הוא תפקיד ניהולי-תפעולי שצריך לעבוד ביום-יום. מהניסיון שלנו בחברת אבטחת מידע לארגונים ועסקים CyberSafe, הפער הגדול ביותר אינו בהבנת החובה, אלא ביישום שלה: מי באמת מפקח, איך מזהים פערים בין מדיניות למציאות, ואיך הופכים את ה-DPO מתפקיד "על הנייר" לבקרה אמיתית.
מה זה ממונה על הגנת הפרטיות (DPO)?
| ממונה על הגנת הפרטיות (Data Protection Officer – DPO) מוגדר כגורם מתכלל, מפקח ומייעץ האחראי לוודא שהארגון עומד בדרישות חוק הגנת הפרטיות ותיקון 13. ה-DPO אינו גורם מבצע טכני, אלא מהווה את ה-Compliance Officer של הארגון לדיני פרטיות ומשמש כאיש הקשר מול הרשות להגנת הפרטיות. |
חשוב להבין נקודה מהותית: ה-DPO אינו מי שמבצע את אבטחת המידע בפועל. תיקון 13 הגדיר אותו כגורם מתכלל, מפקח ומייעץ – מעין "קצין הציות" של הארגון לדיני פרטיות. הוא דואג שהדברים ייעשו נכון, אבל אינו בהכרח זה שמבצע אותם.
בין תפקידיו המרכזיים: ייעוץ להנהלה ולעובדים ביישום החוק, פיקוח על עמידת הארגון בהוראות הדין ובתקנות אבטחת המידע, הכנת תוכנית הדרכה שנתית והעלאת מודעות, עריכת בקרות תקופתיות ודיווח להנהלה, טיפול בפניות של נושאי מידע למימוש זכויותיהם, ושמירה על קשר שוטף מול הרשות להגנת הפרטיות.
מי חייב למנות ממונה על הגנת הפרטיות?
| לפי תיקון 13, החובה חלה על שלוש קטגוריות עיקריות: גופים ציבוריים (וכן מי שמחזיק מידע עבורם), ארגונים שסוחרים במידע אישי או עוסקים בדיוור ישיר ומחזיקים מעל 10,000 רשומות, וגופים שמנטרים באופן שיטתי ורחב את התנהגותם או מיקומם של אנשים. |
החוק מגדיר במדויק על מי חלה החובה. שלוש הקטגוריות העיקריות הן:
| מי חייב במינוי | הסבר מעשי |
| גופים ציבוריים | כל גוף ציבורי כהגדרתו בחוק, וכן כל גורם חיצוני שמאחסן או מעיין במידע אישי עבור גוף ציבורי – גם אם הוא רק נותן שירות |
| סוחרי מידע / דיוור ישיר | ארגון שסוחר במידע אישי או מציע דיוור ישיר, ובנוסף מחזיק מעל 10,000 רשומות. שני התנאים חייבים להתקיים יחד (במצטבר) |
| ניטור שיטתי ורחב | גופים שמנטרים באופן שיטתי ורחב את התנהגותם, מיקומם או פעולותיהם של אנשים |
נקודה שחשובה במיוחד לחברות טכנולוגיה: מי שמספק שירותי IT, אחסון או Back-office לגוף ציבורי עלול להיכנס לתחולת החובה גם אם פעילותו תומכת בלבד. לכן מומלץ לבצע סקירה של הסכמי השירות מול לקוחות שהם גופים ציבוריים, כדי לבדוק אם נדרש מינוי.
ומה אם החובה אינה חלה עליכם? הרשות להגנת הפרטיות ציינה שמינוי וולונטרי הוא פרקטיקה ראויה ומומלצת (Best Practice) – אינדיקציה לכך שהארגון נוקט צעדים לצמצום הסיכון, מחזק את אמון הלקוחות והשותפים, ומשפר את שיתוף הפעולה מול הרשות. בפועל, ארגונים גדולים כבר מעדיפים לעבוד עם ספקים שמינו DPO משלהם – וזה יוצר סטנדרט חדש בשוק.
| דוגמה מהשטח אצלנו ב-CyberSafe – חברת SaaS שגילתה את החובה דרך הלקוח
חברת SaaS ישראלית בגודל בינוני, שעובדת מול לקוחות גדולים בארץ ובאירופה, לא חשבה שהיא נדרשת למנות DPO. הנושא עלה רק כשלקוח אסטרטגי, במהלך תהליך רכש, שאל מי הממונה על הגנת הפרטיות בארגון. בבדיקה התברר שהחברה אכן נכנסת לתחולת החובה, ושמעבר לכך – קיים פער ממשי בין מדיניות הפרטיות הכתובה לבין ההתנהלות בפועל: הרשאות גישה למאגר הלקוחות נשארו פתוחות לעובדים שכבר לא היו צריכים אותן. מינוי DPO חיצוני עצמאי לא רק סגר את דרישת החובה, אלא חשף ותיקן את הפער עוד לפני שהפך לאירוע אבטחה או לשאלה של מבקר. |
DPO מול ממונה אבטחת מידע (CISO): מה ההבדל ולמה אסור לבלבל?
| ה-DPO וממונה אבטחת המידע (CISO) הם שני תפקידים שונים בתכלית. ה-DPO עוסק בהגנה על הפרטיות ובציות לחוק (גורם מפקח ומייעץ), ואילו ה-CISO עוסק באבטחת המידע הטכנית בפועל. הרשות להגנת הפרטיות מבהירה שככלל, אותו אדם אינו יכול לשמש בשני התפקידים – בשל חשש לניגוד עניינים. |
זו אחת הנקודות שהכי מבלבלות ארגונים, ודווקא בה טמון סיכון אמיתי. הרשות להגנת הפרטיות הדגישה שיש מורכבות מהותית במילוי תפקיד ה-DPO יחד עם תפקיד ה-CISO – בגלל השוני בידע ובכישורים הנדרשים, ובעיקר בגלל חשש לניגוד עניינים. ה-CISO מופקד על נקיטת אמצעי אבטחה; ה-DPO אמור לפקח על כך באופן עצמאי. אם זה אותו אדם, מי מבקר את מי?
| היבט | ממונה הגנת הפרטיות (DPO) | ממונה אבטחת מידע (CISO) |
| מוקד התפקיד | ציות לדיני פרטיות והגנה על מידע אישי | אבטחת מערכות, נתונים ותשתיות |
| אופי | מתכלל, מפקח ומייעץ | מבצע ותפעולי |
| מול מי עובד | הנהלה, עובדים, נושאי מידע, הרשות | צוותי IT, SOC, ספקי אבטחה |
| כפיפות | עצמאי, ללא ניגוד עניינים, זיקה ישירה להנהלה | לרוב כפוף להנהלה הטכנולוגית / IT |
המסקנה המעשית: שני התפקידים משלימים זה את זה, אבל חייבים להישאר נפרדים. ה-DPO מציב את דרישות הפרטיות, וה-CISO – בין אם פנימי ובין אם במודל של CISO – מתרגם אותן ליישום טכני בפועל. ארגון בריא צריך את שניהם, עם גבולות אחריות ברורים.
DPO פנימי או חיצוני – מה עדיף?
| החוק מאפשר למנות את ה-DPO כעובד הארגון או כנותן שירות חיצוני. הוא חייב לפעול באופן עצמאי, ללא כפיפות לגורם שעלול להימצא עמו בניגוד עניינים, ולקבל גישה למידע, תקציב וזיקה ישירה להנהלה הבכירה. עבור ארגונים רבים, DPO חיצוני מספק עצמאות, מומחיות וכיסוי רחב בעלות נמוכה ממשרה מלאה. |
החוק מכיר בשני המסלולים, ולכל אחד יתרונות. הבחירה תלויה בגודל הארגון, ברגישות המידע ובמורכבות הפעילות:
- DPO פנימי: מתאים לארגונים גדולים עם פעילות עיבוד מידע נרחבת ומתמשכת, שבהם יש הצדקה למשרה ייעודית. החיסרון: קושי למצוא אדם ללא ניגוד עניינים, ולעיתים פערי ידע משפטי-טכנולוגי.
- DPO חיצוני (DPO as a Service): מתאים לרוב הארגונים הבינוניים. מספק עצמאות מלאה (אין כפיפות פנים-ארגונית), ניסיון מצטבר ממגוון ארגונים, ועדכניות מקצועית – בלי לשאת בעלות של משרה בכירה במשרה מלאה.
חשוב מאוד: הדרישה לעצמאות אינה פורמלית בלבד. ה-DPO לא יכול להיות כפוף לגורם שנמצא בניגוד עניינים, והארגון מחויב להעמיד לרשותו את המשאבים, הסמכויות והגישה הנדרשים – כולל גישה למידע, תקציב מתאים, וקו ישיר להנהלה. בלי זה, המינוי הוא פורמלי בלבד ולא יעמוד במבחן של הרשות.
מה קורה אם לא ממנים? עיצומים וסיכונים
| מי שמחויב במינוי ולא ממנה DPO חשוף לסנקציות. תיקון 13 הפך את הרשות להגנת הפרטיות לרגולטור בעל סמכויות אכיפה מנהליות נרחבות, כולל הטלת עיצומים כספיים משמעותיים. בנוסף, הוארכה תקופת ההתיישנות לתביעות פרטיות, והורחבה הזכות לפיצויים ללא הוכחת נזק. |
עד תיקון 13, הרשות נחשבה רגולטור "חלש שיניים". כיום התמונה שונה לחלוטין: לרשות יש סמכויות פיקוח, בירור מנהלי ואכיפה, ובמרכזן – היכולת להטיל עיצומים כספיים גבוהים בהתאם לחומרת ההפרה. במקביל הוארכה תקופת ההתיישנות לתביעות בגין פגיעה בפרטיות, ובית המשפט יכול לפסוק פיצויים גם ללא הוכחת נזק.
השורה התחתונה: אי-מינוי אינו רק "הפרה טכנית". הוא חושף את הארגון לחשיפה כספית, לפגיעה במוניטין, ולסיכון עסקי מול לקוחות שמצפים היום לראות ניהול פרטיות מסודר. כפי שהרשות עצמה מנסחת זאת – מינוי ממונה על הגנת הפרטיות הוא לא רק חובה משפטית, אלא כלי ניהולי שמחזק את אמון הציבור ומפחית חשיפה לעיצומים.
איך ממנים DPO נכון? מהחובה ליישום בפועל
| מינוי נכון אינו מסתיים בחתימה על מסמך. הוא כולל: בחינת חובת המינוי, מינוי גורם עצמאי וכשיר, מתן משאבים וגישה, ביצוע סקר סיכונים, הסדרת בקרות וניטור, הכנת תוכנית הדרכה שנתית, ובניית תהליך מסודר לטיפול בפניות נושאי מידע ובאירועי אבטחה. |
כאן בדיוק נכנס ההבדל בין מינוי "על הנייר" לבין DPO שעובד באמת. מהניסיון שלנו ב-CyberSafe, יישום אפקטיבי בנוי משלבים:
- בחינת חובת המינוי. האם הארגון נכנס לאחת מקטגוריות החובה? סקירת מאגרי המידע, סוגי העיבוד וההסכמים מול לקוחות.
- מינוי גורם עצמאי וכשיר. בעל ידע משפטי בדיני פרטיות, הבנה טכנולוגית והיכרות עם תחום הפעילות – וללא ניגוד עניינים.
- סקר סיכונים. מיפוי המידע האישי, היכן הוא נשמר, מי ניגש אליו, ומה רמת האבטחה הנדרשת לפי התקנות.
- הסדרת בקרות וניטור. ניהול הרשאות קפדני, ניטור רציף וזיהוי חריגות – כדי שהפיקוח של ה-DPO יישען על נתונים אמיתיים ולא על הצהרות.
- הדרכה, בקרה ותגובה. תוכנית הדרכה שנתית, בקרות תקופתיות, ותהליך ברור לטיפול בפניות הציבור ובאירועי אבטחה.
שימו לב לשלב הרביעי – הוא הנקודה שבה הפרטיות פוגשת את האבטחה. ה-DPO מפקח, אבל הפיקוח שלו תלוי ביכולת הארגון לדעת מה באמת קורה במערכות. כאן נכנסים שירותי SIEM/SOC וניהול אבטחת מידע מסודר: בלי ניטור רציף ותיעוד, גם ה-DPO הטוב ביותר מפקח "בעיניים עצומות". זה גם המקום שבו עמידה בתקן ISO 27001 מקלה משמעותית – ארגון עם מסגרת אבטחת מידע מסודרת מגיע מוכן הרבה יותר.
DPO כחלק מתמונה רחבה של ניהול אבטחת מידע ופרטיות
מינוי DPO הוא לרוב הטריגר שבו ארגון מגלה שהפרטיות והאבטחה שלו אינן מנותקות. דרישות תיקון 13 – סקרי סיכונים, ניהול הרשאות, תיעוד ודיווח על אירועים – חופפות במידה רבה לדרישות של תקנים בינלאומיים כמו SOC 2 ו-ISO 27001. ארגון שמטפל בפרטיות ובאבטחה כמערכת אחת חוסך כפל עבודה ומקבל תמונה אמינה יותר.
זו הסיבה שעבודה מול חברת סייבר המספקת שירותי אבטחת מידע שמבינה גם את הצד הרגולטורי וגם את הצד התפעולי נותנת ערך לא פרופורציונלי: היא מחברת בין דרישות החוק לבין היישום בשטח – מהמינוי של ה-DPO, דרך סקר הסיכונים והבקרות, ועד בדיקות חדירה (Penetration Testing) שמוודאות שהמערכות שמחזיקות את המידע האישי אכן עומדות באתגר. כך ניהול אבטחת המידע בארגון מפסיק להיות אוסף של דרישות נפרדות והופך למערכת אחת מתואמת.
| לא בטוחים אם אתם חייבים למנות DPO, או איך להפוך את המינוי לתהליך שעובד באמת? נשמח ללוות אתכם – מבחינת החובה ועד היישום התפעולי המלא. |
שאלות נפוצות
האם כל ארגון חייב למנות ממונה על הגנת הפרטיות?
לא. החובה חלה על גופים ציבוריים (ומי שמחזיק מידע עבורם), על ארגונים שסוחרים במידע או עוסקים בדיוור ישיר ומחזיקים מעל 10,000 רשומות, ועל גופים שמנטרים אנשים באופן שיטתי ורחב. ארגונים אחרים אינם מחויבים, אך מינוי וולונטרי נחשב פרקטיקה מומלצת.
האם אותו אדם יכול לשמש גם כ-DPO וגם כ-CISO?
ככלל, לא. הרשות להגנת הפרטיות מדגישה חשש לניגוד עניינים בין התפקידים, ושוני מהותי בידע ובכישורים הנדרשים. ה-DPO צריך לפקח באופן עצמאי על נושאים שה-CISO מבצע, ולכן השניים אמורים להיות גורמים נפרדים.
אפשר למנות DPO חיצוני?
כן. החוק מאפשר במפורש למנות את ה-DPO כנותן שירות חיצוני, כל עוד הוא פועל בעצמאות, ללא ניגוד עניינים, ומקבל מהארגון את הגישה, התקציב והסמכויות הנדרשים. עבור ארגונים בינוניים זה לרוב הפתרון היעיל ביותר.
מה הסיכון אם לא ממנים DPO כשחייבים?
חשיפה לעיצומים כספיים מנהליים מצד הרשות להגנת הפרטיות, שקיבלה סמכויות אכיפה נרחבות בתיקון 13, וכן סיכון מוגבר לתביעות לאור הארכת תקופת ההתיישנות והרחבת הזכות לפיצויים ללא הוכחת נזק.

