מאז אוגוסט 2025, חלק מהארגונים בישראל מחויבים לראשונה למנות ממונה על הגנת הפרטיות (DPO - Data Protection Officer). זו אחת החובות המרכזיות שהביא איתו תיקון 13 לחוק הגנת הפרטיות. אם אתם מנהלים עסק, עומדות בראש ארגון ציבורי, או מספקים שירותים הכרוכים בעיבוד מידע של אנשים - המאמר הזה בשבילכם ובשבילכן.
תסיימו לקרוא עם תשובה ברורה לשלוש שאלות: האם אתם בין הגופים החייבים, מה הממונה אמור לעשות בפועל, ומה העיצומים הכספיים הקונקרטיים שמסתכנים בהם אם לא פועלים.
מה זה DPO ומתי הפך לחובה בישראל?
ממונה על הגנת הפרטיות (DPO) הוא בעל תפקיד שאחריותו לוודא שהארגון פועל לפי חוקי הגנת הפרטיות. בישראל, החובה למנות ממונה כזה נקבעה בתיקון 13 לחוק הגנת הפרטיות (תשפ"ד-2024), שנכנס לתוקף ב-14 באוגוסט 2025.
לפני תיקון זה, לא הייתה בחוק הישראלי חובה מפורשת למנות ממונה פרטיות ארגוני. תיקון 13 שינה זאת ויצר לראשונה מחויבות מוגדרת - הן לגופים ציבוריים והן למגזר פרטי שפעילותו כרוכה בסיכון גבוה לפרטיות.
חשוב להבין: לא כל ארגון חייב. החובה תלויה בסוג הגוף ובאופי הפעילות.
מי חייב למנות ממונה על הגנת הפרטיות?
החוק מגדיר ארבע קטגוריות של גופים החייבים במינוי:
1. גופים ציבוריים
ככלל, גוף ציבורי כהגדרתו בחוק, וכן מחזיק במאגר מידע של גוף ציבורי, חייבים במינוי ממונה על הגנת הפרטיות. הכוונה היא למשרדי ממשלה, רשויות מקומיות, אוניברסיטאות ומוסדות להשכלה גבוהה, קופות חולים, ארגוני עובדים, ועוד גופים הנכללים בצו הגנת הפרטיות (קביעת גופים ציבוריים), תשמ"ו-1986.
גופים ביטחוניים (צבא, שב"כ, משטרה ועוד) - אליהם נקבע הסדר ייעודי נפרד של "מפקח פרטיות פנימי".
2. ארגונים העוסקים בסחר במידע
אם מטרת העסק העיקרית היא איסוף מידע אישי ומסירתו לאחרים כדרך עיסוק - כולל שירותי דיוור ישיר, חברות לידים, ושירותי מידע מסחריים - ויש במאגר מידע על יותר מ-10,000 אנשים, מחויבים במינוי.
שימו לב: שני התנאים חייבים להתקיים יחד. ארגון שמוכר לידים אך יש לו רק 8,000 רשומות - אינו חייב.
3. ארגונים שמנטרים אנשים בשיטתיות ובהיקף ניכר
גוף שפעילותו העיקרית כוללת ניטור שוטף ושיטתי של בני אדם - מעקב אחר התנהגות, מיקום או פעולות - בהיקף ניכר, חייב במינוי. החוק מציין במפורש כדוגמאות: חברות סלולר ומנועי חיפוש מקוון. ספקי פלטפורמות פרסום דיגיטלי ושירותי ניטור טכנולוגיים נכללים אף הם בקטגוריה זו.
עסק קטן שמשתמש ב-Google Analytics בלבד - ככל הנראה אינו נמנה על הקטגוריה הזו. מי שמנהל מערכת מעקב מסחרית על קהל גדול - כן.
4. ארגונים שמעבדים מידע בעל רגישות מיוחדת בהיקף ניכר
גוף שפעילותו העיקרית כוללת עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר חייב במינוי. מידע בעל רגישות מיוחדת כולל (בין היתר): מידע רפואי, מידע פיננסי ונתוני שכר, מידע ביומטרי, מידע גנטי, מידע פלילי, ומידע על עמדות פוליטיות ואמונות דתיות.
החוק מציין כדוגמאות מרכזיות בקטגוריה זו: תאגידים בנקאיים, מבטחים, בתי חולים כלליים וקופות חולים.
גם הספק החיצוני עשוי להיות חייב
פרט חשוב שרוב הארגונים מתעלמים ממנו: בקטגוריות 3 ו-4, החובה חלה לא רק על בעל השליטה במאגר המידע (הארגון עצמו), אלא גם על "מחזיק" - כלומר ספק חיצוני שמעבד את המידע מטעמו.
גם ספק חיצוני שהוא "מחזיק" עשוי להיות חייב במינוי DPO - אך לא בכל התקשרות. לדוגמא: חברת SaaS שמנתחת מידע רפואי עבור בתי חולים בהיקף ניכר עשויה להיכנס לחובה. לעומתה, ספק טכני נקודתי שאינו מעבד מידע בעל רגישות מיוחדת בהיקף ניכר - לא בהכרח.
מה הממונה עושה בפועל?
החוק מגדיר שישה תפקידים עיקריים לממונה:
סמכות מקצועית וייעוץ להנהלה - ה-DPO הוא מוקד הידע בארגון בנושאי פרטיות, ומייעץ להנהלה בסוגיות הנוגעות לעיבוד מידע.
הכנת תכנית הדרכה ופיקוח על ביצועה - הממונה אחראי להדריך עובדים ולפקח על ביצוע ההדרכה. בארגונים רבים נכון להפוך זאת לתכנית שנתית או תקופתית, כחלק מתכנית הציות הכוללת.
תכנית בקרה שוטפת - ה-DPO מכין ומפעיל מנגנון לבקרה שוטפת על עמידה בהוראות החוק, מדווח לניהול על ממצאים ומציע תיקונים.
בקרת ציות על אבטחת מידע - הממונה אינו מחליף את ממונה אבטחת המידע ואינו נושא באחריות בעל השליטה, אך עליו לוודא ברמת בקרה וציות שקיימים מסמך הגדרות מאגר, נוהלי אבטחת מידע ותהליכי עבודה נדרשים לפי תקנות אבטחת המידע, ולהתריע על פערים.
טיפול בפניות נושאי מידע - הממונה משמש כתובת מרכזית לפניות בנושאי עיון, תיקון מידע ושאלות על זכויות לפי החוק, ומסייע לוודא שהן מטופלות כנדרש.
איש קשר עם הרשות להגנת הפרטיות - פרטי הקשר של ה-DPO חייבים להיות גלויים לציבור. הרשות יכולה לפנות אליו ישירות.
אם יש לחברה ממונה על הגנת הפרטיות, פרטי הקשר של הממונה צריכים להופיע גם במדיניות הפרטיות של הארגון
מי יכול להיות DPO - ומי לא?
כישורים נדרשים
החוק קובע שהממונה יהיה בעל:
- ידע מעמיק בדיני הגנת הפרטיות בישראל
- הבנה הולמת בטכנולוגיה ואבטחת מידע - ברמה שמאפשרת ביצוע התפקיד בפועל
- היכרות עם תחומי פעילות הארגון - כי הגנת פרטיות תלויה בהבנת ההקשר העסקי
ניגוד עניינים: מבחן מהותי, לא רשימה קבועה
הממונה לא יכול לכהן בתפקיד נוסף שמעמיד אותו בחשש לניגוד עניינים. החוק אינו פוסל תפקידים לפי כותרת בלבד - אלא קובע מבחן מהותי. לכן תפקידים כמו מנהל שיווק, מנהל לקוחות, מנהל כספים (CFO), מנהל מערכות מידע, או CTO עשויים להיות בעייתיים בארגונים רבים - אך יש לבחון כל מקרה לפי מבנה הארגון והיקף הסמכויות בפועל.
ה-DPO צריך לדווח ישירות למנכ"ל, או לגורם הבכיר שהחוק מאפשר - ולא להיות כפוף למי שעלול לפגוע בעצמאות שיקול דעתו.
DPO פנימי לעומת חיצוני
החוק מאפשר DPO פנימי או חיצוני. בארגונים גדולים או עתירי מידע עשוי להיות יתרון למינוי פנימי - הממונה שותף לתהליכים, מכיר את הארגון ונגיש לצוותים. אך בארגונים קטנים ובינוניים, מינוי חיצוני הוא פתרון לגיטימי לחלוטין - כל עוד הממונה אמיתי, זמין ומעורב בפועל, לא רק "שם על נייר".
DPO ≠ ממונה אבטחת מידע
זהו אחד הבלבולים הנפוצים ביותר. ממונה הגנת פרטיות וממונה אבטחת מידע (CISO) הם שני תפקידים שונים - עם דרישות ידע, מיומנות ואחריות שונות.
ממונה אבטחת מידע לא בהכרח עומד בדרישת ה"ידע המעמיק בדיני הגנת הפרטיות" שהחוק דורש. בנוסף, בארגונים שחייבים גם במינוי ממונה אבטחה (לפי סעיף 17ב לחוק), כפל התפקידים עשוי ליצור ניגוד עניינים. הנחיה ברורה: לבדוק עם יועץ משפטי לפני שמחליטים לאחד את שני התפקידים.
מה קורה אם לא ממנים?
אי-מינוי ממונה הגנת פרטיות כשיש חובה לכך מהווה הפרה של חוק הגנת הפרטיות, שמולה הרשות להגנת הפרטיות רשאית להטיל עיצום כספי.
נוסחת העיצום: 2 ₪ לכל אדם שמידע לגביו מצוי במאגר - ו-4 ₪ אם המאגר כולל מידע בעל רגישות מיוחדת, בהתאם לסוג ההפרה והקטגוריה הרלוונטית. סכום מינימלי: 20,000 ₪ (40,000 ₪ אם יש מידע בעל רגישות מיוחדת).
דוגמה מהמדריך הרשמי: גוף ציבורי עם 100,000 אנשים במאגר הכולל מידע בעל רגישות מיוחדת - עיצום כספי של עד 400,000 ₪ בגין אי-מינוי לבדו.
מעבר לכך, לרשות סמכות לבקש מבית המשפט צו להפסקת עיבוד מידע - צעד שיכול לפגוע ממשית בפעילות. בנוסף, הוכנסו עבירות פליליות חדשות לחוק, ותקופת ההתיישנות על תביעות אזרחיות הוארכה לשבע שנים.
יתרון למי שכן ממנה: במקרים מסוימים - ובפרט לגבי מי שחב במינוי לפי קטגוריות הניטור השיטתי (3) או עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר (4) - מינוי DPO לפני קבלת הודעה על כוונת חיוב עשוי לשמש גורם להפחתת העיצום בשיעור של 10%. מינוי הממונה הוא לא רק חובה - הוא גם גורם מפחית סנקציה.
שאלות נפוצות
האם כל בעל אתר בישראל חייב למנות DPO?
לא. החובה מוגבלת לארבע הקטגוריות שמפורטות לעיל. בעל חנות מקוונת קטנה עם מאגר לקוחות רגיל - ככל הנראה אינו חייב. גוף ציבורי, ארגון שסוחר במידע, ארגון שמנטר אנשים בהיקף ניכר, או גוף שמעבד מידע בעל רגישות מיוחדת - חייבים.
האם ה-DPO חייב להיות עורך דין?
לא. החוק לא מחייב תואר משפטי - אלא ידע מעמיק בדיני הגנת הפרטיות, הבנה טכנולוגית, והיכרות עם פעילות הארגון. בפועל, DPOים רבים הם יועצי פרטיות, מומחי ציות, או עורכי דין - אך הכישורים הם שקובעים, לא התואר.
מה ההבדל בין DPO ישראלי לבין GDPR?
מבחינת עקרונות, ישנה חפיפה רבה. אך חוק הגנת הפרטיות הישראלי הוא דין ישראלי - ה-GDPR חל על ארגונים שמעבדים מידע של תושבי האיחוד האירופי. ארגון ישראלי שמעבד מידע של אזרחי EU עשוי להידרש לעמוד בשני המשטרים. Privacy Score בודק עמידה בדרישות הדין הישראלי ואינו מהווה בדיקת GDPR.
מה צריך לכלול פרסום פרטי ה-DPO?
לפי החוק, דרכי ההתקשרות עם הממונה חייבות להיות גלויות לציבור - לא בהכרח שמו. המקום הטבעי לפרסם זאת הוא במדיניות הפרטיות של הארגון: כתובת דוא"ל ייעודית, טופס פניות, או ערוץ ברור לטיפול בבקשות הקשורות לפרטיות.
סיכום וצעד הבא
תיקון 13 הכניס לחוק הישראלי חובת מינוי ממונה הגנת פרטיות (DPO) - אך לא לכולם. אם אתם גוף ציבורי, עוסקים בסחר מידע, מנטרים אנשים בהיקף ניכר, או מעבדים מידע בעל רגישות מיוחדת בהיקף ניכר - אתם בין הגופים שהחוק מחייב. אם אתן ספקיות שירות לגופים כאלה - בדקו גם אתן.
ה-DPO אינו עוד בעל תפקיד בירוקרטי. הוא הגורם שמבטיח שהארגון פועל כחוק, שהעובדים יודעים את הכללים, ושפניות של אנשים מטופלות - ופרטי הקשר שלו צריכים להיות גלויים גם במדיניות הפרטיות של הארגון.
רוצים לדעת אם מדיניות הפרטיות שלכם מציינת את הממונה, פרטי הקשר שלו, ואת כל הדרישות של תיקון 13? הריצו ניתוח חינמי עכשיו - בכמה דקות מקבלים ציון ורשימת ממצאים. אין הרשמה, אין תשלום.