054-5972280
כשהרגולציה פוגשת בינה מלאכותית: למה תפקיד ה-DPO חשוב היום יותר מאי פעם

כשהרגולציה פוגשת בינה מלאכותית: למה תפקיד ה-DPO חשוב היום יותר מאי פעם

בעבר, ארגונים דיברו על פרטיות ואבטחת מידע בעיקר במונחים טכנולוגיים. איפה נשמרים הנתונים, מי מנהל את השרתים, ואיך אפשר להפוך תהליכים למהירים יותר.

אבל המציאות הארגונית השתנתה – ובמהירות.

היום, מידע אישי הוא לא רק משאב תפעולי. הוא נכס עסקי, מקור לסיכון משפטי, נקודת מבחן לאמון הלקוחות ולעיתים גם תנאי להשתתפות במכרזים, התקשרויות עם גופים גדולים וכניסה לשווקים בינלאומיים.

במקביל, כלי AI נכנסו כמעט לכל מחלקה בארגון: שיווק, מכירות, שירות לקוחות, משאבי אנוש, כספים, פיתוח, משפטית וניהול. עובדים משתמשים בצ'אטבוטים, מערכות ניתוח נתונים, כלי סינון קורות חיים, מערכות אוטומציה וכלים לקבלת החלטות תפעוליות. בישראל, האימוץ של כלי AI בארגונים הולך ומתרחב, אך פעמים רבות ללא מדיניות ארגונית מוגדרת, ללא מיפוי של הכלים הפעילים וללא בחינת הסיכונים הנובעים מהם.

שאלו את עצמכם:

האם הארגון יודע אילו כלי AI עובדים משתמשים בהם? האם מופה המידע שמוזן אליהם? האם נבדקו תנאי השימוש של הספק? ומי אחראי לקבל החלטות בנושאים אלה? אם אין לכם תשובה ברורה – כנראה שכבר קיים פער ממשל משמעותי.

וכאן בדיוק נעוצה הבעיה: כל כלי AI שנוגע במידע של לקוחות, עובדים, ספקים יוצר שאלות של פרטיות, שקיפות, ספקים, תיעוד וניטור. שאלות שאף מחלקה בארגון אינה מוסמכת לענות עליהן לבדה.

זו הסיבה שתפקיד הממונה על הגנת הפרטיות ("DPO") הפך לאחד מתפקידי המפתח בארגון המודרני. לא בגלל ה- AI לבד. אבל ה- AI הוא אחד המנועים החזקים שדוחפים את הצורך בו.

איך DPO הפך ממושג אירופי לצורך ארגוני ממשי?

תפקיד ה-DPO קיבל מעמד מרכזי עם כניסתן לתוקף של תקנות הגנת הפרטיות באירופה (GDPR). בהתאם לתקנות, ארגונים מסוימים מחויבים למנות DPO, ובהם רשויות ציבוריות, ארגונים שפעילות הליבה שלהם כוללת ניטור שיטתי ונרחב של אנשים, וארגונים המבצעים עיבוד נרחב של מידע אישי רגיש. 

ה-GDPR קובע גם כי ה-DPO יכול להיות עובד בארגון או לספק את שירותיו במסגרת התקשרות חיצונית.

אבל התפקיד לא נשאר עניין אירופי בלבד

בישראל, תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, יצר רפורמה רחבה בדיני הפרטיות וחיזק משמעותית את חובות הציות, הפיקוח והאכיפה. אחת החובות החדשות היא מינוי ממונה על הגנת הפרטיות בגופים ציבוריים, בגופים העוסקים בסחר במידע, בגופים המבצעים ניטור שוטף ושיטתי של בני אדם ובארגונים נוספים המנויים בחוק. המחוקק הישראלי אימץ מודל הדומה במאפייניו ל-DPO  האירופי, אך מדובר בתפקיד המעוגן בדין הישראלי ובהוראותיו הספציפיות.

כלומר, ה-DPO כבר אינו "תפקיד נחמד שיש לארגונים גדולים באירופה". הוא חלק ממעבר רחב יותר: מפרטיות כעניין משפטי נקודתי, לפרטיות כמערך ניהולי.

ה-DPO אינו רק מי שמנסח מדיניות פרטיות או מטפל בפניות של נושאי מידע

הממונה על הגנת הפרטיות משמש סמכות מקצועית בארגון ומייעץ להנהלה ולעובדים בנושאי פרטיות. בין תפקידיו: 

  • הכנת תוכנית הדרכה ופיקוח על יישומה
  • ביצוע בקרה שוטפת על עמידת הארגון בהוראות הדין
  • וידוא קיומם של נוהלי אבטחת מידע ומסמך הגדרות מאגר
  • טיפול בפניות ובבקשות של נושאי מידע
  • איש הקשר של הארגון מול הרשות להגנת הפרטיות.

הארגון נדרש לספק לממונה את התנאים, הסמכויות והמשאבים הדרושים למילוי תפקידו, להבטיח את מעורבותו בכל נושא הנוגע להגנת הפרטיות, ולוודא כי הוא מדווח ישירות למנכ"ל או לגורם הכפוף למנכ"ל במישרין. אין מדובר ברשימת משימות טכניות בלבד, אלא בתפקיד בעל מאפיינים מובהקים של ממשל תאגידי, ציות וניהול סיכונים.

DPO מקצועי אינו "חותמת גומי" – תפקידו לזהות פערים וסיכונים בשלב מוקדם, להטמיע מנגנוני בקרה ולסייע לארגון למנוע מצבים שעלולים להתפתח לתלונות, הליכי אכיפה, תביעות ייצוגיות, פגיעה באמון הציבור או חסמים עסקיים.

למה AI הופך את ה-DPO לדמות מרכזית יותר?

כלי בינה מלאכותית הפכו לחלק מהעבודה היומיומית בארגונים. עובדים משתמשים בהם לכתיבת מסמכים, ניתוח נתונים, סיכום פגישות, סינון מועמדים, שירות לקוחות וקבלת החלטות. לא פעם השימוש נעשה ללא מדיניות ברורה, ללא מיפוי של הכלים הפעילים וללא הערכת סיכונים מספקת.

השאלה אינה רק האם מותר להשתמש בכלי AI מסוים. השאלות החשובות הן: 

  • האם מוזן אליו מידע אישי? 
  • האם קיים בסיס חוקי לעיבוד המידע? 
  • האם מתקיימת בקרה אנושית על התוצרים? 
  • האם קיימים סיכונים להטיה או לאפליה? 
  • האם הארגון בכלל יודע אילו מערכות AI פועלות בתחומו?

כאשר מערכות AI מעבדות מידע אישי, סוגיות הפרטיות הופכות לחלק בלתי נפרד מניהול הטכנולוגיה. עולות שאלות של חוקיות העיבוד, מטרת השימוש, שקיפות, אבטחת מידע, שמירת מידע, העברתו לצדדים שלישיים ומימוש זכויות של נושאי מידע.

גם הרגולטורים מתייחסים לכך

טיוטת ההנחיה של הרשות להגנת הפרטיות קובעת כי גם תחזיות, היסקים, הערכות וסיווגים הנוגעים לאדם עשויים להיחשב מידע אישי. לכן, חובות הגנת הפרטיות עשויות לחול גם על תוצרים שמערכת AI מפיקה, ולא רק על הנתונים שהוזנו אליה. ההנחיה מדגישה את הצורך בבסיס חוקי לעיבוד מידע לאורך כל מחזור החיים של המערכת, לרבות בשלב אימון המודל.

מגמה דומה עולה מהדוח הבין־משרדי בנושא AI בסקטור הפיננסי, המדגיש את הצורך בנהלים, תיעוד, ניטור ובקרה אנושית, ומבהיר כי האחריות נשארת בידי הארגון גם כאשר נעשה שימוש בספק AI חיצוני.

גם בישראל וגם באירופה מקודמת גישה של "חדשנות אחראית", המחייבת שילוב של פרטיות, שקיפות, תיעוד ובקרה בשימוש במערכות AI. בהתאם לכך, הרשות להגנת הפרטיות מעודדת שילוב אמצעי הגנת פרטיות כבר בשלב התכנון, ולא כתוספת בדיעבד.

במציאות זו, ה-DPO הופך מגורם ציות לגורם אסטרטגי המחבר בין טכנולוגיה, רגולציה וניהול סיכונים. ככל שהשימוש ב-AI מתרחב, כך גוברת החשיבות של גורם מקצועי שיבטיח שימוש אחראי במידע ועמידה בדרישות הדין.

בסופו של דבר, AI אינו יוצר אתגרי פרטיות חדשים לחלוטין, אלא מעצים את הקיימים. לכן ה-DPO הוא אחד מבעלי התפקיד המרכזיים המאפשרים לארגון לאמץ בינה מלאכותית באופן בטוח, אחראי ותואם רגולציה.

למה דווקא DPO חיצוני?

חוק הגנת הפרטיות, בנוסחו לאחר תיקון 13, מאפשר למנות ממונה על הגנת הפרטיות גם כנותן שירותים חיצוני ולא רק כעובד שכיר. לא כל ארגון זקוק לממונה במשרה מלאה, ולכן יותר ויותר ארגונים בוחרים במודל של DPO חיצוני, המאפשר ליהנות ממומחיות מקצועית בהיקף מותאם וללא הקמת פונקציה פנימית ייעודית.

היתרון הראשון הוא מומחיות רוחבית. DPO חיצוני המלווה מגוון ארגונים נחשף למערכות, תהליכים וסיכונים מסוגים שונים. הוא מזהה במהירות דפוסים חוזרים, כגון שימוש לא מבוקר במערכות דיוור, טפסים שאינם עומדים בדרישות הדין, העברת מידע לספקים ללא הסדרה מתאימה, הרשאות גישה רחבות מדי, שימוש בכלי AI ללא מדיניות או מאגרי מידע שלא מופו כראוי.

היתרון השני הוא עצמאות מקצועית. ממונה על הגנת הפרטיות נדרש להיות מסוגל להציף סיכונים גם כאשר הדבר אינו נוח לארגון. כאשר התפקיד מוטל על עובד פנימי הכפוף למחלקה מסוימת, עלולים להיווצר ניגודי עניינים. תיקון 13 קובע כי הממונה לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה אם הדבר עלול ליצור חשש לניגוד עניינים. גם ה-GDPR מדגיש כי אין לתת ל-DPO הוראות ביחס לאופן ביצוע תפקידו המקצועי. מטבע הדברים, הסיכון לניגוד עניינים גבוה יותר בתפקידים ניהוליים כגון מנהל שיווק, מנהל כספים, מנהל מערכות מידע או CTO.

היתרון השלישי הוא יעילות כלכלית. ברבים מהארגונים נדרש ליווי שוטף הכולל פגישות תקופתיות, בחינת מסמכים, מענה לשאלות, השתתפות בפרויקטים, מיפוי סיכונים והדרכת הנהלה – אך לא בהכרח משרה מלאה. מודל חיצוני מאפשר לקבל מומחיות בכירה בעלות ובהיקף המתאימים לצורכי הארגון.

היתרון הרביעי הוא ראייה עסקית רחבה. DPO איכותי אינו מסתפק בקביעה מה מותר ומה אסור. הוא מסייע לארגון ליישם פתרונות מעשיים: לבנות תהליכים נכונים, לנסח מסמכי פרטיות, לנהל ספקים, להטמיע מערכות חדשות, להשתמש בכלי AI באופן אחראי ולתעד החלטות בצורה שתעמוד בביקורת רגולטורית.

בסופו של דבר, מינוי DPO חיצוני אינו רק מהלך של ציות לרגולציה. עבור ארגונים רבים מדובר בדרך יעילה לשלב מומחיות, עצמאות וניהול סיכונים כחלק בלתי נפרד מהפעילות העסקית.

מה עומד על הכף

ארגון שאינו מנהל באופן מסודר את תחומי הפרטיות והבינה המלאכותית עלול להיחשף למספר סיכונים במקביל: דרישות רגולטוריות, דרישות פרטיות מצד לקוחות ושותפים עסקיים, שאלות מצד משקיעים, תלונות של עובדים או לקוחות, ובמקרים מסוימים גם כשלים הנובעים מהחלטות אוטומטיות או משימוש לא מבוקר במערכות AI.

בכל אחד מהמקרים הללו, השאלה אינה רק האם קיימים מסמכים ונהלים. השאלה היא האם יש בארגון גורם מקצועי שמכיר את פעילותו, מבין את דרישות הדין, מזהה סיכונים בזמן ומסוגל לחבר בין היבטים משפטיים, טכנולוגיים ועסקיים. זהו בדיוק הערך שמביא עמו DPO מנוסה.

ומה עושים עכשיו?

DPO TEAM מלווה ארגונים, חברות וגופים ציבוריים בבחינת חובות מינוי DPO, הקמת מערכי פרטיות, מיפוי סיכונים, ניסוח מדיניות ונהלים, ליווי תהליכי שימוש ב-AI ובניית מנגנוני ציות המותאמים לצורכי הארגון ולפעילותו.

האם כל ארגון חייב למנות DPO? לא בהכרח. אך ארגונים רבים כבר מתמודדים עם סיכוני פרטיות, ספקים, מידע אישי ובינה מלאכותית המחייבים ניהול מקצועי ושיטתי. השאלה המרכזית אינה רק מה דורש החוק, אלא האם הארגון ערוך לזהות ולטפל בסיכונים לפני שהם הופכים לבעיה עסקית, רגולטורית או תפעולית.

שיתפו מאמר: