054-5972280
מי חייב למנות DPO - ממונה על הגנת הפרטיות

מי חייב למנות ממונה הגנה על הפרטיות (DPO)?

בעולם שבו מידע אישי נאסף ומעובד בהיקפים גדולים, ניהול נכון של פרטיות המידע הפך מזמן מנושא טכני־משפטי לסוגיה אסטרטגית מהמעלה הראשונה. אחת הדרכים המרכזיות והיעילות ביותר להתמודד עם האתגר הזה היא מינוי ממונה הגנה על הפרטיות (Data Protection Officer, או בקיצור DPO). אך השאלה שמעסיקה הנהלות רבות היא האם מדובר בהמלצה לניהול סיכונים טוב יותר, או בדרישה רגולטורית מחייבת.

עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, התשובה הפכה ברורה יותר עבור ארגונים רבים במשק – ובכתבה הבאה נפרט מי חייב במינוי, אילו ארגונים נמצאים ב"אזור הסיכון" ומהן המשמעויות העסקיות של המהלך.

אי־עמידה בדרישות החוק עלולה להוביל לעיצומים כספיים משמעותיים, לפגיעה במוניטין ואף לחשיפה לתביעות ייצוגיות. לכן, השאלה האם נדרש מינוי ממונה הגנה על הפרטיות אינה רק סוגיה משפטית – אלא החלטה ניהולית בעלת השלכות עסקיות ממשיות.

מהו ממונה הגנה על הפרטיות ומה תפקידו בארגון?


הממונה על הגנה על הפרטיות הוא גורם מקצועי בעל סמכות בתחום דיני הגנת הפרטיות, שתפקידו לפקח על עמידת הארגון בהוראות הדין ולקדם את יישום עקרונות ההגנה על מידע אישי בפעילות הארגונית. בניגוד למה שרבים חושבים, תפקידו אינו מסתכם בכתיבת נהלים או מסמכים משפטיים. הממונה הוא ה"מצפן" של הארגון בכל הקשור לניהול סיכוני מידע ומשילות המידע הארגונית.

בין תחומי האחריות המרכזיים:

  • ייעוץ והכוונה: סיוע להנהלה בהבנת החובות הנובעות מדיני הגנת הפרטיות. הממונה משמש סמכות מקצועית שעמדתה יש לשקול בכובד ראש במסגרת קבלת החלטות בארגון.
  • פיקוח ובקרה: הכנת תכנית בקרה שוטפת על עמידת הארגון בהוראות החוק, וידוא שהנהלים אינם נשארים על הנייר אלא מיושמים בפועל, ודיווח תקופתי להנהלה על ממצאים והמלצות.
  • ליווי פרויקטים (עיצוב לפרטיות): מעורבות בשלבי תכנון של מערכות מידע ותהליכים ארגוניים, כדי להבטיח הגנה על מידע אישי כבר משלב התכנון – מה שחוסך עלויות יקרות של תיקון בדיעבד.
  • קשר עם הרגולטור: שימוש ככתובת המרכזית מול הרשות להגנת הפרטיות.
  • הטמעת תרבות ארגונית: הכנת תכניות הדרכה והעלאת מודעות בקרב עובדים ומנהלים לחשיבות השמירה על פרטיות נושאי המידע – כי הפרצה הגדולה ביותר היא תמיד הגורם האנושי.
ממונה על הגנת הפרטיות DPO

החובה למנות ממונה הגנה על הפרטיות בישראל: תיקון 13 נכנס לתמונה

עד לא מזמן, המונח DPO היה מזוהה בעיקר עם הרגולציה האירופית (GDPR). אולם תיקון 13 לחוק הגנת הפרטיות, שאושר באוגוסט 2024 ונכנס לתוקף באוגוסט 2025, מעגן לראשונה את החובה למנות ממונה הגנה על הפרטיות בדין הישראלי.

לפי החוק המעודכן, הגופים הבאים מחויבים במינוי:

  • גופים ציבוריים: משרדי ממשלה, רשויות מקומיות וגופים אחרים הממלאים תפקיד ציבורי לפי דין. גם גורמים חיצוניים המעבדים מידע אישי עבור גופים ציבוריים – כגון ספקי ענן או שירותי IT – עשויים להיחשב מחזיקים במאגר מידע ולהיות מחויבים במינוי.
  • גופים העוסקים בסחר במידע: בעלי מאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים במסגרת פעילות עסקית – לרבות שירותי דיוור ישיר – כאשר המאגר כולל מידע על יותר מ־10,000 נושאי מידע.
  • גופים המבצעים ניטור שוטף ושיטתי של נושאי מידע: ארגונים שעיסוקיהם העיקריים כוללים מעקב שיטתי אחר התנהגות, מיקום או פעולות של בני אדם בהיקף ניכר. החוק מציין בין היתר ספקי תקשורת סלולרית, מנועי חיפוש ואפליקציות מיקום – אך הרשימה אינה ממצה.
  • גופים המעבדים מידע אישי בעל רגישות מיוחדת בהיקף ניכר: כאשר עיבוד מידע אישי בעל רגישות מיוחדת הוא חלק מפעילות הליבה של הארגון. המונח "היקף ניכר" אינו מוגדר בסף מספרי קשיח. הרשות להגנת הפרטיות בוחנת מכלול נסיבות כגון מספר נושאי המידע, סוגי המידע האישי, תדירות העיבוד, משך שמירת המידע והיקף הפעילות.

התיקון מקנה לרשות להגנת הפרטיות סמכויות אכיפה רחבות יותר, כולל עיצומים כספיים משמעותיים. נקודה חשובה: ארגון שמינה ממונה עשוי ליהנות מהפחתה של 10% בעיצום כספי שיוטל עליו בגין הפרות אחרות של החוק.

מי באמת צריך ממונה הגנה על הפרטיות? פירוט ודוגמאות לפי מגזרים

כדי להבין אם הארגון נדרש למנות ממונה הגנה על הפרטיות, חשוב לבחון את סוגי המידע האישי הנאספים והמעובדים ואת אופי פעילות הארגון.

סימנים לכך שהארגון עשוי להידרש למנות ממונה הגנה על הפרטיות

אם אחד מהמצבים הבאים מתקיים בארגון, ייתכן שתיקון 13 מחייב מינוי ממונה הגנה על הפרטיות:

  • החזקה של מאגר מידע הכולל מידע אישי על עשרות אלפי נושאי מידע
  • פעילות הכוללת ניטור או ניתוח התנהגות משתמשים
  • עיבוד מידע אישי פיננסי או רפואי
  • מתן שירותים לגופים ציבוריים הכוללים עיבוד מידע אישי עבורם

במקרים כאלה מומלץ לבחון את החובה למינוי בצורה מסודרת.

פיננסים ופינטק:
גופים פיננסיים מעבדים מידע אישי ורגיש של לקוחות כחלק מליבת פעילותם. דוגמאות: בנקים, חברות ביטוח, חברות אשראי חוץ־בנקאי, ארנקים דיגיטליים ופלטפורמות להשקעות. אירוע פרטיות בתחום הפיננסי עלול לפגוע באופן משמעותי באמון הלקוחות ובפעילות העסקית.

בריאות ודיגיטל־הלת':
מידע רפואי נחשב מידע אישי בעל רגישות מיוחדת. דוגמאות: בתי חולים, קופות חולים, מעבדות רפואיות, אפליקציות לניהול בריאות וסטארטאפים בתחום הרפואי.

חברות טכנולוגיה ו-SaaS:
חברות המספקות תוכנה או שירותים דיגיטליים לארגונים או למשתמשי קצה. דוגמאות: מערכות CRM, פלטפורמות HR-Tech, שירותי ענן וכלי ניהול פרויקטים.

כאשר הפעילות כוללת ניטור שיטתי של נושאי מידע או עיבוד מידע אישי בהיקף ניכר, עשויה לחול חובת מינוי. ספקי ענן המעבדים מידע אישי עבור גופים ציבוריים עשויים להיחשב מחזיקים במאגר מידע ולהיות מחויבים במינוי מכוח החוק. לקוחות ארגוניים גדולים, בכל מקרה, ידרשו מכם להוכיח ציות לפני שיחתמו על חוזה.

פרסום, שיווק ו-AdTech:
כל מי שחי על דאטה כדי לייצר טירגוט. דוגמאות: משרדי פרסום דיגיטליים, חברות לניתוח נתוני גלישה וספקי שירותי דיוור ישיר.

פעילות זו עשויה להיחשב ניטור שוטף ושיטתי של נושאי מידע או סחר במידע אישי. ללא מנגנון הגנה על פרטיות מתאים, הארגון עלול להיחשף לתביעות ייצוגיות ולקנסות רגולטוריים.

קמעונאות ואי־קומרס:
ארגונים המנהלים מאגרי מידע גדולים של לקוחות. דוגמאות: רשתות שיווק, אתרי מכירות בינלאומיים ואפליקציות משלוחים.

ניהול מועדון לקוחות גדול או עיבוד מידע אישי על הרגלי קנייה בהיקף רחב עשוי להיחשב עיבוד מידע בהיקף ניכר. הממונה יוודא שאתם לא חורגים ממטרות האיסוף ושהמידע נמחק כאשר אין בו צורך.

ממונה הגנת הפרטיות

תחולת ה-GDPR על חברות ישראליות

גם כאשר הדין הישראלי אינו מטיל חובה למנות ממונה הגנה על הפרטיות, ייתכן כי חובה כזו תתקיים מכוח רגולציית הגנת המידע של האיחוד האירופי (GDPR), כאשר הארגון מציע שירותים לנושאי מידע באיחוד האירופי או מנטר את התנהגותם.

ממונה פנימי או חיצוני?

החוק מאפשר למנות ממונה הגנה על הפרטיות מתוך הארגון או להסתייע בגורם חיצוני.

  • ממונה פנימי:
    מתאים לארגונים גדולים שבהם היקף פעילות עיבוד המידע האישי מצדיק משרה מלאה. חשוב לדעת: הרשות להגנת הפרטיות הבהירה שהממונה חייב להיות בעל ידע מעמיק בדיני הגנת הפרטיות – תנאי שאינו מתמצה בידע טכנולוגי בלבד. לכן, ממונה אבטחת מידע (CISO) לרוב אינו יכול לכהן במקביל גם כממונה הגנה על הפרטיות.
  • ממונה חיצוני:
    פתרון אידיאלי לחברות בינוניות וסטארטאפים. הוא מביא מומחיות רחבה בדיני הגנת הפרטיות, ניסיון מצטבר ממספר תעשיות וחיסכון משמעותי בעלויות – תוך שמירה על רמה מקצועית גבוהה.

בכל מקרה – פנימי או חיצוני – על הארגון להבטיח שהממונה יקבל את המשאבים הדרושים, יהיה מעורב בכל נושא הנוגע לדיני הגנת הפרטיות וידווח ישירות למנכ"ל או לגורם הכפוף לו.

לסיכום

פרטיות היא כבר לא אופציה בעולם הדיגיטלי החדש. עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, מינוי ממונה הגנה על הפרטיות אינו עוד "מותרות" של חברות גדולות בלבד. עבור חלק מהארגונים מדובר בחובה חוקית, ובאחרים – בפרקטיקה ניהולית חיונית לניהול אחראי של מידע אישי. ארגון שמנהל את המידע שלו נכון מפחית סיכונים משפטיים, מחזק את אמון נושאי המידע והופך את הרגולציה מעול מעכב למנוע צמיחה.

אם אינכם בטוחים האם תיקון 13 מחייב את הארגון שלכם במינוי ממונה, בדיקה מוקדמת יכולה למנוע חשיפה רגולטורית וסיכונים משפטיים מיותרים. ב-DPO TEAM אנו מסייעים לארגונים להבין האם חלה עליהם חובת מינוי, ומלווים חברות במינוי ממונה הגנה על הפרטיות חיצוני ובהטמעת מערך פרטיות המותאם לדרישות החוק ולפעילות העסקית שלהם.

שיתפו מאמר: