תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, מהווה את השלב המשמעותי ביותר
בתהליך התאמת הדין הישראלי לרגולציית הפרטיות האירופית (GDPR).
בין השינויים המרכזיים בתיקון הם חובות דיווח ואבטחה מחמירות, סמכויות פיקוח נרחבות לרשות להגנת הפרטיות,
וחובת מינוי ממונה על הגנת מידע (DPO – Data Protection Officer) בגופים מסוימים.
אילו חברות נדרשות למנות DPO?
לא כל חברה חייבת במינוי ממונה על הגנת מידע.
החובה חלה רק על גופים שעונים על אחד או יותר מהקריטריונים הבאים:
גופים ציבוריים
כולל משרדי ממשלה, רשויות מקומיות, קופות חולים, מוסדות להשכלה גבוהה, תאגידים סטטוטוריים ועוד.
גופים המעבדים מידע רגיש בהיקף נרחב
למשל, בתי חולים, חברות ביטוח, גופים פיננסיים, חברות טכנולוגיה עם שימוש במידע ביומטרי, רפואי, פלילי או נתוני אשראי.
גופים המבצעים ניטור שיטתי נרחב
למשל, אפליקציות שמנטרות מיקום או פעילות גולשים, מערכות מצלמות במרחב הציבורי, מערכות בינה מלאכותית
המתבססות על פרופילינג.
סוחרי מידע (Data Brokers)
חברות שמחזיקות מאגר מידע של יותר מ־10,000 איש לצורך מסירתו לצדדים שלישיים, כמו חברות שיווק ופרסום.
האם אפשר למנות DPO חיצוני?
כן. החוק מאפשר למנות ממונה חיצוני (outsourced DPO), ובלבד שהוא עומד בדרישות החוק:
עצמאות תפקודית מלאה
ה־DPO, בין אם פנימי ובין אם חיצוני, חייב להיות עצמאי בהחלטותיו וללא ניגודי עניינים. לדוגמה, לא יכול לשמש
במקביל כמנהל מערכות מידע או סמנכ”ל תפעול.
ידע וניסיון מקצועי
עליו להיות בעל הבנה מעמיקה בדיני פרטיות, בטכנולוגיה, בניהול סיכונים ובהליכי עיבוד מידע.
היכרות עם פעילות הארגון
גם ממונה חיצוני צריך להכיר היטב את תהליכי העבודה, הסיכונים והמערכות של הארגון. לא מדובר ביועץ כללי,
אלא בגורם אינטגרלי לפעילות.
מה תפקידו של ה־DPO?
תפקיד ממונה הגנת המידע מוגדר באופן רחב וחורג מייעוץ משפטי גרידא.
בין תחומי האחריות:
ייעוץ מקצועי שוטף להנהלה ולעובדים בנושאי פרטיות, אבטחת מידע והגנה על זכויות נושאי המידע.
ליווי תהליכים רגישים מבחינת פרטיות (למשל פיתוח מערכת חדשה או הכנסת שירות חדש).
ביצוע הערכות סיכונים והכנת DPIA – ניתוח השפעה על פרטיות עבור תהליכים או טכנולוגיות חדשות.
קשר שוטף עם הרשות להגנת הפרטיות ודיווח על אירועים חמורים.
פיקוח על קיום הוראות החוק והתקנות כולל תקנות אבטחת מידע והזכות לעיין/לתקן/למחוק מידע.
הדרכה והטמעה של מדיניות פרטיות בארגון.
שאלות ותשובות בנושא מינוי DPO לחברות בישראל
האם חברה טכנולוגית עם פעילות B2B בלבד חייבת למנות DPO?
לא בהכרח. אם היא לא מבצעת ניטור שיטתי של אנשים פרטיים, ולא מעבדת מידע רגיש בהיקף נרחב,
ייתכן שאינה נדרשת בכך.
עם זאת, חברות B2B רבות כן עוסקות במידע אישי (של עובדים, לקוחות או משתמשי קצה) ויש לבדוק כל מקרה לגופו.
האם CISO יכול לשמש גם כ־DPO?
לא. מאחר שיש ניגוד עניינים תפקודי בין תפקיד של מנהל מערכות אבטחת מידע (CISO), שאחראי לביצוע
תהליכים טכנולוגיים, לבין ה־DPO שתפקידו לפקח על תהליכים אלה.
האם על DPO להיות עורך דין?
לא חובה. אף שהבנה משפטית היא נכס חשוב, הדגש הוא על ידע משולב: רגולציה, טכנולוגיה,
תהליכים ארגוניים וניהול פרטיות.
מומלץ שיהיה זה אדם עם ראייה בין־תחומית.
האם נדרש לרשום את מינוי ה־DPO ברשות להגנת הפרטיות?
כן. מינוי ה־DPO הוא מינוי פורמלי ויש להודיע עליו לרשות להגנת הפרטיות, בדומה למינוי מנהל אבטחת מידע
לפי תקנות הגנת המידע.
מהן ההשלכות של אי־מינוי DPO כאשר יש חובה לכך?
אי־מינוי ממונה כנדרש עלול להיחשב כהפרת חובה רגולטורית ולהוביל להטלת קנסות מינהליים שיכולים
להגיע למאות אלפי שקלים, בנוסף לחשיפה משפטית.
