מינוי ממונה הגנת הפרטיות ("DPO") בארגון נושא עמו יתרונות רבים לארגון ולציבור. מינוי DPO משרת את האינטרסים של הארגון, שכן היכולת להגן על המידע האישי של הלקוחות או האנשים עליהם מחזיק הארגון במידע, הינה בעלת חשיבות כלכלית, משפטית וארגונית מובהקת, בייחוד לאור החובות החדשות המוטלות על ארגונים מכוח תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות" או "החוק"). יתרה מכך, מינוי DPO מאפשר לציבור הלקוחות לרכוש אמון באשר לאופן שבו מטפל הארגון במידע האישי שלהם, ביודעם כי הארגון נוקט באמצעים הדרושים לצמצום הסיכון לפגיעה בפרטיותם ובמידע שלהם.
מתי חלה חובה למנות ממונה DPO?
החוק מפרט ארבעה מקרים בהם חייב ארגון חייב למנות DPO:
- גוף ציבורי שברשותו מאגר מידע: ארגון הנחשב לגוף ציבורי, או המחזיק במאגר מידע השייך לגוף ציבורי (למעט גופים ביטחוניים), חייב למנות DPO. סעיף 23 מגדיר מהו "גוף ציבורי" לצורך חוק הגנת הפרטיות, וביניהם מוסדות המדינה, רשויות מקומיות, וארגונים הממלאים תפקידים ציבוריים על-פי דין (דוגמת לשכת עורכי הדין). בנוסף, מומלץ לעיין בצו הגנת הפרטיות (קביעת גופים ציבוריים), תשמ"ו-1986,[1] המפרט ארגונים נוספים הנחשבים לגופים ציבוריים, ועל כן חייבים במינוי DPO ובכללים מיוחדים נוספים מכוח החוק.
- סוחר מידע ושירותי דיוור ישיר: בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ובלבד שיש במאגר מידע אישי אודות למעלה מ-10,000 בני אדם, חייב למנות DPO.
- ניטור שוטף ושיטתי של בני אדם בהיקף ניכר: בעל שליטה או מחזיק של מאגר מידע, שפעילותו העיקרית, היקפה או מטרתה, מחייבות ניטור שוטף ושיטתי של בני אדם בהיקף ניכר; ובכלל זה מעקב או התחקות אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר, חייב במינוי DPO. על המונח "היקף ניכר" נפרט בהמשך.
הסעיף מציג כדוגמה לארגונים העוסקים בניטור שוטף ושיטתי בהיקף ניכר, ספקים של שירותי סלולר המורשים לפי חוק התקשורת,[2] וספקי שירותי חיפוש מקוון (מנועי חיפוש), או מי שעיסוקו העיקרי כרוך באלה. אלו רק דוגמאות ולא רשימה ממצה, ובמקרה של ספק מומלץ לפנות לייעוץ משפטי מוסמך.
- עיבוד מידע רגיש בהיקף ניכר: ארגון שהוא בעל שליטה במאגר מידע או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר, ובין היתר תאגיד בנקאי,[3] בתי חולים,[4]וקופות חולים[5] – חייבים במינוי DPO. כמו במקרה של ניטור שוטף ושיטתי בהיקף ניכר, גם כאן החוק מונה דוגמאות בלבד, ובמקרה של ספק מומלץ לפנות לייעוץ משפטי. כך למשל, קליניקה לטיפולים אסתטיים ככל הנראה מעבדת מידע רפואי אודות המטופלים, ותלוי בהיקף פעילותה, תחויב למנות DPO.
המונח "היקף ניכר" מוגדר בסעיף 17ב1(ב) לחוק, ותלוי בשיקולים כמו מספר נושאי המידע; שיעורם באוכלוסייה מסוימת; היקף המידע, כמותו וטווח סוגי המידע המעובד; משך ותדירות פעולות העיבוד; ;משך שמירת המידע; והתחום הגאוגרפי של פעולות העיבוד.
ייתכנו מקרים בהם הארגון מעבד מידע בהיקף ניכר, למרות השיקולים המפורטים לעיל, למשל כאשר המאגר מכיל מספר נושאי מידע גדול. יש לבחון כל מקרה לגופו, ולכן חשוב להיעזר בייעוץ משפטי במידה ואינכם בטוחים מהו היקף עיבוד המידע האישי בארגון.
שימו לב כי הפרת החובה למנות DPO, עלולה להוביל להליכי פיקוח והטלת סנקציות. גוף ציבורי, סוחרי מידע, וספקי שירותי דיוור ישיר שלא ימנו DPO, חשופים לעיצום כספי בגובה 2 ש"ח לכל אדם שמידע אישי על אודותיו נמצא במאגר המידע, ואם המידע האישי במאגר המידע היה מידע בעל רגישות מיוחדת – בסכום של 4 שקלים חדשים לכל אדם.[6] שימו לב כי עיצום הכספי שיוטל עקב הפרת חובת המינוי לא יפחת מ-20,000 ש"ח, או 40,000 ש"ח ביחס למאגרים של מידע בעל רגישות מיוחדת.[7]
בהפרות חמורות פחות, הרשות יכולה להורות לארגון כי למנות DPO בהתאם להוראות החוק. סירוב להיענות להוראת הרשות למנות DPO בארגון עלול להוביל להטלת עיצומים כספיים, וסנקציות נוספות.[8]
בצד החיובי, מינוי DPO עשוי להוות עילה להקלה במקרה שהרשות החליטה להטיל על הארגון עיצום כספי במסגרת הליכי אכיפה, אך ורק במקרים במידה והארגון חייב למנות DPO בעקבות היותו מנטר באופן שוטף ושיטתי בני אדם או מעבד מידע רגיש, בהיקף ניכר, ובלבד שמינוי ה-DPO נעשה לפני שהארגון קיבל הודעה על כוונה להטיל עיצום כספי.[9]
מהם התפקידים של ה-DPO?
לפי סעיף 17ב2(א) לחוק הגנת הפרטיות, ה-DPO יפעל להבטיח כי הארגון עומד בהוראות החוק, ולקידום השמירה על הפרטיות ואבטחת המידע במאגרי המידע, ובכלל זה:
- ה-DPO ישמש סמכות מקצועית ומוקד ידע, ייעץ להנהלת הארגון ולעובדיו, יכין תוכנית הדרכה בנושאי פרטיות ואבטחת מידע להנהלת ועובדי הארגון ויפקח על ביצועה;
- ה-DPO יכין תוכנית לבקרה שוטפת על עמידת הארגון בהוראות החוק לגבי מאגרי המידע שברשותו, יוודא את ביצועה, ידווח להנהלת הארגון על ממצאיו ויציע הצעות לתיקון הליקויים שהתגלו;
- ה-DPO יוודא כי בארגון קיימים נוהל אבטחת מידע ומסמך הגדרות המאגר, שעריכתם נדרשת בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, אשר יובאו לאישור הנהלת הארגון;
- ה-DPO יוודא את הטיפול בפניות של אנשים שמידע אישי אודותיהם נמצא במאגר המידע של הארגון, בנושא עיבוד המידע או מימוש זכויותיהם לפי החוק, לרבות בקשות לעיון במידע אישי או לתיקונו. את דרכי ההתקשרות עם ה-DPO חייב הארגון לפרסם לציבור באופן נגיש וברור.
- ה-DPO ישמש כאיש קשר של הארגון עם הרשות להגנת הפרטיות, שהיא הרשות המרכזית האמונה על הגנת פרטיותם של אזרחי ישראל.
מהן דרישות התפקיד של ה-DPO?
סעיף 17ב3 לחוק הגנת הפרטיות מונה מספר מאפיינים שחייבים להתקיים אצל ה-DPO, הנוגעים לכשירותו ומקומו בארגון.
ידע והכשרה
בראש ובראשונה החוק דורש שממונה הגנת הפרטיות יהיה בעל הידע והכישורים החיוניים למילוי תפקידו בצורה נאותה, ובכללם ידע מעמיק בדיני הגנת הפרטיות; הבנה הולמת בטכנולוגיה ואבטחת מיד; והיכרות עם תחומי הפעילות ומטרותיו של הארגון שבו הוא ממלא את תפקידו, והכל בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו.[10]
הרשות פרסמה לאורך השנים שני מספר מסמכים העוסקים בממונה הגנת הפרטיות,[11] ובהם עמדותיה והמלצותיה באשר לכישורים הנדרשים ל-DPO לצורך מילוי תפקידו כהלכה. בין השאר, הרשות עומדת על כך ש-DPO אינו חייב בהשכלה משפטית או טכנולוגית פורמלית, והידע הטכנולוגי שלו צריך להתאים לצרכי הטכנולוגיה של הארגון. כך, ככל שליבת העיסוק של הארגון כרוכה במידע אישי, נדרשת מידת הבנה רבה יותר בטכנולוגיה ואבטחת מידע.[12]
ממשל תאגידי
החוק מחייב את ה-DPO לדווח ישירות למנכ"ל הארגון, או לעובד הכפוף ישירות למנכ"ל. כמו כן, החוק אוסר על DPO להימצא בניגוד עניינים בשל המבנה הארגוני, או בשל תפקידו. [13] כך, DPO לא יוכל למלא תפקיד שבמסגרתו הוא קובע את מטרות ואמצעי עיבוד המידע בארגון, דוגמת סמנכ"ל הכספים (CFO) או הטכנולוגיות (CTO; מנהל מערכות המידע). [14]
על מנת לוודא כי ה-DPO אינו מצוי בניגוד עניינים, מומלץ למנותו כחלק מההנהלה הבכירה בארגון.[15] מומלץ למנות את DPO באופן שיאפשר לו למצות את תפקידו כהלכה, שכן הוא אינו היועץ המשפטי או האחראי לאבטחת המידע בארגון. כמובן שעל המינוי להיבחן לפי צרכי הארגון.
שאלה חשובה היא האם מותר למנות את ממונה אבטחת המידע (CISO) בתור DPO. מדובר בשני תפקידים שונים בתכלית, שכן ה-CISO אמון על ההגנה על זרימת המידע בארגון (המסחרי והאישי כאחד), בעוד ה-DPO אמון על הגנת הזכויות של נושאי המידע ועמידת הארגון בחובותיו בתחום הפרטיות.
ייתכן מצב שבו ה-CISO ימליץ להתקין תוכנת מעקב במחשבים של עובדי הארגון, בכדי להבטיח שעובדים לא חושפים את המידע החיוני של הארגון בפני מתחרים, בעוד שה-DPO יתנגד לכך בשל הפוטנציאל לפגיעה חמורה בפרטיות של עובדים, במיוחד כאשר מדובר במחשבים ניידים אישיים של העובדים, או כאלו המשמשים לעבודה מהבית.
כמו כן, הידע והכישורים הנדרשים לכל אחד מהתפקידים שונה, ובפרט הדרישה מה-DPO להיות בעל הבנה מעמיקה בדיני הגנת הפרטיות הישראליים, ולאו דווקא ברזי טכנולוגיות המידע.
הרשות להגנת הפרטיות עמדה על כך שאין איסור למנות את ה-CISO כ-DPO, ובלבד שניתן לאזן כראוי בין שני התפקידים. כל מקרה נבחן לגופו, ומומלץ להיעזר בייעוץ משפטי טרם החלטה על המינוי.[16]
DPO חיצוני
החוק מאפשר למנות ספק חיצוני לארגון בתור DPO, ובלבד שהארגון יוודא כי הספק עומד בכלל דרישות החוק לצורך מינוי DPO.[17] כך למשל, כדאי לחשוב פעמיים לפני שממנים כ-DPO חיצוני את משרד עורכי הדין המייצג את החברה בתביעות הנוגעות לשימוש במידע אישי, הגם שאין איסור גורף לכך.
שימו לב, כי במידה ולספק החיצוני תינתן גישה למאגרי המידע לצורך מילוי תפקידו, על הארגון לערוך חוזה המתייחס לכלל היבטי אבטחת המידע והגנת הפרטיות הנוגעים להתקשרות.[18] בין השאר, על הארגון לקבוע בחוזה מנגנונים לבקרה ופיקוח על פעילות ה-DPO החיצוני.
המשאבים הדרושים למילוי התפקיד
על הארגון לספק ל-DPO את התנאים והמשאבים הדרושים למילוי הנאות של תפקידו.[19] בין השאר, יש לערב את ה-DPO בנושאי פרטיות ואבטחת המידע כבר בראשיתם של התהליכים; להקנות לו גישה למידע אישי ותהליכי עיבוד המידע; המשאבים הטכנולוגיים והכלכליים למילוי תפקידו, ולשימור מומחיותו בנושא דיני ההגנה על מידע אישי בישראל.[20]
כמו כן, מומלץ להגדיר מראש נהלים להחלפת הממונה עם סיום תקופת כונתו, וכן תנאים לסיום העסקתו בטרם סיום תקופת הכהונה.[21]
סיכום
מינוי DPO אינו רק חובה שהחוק מטיל על ארגונים שונים, אלא גם פרקטיקה מומלצת לארגונים שאינם חייבים למנות DPO. המינוי לא רק מסייעַ לארגון להתמודד עם הליכים פיקוח ואכיפה, אלא מגביר את ההגנה על פרטיותם של לקוחותיו ונושאי המידע. מינוי ה-DPO מציג את הארגון באור חיובי, מעיד על נכונותו להשקיע בלקוחותיו, ומשפר את המוניטין של הארגון. אם כן, מינוי ה-DPO תואם את האינטרסים של הארגון.
[1] צו הגנת הפרטיות (קביעת גופים ציבוריים), תשמ"ו-1986 – https://www.nevo.co.il/law_html/law00/71633.htm.
[2] חוק התקשורת (בזק ושידורים), תשמ"ב-1982.
[3] כהגדרתו בחוק הבנקאות (שירות ללקוח), התשמ"א-1981.
[4] כמשמעותו בפקודת בריאות העם, 1940.
[5] כהגדרתן בחוק ביטוח בריאות ממלכתי, התשנ"ד-1994.
[6] סעיף 23כו(ד)(1)(ג) לחוק הגנת הפרטיות, תשמ"א-1981 (להלן "חוק הגנת הפרטיות").
[7] סעיף 23כו(ד)(2) לחוק הגנת הפרטיות.
[8] סעיפים 23כה(ד)-(ה) לחוק הגנת הפרטיות.
[9] סעיף 2(4) לתוספת החמישית לחוק הגנת הפרטיות.
[10] סעיף 17ב3(א) לחוק הגנת הפרטיות.
[11] הרשות להגנת הפרטיות, גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות בארגון (DPO), בעמ' 7 (פורסם ביום 23/07/2025) – https://www.gov.il/he/pages/dpo25_; הרשות להגנת הפרטיות, מינוי ממונה הגנת על הפרטיות בארגונים, תפקידיו ותחומי אחריותו, בעמ' 6 (פורסם ביום 25/01/2022, עודכן ביום 17/08/2025) – https://www.gov.il/he/pages/dpo_doc_kit.
[12] הרשות להגנת הפרטיות, מינוי ממונה הגנת על הפרטיות בארגונים, תפקידיו ותחומי אחריותו, בעמ' 6 (פורסם ביום 25/01/2022, עודכן ביום 17/08/2025) – https://www.gov.il/he/pages/dpo_doc_kit.
[13] סעיך 17ב3(ג) לחוק הגנת הפרטיות.
[14] הנחיית הוועדה המקצועית של רשויות הפרטיות במדינות האיחוד האירופי (Working Party 29).
[15] הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו, בעמ' 5-6.
[16] הרשות להגנת הפרטיות, גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות בארגון (DPO), בעמ' 14-15 (פורסם ביום 23/07/2025) – https://www.gov.il/he/pages/dpo25_.
[17] סעיף 17ב3(ב) לחוק הגנת הפרטיות.
[18] סעיף 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
[19] סעיף 17ב2(ב) לחוק הגנת הפרטיות.
[20] הרשות להגנת הפרטיות, גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות בארגון (DPO), בעמ' 13 (פורסם ביום 23/07/2025) – https://www.gov.il/he/pages/dpo25_; הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו, בעמ' 5.
[21] הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגונים, תפקידיו ותחומי אחריותו, בעמ' 5.