16 ביולי 2026

גילוי דעת: מינוי ממונה על הגנת הפרטיות (DPO)

הרשות להגנת הפרטיות פרסמה ב-14 ביולי, 2026 גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות (להלן: "גילוי הדעת"), המפרט את עמדת הרשות ביחס להיקף החובה, מהות תפקידיו של הממונה, הידע והכישורים הנדרשים ממנו ומתכונת העסקתו, בהתאם לתיקון 13 לחוק הגנת הפרטיות, התשמ"א – 1981 ("החוק"). מדובר בנוסח הסופי שפורסם בעקבות טיוטה שהופצה להערות הציבור לפני כשנה. בעדכון לקוחות זה ריכזנו לכם נקודות עיקריות שעולות מגילוי הדעת.

מי חייב למנות ממונה על הגנת הפרטיות ?

  • גופים ציבוריים: משרדי ממשלה, רשויות מקומיות, קופות חולים, בתי חולים, מוסדות להשכלה גבוהה ועוד. חובת המינוי חלה גם על כל "מחזיק" במאגר מידע של גוף ציבורי, כלומר גם גורם חיצוני לגוף הציבורי המעבד עבורו מידע אישי יידרש במינוי.
  • גופים שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר: ארגונים (בין אם בתור בעלי שליטה במאגר ובין אם בתור נותני שירות לבעל השליטה) שעיסוקם העיקרי כולל עיבוד בהיקף ניכר של מידע בעל רגישות מיוחדת, כגון מידע רפואי, מידע פיננסי, בידע ביומטרי, מידע על דעות פוליטיות, אמונות דתיות וכו'. הרשות מדגישה כי למונח "היקף ניכר", אין סף כמותי חד ערכי ויש לבחון אותו לפי מכלול הנסיבות והשיקולים הנוגעים לכל מקרה לגופו. שיקולים רלוונטיים (אשר אינם מהווים רשימה סגורה) לביצוע הבחינה הפרטנית הם: מספר בני האדם שמידע מעובד לגביהם; שיעורם באוכלוסייה מסוימת; היקף המידע; כמות המידע; הטווח (המגוון) של סוגי המידע המעובד; משך ותדירות פעולות העיבוד; משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.

בגילוי הדעת נכתב כי, במקרה של מחזיק, את היקף עיבוד המידע יש לבחון במצטבר על פני כלל נושאי המידע במאגרים של כל בעלי השליטה שלהם הוא מספק שירותי עיבוד. כך למשל, מחזיק המספק שירותי עיבוד ל-1,000 מאגרים שבכל אחד מהם מידע בעל רגישות מיוחדת על 100 נושאי מידע בלבד, ייחשב כמי שמעבד מידע בעל רגישות מיוחדת בהיקף ניכר.

  • גופים שעיסוקם העיקרי כולל ניטור שוטף ושיטתי של אנשים בהיקף ניכר: דוגמאות לגופים אלה כוללות ספקי תקשורת סלולרית, ספקי אינטרנט, ספקי שירותי חיפוש מקוון, חברות האוספות מידע אודות פעילות משתמשים באפליקציות ואתרי אינטרנט, למשל, לצורך פרסום ממוקד, התאמה אישית של תוכן, דירוג אשראי, איתור הונאות ועוד. כמו כן, הרשות ציינה מאגרי צילומים של מצלמות מעקב כדוגמה למאגרים שהפעלתם כרוכה בניטור שוטף ושיטתי של בני אדם. נציין כי גם מחזיקים עבור גופים אלה עשויים להיכנס לקטגוריה זו.
  • גופים העוסקים בסחר במידע: ארגונים שמחזיקים מאגרי מידע שמטרתם העיקרית היא מסירת מידע כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על מעל 10,000 בני אדם.

עוד במסגרת גילוי הדעת, הרשות מזכירה כי מינוי ממונה הגנת פרטיות (בארגונים הנדרשים לכך) עשוי לזכות את הארגון בהפחתה בסך 10% בעיצומים כספיים.

הרשות ממליצה לשקול מינוי ממונה גם בארגונים שאינם מחויבים על פי חוק (ובפרט, עומדת על חשיבות המינוי גם עבור גופים דו-מהותיים). זאת, בהתחשב בכך שמינוי ממונה מסייע לעמידה בדרישות הדין, מחזק את האמון של לקוחות ושותפים עסקיים, ותורם למוניטין הארגוני.

מהם הכישורים הנדרשים מהממונה?

  • ידע מעמיק בדיני הגנת הפרטיות בישראל: שליטה מלאה ומקיפה ברגולציה והחקיקה הישראלית הרלוונטית לעיבוד מידע אישי והגנה על הפרטיות בישראל. המומחיות צריכה להיות ניתנת להוכחה, למשל באמצעות אסמכתאות על לימודים או ניסיון מעשי. הרשות מציינת כי השתתפות בהשתלמויות מטעם הרשות או בחסותה לא מספיקה כשלעצמה כדי לעמוד בדרישות הידע המעמיק.
  • הבנה הולמת בטכנולוגיה ואבטחת מידע: הבנה טכנולוגית ברמה המאפשרת לממונה לבצע באופן יעיל את תפקידו לאור המאפיינים הספציפיים של הארגון בו הוא מכהן (לרבות הכרת מחזור חיי המידע וזרימת המידע בארגון ומבנה של המערכות המנהלות והמאחסנות את המידע).
  • היכרות עם תחומי פעילותו של הארגון ומטרותיו: היכרות עם ייעודו של הארגון ותחומי העיסוק שלו; המבנה התאגידי; חלוקת תחומי האחריות ותהליכי העבודה הנהוגים בו, בדגש על תהליכי עיבוד מידע; המגזר או השוק במסגרתו הארגון פועל ועיקרי הרגולציה המגזרית; גופים אחרים איתם מקיים הארגון שיתוף פעולה עסקי או אחר; ומאפייני נושאי המידע עליהם הארגון אוסף ומעבד מידע, בדגש על אוכלוסיות מיוחדות.

מה צריכים להיות היקף ומתכונת העסקתו של הממונה?

מתכונת ההעסקה והיקף המשרה של הממונה צריכים להיבחן לגופו של ארגון, בהתאם למאפייניו הספציפיים. הרשות מדגישה כי יש להבטיח לממונה את התנאים והמשאבים הדרושים למילוי נאות של תפקידו, לרבות היקף משרה מתאים, גישה למידע ולמערכות, ושילובו כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. ככל הנדרש, הממונה צריך להיות זמין ונגיש פיזית בארגון, בהתאם למאפייניו ולצרכיו של הארגון, בין אם הוא עובד של הארגון ובין אם נותן שירות חיצוני. עוד מבהירה הרשות, כי רק יחיד (ולא תאגיד) יכול להתמנות כממונה הגנת פרטיות בארגון.

האם יועץ משפטי בחברה יכול להתמנות כממונה הגנת פרטיות?

גילוי הדעת אינו אוסר על מינוי היועץ המשפטי של החברה (או גורם אחר בייעוץ המשפטי) לתפקיד הממונה על הגנת הפרטיות, אך מציין כי מינוי כזה לא יאפשר בהכרח להפיק את התועלת המיטבית מהממונה, בשל ההבדל בין תפקיד היועץ המשפטי לתפקידו של הממונה והשוני בידע והכישורים הנדרשים לביצועו.

לפי גילוי הדעת, במקרים שבהם תפקיד הממונה מוטל על מי שעוסק במקביל גם בייעוץ משפטי לארגון, עליו לנקוט אמצעים ארגוניים שיאפשרו להבחין בבירור בין פעילותו כממונה הגנת פרטיות לבין פעילותו כיועץ משפטי – לדוגמה, שימוש בחתימה ייעודית ובתיבת דוא"ל נפרדת לענייני ממונה הגנת הפרטיות.

האם מנהל מערכות המידע או מנהל הגנת הסייבר (CISO) יכולים להתמנות כממונה הגנת פרטיות?

החוק קובע כי הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים. לדברי הרשות, פעמים רבות קיים חשש לניגוד עניינים כאשר הממונה משמש גם בתפקידים בכירים כגון מנהל שיווק, מנהל לקוחות, מנהל כספים או CTO. גילוי הדעת מחמיר בכל הנוגע למנהל מערכות המידע וקובע כי לגביו (ולגבי הגורמים הכפופים לו), ככלל, מתקיים ניגוד עניינים. שילוב תפקיד ממונה הגנת הפרטיות עם תפקיד CISO או ממונה אבטחת מידע אינו אסור באופן גורף, אך מחייב בחינה פרטנית של היעדר ניגוד עניינים, הנמקה מבוססת ותיעוד ראוי מצד הארגון.

האם ממונה הגנת הפרטיות נדרש לדווח לרשות על הפרות של החוק?

על הממונה לפעול בעצמאות מקצועית, תוך צמצום השפעות חיצוניות ושיקולים שאינם ממין העניין. הרשות מדגישה שעל אף שאין על הממונה חובה לדווח באופן יזום על הפרות, חוות הדעת של הממונה עשויות להידרש על ידי הרשות.

האם הרשות צפויה לאכוף את הדרישות הנוגעות למינוי ממונה הגנת פרטיות?

הרשות מבהירה בגילוי הדעת כי תפעיל את סמכויותיה כדי לוודא שמינוי ממונה הגנת הפרטיות ייעשה בהתאם לקריטריונים הקבועים בחוק, וכי בעל התפקיד מחזיק בידע מעמיק בהיבטים המשפטיים והרגולטוריים של דיני הגנת הפרטיות.

מומלץ לכל ארגון לבחון בהקדם האם הוא נדרש למנות ממונה על הגנת הפרטיות, ובמידת הצורך לוודא כי המועמד עומד בדרישות הכשירות, העצמאות והיעדר ניגוד העניינים. גם ארגונים שאינם חייבים במינוי לפי דין עשויים להפיק תועלת ממשית ממינוי כאמור, הן לצורך חיזוק הציות לדיני הפרטיות והן לצורך הפחתת סיכונים, חיזוק אמון הלקוחות ושיפור הממשל התאגידי בתחום זה.

משרדנו מציע שירותי ממונה הגנת פרטיות (DPO), שנועדו לסייע לעסקים לנווט בין דרישות הפרטיות החלות על העסק ולשפר את אסטרטגיית הגנת המידע שלהם. שירותינו כוללים, בין השאר, ייעוץ והדרכת חברות לגבי חובותיהן תחת הדין הישראלי ותחת ה- ,GDPRעריכת הסכמי עיבוד מידע, עדכון תקופתי של מסמכים פנימיים הקשורים לעיבוד מידע אישי (כגון נוהל אבטחה, מסמכי הגדרות מאגר וכו') ועדכון מדיניות והודעות הפרטיות של החברה, וייעוץ לצוותי השיווק, משאבי האנוש והמחקר והפיתוח בנוגע להיבטים הקשורים לפרטיות.


עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנידונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.

חדשות ופרסומים קשורים

הקש Enter כדי לחפש או ESC כדי לסגור