תיקון 13: מי חייב למנות ממונה על הגנת פרטיות (DPO) ומה זה אומר בפועל?

תיקון 13 לחוק הגנת הפרטיות מחייב ארגונים מסוימים למנות ממונה על הגנת הפרטיות (DPO). מי שלא ימנה ממונה, עלול להיחשף לסנקציות משמעותיות.

אז מי חייב במינוי, ומה המשמעות עבור הארגון שלכם?

מי חייב למנות ממונה על הגנת פרטיות?

1. גוף ציבורי

כל גוף ציבורי מחויב במינוי DPO, למעט גופים ביטחוניים שלהם יש הסדרים אחרים.

2. ארגונים שמחזיקים מאגר מידע לצורך מסירת מידע לאחרים

אם הארגון סוחר במידע אישי או מציע שירותי דיוור ישיר, ובנוסף מחזיק מעל 10,000 רשומות – הוא מחויב במינוי DPO.

שימו לב: שני התנאים חייבים להתקיים במצטבר. לדוגמה, חברה שמוכרת לידים אך יש לה רק 9,000 רשומות אינה מחויבת במינוי ממונה.

3. ארגונים המבצעים ניטור שיטתי בהיקף ניכר

גופים שמנטרים באופן שיטתי ורחב את התנהגותם, מיקומם או פעולותיהם של אנשים חייבים למנות DPO.
דוגמאות בולטות הן ספקי תקשורת, שירותי חיפוש ופלטפורמות פרסום דיגיטלי. עם זאת, עסק קטן שמנטר רק באופן פנימי ולא באופן שיטתי או בהיקף נרחב, כמו ניטור עובדים פנימי בלבד, לא נדרש בדרך כלל למנות DPO.

4. ארגונים שמעבדים מידע רגיש בהיקף ניכר

כל גוף שמעבד מידע רפואי, פיננסי או מידע אחר בעל רגישות גבוהה בהיקף משמעותי מחויב במינוי DPO. דוגמאות נפוצות הן בנקים, חברות ביטוח, בתי חולים וקופות חולים.

בנוסף, קיימים תחומים נוספים שבהם חקיקה ספציפית מחייבת מינוי DPO, למשל בתחום הפיננסים, שבו תקנות הפיקוח על שירותים פיננסיים מחייבות במינוי ממונה על הגנת פרטיות.

חשוב לשים לב: התנאי השני (מאגר מידע למסירה לאחרים) חל רק על בעלי שליטה במאגר, בעוד שהתנאים האחרים חלים גם על "מחזיקים" במידע אישי – כלומר, גורם חיצוני שמעבד מידע עבור בעל השליטה במאגר. לדוגמה: חברה שנותנת שירות לבתי חולים ומנתחת מידע רפואי על מטופלים, חייבת למנות DPO. כך גם סטארטאפ פינטק שמנתח פעילות פיננסית של לקוחות בנק, עבור הבנק – גם הוא מחויב בכך.

המשמעות היא שאלפי ארגונים במשק הישראלי יצטרכו למנות ממונה על הגנת פרטיות לראשונה.

מעבר לדרישה החוקית, כבר היום ברור שארגונים גדולים שיחויבו במינוי ממונה על הגנת הפרטיות יעדיפו להתקשר עם ספקים שגם הם עומדים בדרישה ומינו DPO משלהם. זה יוצר סטנדרט חדש בתעשייה ומגביר את ההקפדה על חוקי הפרטיות בכל במשק.

מה תפקיד הממונה בפועל?

ה -DPO אחראי לוודא שהארגון עומד בהוראות החוק. בפועל זה כולל:

• פיקוח על עיבוד מידע אישי בארגון.
• אכיפת תוכנית פרטיות שנתית וביצוע סקרי סיכונים לעמידה בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
• ייעוץ והדרכת עובדים ומנהלים בכל הקשור להגנת פרטיות.
• טיפול בזכות העיון של אנשים ובבקשות שלהם לקבל את המידע שנשמר עליהם.
• מעקב מתמשך אחר שינויים רגולטוריים והתאמת מדיניות הארגון בהתאם להנחיות הרשות להגנת הפרטיות.
• היערכות למצבי חירום או אירועי אבטחת מידע.
• עבודה מול הרשות להגנת הפרטיות ומעורבות בהתמודדות עם אירועי אבטחת מידע.

מה קורה אם לא ממנים DPO בזמן?

ארגון שלא ימנה ממונה למרות החובה החוקית מסתכן בעיצומים כספיים משמעותיים מהרשות להגנת הפרטיות וסנקציות חריפות אחרות. בנוסף, הארגון חשוף לתביעות אזרחיות מצד נושאי מידע, לפגיעה במוניטין שלו ולפגיעה עסקית ממשית מול לקוחות, שותפים עסקיים ורגולטורים.

הפרת החוק או פגיעה בפרטיות עלולה להוביל להשלכות משמעותיות לארגון. תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות אכיפה רחבות ומוגברות, כולל הטלת קנסות משמעותיים, סמכות לנקוט בהליכים פליליים ואף סמכות לפעול לקבלת צו שיפוטי להפסקת עיבוד מידע ומחיקתו. מדובר בצעד חריף שבכוחו להשבית פעילות עסקית. מינוי DPO מקצועי ויישום תכנית פרטיות שנתית יסייעו לארגון למנוע הפרות כאלה, להפחית את הסיכון לחשיפה לסנקציות ולהימנע מההשלכות הכבדות הנלוות – משפטיות, כספיות ותדמיתיות כאחד.

מה הלאה?

תיקון 13 נכנס לתוקף באוגוסט 2025. ארגונים שנדרשים במינוי ועוד לא הסדירו זאת צריכים להתחיל לפעול כבר עכשיו ובדחיפות. מעבר למינוי עצמו, הממונה והארגון נדרשים להכין תוכנית שנתית לניהול פרטיות ולוודא שהיא עומדת בכל דרישות החוק והרגולציה.

במקביל, כולנו ממתינים להנחיות הרשות להגנת הפרטיות, שיספקו הבהרות נוספות על דרישות החוק החדשות.

רוצים לוודא שהארגון שלכם ערוך לשינויים?

עם ניסיון בליווי חברות ישראליות ובינלאומיות, אנחנו כאן כדי לספק פתרונות פרטיות וציות מותאמים לצרכים שלכם.

דברו איתנו.