DPO: מהתפקיד שלא הכרתם לשחקן המרכזי בארגון שלכם
10 במאי 2026 · 5 דקות קריאה
תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף. אם אתם מנהלי IT, CTO מנמ"רים, CISO או יועצי/ממוני אבטחת מידע – הגיע הזמן להפסיק לדחות את הנושא הזה ל"מחר". הנה מה שחייבים לדעת, בלי עגה משפטית מיותרת.
מה השתנה בפועל?
ב-14 באוגוסט 2025 עברה ישראל מרישום פורמלי של מאגרי מידע למודל של אחריותיות אמיתית (ACCOUNTABLITY). המשמעות הפרקטית: לא מספיק לרשום מאגר ולשכוח. כעת צריך להוכיח שהארגון מנהל את המידע באופן מבוקר – ולמנות אדם שאחראי על כך.
מי חייב למנות ?
הנה איפה חברות טכנולוגיה תופסות את עצמן לא מוכנות: ההגדרה החדשה של "עיבוד מידע" כוללת גם עצם האחסון או העיון במידע. זה אומר שחברות SaaS וספקי ענן העובדים עם גופים ציבוריים – כן, גם אתם.
גופים ציבוריים – משרדי, ממשלה, רשויות מקומיות, בתי חולים, אוניברסיטאות ומכללות.
סוחרי מידע – גופים שעיסוקם העיקרי איסוף ומסירת מידע על מעל 10.000 איש.
מנטרים שיטתיים – אפליקציות, מנועי חיפוש, ספקי תקשורת – כל מי שעוקב אחרי התנהגות.
מידע בעל רגיות מיוחדת – גופים המעבדים בהיקף ניכר מידע רפואי או פיננסי כעיסוק מרכזי.
נקודה קריטית: הקריטריונים אינם מצטברים. עמידה בתנאי אחד בלבד מפעילה את חובת המינוי. בדקו את זה לפני שאתם מניחים שאתם פטורים.
CISO לא שווה DPO –
זו הטעות הנפוצה ביותר שאני פוגש. מדובר בשני תפקידים שונים לחלוטין, עם לוגיקה שונה ולעיתים מנוגדת.
CISO – אבטחת מידע
* מגן על המערכות מפני פריצות
* מדווח ל-CTO/מנהל IT
* מנקודת מבט טכנולוגית
DPO – הגנת הפרטיות
* מגן על זכויות נושאי משרה
* מדווח ישירות למנכ"ל
* מנקודת מבט משפטית-מוסרית
ניגוד העניינים הוא מובנה. CISO שמשמש גם כ-DPO לא יכול לשרת את שני האינטרסים באמת.
עצמאות – דרישה, לא המלצה
החוק ברור: ה- DPO חייב לדווח ישירות למנכ"ל, ואף אחד מהאנשים הבאים לא יכול לשמש בתפקיד:
מנהל שיווק; מנהל כספים; CTO; מנהל מערכות מידע – כל מי שקובע את מטרות העיבוד בארגון.
הסיבה פשוטה: ה- DPO לא יכול לפקח על עצמו. עצמאותו היא מה שנותן לפיקוח שלו משמעות.
ה-DPO כנכס עסקי – לא רק עלות
מינוי ממונה מוכיח לרשות להגנת הפרטיות וללקוחות שהארגון רציני. זה לא רק מפחית עיצומים – זה בונה אמון עם לקוחות ושותפים בינלאומיים. ארגון שפועל לפי דרישות הדין הישראלי נהנה מיתרון תחרותי ממשי בשוק.
"הממונה ישמש כסמכות מקצועית בתחומי פעילותו, ויש לשקול את עמדתו בכובד ראש ולנמק בכתב החלטות שאינן מאמצות אותה." — סעיף 15.1 לגילוי דעת של הרשות להגנת הפרטיות בנושא מינוי ממונה הגנת הפרטיות.
לא בטוחים אם הארגון שלכם חייב במינוי? רוצים לבדוק אם ה-DPO הנוכחי עומד בדרישות?
דברו איתנו בהקדם.
האמור לעיל הינו מידע כללי ואינו מהווה תחליף לייעוץ משפטי פרטני.
שאלות נוספות בנושא ניתן להפנות לעו"ד אלון ספושניק DPO בטלפון 0722502512 ל-info@sr-lawoffice.co.il
