דלגו לתוכן
פרטיות8 במאי 20268 דק׳ קריאה· עודכן: 3 ביולי 2026

מי חייב למנות ממונה הגנת פרטיות (DPO) לפי תיקון 13?

פירוט המבחנים המעשיים: גופים ציבוריים, מאגרי מידע בהיקף נרחב, ועיבוד מידע בעל רגישות מיוחדת. עם דוגמאות לחברות שחייבות ואלו שאינן חייבות.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

מאז 14 באוגוסט 2025, כשתיקון 13 לחוק הגנת הפרטיות נכנס לתוקף, שאלת ה-DPO הפכה מנושא תיאורטי לשאלה תפעולית שכל מנכ״ל ישראלי צריך לדעת לענות עליה: האם החברה שלי חייבת למנות ממונה הגנת פרטיות — או לא? התשובה חשובה משתי סיבות. הראשונה: מינוי ממונה הוא אחת החובות שהכי קל לרשות להגנת הפרטיות לבדוק — או שיש ממונה מפורסם ומתועד, או שאין. השנייה: אנחנו כבר בעידן האכיפה, לא בעידן ההיערכות. לרשות יש סמכות להטיל עיצומים כספיים מדורגים, וחובה שלא קוימה היא ממצא שקל להוכיח. החדשות הטובות: המבחנים לחובת המינוי ברורים יחסית, ובעשר דקות של קריאה תדעו בדיוק איפה אתם עומדים — ומה עושים אם התשובה היא ״חייבים״ או ״כדאי מאוד״.

למי המאמר מיועד

למנהלים בחברות ישראליות שמנהלות מידע אישי — לקוחות, משתמשים, עובדים או מטופלים — ורוצים תשובה מעשית, לא חוות דעת משפטית של עשרים עמודים. אם אתם רוצים קודם תמונה כללית של תיקון 13, התחילו במדריך שנה לתיקון 13 — מדריך עמידה מעשי וחזרו לכאן.

שלושת המבחנים: מי חייב למנות ממונה

תיקון 13 הרחיב משמעותית את חובת מינוי ממונה הגנת הפרטיות בישראל. בתרגום למבחנים מעשיים, חובת המינוי חלה בעיקר על שלוש קבוצות:

  1. גוף ציבורי. משרדי ממשלה, רשויות מקומיות, תאגידים סטטוטוריים וגופים נוספים שהחוק מגדיר כציבוריים — חייבים בממונה, בלי קשר להיקף המאגרים. כאן אין שאלה של ספירת רשומות.
  2. מאגר מידע רגיש בהיקף משמעותי. ארגון שעיקר עיסוקו כרוך בעיבוד מידע רגיש — ובראש הרשימה מידע בריאותי ופיננסי — נכנס לחובת המינוי כשהמאגר חוצה סדר גודל של 10,000 רשומות ומעלה. שימו לב: ״מידע רגיש״ בחוק הישראלי כולל בין היתר מידע על בריאות, מידע גנטי, מידע ביומטרי, נטייה מינית, דעות פוליטיות ועבר פלילי.
  3. מאגר בהיקף גדול. ארגון שמנהל מאגר של 100,000 רשומות ומעלה — גם אם המידע אינו מסווג כרגיש — נמצא בליבת חובת המינוי. מועדון לקוחות גדול, בסיס משתמשים של אפליקציה או מאגר דיוור נרחב מגיעים לשם מהר מכפי שנדמה.

המבחנים האלה מתכתבים עם רמות האבטחה שקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 — שנשארו בתוקף מלא גם אחרי תיקון 13: רמה בסיסית למאגרים קטנים ללא מידע רגיש (מתחת ל-10,000 רשומות), רמה בינונית ל-10,000 רשומות ומעלה או למאגרים עם מידע רגיש, ורמה גבוהה למאגרי בריאות, פיננסים וגופים ציבוריים בהיקף גדול או למאגרים של 100,000 רשומות ומעלה. כלל אצבע ניהולי: אם הסיווג שלכם הוא ברמה בינונית ומעלה, שאלת הממונה כבר על השולחן — וברמה גבוהה היא כמעט תמיד מוכרעת לחיוב.

הטעות הנפוצה: לספור רק ״לקוחות משלמים״

היקף המאגר נמדד ברשומות של נושאי מידע — לא בלקוחות פעילים. לידים שנאספו בקמפיינים, משתמשים שנרשמו ונטשו, מועמדים לעבודה, עובדים לשעבר ורשימות דיוור ישנות — כולם נספרים. חברות רבות שבטוחות שהן ״קטנות״ מגלות במיפוי הראשון שהן מזמן חצו את הסף.

מה ממונה הגנת פרטיות עושה בפועל

ממונה הגנת פרטיות הוא לא ״עוד תפקיד על הנייר״ ולא עורך דין שכותב חוות דעת פעם בשנה. זהו תפקיד תפעולי שוטף, שנמצא בתפר בין הנהלה, IT, משפטים ושיווק. בפועל, אלה תחומי האחריות המרכזיים:

  • מיפוי ותיעוד מאגרי מידע. הממונה מוודא שהארגון יודע אילו מאגרים יש לו, אילו סוגי מידע נאספים, לאיזו מטרה, איפה הם מאוחסנים, אילו ספקים מעורבים ומי מורשה גישה. זו התשתית לכל שאר הציות.
  • כתיבה ותחזוקה של מדיניות ונהלים. מדיניות פרטיות ללקוחות, מסמכי הגדרות מאגר, נוהל אבטחת מידע לפי רמת הסיווג, נוהל תגובה לאירועי אבטחה — והתאמתם כשמוצר, ספק או תהליך עסקי משתנים.
  • מענה לבקשות נושאי מידע. תיקון 13 חיזק את זכויות הגישה, התיקון והמחיקה. הממונה מגדיר תהליך מסודר: מי מקבל את הפנייה, איך מאמתים זהות, מה עונים ובאילו מועדים.
  • נקודת הקשר מול הרשות להגנת הפרטיות. בביקורת, בפנייה רגולטורית — ובעיקר באירוע אבטחה חמור, שבו הדיווח לרשות נדרש ״ללא דיחוי״ (ולא בתוך 72 שעות — זו דרישת ה-GDPR האירופי, לא החוק הישראלי). ממונה שמכיר את הארגון מראש חוסך שעות קריטיות בדיוק ברגע שאין אותן.
  • הדרכות ומודעות עובדים. הדרכת עובדים חדשים, רענון תקופתי, ותרגול נוהל פרצה — כי רוב אירועי הפרטיות מתחילים בטעות אנוש, לא בתקיפה מתוחכמת.
  • בקרה שוטפת ודיווח להנהלה. מעקב אחר יישום הבקרות, בחינת ספקים חדשים לפני התקשרות, ודיווח תקופתי לדירקטוריון או להנהלה על מצב הציות והסיכונים.

ועוד נקודה שחשוב להגיד בקול: מינוי ממונה ״על הנייר״ — שם בטופס בלי סמכות, בלי זמן ובלי גישה להנהלה — לא רק שאינו מקיים את מטרת החוק, הוא עלול להזיק. בביקורת, ממונה שלא יודע לענות אילו מאגרים יש לארגון או מתי תורגל נוהל הפרצה משדר לרגולטור בדיוק את המסר ההפוך. אם ממנים — ממנים באמת: מגדירים תחומי אחריות, מקצים זמן ומוודאים שהממונה מדווח לגורם בכיר ולא נבלע בתוך מחלקה תפעולית.

ממונה פנימי או חיצוני — מה נכון לעסק שלכם?

החוק לא מחייב שהממונה יהיה עובד החברה — אפשר למנות ממונה חיצוני במיקור חוץ, וזה בדיוק המודל שרוב העסקים הקטנים והבינוניים בישראל מאמצים. ההיגיון פשוט: תפקיד הממונה דורש מומחיות ספציפית ורוחב ניסיון, אבל ברוב ה-SMB הוא לא מצדיק משרה מלאה. שלושת היתרונות המרכזיים של ממונה חיצוני:

  • עלות. ריטיינר חודשי של ממונה חיצוני נמוך משמעותית מעלות העסקה של איש ציות בכיר — שכר, תנאים, הכשרות וגיוס. משלמים על הזמן והמומחיות שבאמת צריך, לא על משרה.
  • ניסיון רוחבי. ממונה שמלווה במקביל עשרות ארגונים פוגש את שאלות הרגולטור, את תבניות הביקורת ואת הפערים הנפוצים שוב ושוב — ומביא לכל לקוח פתרונות שכבר עבדו בשטח, במקום ללמוד על חשבונכם.
  • אי-תלות. לממונה יש תפקיד ביקורתי מובנה: להצביע על פערים, לעצור תהליך בעייתי, להתריע בפני ההנהלה. גורם חיצוני עושה זאת בלי חשש מפוליטיקה פנים-ארגונית ובלי ניגוד עניינים מול מנהל שהוא גם הכפיף שלו.
קריטריוןממונה פנימיממונה חיצוני (מיקור חוץ)
עלות שנתיתמשרה מלאה או חלקית + הכשרותריטיינר חודשי קבוע ונמוך משמעותית
זמינות בשגרהמלאה, אך לרוב מפוצלת עם תפקיד נוסףמוגדרת בהסכם — מותאמת להיקף הצורך בפועל
ניסיון רגולטורינבנה לאורך זמן בארגון אחדמצטבר מליווי ארגונים רבים במקביל
אי-תלותחשוף ללחצים פנים-ארגונייםעמדה ביקורתית עצמאית מובנית
היכרות עם הארגוןעמוקה מהיום הראשוןנבנית בתהליך אונבורדינג ומיפוי מסודר
מתאים בעיקר ל…ארגונים גדולים וגופים ציבורייםעסקים קטנים ובינוניים וחברות טכנולוגיה

מתי בכל זאת פנימי? בארגונים גדולים, בגופים ציבוריים ובחברות שהמידע האישי הוא ליבת המוצר שלהן — שם היקף העבודה השוטף מצדיק תפקיד ייעודי, ולעיתים גם ממונה פנימי שנעזר בייעוץ חיצוני. עבור רוב החברות עד כמה מאות עובדים, המודל החיצוני נותן את אותה עמידה רגולטורית בשבריר מהעלות.

ארבע דוגמאות: איפה החברה שלכם נופלת

חברת SaaS B2B קטנה (עד ~50 עובדים)

מנהלת בעיקר מידע על אנשי קשר עסקיים, משתמשים במערכת ועובדים — בדרך כלל מתחת לספים ובלי מידע רגיש בליבת הפעילות. לרוב לא חייבת בממונה. ובכל זאת, מינוי ממונה חיצוני מומלץ כאן כמעט תמיד: לקוחות אנטרפרייז דורשים בשאלוני ספקים איש קשר לפרטיות, ותהליכי מכירה לחו״ל נתקעים בלי תשובות ציות מסודרות. כאן הממונה הוא נכס מכירתי, לא רק רגולטורי.

מרפאה, מכון בריאות או קליניקה

כל תיק מטופל הוא מידע רגיש מהמעלה הראשונה. השאלה כאן היא היקף: מרפאה עם כמה אלפי מטופלים פעילים והיסטוריים עשויה עדיין להיות מתחת לסף, אבל מכון שצבר לאורך השנים 10,000 תיקי מטופלים ומעלה נכנס לליבת חובת המינוי — וגם לרמת אבטחה מחמירה לפי התקנות. תלוי היקף, ובגבול — ההנחה צריכה להיות שחייבים. חשוב לזכור שגם מטופלי עבר נספרים.

אתר eCommerce עם 100,000+ לקוחות

מאגר של מאות אלפי רשומות לקוחות — פרטי קשר, כתובות, היסטוריית רכישות — חוצה את סף ה-100,000 בבירור. חייב בממונה, וסביר שגם ברמת אבטחה גבוהה לפי התקנות. זו הקטגוריה שבה אנחנו פוגשים את הפער הגדול ביותר בין תחושת הסיכון (״אנחנו סתם חנות״) לבין החובה בפועל.

חברת פינטק

מידע פיננסי הוא מידע רגיש, וגם חברת פינטק צעירה יחסית מגיעה מהר ל-10,000 רשומות ומעלה — משתמשים, לידים ונתוני עסקאות. חייבת לרוב, ולעיתים קרובות עוד לפני שחצתה את הספים, בגלל דרישות של בנקים שותפים, מבטחים ורגולציה פיננסית משיקה. בפינטק, ממונה הגנת פרטיות הוא תנאי כניסה לשוק, לא רק חובה חוקית.

טבלת החלטה: חייבים, כנראה חייבים או מומלץ

סוג הארגון / המאגרחובת מינוי DPOהערה מעשית
גוף ציבוריחייבבלי קשר להיקף המאגרים
מאגר 100,000+ רשומותחייבלידים, משתמשים לא פעילים ורשימות דיוור נספרים גם הם
מידע רגיש (בריאות/פיננסים) ב-10,000+ רשומותחייב לרובבגבול הסף — להניח שחייבים ולבדוק פרטנית
מידע רגיש מתחת ל-10,000 רשומותתלוי נסיבותרמת האבטחה עדיין בינונית לפחות; מינוי מומלץ מאוד
SaaS B2B קטן ללא מידע רגישלרוב לאמומלץ כממונה חיצוני — דרישה חוזרת של לקוחות אנטרפרייז
eCommerce מתחת לספיםלרוב לאלעקוב אחרי קצב הצמיחה — הסף מתקרב מהר
רוצים תשובה מותאמת אליכם — בשלוש דקות?

בנינו מחשבון ״האם אתם חייבים DPO?״ שנותן אינדיקציה מיידית לפי סוג המידע והיקף הרשומות שלכם. ואם אתם רוצים תמונה רחבה יותר של כל פערי תיקון 13 — לא רק שאלת הממונה — סקר הסיכונים החינמי שלנו ממפה את המצב בחמש דקות, בלי התחייבות.

השורה התחתונה

אם אתם גוף ציבורי, מנהלים מידע רגיש בהיקף של 10,000 רשומות ומעלה, או מחזיקים מאגר של 100,000 רשומות ומעלה — חובת מינוי ממונה הגנת פרטיות חלה עליכם כבר היום, והיא אחת החובות הקלות ביותר לרגולטור לאכוף. אם אתם מתחת לספים, מינוי ממונה חיצוני הוא לרוב ההשקעה המשתלמת ביותר בתחום הציות: הוא סוגר את שאלוני הלקוחות, מסדר את המענה לזכויות ומייצר כתובת אחת לכל נושא הפרטיות בארגון. ובכל תרחיש — ההחלטה צריכה להתקבל על בסיס מיפוי אמיתי של המאגרים, לא על תחושת בטן. בעידן האכיפה, ״לא ידענו שאנחנו מעל הסף״ היא לא הגנה — היא ממצא.

Cybertis מספקת שירות ממונה הגנת פרטיות חיצוני (DPO as a Service) לחברות ישראליות: מינוי רשמי, מיפוי מאגרים, נהלים ומדיניות, מענה לזכויות, נציגות מול הרשות והדרכות עובדים — הכול בריטיינר חודשי קבוע. הפגישה הראשונה עלינו.

לשירות DPO חיצוני

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. יישום בפועל מחייב בחינה פרטנית של הארגון, ובמקרים המתאימים — התייעצות עם עורך דין המתמחה בהגנת הפרטיות.*

השירות הקשור

עמידה בתיקון 13 לחוק הגנת הפרטיות

תיקון 13 בתוקף מ-14 באוגוסט 2025 — והרשות להגנת הפרטיות כבר אוכפת. אנחנו עוזרים לעסקים ולארגונים לבצע Gap Assessment פרטיות, למנות DPO, לעדכן מסמכי מאגרי מידע ולסגור את הפערים לפני שביקורת או אירוע יעשו זאת במקומכם — בלי בהלה ובלי בירוקרטיה מיותרת.

לעמוד השירות המלא
תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il