ממונה הגנת פרטיות ביומיום: מה הוא באמת עושה כל חודש
רוב הדיון על DPO נעצר בשאלה אם חייבים למנות. אבל ממונה שחתם על כתב מינוי ונעלם שווה בדיוק כמו לא למנות. הנה לוח השנה האמיתי של ה-DPO — חודשי, רבעוני ושנתי — סקירת פרויקט חדש, תפקידו באירוע, הגבול מול CISO ויועץ משפטי, והדגלים האדומים של ממונה על הנייר.
רוב הדיון על ממונה הגנת פרטיות (DPO) בישראל נעצר בשאלה אחת: האם אנחנו חייבים למנות? זו שאלה חשובה, אבל היא רק ההתחלה. ראינו יותר מדי ארגונים שמינו DPO בכתב מינוי מסודר, שלחו הודעה לרשות — ואז לא קרה כלום. הממונה חתם על מסמך, חזר לתפקידו הרגיל, ואיש לא ראה ממנו דוח, סקירה או המלצה במשך חודשים. מבחינת החוק, זה בדיוק כמו לא למנות בכלל. במאמר הזה לא נעסוק שוב בשאלה מי חייב למנות DPO — עליה כתבנו בנפרד. במקום זה נפרק את החלק שרוב הארגונים מפספסים: מה בעצם הממונה עושה כל חודש, כל רבעון וכל שנה, ואיך נראה תפקיד DPO שעובד בפועל.
לפי המדריך המקצועי של הרשות להגנת הפרטיות לתיקון 13, ה-DPO חייב לדווח ישירות למנכ״ל או למי שכפוף ישירות למנכ״ל, להיות בעל הידע והכישורים הנדרשים, להיות נקי מניגוד עניינים, והארגון חייב להעמיד לרשותו את המשאבים הדרושים למילוי התפקיד. הממונה יכול להיות עובד פנימי או ספק חיצוני. ההגדרות האלה נשמעות פורמליות — אבל כל אחת מהן מתורגמת לשגרת עבודה קונקרטית, וזה בדיוק מה שנפרק כאן.
לוח השנה של ה-DPO: חודשי, רבעוני, שנתי
הדרך הטובה ביותר להבין מה DPO אמיתי עושה היא להסתכל על לוח השנה שלו. תפקיד הגנת הפרטיות אינו רצף של כיבוי שרפות — הוא מחזור עבודה מתוזמן, שבו חלק מהמשימות חוזרות מדי חודש, חלק מדי רבעון, והגדולות מתבצעות אחת לשנה. ארגון שאין לו לוח כזה, פשוט לא באמת מנהל פרטיות.
מדי חודש: טיפול בפניות וסינון אירועים
- טיפול בפניות נושאי מידע. כל בקשה של לקוח או עובד למימוש זכות העיון, התיקון או המחיקה נכנסת לתור אצל הממונה, שאחראי לוודא שהיא נענית במסגרת הזמן הקבועה בחוק ומתועדת. מספר הפניות הפתוחות וזמן המענה הממוצע הם מדד ישיר לתפקוד.
- סינון אירועי אבטחה (Triage). לא כל תקלה היא ״אירוע אבטחה חמור״ שמחייב דיווח לרשות. הממונה הוא הגורם שמסווג כל אירוע שדווח פנימית — מייל שנשלח לנמען שגוי, גישה חריגה, חשד לדליפה — ומכריע אם הוא חוצה את הסף.
- מעקב שוטף. סקירה קצרה של יומן האירועים, פניות שנפתחו ונסגרו, ומשימות פתוחות מהחודש הקודם — כדי ששום דבר לא ייפול בין הכיסאות.
מדי רבעון: הדרכות, ספקים ופרויקטים חדשים
- רענון הדרכות. לא הדרכה שנתית אחת שנשכחת עד מרץ, אלא מחזור רבעוני קצר — במיוחד לצוותים שנוגעים במידע רגיש: שירות לקוחות, שיווק, HR ופיתוח.
- סקירת ספקים ומעבדי משנה. מעבר על רשימת הספקים שנוגעים במידע אישי, בדיקה שקיימים הסכמי עיבוד מידע (DPA) תקפים, ושלא נכנסו ספקים חדשים ״מתחת לרדאר״.
- סקירת פרויקטים חדשים (Privacy Review). כל CRM חדש, קמפיין, פיצ׳ר מוצר או מערכת שנכנסים לרבעון עוברים בדיקת פרטיות לפני העלייה לאוויר — נרחיב על כך בהמשך.
מדי שנה: מיפוי, מדיניות, סקר סיכונים ודוח הנהלה
- רענון מיפוי מאגרי המידע. מיפוי מאגרי המידע אינו מסמך חד-פעמי. אחת לשנה בודקים אם נוספו מאגרים, אם הסיווג עדכני, ואם אופי המידע השתנה — כי מספיק פיצ׳ר אחד כדי להעלות מאגר לרמת אבטחה גבוהה יותר.
- עדכון מדיניות ונהלים. מדיניות הפרטיות, הודעת האיסוף, נוהל תגובה לאירוע ונוהל טיפול בפניות — כולם נסקרים ומעודכנים מול שינויים בפעילות ובדין.
- תיאום סקר סיכונים לפי רמת האבטחה. תקנות אבטחת מידע מחייבות מאגרים ברמת אבטחה בינונית וגבוהה בסקרי סיכונים ומבדקי חדירה תקופתיים. הממונה מתאם את ביצועם ואת סגירת הממצאים.
- דוח שנתי להנהלה. תמצית מסודרת של מצב הפרטיות בארגון — פניות, אירועים, ממצאים פתוחים, סטטוס הדרכות והמלצות לשנה הבאה. זה המסמך שמוכיח שהתפקיד חי.

איך נראית סקירת פרטיות לפרויקט חדש
כאן נמצא ההבדל הגדול ביותר בין DPO על הנייר ל-DPO שעובד. ארגון שמנהל פרטיות אמיתית לא מעלה מערכת חדשה שנוגעת במידע אישי — CRM, פלטפורמת דיוור, פיצ׳ר שאוסף נתוני משתמשים — בלי שהממונה שאל קודם קבוצת שאלות פשוטה:
- איזה מידע אנחנו אוספים, ולמה? האם כל שדה נחוץ למטרה, או שאנחנו אוספים ״כי אפשר״? מזעור מידע הוא הכלל הראשון.
- מה הבסיס החוקי לאיסוף, ומה אמרנו לנושאי המידע? האם יש הסכמה או בסיס אחר, והאם הודעת האיסוף משקפת את השימוש בפועל?
- לאן המידע זורם? אילו ספקים ומעבדי משנה ייגעו בו, האם הוא יוצא מחוץ לישראל, והאם קיים DPA מתאים?
- איך המידע מאובטח, ולכמה זמן נשמור? רמת האבטחה הנדרשת, הרשאות הגישה, וכלל מחיקה בתום התקופה.
- האם צריך תסקיר השפעה? אם הפרויקט כרוך בעיבוד בהיקף נרחב או במידע רגיש במיוחד — האם נדרש תהליך הערכה מעמיק יותר.
סקירת פרטיות ששווה משהו קורית לפני ההשקה, לא אחריה. אנחנו רואים שוב ושוב ארגונים שמגלים בעיית פרטיות אחרי שהמערכת כבר באוויר ואוספת נתונים — ואז התיקון יקר, איטי, ולפעמים כרוך במחיקת מידע שכבר נאסף. DPO שמשולב בתהליך מוקדם חוסך את זה. הכניסו את הממונה לשולחן בשלב האפיון, לא בשלב ה-Go-Live.
ה-DPO ברגע האמת: תפקידו באירוע אבטחה
כשקורה אירוע — דליפה, גישה לא מורשית, כופרה — הממונה הוא לרוב הכתובת הראשונה מצד הפרטיות. הוא לא מחליף את צוות התגובה הטכני, אבל הוא מחזיק שלוש אחריות שאסור שייפלו בין הכיסאות:
- מענה ראשון וסיווג. להבין מהר מה קרה, אילו מאגרים ואילו נושאי מידע מעורבים, ומה רמת החומרה — כדי להכריע אם מדובר ב״אירוע אבטחה חמור״ כהגדרתו בתקנות.
- הכרעת הדיווח לרשות. מאגרים ברמת אבטחה בינונית וגבוהה חייבים לדווח על אירוע אבטחה חמור לרשות להגנת הפרטיות באופן מיידי עם גילויו, כולל הצעדים שננקטו. אי-דיווח יושב בדרג העליון של הפרות תקנות האבטחה — עד ₪320,000 למאגר ברמה גבוהה. הכרעה זו היא לב תפקידו של הממונה באירוע.
- תיעוד. מהרגע הראשון: מה התגלה, מתי, אילו החלטות התקבלו ועל סמך מה. התיעוד הזה הוא מה שמגן על הארגון מול הרשות ומול נושאי המידע בהמשך.
DPO מול CISO מול יועץ משפטי: מי אחראי על מה
בלבול התפקידים הזה הוא אחד המקורות הנפוצים לכשל. שלושת התפקידים משיקים, אבל הם לא זהים — ובארגון קטן, כשאדם אחד מגלם כמה מהם, חשוב להכיר את הגבולות ואת מגבלת ניגוד העניינים.
| נושא | DPO — ממונה פרטיות | CISO — מנהל אבטחת מידע | יועץ משפטי |
|---|---|---|---|
| מיקוד עיקרי | עמידה בדיני פרטיות והגנה על נושאי המידע | הגנה טכנית על מערכות ומידע הארגון | ניהול סיכון משפטי וחוזי |
| בעלות על אירוע | הכרעת הדיווח לרשות ולנושאי המידע, תיעוד | זיהוי, הכלה ושיקום טכני | חשיפה משפטית, מו״מ, הודעות רשמיות |
| פרויקט חדש | סקירת פרטיות, מזעור מידע, DPA | ארכיטקטורת אבטחה ובקרות | ניסוח חוזים ותנאי שימוש |
| כפיפות | ישירות למנכ״ל (עצמאות מובנית) | בדרך כלל ל-CTO/מנכ״ל | להנהלה / דירקטוריון |

בארגונים קטנים מקובל לשלב תפקידים — וזה לגיטימי — אבל יש גבול. הממונה חייב להיות נקי מניגוד עניינים, כלומר לא יכול לפקח על החלטות שהוא עצמו קיבל. מנכ״ל, סמנכ״ל שיווק או מנהל IT שקובע בעצמו איך המידע נאסף ומעובד לא יכול לשמש גם כמי שמבקר את אותן החלטות. זו בדיוק אחת הסיבות שארגונים רבים בוחרים ב-DPO חיצוני — הוא עצמאי מבנית.
מה הנהלה צריכה לדרוש מ-DPO
DPO הוא לא תפקיד ״שקיים כדי לסמן וי״. הנהלה שרוצה תפקיד שעובד צריכה לדרוש ממנו מדדים — בדיוק כמו מכל פונקציה עסקית אחרת. שלושה מדדים בסיסיים שאפשר וצריך לדרוש:
- זמני מענה לפניות (SLA). כמה פניות נושאי מידע נפתחו ברבעון, כמה נסגרו בזמן, ומה הזמן הממוצע. מגמה עולה בפניות פתוחות היא נורת אזהרה.
- השלמת הדרכות. אחוז העובדים שהשלימו הדרכת פרטיות, בפילוח לפי צוותים רגישים. יעד ריאלי הוא כיסוי מלא, לא ״רוב העובדים״.
- סגירת ממצאים פתוחים (Burn-down). כמה ממצאים מסקרי סיכונים ומביקורות פתוחים, ובאיזה קצב הם נסגרים. ממצאים שנפתחו לפני שנה ועדיין פתוחים מספרים סיפור.
דגלים אדומים: איך מזהים DPO על הנייר
כשהרשות להגנת הפרטיות בודקת ארגון, היא לא מסתפקת בכתב המינוי — היא בוחנת אם התפקיד חי. בשנה הראשונה של האכיפה ראינו בדיוק אילו שאלות מפקחים שואלים. אלה הסימנים שמעידים על ״ממונה נייר״:
- אף אחד לא באמת פגש את הממונה. אין נוכחות בישיבות, אין קשר עם צוותי המוצר והשיווק, השם מופיע רק על מסמך.
- אין דוחות. אין דוח שנתי, אין סיכומי סקירה, אין פרוטוקול שמראה שהתפקיד פועל.
- אין סקירות פרויקטים. מערכות חדשות עלו לאוויר בלי שהממונה נשאל דבר.
- אין תיעוד אירועים והחלטות. כשקורה אירוע, אין רישום מסודר של מה הוחלט ומדוע.
- ניגוד עניינים גלוי. הממונה הוא בדיוק מי שמקבל את ההחלטות שהוא אמור לבקר.
טיוטת גילוי הדעת של הרשות בנושא ה-DPO
ב-23 ביולי 2025 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת בנושא מינוי ופעולת ממונה הגנת הפרטיות, שנפתחה להערות הציבור עד 23 בספטמבר 2025. הרשות ציינה שהפרשנות בטיוטה תשמש אותה בעת הפעלת סמכויותיה, לרבות הטלת עיצומים. עיקרי הטיוטה, כפי שפורסמו:
- דרישות ידע וכישורים. ידע מעמיק בדיני הגנת הפרטיות — כולל היכרות מעשית עם פסיקה, תקנות ונהלי הרשות — לצד הבנה טכנולוגית מספקת והיכרות עם אופן פעולת הארגון.
- מעמד ועצמאות. גילוי הדעת מרחיב על הכפיפות הישירה להנהלה, על הצורך בהיעדר ניגוד עניינים, ועל תנאי ההעסקה שמאפשרים לממונה לפעול באופן עצמאי.
- היקף החובה והתפקידים. פרשנות הרשות ללשון החוק לגבי מי חייב במינוי, ומה בדיוק כולל התפקיד בפועל.
נכון למועד כתיבת המאמר, מדובר בטיוטה שעברה הליך הערות ציבור. סביר שהיא תגובש לגילוי דעת סופי, וייתכן שכבר גובשה — לכן לפני הסתמכות מעשית כדאי לבדוק את הנוסח העדכני באתר הרשות להגנת הפרטיות. הכיוון הפרשני, לעומת זאת, ברור וכבר משמש בפועל.
צ׳קליסט: איך לבדוק את הסדר ה-DPO שלכם השבוע
רוצים לדעת אם ה-DPO שלכם עובד באמת או קיים על הנייר? עברו על השאלות האלה — כל ״לא״ הוא פער שכדאי לסגור:
- האם קיים כתב מינוי, ואם נדרש — נשלחה הודעה לרשות?
- האם הממונה מדווח ישירות למנכ״ל או לכפוף ישיר שלו, וללא ניגוד עניינים?
- האם הופק דוח פרטיות אחד לפחות ב-12 החודשים האחרונים?
- האם כל פרויקט או מערכת חדשים בשנה האחרונה עברו סקירת פרטיות לפני ההשקה?
- האם קיים תור מסודר לטיפול בפניות נושאי מידע, עם מדידת זמני מענה?
- האם מיפוי מאגרי המידע עודכן בשנה האחרונה?
- האם יש נוהל ברור מי מכריע על דיווח אירוע לרשות — ומי מתעד?
- האם ההנהלה מקבלת מדדים (SLA פניות, השלמת הדרכות, ממצאים פתוחים) ולא רק ״הכול בסדר״?
אם סימנתם ״לא״ ביותר משתיים-שלוש מהשאלות — יש לכם ממונה על הנייר, לא תפקיד שעובד. וזה, מבחינת הרשות, אותו סיכון כמו לא למנות כלל.
Cybertis מספקת שירות DPO חיצוני שעובד באמת — לא כתב מינוי במגירה, אלא לוח שנה חי של סקירות, פניות, אירועים ודיווח שוטף להנהלה. נקודת מענה אחת מול הרשות, מול הלקוחות ומול העובדים, משולבת ישירות במערך אבטחת המידע. הפגישה הראשונה עלינו.
לשירות DPO חיצוני*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות ה-DPO והיקפן תלויים במאפייני הארגון, בסוגי המידע ובדין העדכני, ומחייבים בחינה פרטנית.*