דלגו לתוכן
פרטיות4 ביולי 20268 דק׳ קריאה

ממונה הגנת פרטיות: יועץ פרטיות-טכנולוגיה או משרד עורכי דין?

שני מסלולים למינוי DPO חיצוני לפי תיקון 13 — והם לא אותו שירות. השוואה הוגנת: מה כל מסלול נותן, איפה כל אחד חזק, מתי צריך את שניהם, ואיך בוחרים לפי הפרופיל של הארגון.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

מאז שתיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, אלפי ארגונים בישראל גילו שהם חייבים למנות ממונה הגנת פרטיות — ורובם ניצבים מול אותה שאלה: למי מוציאים את התפקיד? לשוק הישראלי התגבשו שני מודלים עיקריים: מינוי ממונה חיצוני דרך משרד עורכי דין המתמחה בפרטיות, או דרך יועץ פרטיות-טכנולוגיה — גורם מקצועי שמגיע מעולם אבטחת המידע והציות התפעולי. התשובה הכנה היא שאין מנצח אוניברסלי: לכל מודל יש יתרונות אמיתיים שהשני מתקשה לספק, והבחירה הנכונה תלויה בפרופיל הארגון, ברגישות המידע ובאופי הסיכונים. במאמר הזה נפרק את ההשוואה לגורמים — כולל המקומות שבהם עורך דין עדיף באופן חד-משמעי — ונציע דרך לבחור לפי שלושה תרחישים נפוצים.

למה בכלל צריך ממונה — מבחני תיקון 13 בקצרה

תיקון 13 הרחיב משמעותית את חובת מינוי ממונה הגנת הפרטיות. בקווים כלליים, החובה חלה על גופים ציבוריים, על ארגונים שמעבדים מידע רגיש בהיקף משמעותי — למשל גופים בתחומי הבריאות והפיננסים המחזיקים מידע רגיש על 10,000 נושאי מידע ומעלה — ועל ארגונים המנהלים מאגרים גדולים של 100,000 רשומות ומעלה. המבחנים המדויקים כוללים ניואנסים של מטרות עיבוד והיקפים, ופירטנו אותם במאמר מי חייב למנות DPO לפי תיקון 13. אם אתם לא בטוחים אם החובה חלה עליכם, מחשבון חובת המינוי שלנו נותן אינדיקציה תוך דקות.

נקודה אחת חשובה לענייננו: החוק דורש שהממונה יהיה בלתי תלוי ושלא יימצא בניגוד עניינים עם תפקידיו האחרים. הדרישה הזו היא בדיוק הסיבה שמינוי חיצוני הפך לפתרון המועדף על ארגונים רבים — סמנכ״ל טכנולוגיות או יועץ משפטי פנימי שממונים ״גם על הפרטיות״ עלולים למצוא את עצמם מפקחים על החלטות של עצמם. אבל ברגע שהוחלט על מינוי חיצוני, נפתחת שאלת הזהות המקצועית: משפטן או איש טכנולוגיה?

מה באמת עושה ממונה בחודש טיפוסי

כדי להשוות בין המודלים, כדאי קודם להסתכל בכנות על סל המשימות של ממונה פעיל. בחודש עבודה טיפוסי, ממונה הגנת פרטיות מתמודד עם רשימה שנראית בערך כך:

  • מיפוי ועדכון מאגרי מידע — אילו מערכות מחזיקות מידע אישי, מי ניגש אליהן ולאיזו מטרה, ומה השתנה מאז החודש שעבר (מערכת חדשה שהוטמעה, ספק שהוחלף).
  • סקירת הרשאות גישה מול צוות ה-IT — צמצום הרשאות עודפות, טיפול בעובדים שעזבו, בקרה על גישת ספקים.
  • בדיקת ספקים ומעבדי מידע — סקירת שאלוני אבטחה, וידוא שהסכמי עיבוד (DPA) חתומים ומיושמים בפועל.
  • מענה לפניות נושאי מידע — בקשות עיון, תיקון ומחיקה, בתוך המועדים שהחוק קובע.
  • ליווי פרויקטים חדשים — מוצר חדש, קמפיין שיווקי, מערכת HR — כדי שפרטיות תיבנה פנימה ולא תודבק בסוף.
  • הדרכות עובדים ותרגול נוהל פרצה — כולל תרגולים שולחניים ובדיקה שרשימות הקשר והנהלים עדכניים.
  • דיווח להנהלה — תמונת סיכונים, פערים וסטטוס תוכנית העבודה.

המסקנה מהרשימה הזו ברורה: רוב עבודת הממונה השוטפת היא תפעולית-טכנית, לא משפטית. שאלות משפטיות טהורות — פרשנות סעיף במחלוקת, ניסוח חוות דעת, ליווי הליך — צצות, אבל הן המיעוט. את עיקר הזמן הממונה מבלה מול מערכות, הרשאות, ספקים ועובדים. זו נקודת המוצא להשוואה, אבל היא לא סוף הסיפור — כי כשהשאלות המשפטיות כן מגיעות, הן לרוב הקריטיות ביותר.

מה משרד עורכי דין נותן טוב יותר

נתחיל בצד שפחות נוח לנו לכתוב עליו, דווקא כי חשוב לומר אותו בכנות. יש תחומים שבהם משרד עורכי דין מתמחה בפרטיות עדיף באופן מובהק, ואי אפשר — ואסור — לוותר עליהם:

  • חוות דעת משפטיות. כשצריך לקבוע האם עיבוד מסוים חוקי, האם בסיס ההסכמה תקף או איך לפרש סעיף חדש שטרם נבחן — חוות דעת של עורך דין היא המסמך שעליו ההנהלה והדירקטוריון יכולים להישען.
  • חיסיון עורך דין-לקוח. תקשורת עם עורך דין במסגרת ייעוץ משפטי נהנית מחיסיון. בבירור רגיש — למשל אחרי אירוע אבטחה עם חשיפה משפטית — זה יתרון שאין ליועץ שאינו עורך דין.
  • ייצוג בהליכים. אם הרשות להגנת הפרטיות פותחת בהליך אכיפה, או אם מוגשת תביעה — רק עורך דין יכול לייצג אתכם.
  • פרשנות סעיפים במחלוקת. תיקון 13 צעיר, פסיקה מנחה עדיין מתגבשת, ובשאלות פרשניות אפורות ניסיון משפטי ליטיגטורי הוא נכס אמיתי.

מה יועץ פרטיות-טכנולוגיה נותן טוב יותר

מנגד, יש תחומים שבהם יועץ שמגיע מעולם אבטחת המידע והטכנולוגיה מספק ערך שמשרד עורכי דין טיפוסי מתקשה להשתוות אליו — פשוט כי זו לא ליבת המקצוע המשפטי:

  • מיפוי טכני של מאגרים והרשאות. לדעת לפתוח קונסולת ניהול, לקרוא מבנה הרשאות ב-CRM או בענן, ולזהות שמאגר ״אחד״ הוא בפועל חמישה עותקים בחמש מערכות — זו עבודה טכנית שדורשת יד על המקלדת.
  • הטמעת בקרות במערכות. לא רק להמליץ על ״בקרת גישה נאותה״ במסמך, אלא לשבת עם ה-IT ולוודא שההגדרות באמת שונו: הרשאות מינימליות, תיעוד פעילות, הצפנה, אימות רב-שלבי.
  • תרגול נוהל פרצה. תרגיל שולחני אמין דורש הבנה איך מתקפות באמת נראות — מה רואים בלוגים, איך נראית התפשטות, ומה ההחלטות שצוות באמת יצטרך לקבל בשעה הראשונה.
  • עבודה שוטפת מול IT וספקים. ממונה טכנולוגי מדבר בשפה של מנהלי המערכות והספקים, מה שמקצר תהליכים ומוריד חיכוך — הפרטיות מפסיקה להיות ״דרישה של עורכי הדין״ והופכת לחלק מהתפעול.
  • ראייה של אבטחת מידע ופרטיות כמכלול. תקנות אבטחת המידע הן חלק בלתי נפרד מהציות, ורוב הפרצות הן קודם כול כשל אבטחתי. יועץ שחי את שני העולמות רואה את התמונה המלאה — לא רק את הנוסח, גם את הסיכון.

טבלת השוואה: קריטריון מול קריטריון

קריטריוןמשרד עורכי דיןיועץ פרטיות-טכנולוגיה
מיפוי טכני של מאגרים והרשאותלרוב נשען על הצהרות הארגון ושאלוניםיתרון מובהק — עבודה ישירה מול המערכות עצמן
מסמכים משפטיים וחוות דעתיתרון מובהק — זו ליבת המקצועמנסח מדיניות ונהלים; בחוות דעת מחייבות נדרש עורך דין
חיסיון עורך דין-לקוחקיים במסגרת ייעוץ משפטילא קיים — שיקול מהותי בבירורים רגישים
הטמעת בקרות במערכותממליץ ברמת המסמך; היישום נשאר אצל הארגוןיתרון מובהק — מלווה את היישום עד הגדרה בפועל
תרגול אירועי אבטחה ופרצותמתמקד בהיבטי הדיווח והחשיפה המשפטיתיתרון — תרחישים טכניים מציאותיים לצד חובות הדיווח
עלות טיפוסית יחסיתלרוב גבוהה יותר, בפרט בתעריף שעתילרוב נגישה יותר במודל ריטיינר שוטף
ממשק מול הרשות להגנת הפרטיותיתרון בהליכי אכיפה — ייצוג משפטי מלאמנהל דיווחים ופניות שוטפות; בהליך אכיפה נדרש עורך דין
האם הממונה חייב להיות עורך דין? לא.

החוק אינו קובע שממונה הגנת פרטיות חייב להיות עורך דין. הדרישות המהותיות הן ידע מתאים בדיני הגנת הפרטיות ובתחום אבטחת המידע, אי-תלות והיעדר ניגוד עניינים — והיכולת לבצע את התפקיד בפועל. ההכשרה המשפטית היא יתרון בהקשרים מסוימים, אך היא אינה תנאי סף.

ומה אם צריך את שניהם? המודל המשולב

ההשוואה עד כאן מציגה את שני המודלים כאילו הם מוציאים זה את זה — אבל בפועל, אצל ארגונים רבים התשובה הנכונה היא גם וגם, בחלוקת תפקידים ברורה: ממונה יישומי-טכנולוגי שמחזיק את העבודה השוטפת — מיפוי, בקרות, ספקים, הדרכות, תרגולים — ולצדו היועץ המשפטי של הארגון (פנימי או חיצוני), שמטפל בחוות דעת, בחוזים מורכבים ובכל מה שדורש חיסיון או ייצוג. כך כל שאלה מגיעה לבעל המקצוע המתאים, בלי לשלם תעריף משפטי על עבודה תפעולית ובלי להטיל על משפטן משימות טכניות שאינן בליבת עיסוקו.

נאמר בשקיפות מלאה: זה המודל שבו Cybertis עובדת. אנחנו משמשים ממונה הגנת פרטיות חיצוני יישומי, ועובדים באופן שוטף לצד היועצים המשפטיים של לקוחותינו — לא במקומם. כשעולה שאלה שדורשת חוות דעת משפטית, חיסיון או ייצוג, אנחנו הראשונים להגיד ״זה שייך לעורך הדין״, ומגיעים לשיחה איתו עם התשתית העובדתית והטכנית מוכנה. מניסיוננו, השילוב הזה גם מוזיל את העלות המשפטית: עורך הדין מקבל שאלות ממוקדות במקום לנהל את הציות כולו.

איך לבחור לפי פרופיל הארגון — שלושה תרחישים

תרחיש 1: חברה בצמיחה עם הרבה מערכות ומעט משפטנים

חברת טכנולוגיה או שירותים עם עשרות עד מאות עובדים, ערימת SaaS מתרחבת, מאגר לקוחות גדל — וללא מחלקה משפטית פנימית. כאן עיקר הסיכון הוא תפעולי: הרשאות פרוצות, ספקים בלי DPA, מאגרים לא ממופים. ממונה יישומי-טכנולוגי ייתן את מרב הערך, עם עורך דין חיצוני בהיקף נקודתי לפי צורך.

תרחיש 2: ארגון בסביבה משפטית טעונה

ארגון שנמצא בהליכי אכיפה, בסכסוך משפטי סביב מידע אישי, או שפעילותו יושבת על שאלות פרשניות פתוחות בחוק — למשל מודל עסקי שמבוסס על עיבוד מידע בדרכים שהחוק טרם הכריע בהן. כאן ההובלה צריכה להיות משפטית: משרד עורכי דין מתמחה בפרטיות, שיידע לגייס תמיכה טכנית לפי הצורך. חיסיון וייצוג הם כאן שווי המשקל הכבדים.

תרחיש 3: גוף עתיר מידע רגיש — בריאות, פיננסים, ציבורי

ארגון שמחזיק מידע רגיש בהיקפים גדולים או גוף ציבורי, שבו גם הדרישות התפעוליות וגם החשיפה המשפטית גבוהות. כאן המודל המשולב הוא כמעט הכרח: ממונה יישומי שמחזיק את השוטף ברמה יומיומית — כי בהיקפים כאלה אי אפשר לנהל פרטיות ממסמכים בלבד — לצד ליווי משפטי קבוע לחוות דעת, לרגולציה מגזרית ולממשק מול הרשות בסוגיות עקרוניות.

השורה התחתונה

השאלה ״עורך דין או יועץ טכנולוגי״ היא בעצם שאלה על אופי הסיכון שלכם. אם עיקר הפער שלכם הוא תפעולי — מערכות, הרשאות, ספקים, נהלים שקיימים רק על הנייר — ממונה יישומי-טכנולוגי ייתן יותר ערך על כל שקל. אם אתם בסביבה משפטית טעונה או צפויים להליכים, אל תתפשרו על פחות ממשרד עורכי דין. ולרוב הארגונים שבאמצע, המודל המשולב — ממונה יישומי לצד יועץ משפטי — נותן את שני העולמות בלי לשלם פעמיים. מה שבטוח: אל תבחרו ממונה רק לפי התואר. בחנו מה הוא באמת יעשה אצלכם בחודש טיפוסי, ומי יבצע את העבודה בפועל.

Cybertis מספקת שירות ממונה הגנת פרטיות חיצוני במודל יישומי — מיפוי, בקרות, ספקים, הדרכות ותרגולים — בעבודה שוטפת לצד היועץ המשפטי שלכם. רוצים לבדוק אם המודל מתאים לארגון שלכם? הפגישה הראשונה עלינו.

לשירות ממונה הגנת פרטיות חיצוני

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או תחליף לו. הבחירה במודל מינוי ממונה מחייבת בחינה פרטנית של הארגון, ובשאלות משפטיות — התייעצות עם עורך דין המתמחה בהגנת הפרטיות.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il