תסקיר השפעה על פרטיות (DPIA): מתי חובה ואיך עושים
בדין הישראלי אין חובה כללית לתסקיר — אבל מאגרים ברמה גבוהה חייבים סקר סיכונים, חברות שמשרתות את אירופה חייבות DPIA לפי GDPR, והרשות מצפה להערכת סיכונים בכל פרויקט משמעותי. מדריך מעשי: המעמד המשפטי בכנות, מתי כדאי לעשות תסקיר גם בלי חובה, והשיטה בחמישה שלבים.
החברה מחליטה להטמיע כלי AI שסורק קורות חיים ומדרג מועמדים אוטומטית, או מערכת מצלמות חדשה עם זיהוי פנים בכניסה, או שעון נוכחות ביומטרי. מישהו בישיבה שואל את השאלה הנכונה: ״רגע — יש כאן בעיית פרטיות?״ ואז שקט. אף אחד לא בדוק את זה באמת, כי אף אחד לא יודע מה זה אומר ״לבדוק״. בדיוק בשביל הרגע הזה קיים תסקיר השפעה על פרטיות — בעברית תסקיר, ובלועזית DPIA (Data Protection Impact Assessment) — הערכת סיכונים מובנית שעורכים לפני שמפעילים עיבוד מידע חדש שעלול לפגוע בפרטיות. במדריך הזה נסביר מה זה בדיוק, מה המעמד המשפטי שלו בישראל (בכנות — בלי להמציא חובות שלא קיימות), למה חברות חכמות עושות אותו גם כשאף אחד לא מחייב, ואיך עושים אותו צעד-אחר-צעד.
תסקיר הוא תהליך מובנה שבו הארגון מתאר פרויקט חדש שכרוך בעיבוד מידע אישי, בוחן את הצורך והמידתיות שלו, מזהה את הסיכונים שהוא יוצר לנושאי המידע — הלקוחות, העובדים, המשתמשים — קובע אמצעים לצמצום הסיכונים, ומתעד את הכול במסמך אחד שמאושר בדרג ההנהלה. זה לא מבדק טכני ולא ביקורת בדיעבד: זו הערכה מקדימה, שנעשית בשלב התכנון — כשעדיין אפשר לשנות את הארכיטקטורה בזול.
המעמד המשפטי בישראל — בלי להמציא חובות
כאן צריך לדייק, כי בשוק מסתובבות אמירות שגויות. בדין הישראלי אין כיום חובה כללית לערוך תסקיר השפעה על פרטיות. זו לא פרשנות שלנו — כך כותבת הרשות להגנת הפרטיות במפורש, במדריך העזר המתודולוגי שהיא פרסמה בנושא: ״באין חובה כללית כיום בדין הישראלי לעריכת תסקיר השפעה על הפרטיות״. תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14.8.2025, לא הוסיף חובת תסקיר גורפת בסגנון האירופי. אז מי שאומר לכם ״תיקון 13 מחייב DPIA״ — פשוט טועה.
אבל — וזה ״אבל״ גדול — היעדר חובה גורפת רחוק מלהיות ״לא צריך״. יש בישראל שלושה עוגנים רגולטוריים שהופכים את הערכת סיכוני הפרטיות ממומלצת מאוד למעשית-הכרחית עבור חלק גדול מהארגונים:
- סקר סיכונים חובה למאגרים ברמת אבטחה גבוהה. תקנות אבטחת מידע (תקנה 5(ג)) מחייבות מאגרים ברמת האבטחה הגבוהה לבצע סקר סיכונים תקופתי, ותקנה 5(ד) מחייבת אותם גם במבדקי חדירה. איך יודעים אם המאגר שלכם ברמה הגבוהה? על כך בדיוק כתבנו במדריך רמות האבטחה של תקנות אבטחת מידע. אי-ביצוע סקר הסיכונים הוא הפרה בקבוצת העיצומים הגבוהה — עד ₪320,000 למאגר ברמה גבוהה (מוכפל מעל מיליון נושאי מידע).
- עמדת הרשות ממאי 2025. במאי 2025 פרסמה הרשות מסמך עמדה מפורט על עריכת סקרי סיכונים ומבדקי חדירה, ובו קבעה שהם ״כלי משמעותי לאיתור סיכוני אבטחת מידע״. בין השאר קבעה הרשות שני דברים חשובים: שראוי לבצע אותם בתדירות שמתאימה לדינמיקה של הארגון — לאו דווקא רק אחת ל-18 חודשים (התדירות המינימלית שבתקנות) — ושסקר סיכונים ומבדקי חדירה שבוצעו כראוי נותנים מענה מספק גם לצורכי זיהוי הסיכונים בתסקיר השפעה על פרטיות. כלומר הרשות עצמה קושרת בין השניים.
- מדריך התסקיר של הרשות והכלי הדיגיטלי. הרשות פרסמה מדריך עזר מתודולוגי מלא לעריכת תסקיר, ובאוקטובר 2025 השיקה כלי מקוון לזיהוי סיכוני פרטיות בארגונים, מעודכן לתיקון 13. גם אם התסקיר אינו חובה פורמלית — הרשות בבירור מצפה שארגונים יעריכו סיכוני פרטיות בפרויקטים חדשים ובשינויים מהותיים, ומספקת את הכלים לכך.
כשמפקח או בית משפט בוחנים ארגון אחרי אירוע פרטיות, השאלה הראשונה היא לא ״האם הייתה לכם חובה חוקית לתסקיר?״ אלא ״האם שקלתם את הסיכון מראש, והאם פעלתם באחריות?״. תסקיר מתועד — גם כשאין חובה פורמלית — הוא ההוכחה הטובה ביותר שהארגון פעל בשקידה ראויה. הוא לא מבטיח שלא תקרה תקלה, אבל הוא משנה מהותית את התמונה מול הרגולטור: מ״התרשלו״ ל״שקלו, תיעדו ופעלו״.
GDPR סעיף 35 — למה חברות ישראליות שמשרתות את אירופה כן חייבות
בניגוד לדין הישראלי, ה-GDPR האירופי כן קובע חובת DPIA מפורשת. סעיף 35 ל-GDPR מחייב לערוך תסקיר בכל מקום שבו עיבוד מידע ״עלול לגרום לסיכון גבוה לזכויותיהם ולחירויותיהם של יחידים״, ומגדיר שלושה תרחישים שבהם התסקיר חובה ברורה:
- הערכה שיטתית ונרחבת של אנשים על בסיס עיבוד אוטומטי, כולל פרופיילינג, שעל בסיסה מתקבלות החלטות בעלות השפעה משפטית או השפעה משמעותית דומה על האדם (למשל דירוג אשראי אוטומטי או סינון מועמדים על ידי AI).
- עיבוד בהיקף נרחב של מידע בקטגוריות מיוחדות (מידע רגיש — בריאותי, גנטי, ביומטרי, דת, מוצא) או של מידע על הרשעות ועבירות.
- ניטור שיטתי ובהיקף נרחב של אזור נגיש לציבור — למשל מערכת מצלמות חכמה עם זיהוי פנים במרחב ציבורי.
המשמעות המעשית לחברה ישראלית: אם אתם מעבדים מידע של תושבי האיחוד האירופי — SaaS עם לקוחות באירופה, אפליקציה עם משתמשים שם, או ספק שמעבד מידע עבור לקוח אירופי — ה-GDPR חל עליכם, וחובת התסקיר של סעיף 35 חלה עליכם ישירות. אי-עמידה בחובת ה-DPIA חשופה לעיצום של עד 10 מיליון אירו או 2% מהמחזור השנתי העולמי, הגבוה מביניהם (סעיף 83(4)). לכן, בפועל, הרבה חברות ישראליות עורכות תסקיר לא מפני שהדין הישראלי מחייב — אלא כי הלקוחות והרגולציה האירופית מחייבים.
מתי עסק חכם עושה תסקיר גם בלי שמחייבים אותו
מעבר לחובות הפורמליות, יש רשימה ברורה של ״טריגרים מבוססי-סיכון״ — סוגי פרויקטים שבהם, מניסיוננו, כדאי לעצור ולערוך תסקיר לפני שיוצאים לדרך. הכלל פשוט: ככל שהעיבוד חדשני יותר, פולשני יותר או נוגע במידע רגיש יותר — כך התשואה על תסקיר גבוהה יותר. דגלים אדומים אופייניים:
- הטמעת מערכת חדשה עם מידע אישי בהיקף — CRM חדש, מערכת דיוור, פלטפורמת שירות לקוחות.
- שימוש בבינה מלאכותית לקבלת החלטות על אנשים — סינון מועמדים, דירוג לקוחות, המלצות אוטומטיות, זיהוי הונאות. הרשות אף פרסמה טיוטת הנחיה על תחולת חוק הגנת הפרטיות על מערכות AI.
- מערכות מצלמות וזיהוי פנים — במיוחד במרחב שנגיש לציבור או לעובדים.
- מידע ביומטרי — טביעת אצבע, זיהוי פנים, טביעת קול (שעון נוכחות, בקרת כניסה).
- מעקב מיקום ומעקב אחר התנהגות — אפליקציות עם GPS, ניטור עובדים, מעקב אחר גלישה.
- שיתוף או העברת מידע לצד שלישי בהיקף חדש, במיוחד העברת מידע לחו״ל.
- עיבוד מידע על אוכלוסיות רגישות — קטינים, חולים, מבקשי סעד.
אם פרויקט חדש מסמן שניים או יותר מהדגלים האלה — תסקיר הוא לא ביורוקרטיה, הוא ניהול סיכונים בסיסי. ואגב, הדרך הזולה ביותר לפרטיות היא תמיד לתכנן אותה מראש — עיקרון שפירטנו במדריך פרטיות בתכנון (Privacy by Design). התסקיר הוא הכלי המעשי שמכניס את העיקרון הזה לפרויקט קונקרטי.
השיטה: חמישה שלבים מעשיים
מדריך הרשות מפרט שבעה שלבי מפתח (החל מעצם ההחלטה לבצע תסקיר ועד תיקוף ואישור). בפועל אנחנו מקבצים אותם לחמישה שלבי עבודה מעשיים. הנה הם, לפי הסדר:

שלב 1: תיאור שיטתי של פעולות העיבוד
מתארים בדיוק מה קורה: איזה מידע נאסף, מאיפה, על מי, בכמה נושאי מידע מדובר, לאיזו מטרה, מי ניגש אליו, איפה הוא נשמר, לכמה זמן, ולאן הוא זורם (כולל ספקים וצדדים שלישיים). זה נשמע טריוויאלי, אבל ברוב המקרים זה השלב שבו מתגלה שאף אחד לא באמת ידע את מלוא התמונה. תיאור טוב הוא הבסיס לכל השאר — בלי מיפוי מדויק אי אפשר להעריך סיכון.
שלב 2: בחינת צורך ומידתיות
השאלה הכי חשובה, ולעיתים הכי לא נעימה: האם באמת צריך את כל המידע הזה, בשביל המטרה הזאת? האם יש דרך פחות פולשנית להשיג את אותה תוצאה? האם ההיקף מידתי? כאן נבחנים החוקיות (מהו הבסיס החוקי לעיבוד), הצורך (האם הוא נחוץ למטרה) והמידתיות (האם הפגיעה בפרטיות מידתית לתועלת). לא פעם השלב הזה לבדו חוסך פרויקט — כשמתברר שאוספים שדה מידע רגיש שבכלל לא נחוץ.
שלב 3: זיהוי הסיכונים — לנושאי המידע, לא לחברה
רוב האנשים, כשמבקשים מהם ״לזהות סיכונים״, מזהים אוטומטית את הסיכונים לחברה: קנס, נזק תדמיתי, תביעה. זו טעות היסוד. תסקיר בוחן בראש ובראשונה את הסיכונים לנושאי המידע — לאדם שהמידע שלו מעובד. מה יקרה לו אם המידע ידלוף? אם ההחלטה האוטומטית תהיה שגויה ותפגע בו? אם ייעשה שימוש-יתר? רק אחרי שמעריכים את הפגיעה האפשרית באדם, אפשר לגזור ממנה את הסיכון הארגוני. תסקיר שמדבר רק על ״כמה זה יעלה לנו״ — פספס את המהות.
מזהים את תרחישי הפגיעה האפשריים (דליפה, זיהוי מחדש של מידע שהופרד, אפליה מהחלטה אוטומטית, שימוש למטרה שונה מזו שהוצהרה), ומעריכים לכל אחד את ההסתברות והחומרה. כאן, כזכור, סקר סיכונים ומבדק חדירה שכבר בוצעו נותנים חלק ניכר מהחומר.
שלב 4: אמצעי צמצום
לכל סיכון משמעותי — בקרה שמפחיתה אותו: מזעור מידע (איסוף פחות), הצפנה, בקרת גישה מוקשחת, פסאודונימיזציה, הגבלת תקופת שמירה, שקיפות מול נושא המידע, הדרכת עובדים, וסעיפי אבטחה בחוזה מול ספקים. המטרה אינה ״אפס סיכון״ (לא קיים) אלא הורדת הסיכון השיורי לרמה מקובלת ומתועדת.
שלב 5: אישור וסקירה תקופתית
מתעדים את הכול במסמך התסקיר, ומביאים אותו לאישור הדרג המתאים — לפי מדריך הרשות, אישור הדירקטוריון או ההנהלה הבכירה, בדרג ההולם את היקף הפרויקט ורגישותו. התסקיר אינו מסמך חד-פעמי: הוא נסקר מחדש כשמשהו משתנה (על כך בהמשך).
מי מעורב בתהליך
התסקיר הוא ספורט קבוצתי. לפי מדריך הרשות, אם קיים בארגון ממונה הגנת פרטיות (DPO) — ראוי שהתסקיר ייערך בניהולו ובאחריותו, או לכל הפחות במעורבותו המשמעותית. סביבו יושבים: IT / אבטחת מידע (מכירים את הארכיטקטורה והסיכונים הטכניים), ייעוץ משפטי (חוקיות ומידתיות), ובעל הפרויקט העסקי (מכיר את המטרה והצורך). אפשר לבצע את התסקיר בתוך הארגון או במיקור חוץ — אך גם כשמעבירים אותו לספק, האחריות הסופית לתוצאות ולאישורן נשארת על בעל המאגר המזמין.
מה מכיל המסמך — מבנה תבנית
תסקיר ראוי לשמו הוא מסמך שאפשר להראות למפקח מחר בבוקר. מבנה טיפוסי:
- כותרת וזיהוי — שם הפרויקט, בעל התסקיר, תאריך, גרסה.
- תיאור העיבוד — מהות, היקף, הקשר ומטרות עיבוד המידע; זרימת המידע וספקים מעורבים.
- בסיס חוקי, צורך ומידתיות — הנימוק שהעיבוד חוקי, נחוץ ומידתי.
- התייעצות — עם נושאי המידע/בעלי עניין ככל שרלוונטי, ותיעוד המסקנות.
- מטריצת סיכונים — כל סיכון לנושאי המידע, הסתברות, חומרה ודירוג.
- אמצעי צמצום — הבקרה לכל סיכון, והסיכון השיורי לאחר יישומה.
- החלטה ואישור — האם ניתן להתחיל בעיבוד, חתימת הגורם המוסמך, ומועד הסקירה הבא.
דוגמה מקוצרת: סינון קורות חיים באמצעות AI
נניח שחברה מטמיעה כלי AI שמדרג מועמדים אוטומטית. נעבור את חמשת השלבים בקצרה:
- תיאור: הכלי מקבל קורות חיים (שם, השכלה, ניסיון, לעיתים גיל ומגדר במשתמע), מריץ מודל דירוג, ומחזיר ציון שמשפיע על מי מוזמן לראיון. מדובר במאות מועמדים בחודש, המידע נשמר שנתיים, והמודל מסופק על ידי ספק חיצוני בענן.
- צורך ומידתיות: האם צריך את כל השדות? גיל ומגדר לא נחוצים לדירוג ההתאמה המקצועית — ומהווים סיכון אפליה. החלטה: לחסום אותם מהמודל.
- סיכונים לנושאי המידע: (א) אפליה — המודל עלול לשקף הטיות היסטוריות ולפסול מועמדים על בסיס אסור; (ב) שקיפות — מועמד נדחה בלי לדעת שהחלטה אוטומטית פסלה אותו; (ג) דליפה — מאגר קורות חיים אצל ספק חיצוני.
- אמצעי צמצום: בקרת אנוש על החלטות המודל (החלטה לא-אוטומטית לחלוטין); בדיקת הטיה תקופתית; יידוע המועמדים על השימוש בכלי; חוזה עיבוד וסעיפי אבטחה מול הספק; מזעור השדות והגבלת תקופת השמירה.
- אישור וסקירה: ה-DPO מוביל, היועץ המשפטי מאשר את המידתיות, ההנהלה חותמת — וסקירה מחדש נקבעת לעוד שנה או בכל שינוי במודל.
תסקיר, סקר סיכונים ומבדק חדירה — מי זה מי
שלושת המונחים האלה מתערבבים כל הזמן, אבל הם שלושה כלים שונים שעונים על שלוש שאלות שונות. הבלבול ביניהם עולה כסף — או מוליד תחושת ביטחון מדומה. הנה ההבחנה:

| תסקיר השפעה (DPIA) | סקר סיכונים | מבדק חדירה (Pen-Test) | |
|---|---|---|---|
| השאלה המרכזית | האם לפגוע בפרטיות בכלל, וכיצד להקטין את הפגיעה? | היכן החולשות בבקרות אבטחת המידע של המאגר? | האם תוקף יכול בפועל לפרוץ למערכת? |
| המיקוד | סיכונים לנושאי המידע (פרטיות) | סיכוני אבטחת מידע ארגוניים | פגיעוּת טכנית מעשית |
| העיתוי | לפני השקת עיבוד חדש / שינוי מהותי | תקופתי (לרוב אחת ל-18 חודשים) | תקופתי / לאחר שינוי משמעותי |
| המעמד בישראל | אין חובה כללית; מומלץ ע״י הרשות; חובה ב-GDPR | חובה למאגר ברמת אבטחה גבוהה (תק׳ 5(ג)) | חובה למאגר ברמת אבטחה גבוהה (תק׳ 5(ד)) |
בקצרה: מבדק חדירה בודק אם אפשר לפרוץ; סקר סיכונים בודק היכן החולשות באבטחת המאגר; ותסקיר בודק האם ראוי לעבד את המידע מלכתחילה, ואיך למזער את הפגיעה בבני האדם שמאחוריו. שלושתם משלימים — לא מחליפים.
לשמור על התסקיר חי
תסקיר שנכתב פעם אחת ונשכב במגירה מאבד את ערכו ברגע שהמציאות משתנה. שלושה טריגרים מחייבים סקירה מחדש:
- שינוי בהיקף או במהות העיבוד — מטרה חדשה, שדה מידע רגיש חדש, ספק חדש, מודל AI חדש.
- אירוע אבטחה או פרטיות — כל אירוע מלמד משהו על סיכון שלא זוהה או הוערך בחסר.
- סקירה תקופתית — לפחות אחת לשנה עבור פרויקטים משמעותיים, גם ללא שינוי, כדי לוודא שהאמצעים עדיין מתאימים.
צ׳קליסט להתחיל השבוע
- רשמו את כל הפרויקטים החדשים בצנרת של החודשים הקרובים שנוגעים במידע אישי.
- סמנו אילו מהם מדליקים דגל אדום — AI, ביומטריה, מצלמות, מעקב, מידע רגיש, קטינים, העברה לחו״ל.
- בדקו האם מאגר רלוונטי הוא ברמת אבטחה גבוהה — אם כן, סקר סיכונים ומבדק חדירה הם חובה בלאו הכי.
- בדקו האם אתם מעבדים מידע של תושבי האיחוד האירופי — אם כן, בדקו את חובת התסקיר לפי סעיף 35 ל-GDPR.
- לפרויקט בסיכון גבוה — פתחו תסקיר לפי חמשת השלבים, עם ה-DPO בהובלה.
- נסחו תבנית תסקיר אחידה לארגון, כדי שכל תסקיר עתידי ייראה אותו דבר ויהיה בר-השוואה.
- קבעו מנגנון טריגרים — מי מודיע ל-DPO על פרויקט חדש, ומתי, לפני שהוא יוצא לדרך.
השורה התחתונה
תסקיר השפעה על פרטיות אינו חובה כללית בדין הישראלי — וזו האמת, בלי לייפות. אבל היעדר חובה גורפת אינו היתר להתעלם: מאגרים ברמה גבוהה חייבים סקר סיכונים; חברות שמשרתות את אירופה חייבות DPIA לפי GDPR; והרשות מצפה ומעודדת הערכת סיכונים בכל פרויקט משמעותי. מעבר לכל אלה, תסקיר מתועד הוא הביטוח הטוב ביותר של הארגון מול רגולטור ובית משפט — ההוכחה שחשבתם על האדם שמאחורי המידע לפני שנגעתם בו. עסק חכם לא שואל ״האם אני חייב״, אלא ״האם שקלתי את הסיכון באחריות״.
Cybertis עורכת תסקירי השפעה על פרטיות, סקרי סיכונים ומבדקי חדירה לארגונים ישראליים — מתיאור העיבוד ועד אישור ההנהלה, בליווי DPO מקצועי ותאימות מלאה לתיקון 13 ול-GDPR. הפגישה הראשונה עלינו.
לשירות פרטיות ותאימות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. הצורך בתסקיר, היקפו ואופן עריכתו תלויים במאפייני הארגון והפרויקט, ומחייבים בחינה פרטנית.*