הרשות להגנת הפרטיות מפרסמת הנחיה סופית בעניין חובת מינוי ממונה על הגנת הפרטיות (DPO) לפי תיקון 13

16 יולי, 2026


ביום 15 ביולי 2026 פרסמה הרשות להגנת הפרטיות ("הרשות") את הנחייתה הסופית בעניין החובה למנות ממונה על הגנת הפרטיות ("הממונה") לפי תיקון 13 לחוק הגנת הפרטיות, התשמ"א–1981 ("החוק"), אשר מחליפה את טיוטת ההנחיה שפורסמה ביום 23 ביולי 2025 (ואשר עליה דיווחנו בעבר). החובה למנות ממונה נכנסה לתוקף מיום 14 באוגוסט 2025. אף שהרשות הגדירה תקופת חסד ביחס לאכיפה במהלך תקופת היערכות ראשונית — אשר הסתיימה — הציות להוראות הנוגעות לממונה צפוי לעמוד מעתה במוקד האכיפה. ההנחיה הסופית מציגה את עמדתה הפרשנית הרשמית של הרשות, שעל פיה תפעיל את סמכויות האכיפה שלה, לרבות הטלת עיצומים כספיים בשל אי-מינוי ממונה או אי-עמידה בהוראות הנלוות. להלן נציג את עיקרי העמדה הסופית ונמליץ על צעדים מעשיים שיסייעו להבטיח כי הארגון שלכם ערוך כנדרש.

התפתחויות מרכזיות שחשוב להכיר

  • ארגונים החייבים במינוי ממונה: החוק מחייב למנות ממונה אצל: (א) "גופים ציבוריים", ובהם משרדי ממשלה, רשויות מדינה, רשויות מקומיות, קופות חולים, בתי חולים, מוסדות להשכלה גבוהה, ארגוני עובדים וגופים חיצוניים המעבדים עבורם מידע אישי; (ב) סוחרי מידע, נותני שירותי דיוור ישיר או לשכות אשראי, כאשר מאגר המידע כולל מידע על 10,000 בני אדם לפחות; (ג) גופים שפעילות הליבה שלהם כוללת ניטור שוטף ושיטתי של בני אדם בהיקף ניכר (למשל, ספקי שירותי חיפוש מקוונים, אפליקציות או אתרי אינטרנט בעלי היקף פעילות גדול המבצעים אפיון לצורכי פרסום ממוקד או ניהול סיכונים, אפליקציות האוספות נתוני מיקום פיזי, מכשירים לבישים המשמשים לניטור בריאותי, התקני האינטרנט של הדברים (IoT) ומערכות מעקב); וכן (ד) ארגונים שעיקר עיסוקם הוא עיבוד כמויות גדולות של "מידע בעל רגישות מיוחדת" (למשל, מידע רפואי, ביומטרי או פיננסי) — קטגוריה הרלוונטית במיוחד לבנקים, חברות ביטוח, בתי חולים וקופות חולים.
  • בחינה מצטברת ביחס למחזיקים במאגרי מידע (הבהרה חדשה): בהבהרה משמעותית קובעת ההנחיה הסופית כי כאשר מחזיק מעניק שירותים למספר בעלי שליטה במאגרי מידע, היקף חשיפתו למידע בעל רגישות מיוחדת ייבחן במצטבר ביחס לכל בעלי השליטה שלהם הוא מעניק שירותים, ולא בנפרד ביחס לכל בעל שליטה בנפרד. לפיכך, מחזיק המעניק שירותים ל-1,000 מאגרים נפרדים, שבכל אחד מהם מידע בעל רגישות מיוחדת על 100 בני אדם, ייחשב כמי שמעבד מידע כאמור "בהיקף ניכר" (100,000 בני אדם בסך הכול), ויחויב במינוי ממונה — אף אם אף התקשרות עם לקוח יחיד אינה מקימה כשלעצמה את החובה.
  • "היקף ניכר" ו"פעילות ליבה" — מבחנים שאינם מצטברים: החוק אינו קובע רף מספרי קבוע ל"היקף ניכר". על ארגונים לבחון את הסוגיה בכל מקרה לגופו, תוך שקלול גורמים כגון מספרם ושיעורם של בני האדם המושפעים, היקף וסוגי המידע, תדירות ומשך העיבוד, תקופות שמירת המידע והפריסה הגיאוגרפית של הפעילות. ההנחיה הסופית מבהירה כי אין מדובר בתנאים מצטברים: מספר גדול דיו של בני אדם מושפעים עשוי, כשלעצמו, להביא למסקנה שמדובר בעיבוד "בהיקף ניכר"; ומנגד, גורמים אחרים עשויים לתמוך במסקנה זו גם כאשר מספר בני האדם המושפעים קטן יחסית. מאחר שהרשות נמנעה מפרסום רפים קבועים, על ארגונים להפעיל שיקול דעת זהיר ולפנות לייעוץ מקצועי כאשר קיימת אי-ודאות.
  • מינוי וולונטרי וגופים דו-מהותיים: גם ארגונים שאינם חייבים במינוי ממונה מעודדים לעשות כן, שכן מינוי וולונטרי עשוי לחזק את הציות לדין ואת אמון הציבור. הרשות מעודדת במיוחד גופים "דו-מהותיים" — גופים הכפופים לעקרונות מסוימים של המשפט הציבורי אך אינם עונים להגדרה הפורמלית של "גוף ציבורי" בחוק — לשקול מינוי וולונטרי כאמצעי לעמידה בדרישות המשפט המינהלי והחוקתי החלות על עיבוד מידע אישי (למשל, דרישות הסבירות והמידתיות). אף שההנחיה הסופית מדגישה את ההפחתה בשיעור של 10% בעיצומים כספיים העומדת לארגונים שמינו ממונה, נציין כי החוק עצמו מעניק הפחתה זו רק לגופים שחלה עליהם חובה סטטוטורית למנות ממונה.
  • הכישורים הנדרשים: ממונה כשיר נדרש להיות בעל ידע מעשי מעמיק בדיני הפרטיות בישראל ובאסדרה המגזרית הרלוונטית, הנשען על ניסיון משפטי או רגולטורי משמעותי (כגון ניסיון קודם כממונה או כיועץ משפטי פנימי בתחום הפרטיות). אף שקורס הסמכה בתחום הממונה או הפרטיות — שמומלץ כי יימשך 40 שעות לפחות — הוא רצוי, הסמכה כשלעצמה אינה מהווה תנאי מספיק; והיכרות עם מסגרות פרטיות זרות אינה תחליף למומחיות בדין הישראלי. נקודה זו חשובה במיוחד ארגונים בינלאומיים המבקשים למנות ממונה זר שיהיה אחראי גם על ישות ישראלית. על הממונה להיות גם בעל הבנה הולמת בטכנולוגיה ובאבטחת מידע, שתאפשר לו להכיר את מחזור חיי המידע וזרימתו בארגון; הבנה עסקית ורגולטורית טובה; וכישורי תקשורת ויחסי אנוש אפקטיביים. שליטה בעברית אינה דרישה מפורשת בחוק, אך שליטה בשפת העבודה של הארגון חיונית מבחינה מעשית. הרשות הודיעה כי בכוונתה להפעיל את סמכויות האכיפה שלה כדי לוודא שהממונים אכן מחזיקים במומחיות המשפטית והרגולטורית הנדרשת בתחום הפרטיות.
  • עצמאות, כפיפות ארגונית וכפל תפקידים: על הממונה לפעול באופן עצמאי וללא ניגודי עניינים, והוא אינו רשאי למלא במקביל תפקידים שבמסגרתם הוא קובע את מטרות עיבוד המידע או העלולים לפגוע באובייקטיביות שלו. ההנחיה מונה כתפקידים שעשויים לעורר, פעמים רבות, חשש לניגוד עניינים עם תפקיד הממונה את מנהל השיווק, מנהל הלקוחות, מנהל הכספים ו-CTO. כמו כן, ניגוד עניינים מתקיים ככלל לגבי תפקיד מנהל מערכות המידע, וכן ביחס לגורמים הכפופים לו. על הממונה לדווח ישירות למנכ"ל או לנושא משרה בכיר אחר הכפוף ישירות למנכ"ל. בחינת האפשרות לשלב את תפקיד הממונה עם תפקיד פנימי קיים היא בחינה רגישה הכרוכה בסיכון רגולטורי ממשי, ויש לגשת אליה בזהירות. בעניין כפל תפקידים, מבהירה ההנחיה הסופית כי שילוב תפקיד הממונה עם תפקיד מנהל אבטחת המידע (CISO) אינו אסור כשלעצמו, אך מחייב בחינה זהירה, מתועדת ופרטנית. זאת, בין היתר, משום שמנהל אבטחת מידע אינו בהכרח בעל המומחיות המשפטית המעמיקה בתחום הפרטיות הנדרשת לתפקיד; בארגונים גדולים ייתכן שאין בידיו די זמן ומשאבים; וייתכן שמבנה הכפיפות שלו אינו עומד בדרישה לדיווח למנכ"ל. גם שילוב תפקיד הממונה עם תפקיד של יועץ משפטי פנימי או חיצוני מותר עקרונית, ובלבד שלא נוצר ניגוד עניינים. הרשות ממליצה לנקוט אמצעים ארגוניים (כגון ציון הכובע הרלוונטי בתכתובות או הקצאת כתובת דוא"ל ייעודית לממונה) כדי להבחין בין שני התפקידים, ומפנה להנחיית רשות הגנת המידע הצרפתית (CNIL), שלפיה עורך דין חיצוני המשמש כממונה אינו רשאי לייצג את הארגון בהליך משפטי הנוגע למידע אישי. לנוכח סיכונים אלה, ארגונים רבים עשויים למצוא כי נכון יותר להתקשר עם ממונה חיצוני, במקום להוסיף את התפקיד לתפקיד בכיר קיים בחברה.
  • מתכונת ההתקשרות והקצאת משאבים: הממונה יכול להיות עובד פנימי או נותן שירותים חיצוני, ובלבד שיהיה אדם מסוים הנקוב בשמו (ניתן להתקשר עם ממונה חיצוני באמצעות חברת שירותים, ובלבד שהאדם עצמו יוגדר כממונה). ללא קשר למתכונת ההתקשרות, על הארגון להעמיד לרשות הממונה די זמן, משאבים וגישה למידע כדי לאפשר לו למלא את תפקידו באופן אפקטיבי. אין דרישת אזרחות או תושבות, אולם על הממונה להיות זמין פיזית בישראל במידה הנדרשת — נקודה משמעותית נוספת לארגונים המבקשים להסתייע בשירותי ממונה זר ביחס לפעילותם בישראל.
  • תחומי האחריות המרכזיים: הממונה מייעץ להנהלה ולעובדים בעניין הציות לדיני הפרטיות; מפקח על מדיניות, נהלים והדרכות בתחום הפרטיות; מטפל בבקשות של נושאי מידע (לרבות בקשות לעיון, תיקון, הסרה מדיוור ישיר, מחיקה וביעור לפי תקנות העברת המידע מהאזור הכלכלי האירופי משנת 2023); משמש נקודת הקשר המרכזית מול הרשות; משתתף בסקרי סיכוני פרטיות ובטיפול באירועי אבטחה (לרבות מעורבות פעילה — אך ללא אחריות אישית — בדיווח על אירועי אבטחה); מבצע ניטור וביקורת שוטפים; ומוודא כי נוהל אבטחת המידע ומסמך הגדרות המאגר של הארגון הוכנו ואושרו בדרג הארגוני המתאים (ובאין מנהל אבטחת מידע נפרד, נדרש ממנו תפקיד פעיל יותר בניסוחם).

צעדים מומלצים

  • בחינת תחולת החובה — בדקו אם הארגון שלכם נמנה עם אחת מארבע הקטגוריות המקימות את החובה; מחזיקים נדרשים לבחון במיוחד את היקף החשיפה המצטבר למידע בעל רגישות מיוחדת ביחס לכלל לקוחותיהם.
  • בדיקת הכישורים — ודאו כי האדם שמונה הוא בעל ידע מעשי מעמיק בדיני הפרטיות בישראל (ולא רק מומחיות באבטחת מידע או הסמכה מקצועית), לנוכח הצהרת הרשות כי בכוונתה לאכוף דרישה זו.
  • התאמת התפקיד — התאימו את סמכויותיו והיקף תפקידו של הממונה לגודל הארגון, להיקף המידע המעובד ולרגישותו ולמורכבות הפעילות.
  • הבטחת העצמאות — ודאו כי הממונה אינו ממלא תפקידים היוצרים ניגוד עניינים. כאשר הממונה משמש גם כמנהל אבטחת מידע ראשי או כיועץ משפטי, תעדו את הניתוח התומך בשילוב התפקידים ונקטו אמצעים ארגוניים (ציון הכובע בתכתובות, כתובות דוא"ל ייעודיות וכדומה) לניהול ניגודי עניינים אפשריים. כאשר שילוב התפקידים יוצר סיכון ממשי, שקלו להתקשר עם ממונה חיצוני.
  • העמדת משאבים ותמיכה — הקצו לממונה די זמן, תקציב וגישה למידע ולעובדים כדי שיוכל למלא את תפקידו באופן אפקטיבי; יש לעגן באופן פורמלי כפיפות ישירה למנכ"ל (או לנושא משרה הכפוף ישירות למנכ"ל).
  • עמידה בחובות דיווח ושקיפות — מסרו לרשות את זהות הממונה ואת פרטי הקשר שלו כאשר הדבר נדרש (למשל, בעת מסירת הודעה על מאגר הכולל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם), ופרסמו את פרטי הקשר של הממונה, למשל באתר האינטרנט של הארגון.

שירותי ממונה DPO של ארנון, תדמור-לוי. בשעה שארגונים ישראלים רבים ממנים ממונה לראשונה, מתחדדת החשיבות שבהתקשרות עם ממונה מוסמך ועצמאי, בעל המומחיות הנדרשת בדין הישראלי, די משאבים וזמן, וללא ניגודי עניינים. צוות הפרטיות של ארנון עובד בשיתוף פעולה הדוק עם לקוחות מתחומי ההייטק, מדעי החיים וסקטורים מפוקחים לצורך הטמעת עקרונות של פרטיות כברירת מחדל ומשלב התכנון (privacy by design), והוא מצוי בעמדה ייחודית לשמש ממונה חיצוני עבור לקוחותינו — ובפרט עבור ארגונים רב-לאומיים הנדרשים להתאים ולאזן בין מסגרות פרטיות גלובליות לבין דרישות הדין הישראלי. לקבלת מידע נוסף על שירותי הממונה שלנו, ניתן לפנות אלינו.


פרסום זה מוגש כשירות כללי ללקוחות המשרד וידידיו ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.

רוצים לדעת עוד?
צרו קשר

שירי מנשה

ראש מחלקת שיווק ופיתוח עסקי

מתן בר-ניר

יועץ תקשורת, OH! PR