שירותי DPO בישראל רגולציה, סיכונים, והזדמנות עסקית

בעידן שבו מידע בכלל ומידע אישי מסוגים שונים בפרט הפך לנכס הרגיש והחשוב ביותר של כל ארגון מסחרי, הדרישה לניהול חסיון מידע ופרטיות הפכה מחובה משפטית לצורך עסקי מהותי. זה כ"כ חשוב גם בגלל המחויבות של העסק ללקוחותיו ולא פחות חשוב מכך, בגלל הקנסות הגבוהים אליהם חשופים עסקים אשר לא יעמדו בדרישות החוק.

בישראל, כמו באירופה ולמעשה בכלל העולם המערבי, חלה החמרה רגולטורית בכל הנוגע להגנה על מידע, במיוחד עבור חברות שמחזיקות מידע אישי, רפואי, ביומטרי, פיננסי או רגשי.

תפקידו של ממונה הגנת מידע DPO (DPO – Data Protection Officer) בארגון הוא לוודא שהארגון עומד בכל הדרישות הללו. בפועל לאחר ביקורות שבוצעו בעברות ישראליות, עולה תמונה עגומה. לא כל ארגון יודע כיצד לעשות זאת נכון, דבר שמוביל להפרת החוק, לנזקים, סנקציות ולקנסות כבדים.

רגולציה מידע אישי DPO בישראל- מה נדרש וממי?

הדרישה לשירותי DPO בארגון הוגדרה בתיקון 13 לחוק הגנת הפרטיות.

לפי חוק הגנת הפרטיות ותקנות אבטחת מידע (2017) ישנה חובה לעמוד בדרישות כגון:

סיווג מאגרי מידע לפי רמת סיכון: בסיסי, בינוני, גבוה
מאגרי מידע ברמת סיכון בינונית ומעלה מחייבים מינוי ממונה אבטחת מידע ולעיתים גם DPO
מידע רגיש (רפואי, אישי, ביומטרי, רגשי, פיננסי) מחייב רמת אבטחה גבוהה

האם הרגולציה האירופית GDPR חלה גם בישראל?

חברות ישראליות שמספקות שירותים, מוכרות מוצרים או מחזיקות מידע על אזרחים אירופאים מחויבות לעמידה בדרישות הרגולציה של ה־GDPR.

על ה- GDPR ניתן לקרוא כאן.

מתי חובה למנות DPO בארגון?

מינוי DPO הוא חובה כאשר מתקיים לפחות אחד מהתנאים:

מתבצע עיבוד נרחב של מידע רגיש
מתבצע מעקב שיטתי אחר אנשים
הארגון הוא גוף ציבורי

טבלה המתארת את סוגי החברות, סוגי הנתונים והאם קיימת חובה למתן שירותי DPO בארגון:

סוג חברה	דוגמא לנתונים רגישים	חובה רגולטורית
מכשור רפואי	נתוני מטופלים, ניסויים	כן
תוכנה רפואית ובריאות דיגיטלית	מידע אישי, אלגוריתמים רפואיים	כן
חברות ביטוח ופיננסים	מידע פיננסי, רגשי	כן
חברות ביוטכנולוגיה ופארמה	נתוני מחקר, ניסויים	כן
חברות קוסמטיקה	מידע אישי, רגישות עור	לעיתים
חברות SaaS	מידע משתמשים, מעקב	תלוי בהיקף

מה כולל תפקידו של ה־DPO ?

חלק מהגדרות התפקיד של ממונה DPO בחברה:

כתיבת מדיניות פרטיות בהתאם לחוק הישראלי ולדרישות ה־GDPR
ניהול רשומות עיבוד מידע (Records of Processing Activities)
ביצוע DPIA לניתוח השפעה וסיכוני פרטיות מידע בפרויקטים חדשים
טיפול בבקשות בנודע מידע (גישה, אחזור, תיקון, מחיקה)
עבודה וייצוג מול הרשות להגנת הפרטיות במקרה של התרחשות אירוע אבטחה וסייבר
הדרכות עובדים והנהלה בנושאי פרטיות וחסיון מידע

סנקציות וקנסות על אי-עמידה בדרישות מינוי DPO בארגון

הקנסות גבוהים מאוד ולמעשה לא פותרים דבר, למעט ליצר הרתעה הנדרשת ליישום דרישות הרגולציה. מה שצריך להעשות על ידי החברה בכל הנוגע לפרטיות ופעילויות ה- DPO בסופו של דבר יבוצע. על כן, חשוב לפעול כנדרש בחוק ולהמנע ממצבים שעלולים לסכן את עתידה העסקי של החברה.

סנקציות וקנסות לאי עמידה בדרישות DPO מעודכנים לשנת 2025:

סוג ההפרה	סנקציה אפשרית	גובה הקנס
אי מינוי DPO כשנדרש	· דרישה לתיקון מיידי · ביקורת רגולטורית · קנס מנהלי	עד 50,000 ₪
עיבוד מידע אישי ללא מדיניות פרטיות אפקטיבית	· קנס מנהלי · דרישה למחיקת מידע	עד 75,000 ₪
אי דיווח על אירוע אבטחה	· קנס מנהלי · פרסום פומבי של ההפרה	עד 100,000 ₪
סירוב לטפל בבקשות הקשורות למידע	· הליך משפטי אזרחי · קנס	ללא הגבלת סכום
שימוש לא חוקי במידע רגיש	· הליך פלילי במקרים חמורים · מאסר · קנס	ללא הגבלת סכום

בנוסף, חברות שמפרות את החוק באופן חוזר עלולות להיכנס ל- "רשימה שחורה", דבר שיפגע באמון הציבור וביכולתן לפעול בשווקים בינלאומיים.

אחריות הנהלת החברה בנושא DPO

כמו בתחומים נוספים, גם בנושאי פרטיות מידע ו- DPO יש להנהלת החברה אחריות משפטית.

חלק מהאחריות המוטלת על הנהלת החברה בכל הנוגע לפרטיות ול- DPO :

גיוס DPO או שכירת שירותי DPO מחברת יעוץ
האצלת סמכויות ל DPO והגדרת תפקיד שתאפשר לו לפעול כנדרש
ה DPO ידווח לדרג המנהלים הבכיר בחברה בצורה ישירה
מתן הכלים והמשאבים הנדרשים שיאפשרו ל DPO
עירוב ה DPO בכל התחומים הקשורים להגנת הפרטיות ואבטחת המידע בחברה
לוודא כי אין ל DPO ניגוד עניינים בין תפקידו לבין תפקידיו האחרים באם קיימים
איסור להטיל סנקציות או לפגוע בזכויותיו או בעבודתו בשל היותו מעורב בתהליכי בקרה

מה ההבדל בין שירותי CISO ל- DPO לחברות?

בעוד ש- CISO (Chief Information Security Officer) אחראי על אבטחת המידע בארגון — כולל הגנה טכנולוגית, ניהול סיכוני סייבר, ולידציה של מערכות ועוד, תפקידו של ה- DPO (Data Protection Officer) מתמקד בהגנה על פרטיות המידע האישי ובציות לרגולציות כמו GDPR וחוק הגנת הפרטיות בישראל.

ה־CISO פועל לרוב מתוך מחלקת ה־IT או אבטחת מידע, בעוד שה־DPO נדרש להיות עצמאי, אובייקטיבי, ולעיתים אף חיצוני לארגון, כדי להבטיח פעולה נטולת ניגודי עניינים.

אם ננסה להמחיש, ה־CISO ישאל "איך נגן על המידע?" וה־DPO ישאל "האם מותר לנו להחזיק ולעבד את המידע הזה?"

שילוב נכון בין שני התפקידים הוא קריטי ליצירת מערכת ניהול מידע בטוחה, חוקית ואחראית.

שירותי DPO במיקור חוץ מחברת Bio-Chem

ב־Bio-Chem אנחנו מציעים שירות DPO מותאם אישית, כחלק ממערך כולל של רגולציה, אבטחת מידע וניהול סיכונים.

שירותי ה- DPO שלנו כוללים:

מינוי DPO חיצוני לפי דרישות החוק
ניתוח פערים לפי דרישות GDPR ,חוק הגנת הפרטיות ו- HIPAA
כתיבת מדיניות פרטיות ונהלים נדרשים לפי צרכיו הספציפיים של הארגון
ניהול בקשות נשואי מידע
הדרכות עובדים וצוותי הנהלה
ליווי בביקורות רגולטוריות

יתרונות שירותי ה- DPO שלנו:

חיסכון בעלויות – אין צורך במשרה מלאה וברוב המקרים גם לא חצי משרה
גמישות – התאמה לפי גודל החברה וסוג הנתונים
מקצועיות – ניסיון רב בתחומי מתעשיות רבות
שילוב עם שירותי CISO – פתרון כוללני תחת קורת גג אחת

הרגולציה החדשה בנושא פרטיות המידע כבר בשלבי ישום מתקדמים.

היא לא מחכה לאף חברה, לא סולחת ומשיתה סנקציות קשוחות למי שמאחר להגיב.

כל עיכוב במינוי DPO או בניהול פרטיות עלול להוביל לקנסות, פגיעה במוניטין, ואובדן לקוחות.

צור קשר עוד היום לקבלת ייעוץ ראשוני ללא התחייבות

Author

ערן יונה

מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור
למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל

ערן וצוות חברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד, פארמה, מיכשור רפואי, תעשיות המזון ותוספי תזונה.

לתיאום שיחת ייעוץ, פנו אלינו ונשמח לסייע.
המייל שלנו: [email protected]

View all posts

ערן יונה

מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל ערן וצוות חברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד, פארמה, מיכשור רפואי, תעשיות המזון ותוספי תזונה. לתיאום שיחת ייעוץ, פנו אלינו ונשמח לסייע. המייל שלנו: [email protected]

שתפו את המאמר