← חזרה למאמרים
הגנת פרטיות 6 יוני 2026 אלון אלישע, עו"ד

חובת מינוי ממונה הגנת פרטיות (DPO): מי חייב, מי פטור, ואיך ממנים

תיקון 13 לחוק הגנת הפרטיות מחייב ארבע קטגוריות של גורמים למנות ממונה הגנת פרטיות — תפקיד עצמאי עם דרישות כשירות ספציפיות. אבל רוב בעלי העסקים לא יודעים אם הם חייבים DPO או לא, ומה ההבדל בין DPO פנימי לחיצוני. מדריך זה מסביר את החובה, סעיף-סעיף.

תוכן עניינים

  1. מה זה ממונה הגנת פרטיות (DPO)?
  2. מי חייב למנות DPO?
  3. מי לא חייב?
  4. DPO פנימי או חיצוני — מה ההבדל?
  5. דרישות כשירות
  6. מה קורה אם לא ממנים?
  7. שאלות נפוצות

מה זה ממונה הגנת פרטיות (DPO)?

ממונה הגנת פרטיות — Data Protection Officer, או בקיצור DPO — הוא בעל תפקיד עצמאי בארגון שנועד לפקח על עמידת הארגון בחובות הגנת הפרטיות לפי החוק. התפקיד הוגדר לראשונה בחקיקה הישראלית במסגרת תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, בסעיף 17ב1.

תפקיד ה-DPO אינו תפקיד טכני בלבד. מדובר בגורם שמשלב ידע משפטי, הבנה טכנולוגית והיכרות עם פעילות הארגון — ושנדרש ממנו לפעול באופן עצמאי, ללא תלות בגורמים עסקיים בארגון.

תפקידי ה-DPO העיקריים

מי חייב למנות DPO?

סעיף 17ב1(א) לחוק מגדיר ארבע קטגוריות של גורמים שחייבים למנות ממונה הגנת פרטיות. לא מדובר בהמלצה — מדובר בחובה שאי-עמידה בה מהווה הפרה עצמאית:

קטגוריה סעיף בחוק דוגמאות
גוף ציבורי 17ב1(א)(1) עירייה, מועצה אזורית, חברה ממשלתית, רשות סטטוטורית, עמותה ציבורית
מסירה או סחר במידע 17ב1(א)(2) חברות דאטה, מוכרי רשימות שיווקיות, מתווכי מידע, דאטה ברוקרס
ניטור שוטף או פרופיילינג 17ב1(א)(3) אפליקציות מעקב, מערכות מצלמות אבטחה בהיקף, פרסום ממוקד, ניתוח התנהגות משתמשים
עיבוד מידע רגיש כעיסוק מרכזי 17ב1(א)(4) בתי חולים, קליניקות, חברות ביטוח, משרדי רווחה, מעבדות רפואיות
מקור חקיקתי סעיף 17ב1(א) לחוק הגנת הפרטיות, התשמ"א-1981, כפי שתוקן בתיקון 13 (נכנס לתוקף 14.8.2025). הסעיף קובע כי "בעל מאגר מידע או מחזיק מאגר מידע" שנכנס לאחת מהקטגוריות, "ימנה ממונה על הגנת הפרטיות".

מה נחשב "מידע רגיש"?

החוק מגדיר מידע רגיש ככולל: מידע על מצב בריאותי, מידע גנטי, מידע ביומטרי, דעות פוליטיות, אמונה דתית, מוצא אתני, נטייה מינית, עבר פלילי, ומצב כלכלי. גופים שעיבוד מידע מסוג זה הוא חלק מרכזי מפעילותם — חייבים DPO.

מה נחשב "ניטור שוטף"?

מעקב באופן שיטתי אחר התנהגות של אנשים, לרבות: ניתוח דפוסי גלישה באתר, איסוף נתוני מיקום, שימוש במצלמות אבטחה במרחבים ציבוריים או חצי-ציבוריים, יצירת פרופילים שיווקיים על בסיס התנהגות, וכל טכנולוגיה שמאפשרת לעקוב אחרי אנשים לאורך זמן.

מי לא חייב?

לא כל עסק חייב למנות DPO. אם העסק שלכם לא נכנס לאף אחת מארבע הקטגוריות שפורטו לעיל — אתם פטורים מחובת מינוי, גם אם אתם מחזיקים מידע אישי.

דוגמאות לעסקים שלרוב אינם חייבים DPO:

פטור מ-DPO לא אומר פטור מהחוק גם עסק שלא חייב למנות DPO חייב לעמוד בכל החובות הבסיסיות של תיקון 13: מדיניות פרטיות מותאמת, באנר עוגיות, הודעות פרטיות בטפסים, הסכמי עיבוד עם ספקים, ונוהל לטיפול בבקשות עיון ומחיקה. חובת DPO היא שכבה נוספת — לא תחליף לשכבה הבסיסית.
מתי כדאי למנות DPO גם בלי חובה? עסקים שמעבדים כמויות גדולות של מידע אישי, פועלים בתחומים רגולטוריים, או מתכוונים להתרחב — עשויים להפיק תועלת ממינוי DPO וולונטרי. זה מראה לרשות הפרטיות, ללקוחות ולשותפים עסקיים שהארגון מתייחס לפרטיות ברצינות.

DPO פנימי או חיצוני — מה ההבדל?

החוק מאפשר שתי אפשרויות: מינוי עובד מן המניין כ-DPO פנימי, או התקשרות עם מומחה חיצוני שישמש כ-DPO. שתי האפשרויות לגיטימיות, אבל לכל אחת יתרונות וחסרונות.

DPO פנימי

יתרונות חסרונות
היכרות עמוקה עם מערכות הארגון ותהליכיו עלות גבוהה — שכר + הכשרה + הקצאת זמן
זמינות יומיומית סיכון לניגוד עניינים אם ממלא תפקידים נוספים
קלות תקשורת פנים-ארגונית צורך בהכשרה מתמשכת ועדכון שוטף
חלק מהתרבות הארגונית קושי להבטיח עצמאות מקצועית מלאה

DPO חיצוני

יתרונות חסרונות
עלות נמוכה יותר — תשלום לפי שעות או ריטיינר היכרות מוגבלת יותר עם המערכות הפנימיות
מומחיות מובנית — כבר מוכשר ומעודכן זמינות מוגבלת לפי ההסכם
עצמאות מקצועית מלאה — אין לחץ ארגוני דורש שיתוף פעולה אקטיבי מצד הארגון
ניסיון ממגוון ארגונים ותעשיות פחות נוכחות פיזית בארגון
מתי DPO חיצוני הוא הפתרון הנכון? לעסקים קטנים ובינוניים שחייבים DPO אבל לא בהיקף שמצדיק משרה פנימית — DPO חיצוני הוא הפתרון הכלכלי. עורך דין או מומחה פרטיות חיצוני יכול לספק את כל הנדרש: פיקוח, ייעוץ, הדרכה, ושירות ככתובת מול רשות הפרטיות — בעלות חודשית קבועה, ללא עלויות העסקה.

דרישות כשירות

החוק לא מסתפק בדרישה למנות DPO — הוא גם קובע תנאי כשירות ספציפיים. מינוי גורם שלא עומד בתנאים אלה אינו מקיים את החובה, ועלול להיחשב כאי-מינוי.

1. תושבות ישראלית

הממונה חייב להיות תושב ישראל. לא ניתן למנות DPO שיושב בחו"ל, גם אם הוא מומחה מוכר בתחום.

2. הכשרה מקצועית — 40 שעות לפחות

הממונה חייב לעבור הכשרה מקצועית בתחום הגנת הפרטיות בהיקף של 40 שעות לפחות. ההכשרה צריכה לכלול: מסגרת חקיקתית ישראלית, אבטחת מידע, ניהול סיכונים, וזכויות נושאי מידע. עורכי דין שעוסקים בתחום עשויים לעמוד בדרישה זו כבר מכוח ניסיונם המקצועי.

3. ללא ניגוד עניינים

הממונה לא יכול למלא תפקיד שיוצר ניגוד עניינים עם תפקידו כ-DPO. לדוגמה: מנהל IT שגם אחראי על אבטחת מידע וגם משמש כ-DPO — מצב שמייצר ניגוד עניינים מובנה, כי הוא מפקח על עצמו.

4. גישה ישירה להנהלה

ה-DPO חייב לקבל גישה ישירה להנהלה הבכירה של הארגון. הוא לא יכול להיות "כפוף" לגורם ביניים שמסנן או מצנזר את המלצותיו. דיווח ישיר למנכ"ל או לדירקטוריון הוא הכרחי.

5. עצמאות מקצועית

החוק אוסר לפטר את הממונה, להשעותו, או לפגוע בתנאי העסקתו בגלל עמדותיו או החלטותיו המקצועיות בתחום הפרטיות. זוהי הגנה דומה למודל של מבקר פנימי — הממונה חייב לפעול ללא חשש מתגובה ארגונית.

מקור חקיקתי דרישות הכשירות מפורטות בסעיף 17ב1 לחוק הגנת הפרטיות ובתקנות שהותקנו מכוחו. ההכשרה של 40 שעות נקבעה בתקנות הגנת הפרטיות (ממונה הגנת פרטיות), שפורסמו בעקבות תיקון 13.

מה קורה אם לא ממנים?

אי-מינוי ממונה הגנת פרטיות, כשקיימת חובה לכך, מהווה הפרה עצמאית של החוק. כלומר — זו הפרה נפרדת מכל הפרה אחרת (כמו היעדר מדיניות פרטיות או באנר עוגיות). הסנקציות הן כבדות:

עיצומים כספיים מנהליים

תביעות אזרחיות

הפרה עצמאית — לא "חלק מהחבילה"

נקודה קריטית: אי-מינוי DPO הוא הפרה עצמאית. כלומר, גם אם הארגון עומד בכל החובות האחרות — מדיניות פרטיות, באנר עוגיות, הסכמי עיבוד — היעדר DPO לבד מספיק להטלת עיצום כספי. ולהפך: גם אם מונה DPO, זה לא פוטר מהחובות האחרות.

אי-ידיעה אינה הגנה עסק שלא ידע שהוא חייב למנות DPO — חשוף לעיצום בדיוק כמו עסק שהתעלם מהחובה במכוון. החוק לא מבחין בין אי-ידיעה לאי-ציות מכוון. האחריות על בעל העסק לבדוק אם הוא נכנס לאחת מארבע הקטגוריות.

שאלות נפוצות

מה זה ממונה הגנת פרטיות (DPO)?

ממונה הגנת פרטיות (Data Protection Officer) הוא בעל תפקיד עצמאי בארגון שאחראי לפקח על עמידת הארגון בחובות הגנת הפרטיות, לייעץ להנהלה, לטפל בתלונות, ולשמש כתובת מול רשות הפרטיות. התפקיד הוגדר בסעיף 17ב1 לחוק הגנת הפרטיות כפי שתוקן בתיקון 13.

מי חייב למנות DPO לפי תיקון 13?

ארבע קטגוריות חייבות: גופים ציבוריים (עיריות, חברות ממשלתיות), גורמים שמוסרים או סוחרים במידע אישי, גורמים שעיסוקם כולל ניטור שוטף או פרופיילינג, וגורמים שעיבוד מידע רגיש הוא חלק מרכזי מעיסוקם — לפי סעיף 17ב1(א).

האם עסק קטן חייב למנות DPO?

לא בהכרח. עסק קטן שאוסף רק פרטי קשר בסיסיים (שם, טלפון, אימייל) לצורך מתן שירות — ולא סוחר במידע, לא מבצע ניטור שוטף, ולא מעבד מידע רגיש — לא חייב למנות DPO. עם זאת, הוא עדיין חייב לעמוד בחובות הבסיסיות של תיקון 13.

מה ההבדל בין DPO פנימי לחיצוני?

DPO פנימי הוא עובד מן המניין בארגון. DPO חיצוני הוא מומחה עצמאי — עורך דין או יועץ פרטיות — שמשמש כממונה ללא העסקה ישירה. החוק מאפשר שתי האפשרויות. DPO חיצוני מתאים לעסקים שחייבים DPO אבל ההיקף לא מצדיק משרה פנימית.

מה הסנקציות על אי-מינוי DPO?

אי-מינוי DPO כשקיימת חובה לכך מהווה הפרה עצמאית. רשות הפרטיות רשאית להטיל עיצום כספי מנהלי של עד 5% מהמחזור השנתי. בנוסף, כל אדם שנפגע רשאי לתבוע פיצוי של עד 10,000 ש"ח ללא הוכחת נזק (כפל בהפרה מכוונת).

אילו דרישות כשירות נדרשות מ-DPO?

DPO חייב להיות תושב ישראל, לעבור הכשרה מקצועית של לפחות 40 שעות בהגנת פרטיות, לפעול ללא ניגוד עניינים, ולקבל גישה ישירה להנהלה הבכירה. הוא חייב ליהנות מעצמאות מקצועית — אין לפטרו או לפגוע בתנאיו בגלל עמדותיו המקצועיות.

לא בטוחים אם אתם חייבים DPO?

כלי בדיקה ללא עלות שמאבחן תוך דקה: האם אתם נכנסים לאחת מארבע הקטגוריות שמחייבות מינוי ממונה הגנת פרטיות.

בדקו עכשיו — ללא עלות

קראו גם ←

תיקון 13 לחוק הגנת הפרטיות: המדריך המלא לבעלי עסקים

מי חייב התאמה רגולטורית? מה העיצומים? מדריך מקיף סעיף-סעיף.

בדיקת ציות לתיקון 13 — כלי אבחון מקוון

סריקה טכנולוגית + אבחון מקצועי של עורך דין. ללא עלות, ללא הרשמה.

כתיבת צוואה בישראל: המדריך המלא

מה קורה אם אין צוואה? סוגי צוואות, טעויות נפוצות, ואיך להתחיל.

אלון אלישע, עורך דין

משרד עורכי דין אלישע | משפט אזרחי-מסחרי, הגנת פרטיות, אנרגיה

054-9260698 | elisha-law.com