שירותי DPO והגנת פרטיות

פרטיות אינה רק שאלה משפטית

מאז כניסת תקנות ה-GDPR האירופיות לתוקף ב-2018, ועדכון תקנות הגנת הפרטיות בישראל בשנים האחרונות, תפקיד קצין הגנת הפרטיות (DPO) הפך לאחד מעמודי התווך המרכזיים בניהול סיכונים תאגידי. לא מדובר עוד בתפקיד "נחמד שיהיה" — אלא בדרישה רגולטורית מחייבת לחלק נרחב מהארגונים.

ה-DPO הוא פונקציה עצמאית בארגון — לא כפוף ישירות למנכ"ל או למחלקת המחשוב, אלא מהווה גורם מאזן ובלתי תלוי המגשר בין דרישות החוק לבין הפעילות העסקית והטכנולוגית. הוא עונה לשאלה אחרת מזו של ה-CISO: לא איך מגנים על המידע, אלא האם בכלל מותר לאסוף אותו, איך להשתמש בו, ומתי חייבים למחוק אותו.

DPO לעומת CISO — מה ההבדל?

שני התפקידים הללו לעיתים מתבלבלים, אבל הם משלימים זה את זה ולא מחליפים זה את זה. להלן ההבחנה המקצועית:

מדד

CISO — מנהל אבטחת מידע

DPO — מנהל הגנת הפרטיות

שאלה מובילה

איך מגנים על המידע מפני תקיפה או דליפה?

האם בכלל מותר לאסוף, לעבד ולשמור את המידע?

היבט עיקרי

טכנולוגי ופיזי

משפטי, אתי ורגולטורי

מתמקד ב-

הגנה מפני איומים חיצוניים ופנימיים

זכויות נושאי המידע (לקוחות, עובדים)

כפיפות

בדרך כלל למנכ"ל או ל-CIO

פונקציה עצמאית, ללא תלות

תוצרים מרכזיים

סקרי סיכון, מבדקי חדירות, תוכניות הגנה

DPIA, מדיניות פרטיות, מענה לדליפות

תקנים מובילים

ISO 27001, NIST 800-30

GDPR, תקנות 2017, ISO 27701

ארבעת עמודי התווך של תפקיד ה-DPO

ייעוץ והתאמה רגולטורית

סקרי השפעה על פרטיות, Privacy by Design, ניסוח מדיניות ונהלים

ניהול דליפות מידע

תחקור אירועים, דיווח לרשויות, יידוע נושאי מידע

III

ניהול שרשרת אספקה

סקרי סיכוני ספקים, הסכמי DPA, בקרת מיקור חוץ

הדרכה ונקודת קשר

הכשרת עובדים, מענה לפניות, ייצוג מול רגולטורים

שמונה שירותי DPO שאנחנו מספקים

ניתן לבחור שירות בודד או חבילה משולבת. כל שירות מתומחר ומבוצע באופן עצמאי, או כחלק מליווי שוטף (Retainer) על בסיס חודשי.

מיפוי מאגרי מידע ורישום ברשות הפרטיות

מיפוי שיטתי של כל מאגרי המידע בארגון, סיווגם לפי רגישות, וביצוע הליך הרישום הרשמי ברשות להגנת הפרטיות. זהו השלב הראשון בכל פרויקט DPO והבסיס לכל יתר הפעילות.

הכנת מדיניות פרטיות ונהלי עבודה

ניסוח מדיניות פרטיות פנימית וחיצונית, נוהל שמירת ומחיקת מידע (Data Retention), מנגנוני מימוש זכויות משתמשים, ונהלי הסכמה. הכל בהתאמה למבנה הארגון ולפעילותו.

הסכמי עיבוד מידע (DPA) עם צד שלישי

ניסוח ובחינה של נספחי הגנת מידע בחוזים מסחריים — מול ספקי ענן, מערכות SaaS, קבלני משנה, וצדדים שלישיים. מגדיר את גבולות האחריות וההרשאות בטיפול במידע של הארגון.

DPIA — תצהיר השפעה על הפרטיות

סקר השפעה ייעודי לפרטיות (Data Protection Impact Assessment) לפני הטמעת טכנולוגיות חדשות, מערכות מידע, או תהליכים עסקיים הכוללים עיבוד נתונים רגישים. חובה תחת ה-GDPR לתהליכים מסוימים.

טיפול בזכויות נושאי מידע

בניית מנגנונים לקבלת ומענה לבקשות מסוג זכות גישה, זכות תיקון, זכות מחיקה (Right to be Forgotten), זכות ניידות נתונים, וזכות התנגדות לעיבוד.

DPO כשירות שוטף (Retainer)

ליווי חודשי קבוע — שאלות שוטפות, סקירת תהליכים חדשים, הדרכת עובדים, ייצוג מול רשויות. ארגונים החייבים ב-DPO על פי ה-GDPR יכולים להשתמש בשירות כפתרון תקני וזול לעומת גיוס במשרה מלאה.

הכשרות עובדים בנושא הגנת פרטיות

סדנאות מותאמות לפי מחלקות — משאבי אנוש, שיווק, פיתוח, מכירות. כל מחלקה מקבלת את הכלים הרלוונטיים לסוג הנתונים שהיא מטפלת בהם ולסיכונים הספציפיים לעבודתה.

תגובה לדליפת מידע (Breach Response)

מענה מהיר לאירועי דליפה: תחקור וסיווג חומרת האירוע, ניהול חובת הדיווח לרשויות בלוחות הזמנים הנדרשים (72 שעות תחת GDPR), גיבוש אסטרטגיית יידוע לנפגעים. שירות זמין גם בחירום.

מענה לדליפת מידע — לוח הזמנים הקריטי

בעת דליפה או חשד לדליפה, הזמן הוא הגורם הקריטי ביותר. ה-DPO הוא הגורם המקצועי המוביל את ההיבט הרגולטורי והתקשורתי של האירוע, ופועל מול הרשויות ונושאי המידע במקביל. להלן לוח הזמנים הסטנדרטי:

שעה 0 — גילוי האירוע

איסוף מידע ראשוני וסיווג

הקמת צוות חירום, איסוף ראיות, זיהוי היקף הדליפה (כמה נושאי מידע, איזה סוג מידע, מי אחראי). הערכה ראשונית של חומרת הפגיעה.

תוך 24 שעות

חקירה מעמיקה ובלימת הפגיעה

חקירה טכנית-משפטית של הסיבות, סגירת הפרצה (במידה והיא עדיין פתוחה), תיעוד מלא של השתלשלות האירוע, ובחינת השלכות אפשריות.

תוך 72 שעות

דיווח רשמי לרשויות

דיווח לרשות להגנת הפרטיות בישראל ו/או לרשויות ה-DPA באירופה (חובת ה-GDPR). הדיווח כולל תיאור האירוע, סוג המידע שדלף, מספר הנפגעים, ופעולות התגובה שננקטו.

תוך 7-14 ימים

יידוע נושאי המידע

במקרים של "סיכון גבוה לזכויות והחירויות של נושאי המידע" — חובה ליידע אותם ישירות. SOBITIS מסייעת בניסוח ההודעה, באסטרטגיית הפצתה, ובמענה לפניות שוטפות מצד הנפגעים.

חודש +

הפקת לקחים ושינויים מבניים

תחקור מסודר של האירוע, זיהוי הגורמים השורשיים, יישום שינויים טכנולוגיים ותהליכיים למניעת הישנות, ועדכון המסמכים והנהלים הרלוונטיים. תיעוד מלא לצורכי ביקורת עתידית.

תקנים ורגולציה

שירותי ה-DPO של SOBITIS נכתבים בהלימה מלאה למסגרת הרגולטורית הרלוונטית לארגון — בישראל, באירופה, ובמדינות נוספות. להלן התקנים והחוקים העיקריים שעמם אנו עובדים:

חוק הגנת הפרטיות 1981

חוק יסוד ישראלי

המסגרת המשפטית הראשית בישראל

תקנות 2017

הגנת הפרטיות (אבטחת מידע)

חובת אבטחת מאגרי מידע, רמות הגנה

תיקון 13 (2024)

חוק הגנת הפרטיות המעודכן

חוק חדש — סנקציות מוגברות וזכויות נוספות

GDPR

General Data Protection Regulation

תקנה אירופית — מחייבת לכל מעבדי מידע EU

ISO 27701

Privacy Information Management

הרחבת ISO 27001 לניהול פרטיות

CCPA / CPRA

California Privacy Act

לארגונים עם פעילות בשוק קליפורניה

HIPAA

Health Insurance Portability Act

לארגונים עם נגיעה למידע רפואי בארה"ב

SOC 2 Type II

Service Organization Controls

לחברות SaaS וטכנולוגיה

למי השירותים מיועדים?

ה-GDPR והחוק הישראלי מחייבים מינוי DPO במגוון מקרים. עם זאת, גם ארגונים שאינם מחויבים על פי חוק עשויים להפיק תועלת רבה מהשירותים:

ארגונים עם מאגרי מידע מעל 10,000 נושאי מידע (חובת רישום ברשות הפרטיות)
גופים ציבוריים — חובת מינוי DPO על פי ה-GDPR ועל פי החוק הישראלי
ארגונים העוסקים בעיבוד מידע בהיקף נרחב או בקטגוריות רגישות (בריאות, פיננסים, ביטחוני, ועוד)
חברות טכנולוגיה עם פעילות בשוקי ה-EU או ארה"ב
פלטפורמות SaaS המעבדות מידע של לקוחות עסקיים
ארגונים בתהליכי הסמכה ל-ISO 27001 / 27701 / SOC 2
חברות בתהליכי גיוס הון או הנפקה — נדרשת הסמכת ציות
ארגונים שהיו מעורבים בעבר באירוע פרטיות ונדרשים לבחון את חוסנם

למה SOBITIS?

שירותי ה-DPO של SOBITIS נכתבים על ידי בעל הסמכת DPO רשמית מאוניברסיטת בר-אילן, בעל הסמכות נוספות בתחומי אבטחת מידע (CISO, CISM) ומעל עשור של ניסיון בליווי ארגונים מול הרשות להגנת הפרטיות והרשויות במדינות נוספות.

היתרון התחרותי שלנו:

מהירות: מיפוי מאגרי מידע בסיסי תוך 3-5 ימי עסקים
יעילות כלכלית: הודות לאוטומציה חכמה ולתבניות מוכחות
שילוב CISO + DPO: יתרון ייחודי — אנו מספקים שני התפקידים, כך שאין צורך לרכז שני יועצים שונים
ליווי שוטף: אופציה ל-Retainer חודשי לפי היקף שעות מוגדר מראש
מענה לחירום: שירות תגובה לדליפת מידע זמין גם בחירום

קצין הגנת פרטיות
(DPO) ושירותי ציות

פרטיות אינה רק שאלה משפטית

DPO לעומת CISO — מה ההבדל?

ארבעת עמודי התווך של תפקיד ה-DPO

ייעוץ והתאמה רגולטורית

ניהול דליפות מידע

ניהול שרשרת אספקה

הדרכה ונקודת קשר

שמונה שירותי DPO שאנחנו מספקים

מיפוי מאגרי מידע ורישום ברשות הפרטיות

הכנת מדיניות פרטיות ונהלי עבודה

הסכמי עיבוד מידע (DPA) עם צד שלישי

DPIA — תצהיר השפעה על הפרטיות

טיפול בזכויות נושאי מידע

DPO כשירות שוטף (Retainer)

הכשרות עובדים בנושא הגנת פרטיות

תגובה לדליפת מידע (Breach Response)

מענה לדליפת מידע — לוח הזמנים הקריטי

איסוף מידע ראשוני וסיווג

חקירה מעמיקה ובלימת הפגיעה

דיווח רשמי לרשויות

יידוע נושאי המידע

הפקת לקחים ושינויים מבניים

תקנים ורגולציה

למי השירותים מיועדים?

למה SOBITIS?

צריכים DPO?

קצין הגנת פרטיות(DPO) ושירותי ציות

פרטיות אינה רק שאלה משפטית

DPO לעומת CISO — מה ההבדל?

ארבעת עמודי התווך של תפקיד ה-DPO

ייעוץ והתאמה רגולטורית

ניהול דליפות מידע

ניהול שרשרת אספקה

הדרכה ונקודת קשר

שמונה שירותי DPO שאנחנו מספקים

מיפוי מאגרי מידע ורישום ברשות הפרטיות

הכנת מדיניות פרטיות ונהלי עבודה

הסכמי עיבוד מידע (DPA) עם צד שלישי

DPIA — תצהיר השפעה על הפרטיות

טיפול בזכויות נושאי מידע

DPO כשירות שוטף (Retainer)

הכשרות עובדים בנושא הגנת פרטיות

תגובה לדליפת מידע (Breach Response)

מענה לדליפת מידע — לוח הזמנים הקריטי

איסוף מידע ראשוני וסיווג

חקירה מעמיקה ובלימת הפגיעה

דיווח רשמי לרשויות

יידוע נושאי המידע

הפקת לקחים ושינויים מבניים

תקנים ורגולציה

למי השירותים מיועדים?

למה SOBITIS?

צריכים DPO?

קצין הגנת פרטיות
(DPO) ושירותי ציות