מי חייב למנות DPO בישראל ב-2025? המדריך הפרקטי לבעלי אתרים ועסקים
מינוי ממונה הגנת פרטיות (DPO) הפך מ-14 באוגוסט 2025 לחובה משפטית בישראל. תיקון 13 לחוק הגנת הפרטיות מחייב בעלי עסקים להבין מתי נדרש מינוי DPO ואיך להתכונן לזה. הכתבה הזו תסביר לכם בצורה פרקטית ומעשיה בדיוק מה צריך לעשות באתר שלכם, איזה פלאגינים ושירותים צריך לרשום במדיניות הפרטיות, ואיך לבנות תהליך מחיקה ועריכה של מידע. זה לא עוד חוק מעצבן זה משהו שצריך לקחת ברצינות כי הקנסות מתחילים מ-10,000 שקל ללא הוכחת נזק.
הטבלה המהירה – מתי אתה חייב למנות DPO?
| סוג העסק/פעילות | מספר לקוחות/משתמשים | חובת מינוי DPO | דוגמאות |
|---|---|---|---|
| עסק עם אתר פשוט + טופס יצירת קשר | עד 1,000 לקוחות | לא חובה | עורך דין, רופא שיניים, מוסך, מקדם אתרים ועוד. |
| חנות איקומרס קטנה | 1,000-5,000 לקוחות | תלוי בסוג המידע | חנות בגדים, מוצרי יופי |
| אתר עם מעקב והתנהגות מתקדם | מכל גודל | חובה | אתר שמשתמש בפיקסל פייסבוק, Google Analytics למעקב מתקדם |
| עסק עם מידע רגיש | מעל 100 לקוחות | חובה | קליניקה, חברת ביטוח, בנק |
| חברה שמוכרת לידים | מעל 10,000 רשומות | חובה מלאה | חברת דירוג אשראי, מוקד טלמרקטינג |
| מצלמות אבטחה במקום עסקי | מכל גודל | חובה | חנות, מסעדה, משרד עם מצלמות |
מה בדיוק צריך לעשות באתר שלכם – המדריך הפרקטי
קודם כל, תעצרו ותעשו ביקורת מלאה של האתר שלכם. כל פלאגין, כל שירות חיצוני, כל טופס הכל צריך להירשם ולהיות מתועד במדיניות הפרטיות. אתם משתמשים בגוגל אנליטיקס? זה אוסף כתובות IP ונתוני התנהגות. יש לכם פיקסל של פייסבוק? זה עוקב אחרי כל לחיצה ועמוד שהמשתמש ביקר. אתם משתמשים בקלאודפלייר (Cloudflare)? גם זה אוסף נתונים ועובר דרך השרתים שלהם. כל זה צריך להיות רשום ומוסבר למשתמש.
השלב הראשון הוא לעבור על כל הטפסים באתר. טופס יצירת קשר, טופס הזמנה, טופס הרשמה לניוזלטר, טופס רכישה כולם. ליד כל טופס צריך להיות קישור למדיניות הפרטיות וצ'קבוקס הסכמה שלא מסומן מראש. הטקסט צריך להסביר בפשטות: "אני מסכים לקבל מידע שיווקי ועדכונים על המוצרים והשירותים". אסור לכתוב "אני מסכים לתנאי השימוש" – זה לא מספיק ספציפי.
רשימת השירותים שחייבים לרשום במדיניות הפרטיות
עכשיו בואו נעבור על כל השירותים הנפוצים שבעלי אתרים משתמשים בהם ושחייבים לרשום במדיניות הפרטיות. גוגל אנליטיקס אוסף כתובות IP, מיקום גיאוגרפי, נתוני התנהגות באתר, סוג הדפדפן והמכשיר. מיקרוסופט קלריטי (Microsoft Clarity) מקליט את תנועות העכבר ואת הגלילה של המשתמשים. פיקסל של פייסבוק עוקב אחרי עמודים שביקרתם, מוצרים שצפיתם, ופעולות שביצעתם באתר.
קלאודפלייר (Cloudflare) מעבד את כל התעבורה לאתר שלכם ואוסף כתובות IP ונתוני ביטחון. מערכות צ'אט כמו אינטרקום (Intercom) או זנדסק (Zendesk) אוספות הודעות, כתובות אימייל ונתוני שיחה. וורדפרס עצמו אוסף נתוני לוגים וסטטיסטיקות שימוש. אם יש לכם חנות איקומרס עם וווקומרס (WooCommerce), זה אוסף פרטי לקוחות, היסטוריית רכישות, ונתוני תשלום.
מערכות אימייל מרקטינג כמו מיילצ'ימפ (MailChimp) או גטרספונס (GetResponse) אוספות כתובות אימייל, נתוני פתיחה של הודעות, ולחיצות על קישורים. מערכות CRM כמו סיילספורס (Salesforce) או הובספוט (HubSpot) אוחזות מידע מפורט על לקוחות וליך המכירות. כל שירות כזה צריך להיות מפורט במדיניות הפרטיות עם הסבר למה אתם משתמשים בו.
איך לכתוב טקסט הסכמה נכון לכל טופס
עכשיו בואו נדבר על איך לכתוב טקסט הסכמה שעומד בחוק. ליד טופס יצירת קשר תכתבו: "אני מסכים שהחברה תשמור על הפרטים שלי ותיצור איתי קשר למתן הצעת מחיר ומידע על השירותים. ניתן לבטל את ההסכמה בכל עת." ליד טופס הרשמה לניוזלטר: "אני מסכים לקבל עדכונים שיווקיים באימייל על מוצרים, שירותים והטבות. ניתן להסיר מנוי בכל עת." ליד טופס רכישה: "אני מסכים שהחברה תשמור על פרטי הרכישה למטרות חשבונאיות, שירות לקוחות ומשלוח מוצרים."
חשוב להסביר גם למה אתם אוספים כל פרט. שם מלא לזיהוי הלקוח ויצירת קשר אישי. כתובת אימייל לשליחת הצעות מחיר, עדכונים ותמיכה טכנית. מספר טלפון ליצירת קשר מהיר וטיפול בבעיות דחופות. כתובת למשלוח לאספקת המוצרים שהוזמנו. תעודת זהות (אם נדרש) לאימות זהות ועמידה בחובות רגולטוריים. כל פרט שאתם אוספים צריך הצדקה ברורה ומוסברת.
איך לבנות תהליך מחיקה ועריכה של מידע
צריך שיהיה לכם תהליך מובנה לטיפול בבקשות מחיקה ועריכה. ראשית, קבעו אדם אחראי בארגון שיטפל בבקשות כאלה. זה יכול להיות בעל העסק עצמו, מנהל המשרד, או מישהו מצוות השירות. האדם הזה צריך להכיר את כל המערכות שבהן נשמר מידע האתר, ה-CRM, מערכת האימיילים, הגיבויים, כל מקום שהמידע עלול להיות שמור.
צרו כתובת אימייל יעודית לבקשות מחיקה ועריכה למשל privacy@yourcompany.co.il או dpo@yourcompany.co.il. הכתובת הזו צריכה להופיע באופן בולט במדיניות הפרטיות ובעמוד יצירת הקשר. כשמגיעה בקשה, יש לכם 30 יום לטפל בה. אם הלקוח מבקש מחיקה מלאה, אתם צריכים למחוק את המידע מכל המערכות האתר, ה-CRM, רשימות התפוצה, והגיבויים. אם הוא מבקש לעדכן מידע, אתם צריכים לעדכן בכל מקום שהוא מופיע.
הכינו תבנית תשובה סטנדרטית לבקשות מחיקה: "שלום [שם הלקוח], קיבלנו את בקשתך למחיקת המידע האישי. אנו נטפל בבקשה תוך 30 יום ונעדכן אותך כאשר התהליך יושלם. המידע יימחק מכל המערכות שלנו כולל האתר, מערכת ניהול הלקוחות, ורשימות התפוצה. אם יש לך שאלות נוספות, אנא פנה אלינו." אוטומציה יכולה לעזור בניהול התהליכים האלה בצורה יעילה יותר.
תרשמו אם אתם צריכים משהו מאיתנו
שאלה או התלבטות לגבי האתר שלכם? שירות שאתם רוצים להוסיף? דף שרציתם לערוך, מוזמנים לפנות אלינו.
הקנסות והסיכונים – למה זה באמת חשוב
בואו נדבר על הכסף כי זה מה שבאמת מעניין. הקנסות בתיקון 13 הם לא בדיחה. הרשות להגנת הפרטיות יכולה להטיל עיצום של עד 5% מהמחזור השנתי של החברה. עבור עסק שמרוויח מיליון שקל בשנה, זה 50,000 שקל קנס. עבור עסק שמרוויח עשרה מיליון, זה חצי מיליון שקל. אבל זה לא הכל – כל לקוח שהמידע שלו לא טופל כהלכה יכול לתבוע אתכם על 10,000 שקל ללא צורך להוכיח נזק.
דמיינו שיש לכם חנות איקומרס עם 1,000 לקוחות רשומים ולא טיפלתם בהגנת הפרטיות כהלכה. אם רק 10% מהלקוחות יחליטו לתבוע, זה 100 תביעות של 10,000 שקל כל אחת מיליון שקל בתביעות. בנוסף לקנס של הרשות. זה יכול לסגור עסקים.
מתקני מעקב מתקדמים וטכנולוגיות חדשות הופכות את השליטה במידע לחיונית יותר מתמיד.
מתי באמת צריך למנות DPO – החלוקה הפרקטית
עכשיו בואו נסביר מתי באמת צריך למנות DPO בצורה פרקטית.
אם יש לכם עד 1,000 לקוחות ואתם לא עוסקים במידע רגיש (בריאות, כספים, ביומטריה), סביר שלא תצטרכו DPO.
אבל אם אתם מפעילים מצלמות אבטחה במקום העסקי, משתמשים במעקב מתקדם באתר (כמו הקלטת מסכים), או אוספים מידע רגיש אז כן תצטרכו.
לחוק המלא באתר הממשלתי.
עסקים שחייבים למנות DPO כוללים: קליניקות ורופאים שמחזיקים מידע רפואי, חברות ביטוח וכספים, עסקים עם מעל 10,000 לקוחות במאגר מידע,
חברות שמוכרות רשימות לקוחות או לידים, עסקים עם מצלמות אבטחה הצולמות לקוחות או עובדים,
ואתרים שמבצעים מעקב מתקדם אחרי התנהגות גולשים (מעבר לגוגל אנליטיקס בסיסי).
המינוי יכול להיות פנימי או חיצוני. DPO פנימי זה מישהו מהצוות שמקבל הכשרה ואחריות על הנושא. DPO חיצוני זה חברה או יועץ חיצוני שמספק את השירות. עבור עסקים קטנים, DPO חיצוני הוא בדרך כלל הפתרון הכלכלי והמעשי יותר. העלות של DPO חיצוני נעה בין 2,000-8,000 שקל לחודש תלוי בגודל העסק ומורכבות הפעילות.
מה בונה האתר צריך לדעת ומה הבעלים – דיסקליימר חשוב
דיסקליימר חשוב לבוני אתרים ויועצים דיגיטליים: גם אם אתם עוזרים ללקוח לכתוב מדיניות פרטיות, לבנות תהליכי מחיקה, או להתכונן לתיקון 13 האחריות הסופית נשארת על בעל העסק. אתם לא אחראים לתביעות או קנסות שהלקוח יקבל בגלל אי עמידה בחוק. חשוב להדגיש זאת בחוזה ולוודא שהלקוח מבין שהוא זה שאחראי על התוכן, על הפעילות, ועל עמידה בחוק. אתם מספקים כלים וייעוץ טכני, אבל לא ייעוץ משפטי.
מומלץ לרשום בחוזה עם הלקוח: "השירותים שאנו מספקים כוללים סיוע טכני בהטמעת כלים להגנת הפרטיות ועריכת מסמכי מדיניות על בסיס המידע שסופק על ידי הלקוח. האחריות על תוכן המדיניות, עמידה בחוק, וטיפול בתביעות או קנסות נשארת במלואה על הלקוח. אנו ממליצים להיוועץ עם עורך דין המתמחה בדיני פרטיות." זה מגן עליכם משפטית ומבהיר את גבולות האחריות.
תרשמו אם אתם צריכים משהו מאיתנו
שאלה או התלבטות לגבי האתר שלכם? שירות שאתם רוצים להוסיף? דף שרציתם לערוך, מוזמנים לפנות אלינו.
רשימת משימות לבדיקה עצמית
הנה רשימת משימות שכל בעל עסק צריך לעבור עליה: בדקו איזה פלאגינים ושירותים חיצוניים יש לכם באתר (אנליטיקס, פיקסלים, צ'אטים).עברו על כל הטפסים באתר ובדקו שיש הסכמה מפורשת ומוסברת. עדכנו את מדיניות הפרטיות עם כל השירותים שאתם משתמשים בהם. קבעו אדם אחראי על טיפול בבקשות מחיקה ועריכה. צרו כתובת אימייל יעודית לפניות פרטיות. הכינו תבניות תשובה לבקשות מחיקה ועריכה.
בדקו איפה המידע נשמר האתר, CRM, אימיילים, גיבויים. תעדו את כל התהליכים במסמך פנימי. בדקו אם אתם חייבים במינוי DPO לפי הקריטריונים. אם כן, החלו בתהליך מינוי פנימי או חיצוני. עשו בדיקה חודשית של הפרוצדורות ועדכנו לפי הצורך. זכרו זה לא משהו שעושים פעם אחת ושוכחים, זה תהליך שוטף שצריך ניהול קבוע.
לסיכום, תיקון 13 ומינוי DPO זה לא עוד רגולציה מעצבנת אלא שינוי יסודי באופן שבו עסקים מתנהלים עם מידע של לקוחות.
צריכים עזרה בלבדוק את כל הנושאים התוספים וניסוח המדיניות פרטיות החדשה, צרו איתנו קשר נשמח לעזור.
ההתכוננות הנכונה יכולה להגן עליכם מקנסות כבדים ותביעות, ויותר מזה לבנות אמון עם הלקוחות שלכם. השקיעו בזה עכשיו, לפני שזה הופך לבעיה יקרה.