# מסמך הגדרות מאגר — מה כולל, איך כותבים, ולמה צריך | תיקון 13 ותקנות 2017

> מדריך מעשי ל-מסמך הגדרות מאגר לפי תקנות אבטחת מידע 2017 ותיקון 13 לחוק הגנת הפרטיות. מה צריך לכלול: בעל המאגר, מטרה, סוגי מידע, רמת אבטחה, מנהל אבטחת מידע, ספקים. תבנית לפי הרשות להגנת הפרטיות, וההבדלים מ-RoPA לפי GDPR.

**Canonical:** https://dpoisrael.com/learn/database-definition-document/  
**Locale:** he-IL

---
**מסמך הגדרות מאגר** הוא המסמך הבסיסי שתקנות אבטחת מידע 2017 דורשות לכל מאגר ברמת אבטחה בינונית או גבוהה. הוא מגדיר את ה"זהות" של המאגר: בעלים, אחראיים, מטרה, סוגי מידע, רמת אבטחה, ספקים, ותקופת שמירה. בלי מסמך תקין — הארגון לא עומד בתקנות 2017, וגם תיקון 13 דורש את המידע הזה.

## מסמך הגדרות מאגר בקצרה

- **בסיס משפטי:** תקנות אבטחת מידע 2017
- **חובה ל:** כל מאגר ברמת אבטחה בינונית או גבוהה
- **תבנית:** רשמית של הרשות להגנת הפרטיות
- **מספר שדות:** 15 שדות מינימום
- **חתומים:** בעל המאגר, מנהל אבטחת מידע, DPO
- **תקופת תוקף:** תקף עד שינוי משמעותי — מומלץ סקירה שנתית
- **הבדל מ-RoPA:** מסמך הגדרות = ישראל; RoPA = GDPR
- **אופציה ב-data mapping:** כלול במלא בשירות מיפוי מאגרי מידע

## 15 השדות החיוניים

| שדה | פירוט |
| --- | --- |
| שם המאגר | שם תיאורי + שם רשמי כפי שמופיע ברישום ברשות (אם נרשם) |
| בעל המאגר | הישות המשפטית שמחזיקה ושומרת על המאגר (חברה, עמותה, רשות) |
| מנהל המאגר | אדם פיזי במחויב ישירות לבעל המאגר — לרוב מנכ"ל / מנהל חברה |
| מנהל אבטחת המידע | מי האדם שאחראי על אבטחת המאגר — לרוב CISO או IT Manager |
| ממונה הגנת פרטיות (DPO) | אם נדרש לפי תיקון 13 — שמו, פרטי קשר |
| מטרת המאגר | למה המידע נאסף ומשמש — כתוב באופן ספציפי, לא "ניהול עסקי" |
| בסיס משפטי | הסכמה / חוזה / חובה משפטית / אינטרס לגיטימי |
| סוגי המידע | פירוט שדות: שם, ת"ז, כתובת, פרטי בנק, מידע רפואי וכו׳ |
| סוגי נושאי המידע | עובדים, לקוחות, ספקים, מתנדבים, חברים, וכו׳ |
| מקור המידע | איך המידע מגיע — ישירות מהאדם, מספק, מגוף שלטוני |
| מספר רשומות | הערכה — חשוב לקביעת רמת אבטחה |
| רמת אבטחה | בסיסית / בינונית / גבוהה — לפי תקנות 2017 |
| מעובד באמצעות | מערכות, ספקים, vendors שמטפלים במאגר |
| תקופת שמירה | כמה זמן נשמר המידע, ומתי נמחק |
| מועד עדכון | תאריך עדכון אחרון של המסמך |

## איך קובעים רמת אבטחה

רמת האבטחה משפיעה על כל הדרישות הטכניות והארגוניות. תקנות 2017 קובעות שלוש רמות, ולכל סוג מידע יש "מינימום" לפי הסיווג שלו.

| סוג מידע | דוגמאות | רמת אבטחה מינימלית | דרישות עיקריות |
| --- | --- | --- | --- |
| מידע בסיסי | שם, כתובת, תיק קשר | בסיסית | הרשאות, הצפנה בסיסית, לוגים |
| מידע פיננסי | נתוני שכר, חשבון בנק, אשראי | בינונית | הצפנה, גישה מבוקרת, ביקורת, אישור ספק |
| מידע רפואי | תיק רפואי, בריאות הנפש, אבחונים | גבוהה | הצפנה חזקה, הרשאות מינימליות, לוגים מלאים, גיבויים מוצפנים, ביקורות שנתיות |
| מידע על קטינים | תלמידים, ילדי גן, אבחונים בית-ספר | גבוהה | דומה לרפואי + הסכמת הורים מתועדת |
| מידע ביומטרי | טביעת אצבע, זיהוי פנים, קוד DNA | גבוהה | דרישות מיוחדות + DPIA חובה |
| מידע על דעות וזהות | דת, עמדה פוליטית, מגדר, נטייה מינית | גבוהה | הסכמה ספציפית, רמת אבטחה גבוהה |

## שאלות נפוצות על מסמך הגדרות מאגר

### מה ההבדל בין מסמך הגדרות מאגר ל-RoPA?

**מסמך הגדרות מאגר** הוא דרישה של תקנות אבטחת מידע 2017 בישראל. **RoPA** (Records of Processing Activities) הוא דרישה של GDPR Article 30. תוכן דומה אבל לא זהה. ארגון שעובד גם בארץ וגם באירופה — מנהל את שניהם, לעיתים בטבלה אחת מאוחדת.

### אילו מאגרים דורשים מסמך הגדרות מאגר?

כל מאגר ברמת אבטחה **בינונית** או **גבוהה** חייב מסמך הגדרות מאגר רשמי. מאגרי רמת אבטחה בסיסית — לא חובה, אבל מומלץ. בארגון בינוני בדרך כלל יש 5-15 מאגרים שדורשים מסמך רשמי.

### איך קובעים רמת אבטחה?

תקנות 2017 קובעות שלוש רמות: בסיסית (עד 10,000 רשומות + מידע לא רגיש), בינונית (10,000-100,000 + מידע לא רגיש, או מתחת ל-10,000 + מידע רגיש), גבוהה (מעל 100,000 + מידע לא רגיש, או מעל 10,000 + מידע רגיש, או כל מאגר רפואי).

### יש תבנית של הרשות?

כן. הרשות להגנת הפרטיות פרסמה תבנית רשמית של מסמך הגדרות מאגר, שזמינה באתר הרשות. אנחנו עובדים עם התבנית, אבל מרחיבים אותה לפי המבנה הספציפי של הארגון.

### מי חותם על המסמך?

הרגיל: בעל המאגר (לרוב מנכ"ל), מנהל אבטחת המידע, ולפעמים DPO. במאגרים גדולים — גם יו"ר ועדת ביקורת או ועדת אבטחת מידע.

### תקופת תוקף?

אין תפוגה מוגדרת. נדרש לעדכן בשינוי משמעותי במאגר: שדה חדש, מטרה חדשה, ספק חדש. בפועל — מומלץ לעבור על כל מסמכי הגדרות מאגר פעם בשנה.

### מה אם אין לנו מסמכים?

נדרש להכין. אנחנו עוזרים: ב-[שירות מיפוי מאגרי מידע](/services/data-mapping) אנחנו מכינים את כל מסמכי הגדרות מאגר הנדרשים, ב-3-14 שבועות לפי גודל הארגון.

### מה אם המאגר נרשם ברשות לפני שנים — צריך לעדכן?

כן. רישום ברשות לא מבטל את חובת מסמך הגדרות מאגר המלא. גם רישום ישן צריך להתאים לדרישות תקנות 2017 ולתיקון 13.

## צריכים מסמכי הגדרות מאגר?

שירות מיפוי מאגרי מידע מכין את כל המסמכים הנדרשים — מקצועי, מסודר, נשאר אצלכם.

[פרטים על מיפוי מאגרים](/services/data-mapping)