מדריך DPIA — תסקיר השפעה על פרטיות

Q: מה ההבדל בין DPIA ל-Risk Assessment?

DPIA מתמקד ב סיכוני פרטיות לנושאי מידע — האם הזכויות שלהם נפגעות? Risk Assessment מתמקד ב סיכונים עסקיים לארגון — האם הארגון יכול להפסיד? שני סוגי הערכה משלימים. ה-DPIA תופס את ה"מבחוץ פנימה" (פגיעה באנשים), Risk Assessment תופס "מבפנים החוצה" (פגיעה בארגון).

DPIA (Data Protection Impact Assessment) הוא הכלי המשפטי שבודק האם פרויקט / מערכת / עיבוד מידע לפני שמתחילים. מתי חובה, איך מבצעים, מה כולל, ומתי נדרשת התייעצות עם הרשות — עם דוגמאות מ-AI, מצלמות, מידע רפואי ופרופיילינג. לפי תיקון 13 + GDPR Article 35 + גילויי דעת הרשות.

מהו DPIA

DPIA (Data Protection Impact Assessment) הוא תהליך מובנה להערכת השפעת פרויקט / מערכת / עיבוד על פרטיות נושאי המידע. הוא מאתר סיכונים מראש, מציע אמצעי מיתון, ומתעד את ההחלטות. PIA (Privacy Impact Assessment) הוא מונח מקביל וותיק יותר — בפועל אותו דבר.

מתי חובה

תיקון 13 מחייב DPIA במצבים של עיבוד "בעל סיכון גבוה לפרטיות". זה כולל: עיבוד מידע רגיש בהיקף נרחב; ניטור שיטתי של מרחב ציבורי; החלטות אוטומטיות בעלות משמעות לאדם (כולל AI); שיתוף מידע עם צד שלישי בקנה מידה; טכנולוגיות חדשות. גילוי דעת של הרשות מ-2026 הרחיב את החובה למערכות AI ולעיבוד מידע חוצה גבולות.

הקשר ל-GDPR

GDPR Article 35 מטיל חובה דומה, עם רשימה ספציפית של ה-EDPB. ברוב המקרים, פרויקט שדורש DPIA לפי תיקון 13 דורש גם לפי GDPR — ואותו תסקיר משרת שני המקרים. בשני המסגרות, התסקיר נדרש לפני תחילת העיבוד.

השלבים — מה עושים בפועל

ששה שלבים: (1) הגדרת היקף — איזה פרויקט, איזה מאגר, מי המשתמשים; (2) מיפוי תזרים מידע — מאיפה, לאן, ל-vendor איזה, חוצה גבולות?; (3) זיהוי סיכונים — מה יכול להשתבש, ובאיזו הסתברות וחומרה; (4) אמצעי מיתון — Pseudonymization, Minimization, Encryption, Access Control, מועדי שמירה קצרים; (5) סיכון נותר — אחרי הכל, האם הסיכון מתקבל? אם לא — התייעצות עם הרשות; (6) תיעוד והחלטה — דוח רשמי, חתימה, וגם תאריך עדכון.

מה כולל הדוח

דוח DPIA טוב הוא 20-40 עמודים, ומכיל: תיאור המערכת והעיבוד; מטרה ובסיס משפטי; דיאגרמת תזרים מידע; מטריצת סיכונים; אמצעי מיתון לכל סיכון; הערכת סיכון נותר; החלטה (להמשיך, לשנות, להתייעץ); תיעוד הסכמת בעלי תפקידים; ותאריך עדכון.

התייעצות עם הרשות

כאשר הסיכון הנותר אחרי mitigations עדיין גבוה — תיקון 13 מחייב התייעצות עם הרשות להגנת הפרטיות לפני שמתחילים בעיבוד. הפנייה מנוסחת על ידי ה-DPO, כוללת את כל המסמכים, ומוגשת דרך מערכת מקוונת. הרשות מגיבה תוך 8-12 שבועות, ולעיתים מבקשת הבהרות נוספות.

DPIA למערכות AI

מערכות AI דורשות DPIA מורחב. מעבר לסוגיות הרגילות יש שכבת שאלות: (א) Explainability — האם המערכת מסוגלת להסביר החלטות?; (ב) Bias — האם המודל מאומן על נתונים מייצגים?; (ג) Human in the loop — האם כל החלטה עוברת ביקורת אדם?; (ד) מעבר נתונים למודלי בסיס (OpenAI, Claude, Gemini) — איפה מעובד המידע, האם משמש לאימון; (ה) תקופת שמירת prompts.

DPIA לניטור (מצלמות, מיקום)

מערכות מצלמות במרחב הציבורי, ניטור עובדים, אפליקציות מיקום, ניתוח התנהגות בחנות — דורשות DPIA. השאלות: מי הנושאי המידע? יש שילוט? מטרה מידתית? תקופת שמירה? גישה מבוקרת? פעולות אוטומטיות (זיהוי פנים, זיהוי לוחיות רכב)? כל "כן" מעלה את רמת הסיכון.

מי מבצע — DPO, יועץ חיצוני, או צוות פנימי

בארגון עם DPO פנימי — הוא מוביל. בארגון בלי DPO פנימי — יועץ חיצוני (כמונו). בארגון קטן — לעיתים מבוצע על ידי "צוות פרטיות" שכולל מנהל פרויקט, IT, ועו"ד. הקריטריון: עצמאות מי שמבצע מהפרויקט הספציפי. בעל הפרויקט לא יכול להיות הבוחן.

שאלות נפוצות על DPIA

DPIA זה רק לארגונים גדולים?

לא. גם סטארטאפ עם 20 עובדים שמשיק מוצר AI חדש — חייב DPIA. הקריטריון הוא סוג העיבוד, לא גודל הארגון. ארגון עם 10,000 עובדים שמחזיק רק תיק עובד פשוט — לא חייב DPIA. ארגון עם 30 עובדים שמשיק מוצר ניטור עובדים — כן חייב.

כמה עולה DPIA?

תסקיר ממוקד לפרויקט בודד — 6,000-15,000 ₪. תסקיר רחב למערכת ארגונית מרכזית או AI גדול — 15,000-35,000 ₪. ב-DPO as a Service חלק מה-DPIAs כלולים בריטיינר (תלוי בחבילה).

כמה זמן לוקח?

תסקיר ממוקד — 3-5 שבועות. תסקיר מורכב — 8-12 שבועות. אם נדרשת התייעצות עם הרשות — להוסיף 8-12 שבועות נוספים.

מה אם לא בצענו DPIA והרשות גילתה?

הרשות עלולה לדרוש ביצוע DPIA רטרואקטיבי + הפסקת העיבוד עד לסיום + עיצום כספי. במקרים חמורים — לעיתים גם תביעות ממה שניזוקו. עדיף DPIA מאוחר מאשר חסר.

יש לכם תבנית?

יש לנו תבנית פנימית של 25 עמודים, בעברית ובאנגלית, מותאמת לתיקון 13 ול-GDPR. בכל לקוח מתאימים — אבל לא מתחילים מ-blank page. אם אתם מעוניינים בתבנית בלבד (בלי ביצוע) — אפשר לקנות אותה כמוצר נפרד.

מה ההבדל בין DPIA ל-Risk Assessment?

DPIA מתמקד בסיכוני פרטיות לנושאי מידע — האם הזכויות שלהם נפגעות? Risk Assessment מתמקד בסיכונים עסקיים לארגון — האם הארגון יכול להפסיד? שני סוגי הערכה משלימים. ה-DPIA תופס את ה"מבחוץ פנימה" (פגיעה באנשים), Risk Assessment תופס "מבפנים החוצה" (פגיעה בארגון).

יש פרויקט שצריך DPIA?

שיחה של 30 דקות, הצעת מחיר תוך 48 שעות, kick-off תוך שבועיים.

פרטים על שירות DPIA