# מדריך DPIA — תסקיר השפעה על פרטיות | מתי, איך, ומה כולל

> מדריך מעשי ל-DPIA (Data Protection Impact Assessment, תסקיר השפעה על פרטיות) — מתי חובה, איך מבצעים, מה כולל, ומתי נדרשת התייעצות עם הרשות. עם דוגמאות ל-AI, ניטור מצלמות, עיבוד מידע רפואי, ופלטפורמות פרופיילינג. לפי תיקון 13 + GDPR Article 35 + גילויי דעת הרשות.

**Canonical:** https://dpoisrael.com/learn/dpia-guide/  
**Locale:** he-IL

---
**DPIA** (Data Protection Impact Assessment) הוא הכלי המשפטי שבודק האם פרויקט / מערכת / עיבוד מידע _לפני שמתחילים_. מתי חובה, איך מבצעים, מה כולל, ומתי נדרשת התייעצות עם הרשות — עם דוגמאות מ-AI, מצלמות, מידע רפואי ופרופיילינג. לפי תיקון 13 + GDPR Article 35 + גילויי דעת הרשות.

## DPIA בקצרה

- **מהו:** תסקיר השפעה על פרטיות
- **מתי חובה:** עיבוד בעל סיכון גבוה לפרטיות
- **בסיס משפטי:** תיקון 13 + GDPR Art. 35
- **משך תסקיר ממוקד:** 3-5 שבועות
- **משך תסקיר מורכב:** 8-12 שבועות
- **מחיר:** 6,000-35,000 ₪
- **מי מבצע:** DPO / יועץ חיצוני / צוות עם עצמאות מהפרויקט
- **התייעצות עם הרשות:** אם סיכון נותר עדיין גבוה

## מהו DPIA

**DPIA** (Data Protection Impact Assessment) הוא תהליך מובנה להערכת השפעת פרויקט / מערכת / עיבוד על פרטיות נושאי המידע. הוא מאתר סיכונים מראש, מציע אמצעי מיתון, ומתעד את ההחלטות. **PIA** (Privacy Impact Assessment) הוא מונח מקביל וותיק יותר — בפועל אותו דבר.

## מתי חובה

תיקון 13 מחייב DPIA במצבים של עיבוד "בעל סיכון גבוה לפרטיות". זה כולל: עיבוד מידע רגיש בהיקף נרחב; ניטור שיטתי של מרחב ציבורי; החלטות אוטומטיות בעלות משמעות לאדם (כולל AI); שיתוף מידע עם צד שלישי בקנה מידה; טכנולוגיות חדשות. גילוי דעת של הרשות מ-2026 הרחיב את החובה למערכות AI ולעיבוד מידע חוצה גבולות.

## הקשר ל-GDPR

GDPR Article 35 מטיל חובה דומה, עם רשימה ספציפית של ה-EDPB. ברוב המקרים, פרויקט שדורש DPIA לפי תיקון 13 דורש גם לפי GDPR — ואותו תסקיר משרת שני המקרים. בשני המסגרות, התסקיר נדרש _לפני_ תחילת העיבוד.

## השלבים — מה עושים בפועל

ששה שלבים: (1) **הגדרת היקף** — איזה פרויקט, איזה מאגר, מי המשתמשים; (2) **מיפוי תזרים מידע** — מאיפה, לאן, ל-vendor איזה, חוצה גבולות?; (3) **זיהוי סיכונים** — מה יכול להשתבש, ובאיזו הסתברות וחומרה; (4) **אמצעי מיתון** — Pseudonymization, Minimization, Encryption, Access Control, מועדי שמירה קצרים; (5) **סיכון נותר** — אחרי הכל, האם הסיכון מתקבל? אם לא — התייעצות עם הרשות; (6) **תיעוד והחלטה** — דוח רשמי, חתימה, וגם תאריך עדכון.

## מה כולל הדוח

דוח DPIA טוב הוא 20-40 עמודים, ומכיל: תיאור המערכת והעיבוד; מטרה ובסיס משפטי; דיאגרמת תזרים מידע; מטריצת סיכונים; אמצעי מיתון לכל סיכון; הערכת סיכון נותר; החלטה (להמשיך, לשנות, להתייעץ); תיעוד הסכמת בעלי תפקידים; ותאריך עדכון.

## התייעצות עם הרשות

כאשר הסיכון הנותר אחרי mitigations עדיין גבוה — תיקון 13 מחייב התייעצות עם הרשות להגנת הפרטיות לפני שמתחילים בעיבוד. הפנייה מנוסחת על ידי ה-DPO, כוללת את כל המסמכים, ומוגשת דרך מערכת מקוונת. הרשות מגיבה תוך 8-12 שבועות, ולעיתים מבקשת הבהרות נוספות.

## DPIA למערכות AI

מערכות AI דורשות DPIA מורחב. מעבר לסוגיות הרגילות יש שכבת שאלות: (א) Explainability — האם המערכת מסוגלת להסביר החלטות?; (ב) Bias — האם המודל מאומן על נתונים מייצגים?; (ג) Human in the loop — האם כל החלטה עוברת ביקורת אדם?; (ד) מעבר נתונים למודלי בסיס (OpenAI, Claude, Gemini) — איפה מעובד המידע, האם משמש לאימון; (ה) תקופת שמירת prompts.

## DPIA לניטור (מצלמות, מיקום)

מערכות מצלמות במרחב הציבורי, ניטור עובדים, אפליקציות מיקום, ניתוח התנהגות בחנות — דורשות DPIA. השאלות: מי הנושאי המידע? יש שילוט? מטרה מידתית? תקופת שמירה? גישה מבוקרת? פעולות אוטומטיות (זיהוי פנים, זיהוי לוחיות רכב)? כל "כן" מעלה את רמת הסיכון.

## מי מבצע — DPO, יועץ חיצוני, או צוות פנימי

בארגון עם DPO פנימי — הוא מוביל. בארגון בלי DPO פנימי — יועץ חיצוני (כמונו). בארגון קטן — לעיתים מבוצע על ידי "צוות פרטיות" שכולל מנהל פרויקט, IT, ועו"ד. הקריטריון: _עצמאות מי שמבצע מהפרויקט הספציפי_. בעל הפרויקט לא יכול להיות הבוחן.

## שאלות נפוצות על DPIA

### DPIA זה רק לארגונים גדולים?

לא. גם סטארטאפ עם 20 עובדים שמשיק מוצר AI חדש — חייב DPIA. הקריטריון הוא **סוג העיבוד**, לא גודל הארגון. ארגון עם 10,000 עובדים שמחזיק רק תיק עובד פשוט — לא חייב DPIA. ארגון עם 30 עובדים שמשיק מוצר ניטור עובדים — כן חייב.

### כמה עולה DPIA?

תסקיר ממוקד לפרויקט בודד — 6,000-15,000 ₪. תסקיר רחב למערכת ארגונית מרכזית או AI גדול — 15,000-35,000 ₪. ב-[DPO as a Service](/services/dpo) חלק מה-DPIAs כלולים בריטיינר (תלוי בחבילה).

### כמה זמן לוקח?

תסקיר ממוקד — 3-5 שבועות. תסקיר מורכב — 8-12 שבועות. אם נדרשת התייעצות עם הרשות — להוסיף 8-12 שבועות נוספים.

### מה אם לא בצענו DPIA והרשות גילתה?

הרשות עלולה לדרוש ביצוע DPIA רטרואקטיבי + הפסקת העיבוד עד לסיום + עיצום כספי. במקרים חמורים — לעיתים גם תביעות ממה שניזוקו. עדיף DPIA מאוחר מאשר חסר.

### יש לכם תבנית?

יש לנו תבנית פנימית של 25 עמודים, בעברית ובאנגלית, מותאמת לתיקון 13 ול-GDPR. בכל לקוח מתאימים — אבל לא מתחילים מ-blank page. אם אתם מעוניינים בתבנית בלבד (בלי ביצוע) — אפשר לקנות אותה כמוצר נפרד.

### מה ההבדל בין DPIA ל-Risk Assessment?

DPIA מתמקד ב**סיכוני פרטיות לנושאי מידע** — האם הזכויות שלהם נפגעות? Risk Assessment מתמקד ב**סיכונים עסקיים לארגון** — האם הארגון יכול להפסיד? שני סוגי הערכה משלימים. ה-DPIA תופס את ה"מבחוץ פנימה" (פגיעה באנשים), Risk Assessment תופס "מבפנים החוצה" (פגיעה בארגון).

## יש פרויקט שצריך DPIA?

שיחה של 30 דקות, הצעת מחיר תוך 48 שעות, kick-off תוך שבועיים.

[פרטים על שירות DPIA](/services/dpia)