DPO DPO Israel
פתח כ-Markdown

איך נראה תהליך העבודה של DPO במיקור חוץ

פורסם: 31 במאי 2026

רוב הארגונים שפונים אלינו שואלים את אותה שאלה ראשונה: “מאיפה מתחילים?”. הכתבה הזו מפרקת את תהליך העבודה הטיפוסי של ממונה הגנת פרטיות במיקור חוץ, משלב ההיכרות ועד הניהול השוטף, כדי שתדעו בדיוק למה לצפות, כמה זמן כל שלב לוקח, ומה אתם מקבלים בכל נקודה.

התהליך נבנה כדי לעמוד בדרישות תיקון 13 לחוק הגנת הפרטיות ובתקנות אבטחת מידע, אבל גם כדי להיות פרקטי: בלי הצפה במסמכים, עם סדר עדיפויות ברור.

שלב 0: שיחת היכרות ואבחון ראשוני

הכול מתחיל בשיחה של 30 דקות, ללא עלות וללא התחייבות. המטרה שלה היא לא למכור, אלא להבין: גודל הארגון, סוגי המידע, המבנה, והחשיפה הרגולטורית. בסוף השיחה אתם יודעים אם אתם בכלל חייבים למנות DPO, ומה הצעד ההגיוני הבא.

אם אתם רוצים בדיקה עצמית עוד לפני השיחה, אפשר להתחיל במחשבון: האם הארגון חייב DPO.

תוצר: הערכת חשיפה ראשונית והמלצה. משך: 30 דקות.

שלב 1: מיפוי מאגרי מידע

לפני שאפשר להגן על מידע, צריך לדעת איזה מידע יש ואיפה הוא יושב. בשלב הזה אנחנו ממפים את כל מאגרי המידע בארגון: אילו שדות נאספים, באילו מערכות, למאיזו מטרה, מי ניגש אליהם, ולכמה זמן הם נשמרים.

התוצר הוא מסמך RoPA (Records of Processing Activities) לפי הגיון GDPR Article 30, ומסמכי הגדרות מאגר לפי תקנות אבטחת מידע. זה הבסיס לכל מה שבא אחריו.

תוצר: מפת מאגרים מלאה + RoPA. משך: שבועיים עד חודש.

שלב 2: סקר פערים מול תיקון 13

עכשיו, כשיש תמונה מלאה, בוחנים אותה מול הדרישות. סקר הפערים (Gap Analysis) משווה את המצב הקיים אל מול תיקון 13, תקנות אבטחת מידע, ובמקרים רלוונטיים גם GDPR. כל פער מקבל דירוג סיכון ועדיפות.

מערכות או מוצרים חדשים שמעבדים מידע רגיש עשויים לדרוש גם תסקיר השפעה על הפרטיות (DPIA) בנפרד.

תוצר: דוח פערים + תוכנית עבודה מתועדפת. משך: שבועיים עד חודש.

שלב 3: מינוי רשמי והודעה לרשות

כאן מתבצע המינוי הפורמלי של ה-DPO, כולל כתב מינוי, הצהרת ניגוד עניינים, ופרסום פנים-ארגוני של פרטי הקשר. במידת הצורך מתבצעת גם הודעה לרשות להגנת הפרטיות.

תוצר: כתב מינוי חתום + פרסום פרטי הקשר. משך: עד שבוע, במקביל לשלבים הקודמים.

שלב 4: כתיבת נהלים ומסמכים

על בסיס הפערים שזוהו, כותבים את שכבת המסמכים: נוהל אבטחת מידע, מדיניות פרטיות לאתר ולעובדים, נוהל מימוש זכויות נושאי מידע, נוהל תגובה לאירועים, ונספחי עיבוד מידע (DPA) לספקים.

חשוב: המסמכים נכתבים בהתאמה למבנה הספציפי של הארגון, לא כתבניות גנריות. לכל מגזר יש את הדגשים שלו, ואפשר לראות זאת בשירותי DPO לפי מגזר.

תוצר: ערכת נהלים ומסמכים מותאמת. משך: שבועיים עד חודש.

שלב 5: הדרכת עובדים והטמעה

נוהל שיושב במגירה לא שווה כלום. בשלב הזה מעבירים הדרכות לעובדים, מטמיעים את הנהלים בתהליכי העבודה, ומוודאים שבעלי התפקידים הרלוונטיים יודעים מה לעשות כשמגיעה פנייה של נושא מידע או כשמתרחש אירוע.

תוצר: הדרכה מתועדת + הטמעה בתהליכים. משך: מתמשך, מתחיל בחודש הראשון.

שלב 6: ניהול שוטף, בקרה ודיווח

זה הלב של שירות DPO as a Service. אחרי שהתשתית עומדת, התפקיד עובר לניהול שוטף: מענה לפניות נושאי מידע ולרשות, עדכון נהלים כשהרגולציה משתנה, ביקורות תקופתיות, והדרכות ריענון. אנחנו מפיקים דוח רבעוני ושנתי שמראה להנהלה איפה הארגון עומד.

תוצר: דוחות תקופתיים + מענה שוטף. משך: מתמשך לאורך ההתקשרות.

שלב 7: תגובה לאירועי אבטחת מידע

כשמתרחש אירוע (דליפה, פריצה, אובדן מכשיר), הזמן קריטי. תיקון 13 מחייב דיווח לרשות בתוך פרק זמן קצר. בשלב הזה ה-DPO מלווה בזמן אמת: הערכת האירוע, החלטה על חובת דיווח, ניהול התקשורת, ותחקיר מסכם (post-mortem) כדי שזה לא יחזור.

תוצר: ניהול אירוע + תיעוד ודיווח. משך: לפי הצורך, זמינות מהירה.

כמה זמן זה לוקח בסך הכול?

עבור ארגון בינוני טיפוסי, מהשיחה הראשונה ועד תשתית עומדת חולפים בדרך כלל בין חודש לשלושה חודשים. המינוי הרשמי וההגנה הבסיסית קמים תוך 30 יום, והעבודה המעמיקה (מיפוי מלא, נהלים, הטמעה) מתפרסת על פני התקופה הזו. אחרי זה הכול עובר לניהול שוטף.

מה הארגון צריך לספק

כדי שהתהליך יזרום, אנחנו צריכים מהארגון:

  • איש קשר אחד שמכיר את הארגון ויכול לחבר אותנו לבעלי המידע ולמערכות.
  • גישה למידע על המערכות: אילו מערכות יש, מי הספקים, איזה מידע עובר.
  • זמינות של ההנהלה לנקודות החלטה (מדיניות, סדרי עדיפויות, תקציב).

זה כל מה שצריך. את המומחיות הרגולטורית והעבודה הכבדה אנחנו מביאים.

מוכנים להתחיל? קבעו שיחת היכרות ונבנה יחד את תוכנית העבודה לארגון שלכם.

שאלות נפוצות

כמה זמן לוקח תהליך מינוי DPO מלא?

מינוי רשמי והקמת תשתית בסיסית מתבצעים בדרך כלל תוך 30 יום. מיפוי מלא וסקר פערים מעמיק נמשכים בין חודש לשלושה חודשים, תלוי בגודל הארגון ובמספר המאגרים. אחרי זה התהליך עובר לניהול שוטף.

האם הארגון צריך עובד פנימי שילווה את התהליך?

כן, נדרש איש קשר אחד בארגון (לרוב מנהל מערכות מידע, יועץ משפטי או מנהל תפעול) שיודע לחבר אותנו לבעלי המידע ולמערכות. הוא לא צריך מומחיות בפרטיות, רק היכרות עם הארגון.

מה ההבדל בין סקר פערים למיפוי מאגרים?

מיפוי מאגרים עונה על השאלה איזה מידע יש לנו ואיפה. סקר פערים בוחן את המצב הקיים מול דרישות תיקון 13 ותקנות אבטחת מידע, ומפיק תוכנית עבודה מתועדפת לסגירת הפערים.

מה קורה אחרי שהתהליך הראשוני מסתיים?

התהליך עובר לניהול שוטף: מענה לפניות נושאי מידע ולרשות, עדכון נהלים, הדרכות תקופתיות, ביקורות, וליווי בכל אירוע אבטחת מידע. זה הלב של שירות DPO as a Service.