מי חייב למנות ממונה הגנת פרטיות (DPO)?

מעודכן: מאי 2026

לפי תיקון 13 לחוק הגנת הפרטיות, חובת מינוי ממונה הגנת פרטיות (DPO) חלה על חמש קטגוריות של ארגונים: גופים ציבוריים, מחזיקים במידע עבור גופים ציבוריים, סוחרי מידע, גופים שמבצעים ניטור שיטתי בהיקף נרחב, וגופים שמעבדים מידע רגיש בהיקף נרחב. אם אתם נופלים תחת אחת מהן — חייבים. אם לא — מומלץ. הנה הפירוט המלא, עם דוגמאות, חריגים ומחשבון.

01

גופים ציבוריים

דוגמאות

משרדי ממשלהרשויות מקומיותמועצות אזוריות ומקומיותתאגידים עירונייםקופות חוליםבתי חולים ציבורייםרשות המסיםביטוח לאומי

שים לב: הרשימה המלאה ב"תוספת" לחוק. גוף ציבורי חייב ב-DPO ללא קשר לגודלו.

02

מחזיקים במידע עבור גופים ציבוריים

דוגמאות

חברות SaaS שמשרתות רשויותחברות outsourcing למשרדי ממשלהספקי תוכנה לקופות חוליםמוקדי שירות חיצוניים לעיריותיועצי מס שעובדים מול גופים ציבוריים

שים לב: גם אם החברה עצמה פרטית - מהרגע שהיא מעבדת מידע של גוף ציבורי, היא נכנסת.

03

סוחרי מידע

דוגמאות

חברות data brokersמערכות דיוור ישיר שמוכרות רשימותאיגום נתונים שיווקי שמוכר ללקוחות מסחרייםפלטפורמות פרסום מבוסס נתונים

שים לב: התנאי: עיסוק עיקרי בסחר במידע + מעל 10,000 רשומות.

04

גופים המבצעים ניטור שיטתי בהיקף נרחב

דוגמאות

פלטפורמות פרסום ופרופיילינגאפליקציות תחבורה ומיקוםחברות חכמות-IoTמערכות ניטור עובדים בהיקףמערכות מצלמות בעריםAI לקבלת החלטות אוטומטית על אנשים

שים לב: המבחן: שיטתיות + היקף נרחב. ניטור נקודתי לא נכנס.

05

גופים המעבדים מידע רגיש בהיקף נרחב

דוגמאות

בנקים וחברות אשראיחברות ביטוחמערכי בריאות פרטיים גדולים (רשתות מרפאות, מעבדות)מוסדות חינוך גדוליםמערכות HR בארגונים גדוליםפלטפורמות פיננסיות (פינטק)

שים לב: "מידע רגיש מיוחד": בריאות, נפש, גנטיקה, ביומטריה, אמונה, נטייה מינית, עבר פלילי, נתוני שכר. ההיקף - לרוב מאות אלפי רשומות ומעלה, אבל יש שיקול דעת.

לא בטוחים? יש מחשבון.

5 שאלות, פחות מ-3 דקות, ותדעו אם אתם חייבים DPO. בלי להשאיר אימייל.

להפעיל את המחשבון

שאלות נפוצות

אם החברה שלי לא נופלת באף קטגוריה - חייבת בכלל לעשות משהו?

כן! כל ארגון שמעבד מידע אישי חייב לעמוד בעקרונות החוק (צמידות מטרה, מינימליזציה, אבטחת מידע, זכויות נושא מידע). פטור מ-DPO לא אומר פטור מהחוק. מעבר לכך, גם ארגונים שלא חייבים יכולים למנות DPO כיוזמה - כעיקרון "אחריותיות" (Accountability).

איך מודדים "בהיקף נרחב"?

הרשות בוחנת: מספר נושאי מידע, היקף הנתונים, סוג המידע ורגישותו, משך השמירה, היקף גיאוגרפי, ותדירות העיבוד. אין מספר קסם, יש שיקול דעת.

האם עורך דין יכול להיות DPO?

כן, אם יש לו הכשרה מתאימה ואין ניגוד עניינים עם תפקידיו האחרים. הרשות מבהירה: עורך דין שייעץ לארגון בפעולה ספציפית לא יכול להיות גם הממונה שמפקח על אותה פעולה.

האם המנמ״ר/CISO יכול להיות גם DPO?

בדרך כלל לא. CISO מקבל החלטות טכניות שעליהן ה-DPO אמור לפקח - ניגוד עניינים מובנה. הרשות הביעה דעה ברורה נגד שילוב התפקידים בארגון בינוני ומעלה.

האם אפשר להחליף DPO באמצע השנה?

כן. אין מגבלת תקופה. החלפה תקין, צריך רק לעדכן את הרשמיים הפנימיים והרשות אם נדרש דיווח.