# ספקי גופים ציבוריים | DPO לספקי SaaS, IT ו-Outsourcing למשרדי ממשלה ועיריות

> שירותי DPO לספקי גופים ציבוריים בישראל: חברות SaaS, IT, outsourcing, ומוקדי שירות שמספקים לקופות חולים, רשויות מקומיות, משרדי ממשלה, אוניברסיטאות וגופים ציבוריים אחרים. אתם "מחזיקי מידע" לפי תיקון 13 — וחייבים DPO גם אם הארגון שלכם פרטי. ליווי בעמידה בדרישות הרכש של הגופים הציבוריים.

**Canonical:** https://dpoisrael.com/sectors/public-vendors/  
**Locale:** he-IL

---
גופים ציבוריים.

חברות **SaaS, IT, outsourcing** ומוקדי שירות שמספקים לקופות חולים, רשויות מקומיות, משרדי ממשלה, אוניברסיטאות ותאגידים עירוניים — אתם **"מחזיקי מידע"** לפי **תיקון 13**. החובה היא שלכם, גם אם הארגון פרטי. ליווי DPO as a Service שמותאם לדרישות הרכש של הגופים הציבוריים, מענה לשאלוני פרטיות, חתימת DPA, ועמידה בביקורות.

## ספק גוף ציבורי — מה לדעת

- **מעמד:** מחזיק מידע — חייב DPO לפי תיקון 13
- **דרישות רכש:** DPA, מפרט אבטחה, ביטוח, הצהרות
- **דיווח אירוע:** לעיתים תוך 24 שעות לגוף הציבורי
- **ביטוח טיפוסי:** 1-5 מיליון ₪ אחריות מקצועית + סייבר
- **ניקוי משתמשים:** אחת ל-4 חודשים בחלק מהמכרזים
- **ריטיינר טיפוסי:** 5,500-16,000 ₪ לחודש לפי גודל
- **אופציה ל-GRC:** ספקים גדולים מועברים לחבילה משולבת
- **תוקף סטטוס:** תקף כל עוד יש לקוח ציבורי פעיל

## שמונה סוגי ספקים שצריכים DPO

### ספק SaaS לרשות מקומית

מערכת ניהול תושבים, מערכת גבייה, מערכת תכנון ובנייה. גישה לטבלאות עם מאות אלפי תושבים — מחזיק מובהק.

### Outsourcing IT למשרד ממשלה

תפעול שרתים, ניהול גישה, ניטור. גם אם לא רואים תוכן ישירות — עדיין נחשבים מחזיקים תחת תיקון 13.

### מוקד שירות חיצוני לעירייה

מענה לפניות תושבים, חיובי ארנונה, פניות לרווחה. מאזינים לשיחות, רואים מאגרים — מחזיקים.

### ספק תוכנה לקופות חולים

מערכת תיקים רפואיים, מערכות מעבדה, מערכות גבייה. מידע רגיש מיוחד = רמת אבטחה גבוהה.

### יועצי מס שעובדים עם גופים ציבוריים

ייעוץ מס למוסדות אקדמיים, מלכ"רים גדולים שמקבלים מימון ממשלתי, תאגידים עירוניים.

### ספקים של מערכות לנגישות

ספקי תוכנה / חומרה שמשתלבים במערכות ציבוריות, במיוחד עם מידע על אנשים עם מוגבלויות.

### חברות סקרים ומחקר

חברות שמבצעות סקרים עבור משרדי ממשלה, מבקר המדינה, או מועצות. מאגרי משיבים = מחזיקים.

### ספקי לוגיסטיקה לבריאות

חברות שמשנעות תרופות, ציוד רפואי, או דגימות. רואים נתוני מטופלים בתעודות משלוח.

## 8 דרישות לעמידה בדרישות גוף ציבורי

01

### מינוי DPO רשמי

דרישה ישירה של תיקון 13. הרבה ספקים פספסו שהם נחשבים מחזיקים — וזה בדיוק מה שגופי הרכש בודקים היום.

02

### נספח עיבוד מידע (DPA)

גופי רכש דורשים מספקים לחתום על DPA לפני התקשרות. אנחנו כותבים DPA שעומד בדרישות הציבוריות, אבל לא חונק את העסק.

03

### תיעוד הסכמי אבטחה

מפרט אבטחת מידע של הספק, רמת ההגנה, הסמכות, ההסתכלות בבקרות.

04

### הצהרת ניגוד עניינים

הצהרה שאין ניגוד עניינים בין הספק לגוף הציבורי או לעובדי גוף הציבורי.

05

### ביטוח אחריות מקצועית + סייבר

מכרזי גופים ציבוריים בדרך כלל דורשים פוליסה בגובה של 1-5 מיליון ₪. אנחנו עוזרים גם בבחירת הפוליסה.

06

### דיווח על אירועי אבטחת מידע

חובת דיווח לגוף הציבורי על כל אירוע — לעיתים תוך 24 שעות, מהיר יותר מהדרישות הסטנדרטיות.

07

### ניקוי משתמשים לא פעילים

דרישה ספציפית שראינו בכמה מכרזים: ניקוי משתמשים לא פעילים אחת ל-4 חודשים, עם תיעוד.

08

### גיבויים והעברת מידע בסיום החוזה

נוהל מסודר להחזרת מידע / מחיקה בסיום ההתקשרות. תיעוד שהמחיקה בוצעה.

## 7 המסמכים שכל ספק חייב להחזיק

| מסמך | פרטים |
| --- | --- |
| הסכם עיבוד מידע (DPA) | נספח לחוזה ראשי, עברית או עברית-אנגלית |
| מסמך הגדרות מאגר | תיעוד כל מאגר מידע של הגוף הציבורי שאנחנו מחזיקים |
| מפרט אבטחת מידע | תיאור הבקרות הטכניות והארגוניות |
| הצהרת ניגוד עניינים | חתום על ידי בעל הספק והמנהלים הרלוונטיים |
| אישור פוליסת ביטוח | תקף, עם סכומי כיסוי מתאימים |
| נוהל אירוע אבטחת מידע | תיעוד תהליך הדיווח לגוף הציבורי |
| נוהל סיום התקשרות | מחיקה / החזרת מידע, ותיעוד הביצוע |

## שאלות נפוצות מספקי גופים ציבוריים

### מתי ספק נחשב "מחזיק" לפי תיקון 13?

כשהוא מעבד מידע אישי **עבור** בעל המאגר (במקרה הזה, גוף ציבורי). זה כולל גם מצב שבו הספק לא רואה את התוכן (למשל, מנהל DBA במערכת מוצפנת) — אם יש לו גישה טכנית למידע, הוא מחזיק.

### אנחנו רק ספק תשתית — לא נוגעים בנתונים

גם אז — אם המידע **יכול** להיות נגיש לכם, אתם מחזיקים. רמת ההגנה דורשת תלוי בסוג ההחזקה, אבל החובה הבסיסית של DPO נשמרת.

### מספיק שיש לנו CISO ועו"ד פנימי?

לא. תיקון 13 דורש **תפקיד DPO נפרד** עם עצמאות, סמכות, וידע פרטיותי ספציפי. גם בארגון עם CISO מצוין ועו"ד יוצא דופן — שניהם לא ממלאים את חובת ה-DPO.

### איך גופי רכש בודקים אותנו?

בכל מכרז ובכל חידוש חוזה: שאלון פרטיות (30-100 שאלות), בקשת מסמכי תנאי סף, בדיקת DPA, ובמכרזים גדולים — ראיון עם ה-DPO שלכם. אנחנו עוזרים לעמוד בכל השלבים.

### מה אם החוזה הקיים שלנו לא כולל DPA?

מומלץ **לפנות לגוף הציבורי** ולחתום על נספח DPA רטרואקטיבית. הרבה מהחוזים שראינו לא כללו DPA, וזה לאו דווקא ביטול חוזה — אבל זה סיכון משפטי שצריך לסגור.

### אנחנו עובדים עם הרבה גופים ציבוריים — צריך DPA לכל אחד?

יש שתי גישות: (א) DPA סטנדרטי שלכם שאתם דורשים מכל גוף לחתום עליו; (ב) DPA מותאם לכל גוף. הראשון יותר יעיל אבל פחות גמיש. בדרך כלל אנחנו מציעים DPA סטנדרטי + נספח ספציפי לכל לקוח.

### יש לכם ניסיון במגזר?

כן. אנחנו עובדים עם חברות SaaS, IT, ו-outsourcing שמשרתים רשויות, קופות חולים, ומשרדי ממשלה. גם [ליווי מכרזים ציבוריים](/services/public-tenders) וגם [בקרת ספקים](/services/vendor-privacy) רלוונטיים למצב שלכם.

### כמה זה עולה?

ספק קטן (1-5 לקוחות ציבוריים) — 5,500-9,500 ₪ לחודש. ספק בינוני (5-20 לקוחות ציבוריים) — 10,000-16,000 ₪ לחודש. ספק גדול — חבילת GRC במקום DPO סטנדרטי.

## ספקים של רשויות / קופות / משרדי ממשלה — נסגור את הפינה.

שיחה של 30 דקות, בדיקת סטטוס, תוכנית התאמה לחוזים הקיימים.

[לתאם שיחה](/contact)