# מיפוי מאגרי מידע | RoPA, מסמך הגדרות מאגר, ותיעוד עיבודי מידע לתיקון 13

> מיפוי מאגרי מידע מקצועי לארגונים בישראל: איתור כל המאגרים, תיעוד שדות ומערכות, מסמך הגדרות מאגר לפי תקנות 2017, טבלת RoPA לפי GDPR Article 30, סיווג רגישות ורישוי ספקים. בסיס לכל פרויקט פרטיות, ולכל סקר פערים.

**Canonical:** https://dpoisrael.com/services/data-mapping/  
**Locale:** he-IL

---
הבסיס לכל השאר.

**מיפוי מאגרי מידע** מקצועי: איתור כל המאגרים בארגון, תיעוד שדות ומערכות, **מסמך הגדרות מאגר** לפי תקנות אבטחת מידע 2017, טבלת **RoPA** לפי GDPR Article 30, סיווג רגישות, ורישוי ספקים. בלי מיפוי — אין סקר פערים אמיתי, אין רישום ברשות, אין מענה לבקשת עיון, ואין מסגרת לאבטחת מידע. עם מיפוי טוב — הכל אפשרי.

## מיפוי מאגרים — מה מקבלים

- **משך:** 3-14 שבועות לפי גודל
- **מטרה:** תיעוד מלא של כל מאגרי המידע בארגון
- **דליברבל מרכזי:** טבלת RoPA + מסמך הגדרות מאגר לכל מאגר
- **תקן:** תקנות אבטחת מידע 2017 + GDPR Art. 30
- **תוצרים נוספים:** דיאגרמת תזרים, מטריצת ספקים, מטריצת זכויות נושאי מידע
- **דורש מהארגון:** איש קשר אחד בכל מחלקה — אנחנו עושים את העבודה
- **משלב ל-:** סקר פערים, DPO as a Service, רישום ברשות, DPIA
- **תוקף:** תקף עד שינוי משמעותי — בדרך כלל שנתיים

## שישה שלבים, מאגר אחד — או מאתיים

01

### Discovery

ראיונות עם כל מחלקה. איסוף רשימת מערכות, ספקים, טפסים, אקסלים. גילוי "מאגרי הצללים" (Shadow IT, Excel ב-OneDrive).

02

### תיעוד RoPA

טבלת Records of Processing Activities לפי GDPR Article 30 — מטרת עיבוד, בסיס משפטי, סוגי מידע, נושאי מידע, נמענים, מועדי שמירה, אבטחה.

03

### מסמך הגדרות מאגר

לכל מאגר רלוונטי — מסמך לפי תקנות אבטחת מידע 2017. כולל: בעל המאגר, אחראי האבטחה, רמת אבטחה (בסיסית/בינונית/גבוהה), הרשאות.

04

### סיווג רגישות

מידע בסיסי, מידע רגיש (סעיף 7), מידע רפואי, מידע על קטינים. כל סיווג גורר רמת אבטחה מתאימה.

05

### מיפוי תזרים מידע

מי מקבל את המידע? לאן הוא זורם? אילו ספקים נוגעים בו? יש Cross-border transfer? כל זה בדיאגרמת זרימה.

06

### אינטגרציה לרישום מאגרים

אם נדרש רישום ברישום מאגרים של הרשות — אנחנו מבצעים את הרישום, כולל אגרת רישום (על חשבון הארגון).

## מה נשאר אצלכם בסוף

### טבלת RoPA

Excel/Sheets עם 12-15 עמודות לכל מאגר. הסטנדרט שעובד גם לתיקון 13 וגם ל-GDPR.

### מסמך הגדרות מאגר

מסמך נפרד לכל מאגר רלוונטי, לפי תקנות אבטחת מידע 2017. נדרש לבעל המאגר ולממונה אבטחת מידע.

### דיאגרמת תזרים מידע

מי מקבל מה, ממי, בכמה זמן. ויזואלית — שגם הנהלה לא טכנית מבינה.

### מטריצת ספקים

כל ספק והמאגרים שהוא נוגע בהם. בסיס ל[בקרת ספקים](/services/vendor-privacy).

### מטריצת זכויות נושאי מידע

איפה לחפש מידע על נושא מידע כשמגיעה בקשת עיון/תיקון/מחיקה. חוסכת שעות בכל פנייה.

### רשימת חוסרים

מאגרים שגילינו שאין עליהם מסמך, או שדה חשוב שלא נשמר. נכנסת לסקר פערים.

## המאגרים הטיפוסיים שאנחנו מגלים

כל ארגון חושב שיש לו 3-5 מאגרים. בפועל יש 25-100. כאן עשר קטגוריות חוזרות — ובכל אחת מגלים בדרך כלל מאגר אחד שהארגון לא ידע שיש לו.

| קטגוריה | דוגמאות |
| --- | --- |
| HR ושכר | תיק עובד, שכר, היעדרויות, הערכות, תיקי מועמדים, סקרי שביעות רצון |
| לקוחות ושיווק | CRM, מערכות דיוור, leads, פניות שירות לקוחות, התנהגות באתר (Cookies/GA) |
| פיננסי וחשבונאות | הנהלת חשבונות, חשבוניות, פרטי תשלום, נתוני אשראי, מאגר ספקים |
| מערכות תפעוליות | מערכת ליבה ענפית (POS, ERP, מערכת תיקים, מערכות SaaS עסקיות) |
| אבטחה ומעקב | מערכות גישה, מצלמות אבטחה, לוגים של מערכות מידע, מערכות ניטור עובדים |
| בריאות ורווחה | תיקים רפואיים, סיוע אישי, רישומי בריאות עובדים, ביטוחי בריאות |
| משפטיים וביטוח | תיקי תביעות, חוזים, ביטוחים, ייצוג משפטי, מסמכי אכיפה |
| גיבויים וארכיון | מאגרי גיבוי, ארכיון פיזי / דיגיטלי, מסמכים שמשמשים לארכיון רגולטורי |

## שאלות נפוצות על מיפוי מאגרי מידע

### כמה זמן לוקח מיפוי?

תלוי בגודל. ארגון קטן עם 5-10 מערכות — 3-4 שבועות. ארגון בינוני (20-50 מערכות) — 6-8 שבועות. ארגון גדול עם 100+ מערכות, או רשות מקומית — 10-14 שבועות.

### מה ההבדל בין מיפוי לסקר פערים?

מיפוי הוא **תיאור מה יש** — אילו מאגרים, אילו שדות, מי משתמש. [סקר פערים](/services/gap-analysis) הוא **בחינה מול דרישות החוק**. מיפוי הוא הבסיס שעליו עומד הסקר. אי אפשר לעשות סקר פערים אמיתי בלי מיפוי.

### מה אם יש לנו כבר רישום מאגרים ברשות?

מצוין — זה אינדיקציה שיש מודעות. אבל בדרך כלל הרישום מוגבל (3-5 מאגרים) ולא משקף את כל הארגון. אנחנו ננפק מיפוי מלא יותר, ונעדכן את הרישום ברשות אם נדרש (גם אם זה אומר להוסיף מאגרים שלא היו רשומים).

### האם המיפוי כולל ניתוח שדות פרטניים?

כן. לכל מאגר אנחנו מתעדים את השדות הרגישים ביותר — תעודות זהות, מספרי כרטיסי אשראי, מידע רפואי, מידע על קטינים. השדות האלה משפיעים על רמת האבטחה הנדרשת ועל קביעת ה-DPO אם נדרשת.

### מי אצלנו צריך לעבוד עם המיפוי?

בכל מחלקה אדם אחד — מנהל/ת, מזכיר/ה, או "מי שיודע הכי הרבה על המערכות". אנחנו מובילים, מראיינים, ומתעדים. לא מצפים מהארגון לכתוב את ה-RoPA — זו עבודתנו.

### מתי כדאי לעשות מיפוי?

אם אין לכם מסמך הגדרות מאגר מעודכן — עכשיו. אם יש מסמך מ-2019 או לפני — עכשיו (תיקון 13 שינה דברים). אם הארגון עבר שינוי מבני, רכישה, או מערכת חדשה ב-12 החודשים האחרונים — עכשיו.

### יש קישור למסמכי הגנת פרטיות מהרשות?

הרשות פרסמה תבנית מסמך הגדרות מאגר, וטופס רישום מאגר. אנחנו עובדים עם התבניות האלה, אבל מרחיבים אותן לפי המבנה הספציפי של הארגון. ב-[מדריך מסמך הגדרות מאגר](/learn/database-definition-document) יש פירוט.

## מוכנים לדעת מה באמת יש לכם?

מיפוי מקצועי, מתועד, ושלכם להישאר. שיחת היכרות של 30 דקות.

[לקבוע שיחה](/contact)