DPO DPO Israel
פתח כ-Markdown

DPIA
תסקיר השפעה על פרטיות.

תסקיר השפעה על פרטיות (Data Protection Impact Assessment) לפרויקטים חדשים, מערכות AI, עיבוד מידע רגיש, שיתוף מידע חוץ-ארגוני וניטור שיטתי. מתודולוגיה לפי תיקון 13, גילויי דעת הרשות, ו-GDPR Article 35. תוצר: דוח DPIA כתוב, מטריצת סיכונים, אמצעי מיתון מתועדפים, והחלטה האם נדרשת התייעצות עם הרשות.

מתי צריך

שש סיטואציות שמחייבות DPIA

AI להחלטות אוטומטיות

מערכת שמקבלת החלטות על אנשים: סינון מועמדים, אישור אשראי, הערכת סיכון, פרופיילינג. גם בארגון בינוני זה DPIA חובה.

עיבוד מידע רגיש בהיקף נרחב

מידע רפואי, מידע על קטינים, סקרים אישיים, נתוני מיקום, סקסואליות, דת. תיקון 13 וגילוי הדעת מ-2026 מחייבים.

ניטור שיטתי של מרחב ציבורי

מצלמות בעיר, סנסורים, ניתוח התנהגות לקוחות בחנות, מעקב עובדים. נוגע ב-Privacy by Design.

שיתוף מידע עם צד שלישי

העברת מאגר ל-vendor חדש, אינטגרציה עם מערכת חיצונית, share של רישומי לקוחות לשותף עסקי, Cross-border transfer.

מערכת חדשה ש"נוגעת" בעובדים

מערכת ניטור פרודוקטיביות, מערכת בריאות לעובדים, מערכת שכר חדשה, מערכת אבטחה ביומטרית.

מיזוג, רכישה, אקזיט

בעת העברת מאגרי מידע בין ישויות — DPIA הוא הכלי שמאתר סיכוני פרטיות שלא נשקלו בעסקה.

תהליך

שישה שלבים מ-kick-off לדוח

01

הגדרת היקף

פגישת kick-off של 90 דקות עם מנהל הפרויקט, IT, ועו"ד. מהי המערכת? מה הזרימה? מי המשתמשים? מה הסיכון העסקי?

02

מיפוי מידע ועיבודים

איזה מידע נאסף? למה? מאיפה? לאן הוא הולך? בסיס משפטי? מועדי שמירה? נושאי מידע? צד שלישי?

03

מטריצת סיכונים

לכל זרימת מידע — מה יכול להשתבש? בהסתברות גבוהה / נמוכה? בחומרה חמורה / קלה? התוצאה: מטריצה ויזואלית.

04

אמצעי מיתון (Mitigations)

לכל סיכון — אילו controls יכולים להפחית? Privacy by Design (Pseudonymization, Minimization, אחסון מקומי, גישה לפי תפקיד).

05

התייעצות עם הרשות

אם הסיכון הנותר עדיין גבוה — נדרשת התייעצות עם הרשות להגנת הפרטיות לפי תיקון 13. אנחנו מנהלים את התהליך.

06

דוח DPIA סופי

מסמך כתוב (20-40 עמ׳), מטריצות, החלטות, מאמני מיתון, ותאריך עדכון. נחתם על ידי בעל המאגר ו-DPO.

מקרה מיוחד

DPIA לפרויקטי AI — מה שונה

מערכות AI דורשות DPIA מורחב. מעבר לסיכוני פרטיות הקלאסיים, יש שכבת סיכון של הסבר, הטיה, מינימיזציה, ומעבר נתונים למודלי בסיס. גילוי דעת של הרשות מ-2026 הציב סטנדרט גבוה מאוד למערכות AI.

גורם הסבר (Explainability)

איך המערכת מקבלת החלטות? האם נושא המידע יכול לבקש הסבר? יש זכות לערעור?

הטיה (Bias)

האם המודל מאומן על נתונים מייצגים? האם תוצאות לא הוגנות לקבוצות מסוימות? איך מודדים?

מינימיזציה במודלים

האם נדרש כל המידע שמוזן למודל? האם אפשר להשתמש בנתונים סינתטיים או pseudonymized?

מעבר נתונים למודלי בסיס

OpenAI, Claude, Gemini, אחרים — איפה הנתונים מעובדים? יש Data Processing Addendum? האם המידע משמש לאימון?

Human in the loop

האם כל החלטה אוטומטית עוברת ביקורת אדם? אם לא — נדרש בסיס חוקי מיוחד תחת תיקון 13.

תקופת שמירת prompts ולוגים

הפרומפטים מכילים מידע אישי — איך הם נשמרים? למשך כמה זמן? מי גישה?

שאלות נפוצות על DPIA

מתי חובה לעשות DPIA?
בישראל אחרי תיקון 13: בעיבוד מידע רגיש בהיקף נרחב, ניטור שיטתי של מרחב ציבורי, או החלטות אוטומטיות בעלות משמעות לנושאי מידע (כולל מערכות AI). גילוי דעת של הרשות מ-2026 הרחיב את החובה לפרויקטי AI. ב-GDPR — לפי Article 35 והרשימה של ה-EDPB.

כמה זמן לוקח DPIA?
תסקיר ממוקד לפרויקט בודד — 3-5 שבועות מ-kick-off לדוח סופי. תסקיר רחב (פלטפורמת AI, מערכת ארגונית מרכזית) — 8-12 שבועות.

מה ההבדל בין DPIA ל-PIA?
בעיקרון אותו דבר. DPIA הוא המונח של GDPR, PIA (Privacy Impact Assessment) הוא המונח הוותיק יותר. בישראל משתמשים בשניהם, אבל ההמלצה לעבוד עם תבנית DPIA כי היא מתאימה גם לחובות עתידיות של פרטיות חוצת-גבולות.

יש לכם תבנית מוכנה?
יש לנו תבנית פנימית של 25 עמודים, בעברית ובאנגלית, מותאמת לתיקון 13 ול-GDPR. בכל לקוח אנחנו מתאימים אותה — אבל לא מתחילים מ-blank page.

מה אם הרשות תדרוש התייעצות?
אם הסיכון הנותר אחרי mitigations עדיין גבוה — תיקון 13 מחייב התייעצות עם הרשות לפני שמתחילים בעיבוד. אנחנו מכינים את הפנייה, מנסחים את החומר, ומלווים את ההידברות. הרשות בדרך כלל מגיבה תוך 8-12 שבועות.

כמה זה עולה?
DPIA פרויקטלי — 6,000-15,000 ₪ לתסקיר. DPIA מורכב למערכת ארגונית או AI גדול — 15,000-35,000 ₪. במסגרת ריטיינר DPO as a Service, חלק מה-DPIAs כלולים בריטיינר (תלוי בחבילה).

מה אם הפרויקט כבר הושק?
DPIA רטרואקטיבי תקף, אבל פחות יעיל. הכלי נועד לאתר סיכונים לפני שמתחילים — כשאפשר עוד לתקן ארכיטקטורה. אם הפרויקט כבר רץ ויש סיכונים — נבצע DPIA + תוכנית remediation.

יש לכם פרויקט שצריך DPIA?

שיחה של 30 דקות, הצעת מחיר תוך 48 שעות, kick-off תוך שבועיים.

לדבר על פרויקט