# DPIA — תסקיר השפעה על פרטיות | Data Protection Impact Assessment בישראל

> תסקיר השפעה על פרטיות (DPIA) לפרויקטים חדשים, מערכות AI, עיבוד מידע רגיש ושיתוף מידע חוץ-ארגוני. סדנה עם בעלי הפרויקט, מטריצת סיכונים והשלכות, אמצעי מיתון, תיעוד למסמך מסירה, התייעצות עם הרשות במידת הצורך. עבודה לפי GDPR Article 35 ולפי גילויי דעת הרשות להגנת הפרטיות בישראל.

**Canonical:** https://dpoisrael.com/services/dpia/  
**Locale:** he-IL

---
תסקיר השפעה על פרטיות.

**תסקיר השפעה על פרטיות** (Data Protection Impact Assessment) לפרויקטים חדשים, מערכות AI, עיבוד מידע רגיש, שיתוף מידע חוץ-ארגוני וניטור שיטתי. מתודולוגיה לפי **תיקון 13**, גילויי דעת הרשות, ו-**GDPR Article 35**. תוצר: דוח DPIA כתוב, מטריצת סיכונים, אמצעי מיתון מתועדפים, והחלטה האם נדרשת התייעצות עם הרשות.

## DPIA — איך זה עובד

- **משך:** 3-12 שבועות לפי היקף
- **טווח מחיר:** 6,000-35,000 ₪ לפי מורכבות
- **מתאים ל:** פרויקטי AI, מערכות ארגוניות, ניטור, שיתוף מידע
- **מתודולוגיה:** GDPR Art. 35 + תיקון 13 + גילויי דעת הרשות
- **תוצר:** דוח 20-40 עמ׳, מטריצות סיכון, אמצעי מיתון, החלטה על התייעצות
- **חתימה:** בעל המאגר + DPO + מנהל הפרויקט
- **תוקף:** תקף עד שינוי משמעותי בעיבוד
- **התייעצות עם הרשות:** אם נדרשת — אנחנו מנהלים את התהליך

## שש סיטואציות שמחייבות DPIA

### AI להחלטות אוטומטיות

מערכת שמקבלת החלטות על אנשים: סינון מועמדים, אישור אשראי, הערכת סיכון, פרופיילינג. גם בארגון בינוני זה DPIA חובה.

### עיבוד מידע רגיש בהיקף נרחב

מידע רפואי, מידע על קטינים, סקרים אישיים, נתוני מיקום, סקסואליות, דת. תיקון 13 וגילוי הדעת מ-2026 מחייבים.

### ניטור שיטתי של מרחב ציבורי

מצלמות בעיר, סנסורים, ניתוח התנהגות לקוחות בחנות, מעקב עובדים. נוגע ב-Privacy by Design.

### שיתוף מידע עם צד שלישי

העברת מאגר ל-vendor חדש, אינטגרציה עם מערכת חיצונית, share של רישומי לקוחות לשותף עסקי, Cross-border transfer.

### מערכת חדשה ש"נוגעת" בעובדים

מערכת ניטור פרודוקטיביות, מערכת בריאות לעובדים, מערכת שכר חדשה, מערכת אבטחה ביומטרית.

### מיזוג, רכישה, אקזיט

בעת העברת מאגרי מידע בין ישויות — DPIA הוא הכלי שמאתר סיכוני פרטיות שלא נשקלו בעסקה.

## שישה שלבים מ-kick-off לדוח

01

### הגדרת היקף

פגישת kick-off של 90 דקות עם מנהל הפרויקט, IT, ועו"ד. מהי המערכת? מה הזרימה? מי המשתמשים? מה הסיכון העסקי?

02

### מיפוי מידע ועיבודים

איזה מידע נאסף? למה? מאיפה? לאן הוא הולך? בסיס משפטי? מועדי שמירה? נושאי מידע? צד שלישי?

03

### מטריצת סיכונים

לכל זרימת מידע — מה יכול להשתבש? בהסתברות גבוהה / נמוכה? בחומרה חמורה / קלה? התוצאה: מטריצה ויזואלית.

04

### אמצעי מיתון (Mitigations)

לכל סיכון — אילו controls יכולים להפחית? Privacy by Design (Pseudonymization, Minimization, אחסון מקומי, גישה לפי תפקיד).

05

### התייעצות עם הרשות

אם הסיכון הנותר עדיין גבוה — נדרשת התייעצות עם הרשות להגנת הפרטיות לפי תיקון 13. אנחנו מנהלים את התהליך.

06

### דוח DPIA סופי

מסמך כתוב (20-40 עמ׳), מטריצות, החלטות, מאמני מיתון, ותאריך עדכון. נחתם על ידי בעל המאגר ו-DPO.

## DPIA לפרויקטי AI — מה שונה

מערכות AI דורשות DPIA מורחב. מעבר לסיכוני פרטיות הקלאסיים, יש שכבת סיכון של הסבר, הטיה, מינימיזציה, ומעבר נתונים למודלי בסיס. גילוי דעת של הרשות מ-2026 הציב סטנדרט גבוה מאוד למערכות AI.

### גורם הסבר (Explainability)

איך המערכת מקבלת החלטות? האם נושא המידע יכול לבקש הסבר? יש זכות לערעור?

### הטיה (Bias)

האם המודל מאומן על נתונים מייצגים? האם תוצאות לא הוגנות לקבוצות מסוימות? איך מודדים?

### מינימיזציה במודלים

האם נדרש כל המידע שמוזן למודל? האם אפשר להשתמש בנתונים סינתטיים או pseudonymized?

### מעבר נתונים למודלי בסיס

OpenAI, Claude, Gemini, אחרים — איפה הנתונים מעובדים? יש Data Processing Addendum? האם המידע משמש לאימון?

### Human in the loop

האם כל החלטה אוטומטית עוברת ביקורת אדם? אם לא — נדרש בסיס חוקי מיוחד תחת תיקון 13.

### תקופת שמירת prompts ולוגים

הפרומפטים מכילים מידע אישי — איך הם נשמרים? למשך כמה זמן? מי גישה?

## שאלות נפוצות על DPIA

### מתי חובה לעשות DPIA?

בישראל אחרי תיקון 13: בעיבוד מידע רגיש בהיקף נרחב, ניטור שיטתי של מרחב ציבורי, או החלטות אוטומטיות בעלות משמעות לנושאי מידע (כולל מערכות AI). גילוי דעת של הרשות מ-2026 הרחיב את החובה לפרויקטי AI. ב-GDPR — לפי Article 35 והרשימה של ה-EDPB.

### כמה זמן לוקח DPIA?

תסקיר ממוקד לפרויקט בודד — 3-5 שבועות מ-kick-off לדוח סופי. תסקיר רחב (פלטפורמת AI, מערכת ארגונית מרכזית) — 8-12 שבועות.

### מה ההבדל בין DPIA ל-PIA?

בעיקרון אותו דבר. **DPIA** הוא המונח של GDPR, **PIA** (Privacy Impact Assessment) הוא המונח הוותיק יותר. בישראל משתמשים בשניהם, אבל ההמלצה לעבוד עם תבנית DPIA כי היא מתאימה גם לחובות עתידיות של פרטיות חוצת-גבולות.

### יש לכם תבנית מוכנה?

יש לנו תבנית פנימית של 25 עמודים, בעברית ובאנגלית, מותאמת לתיקון 13 ול-GDPR. בכל לקוח אנחנו מתאימים אותה — אבל לא מתחילים מ-blank page.

### מה אם הרשות תדרוש התייעצות?

אם הסיכון הנותר אחרי mitigations עדיין גבוה — תיקון 13 מחייב התייעצות עם הרשות לפני שמתחילים בעיבוד. אנחנו מכינים את הפנייה, מנסחים את החומר, ומלווים את ההידברות. הרשות בדרך כלל מגיבה תוך 8-12 שבועות.

### כמה זה עולה?

DPIA פרויקטלי — 6,000-15,000 ₪ לתסקיר. DPIA מורכב למערכת ארגונית או AI גדול — 15,000-35,000 ₪. במסגרת [ריטיינר DPO as a Service](/services/dpo), חלק מה-DPIAs כלולים בריטיינר (תלוי בחבילה).

### מה אם הפרויקט כבר הושק?

DPIA רטרואקטיבי תקף, אבל פחות יעיל. הכלי נועד לאתר סיכונים **לפני** שמתחילים — כשאפשר עוד לתקן ארכיטקטורה. אם הפרויקט כבר רץ ויש סיכונים — נבצע DPIA + תוכנית remediation.

## יש לכם פרויקט שצריך DPIA?

שיחה של 30 דקות, הצעת מחיר תוך 48 שעות, kick-off תוך שבועיים.

[לדבר על פרויקט](/contact)