דלגו לתוכן הראשי
→ חזרה למאמריםהגנת פרטיות

מיקור חוץ והגנת פרטיות: כך תנהלו ספקים ותהפכו רגולציה ליתרון אסטרטגי

20 בפברואר 2026 | עו״ד אור צוברי

מיקור חוץ והגנת פרטיות: כך תנהלו ספקים ותהפכו רגולציה ליתרון אסטרטגי

התכנים באתר זה מספקים מידע כללי בלבד, ואין לראות בהם ייעוץ משפטי, אשר צריך להיות מותאם לכל עסק ולנסיבותיו.

רוב העסקים לא נופלים בגלל מתקפת סייבר ישירה – אלא בגלל החוליה החלשה בשרשרת: הספק החיצוני.

בין אם מדובר במערכת CRM, כלי AI חדשני, שירותי אימייל, או אפילו רואה החשבון ועורך הדין שלכם – ברגע שמידע אישי יוצא מחוץ לכתלי הארגון, האחריות לא עוברת יחד איתו. מיקור חוץ לא מעביר אחריות – הוא רק מעביר סיכון. וזו בדיוק הנקודה שבה עסקים רבים עושים טעות יקרה.

למה זה קריטי דווקא עכשיו?

תיקון 13 לחוק הגנת הפרטיות (2024) שינה את כללי המשחק והעלה משמעותית את רף החשיפה של חברות. הפרות הקשורות לניהול ספקים ומיקור חוץ עלולות להוביל לקנסות כבדים:

  • עד 4,000 ₪ להפרות בסיסיות.
  • עד 80,000 ₪ למאגר מידע ברמת אבטחה בינונית.
  • עד 320,000 ₪ למאגר ברמת אבטחה גבוהה.

והנקודה שחשוב להפנים: גם אם הספק שלכם הוא זה שטעה – האחריות המשפטית היא עדיין עליכם.

מה זה בעצם "מיקור חוץ" בהקשר של פרטיות?

כל גורם חיצוני שמקבל גישה למידע אישי המנוהל על ידכם נחשב למיקור חוץ (Outsourcing). זה כולל:

  • טכנולוגיה: מערכות CRM בענן, כלי AI לעיבוד נתונים או שירותי אימייל.
  • שירותים מקצועיים: ספקי שיווק, רואי חשבון או יועצים חיצוניים.

לעיתים אתם בעלי המאגר שנעזרים בספק, ולעיתים אתם הספק שנותן את השירות – כך או כך, החובות חלות עליכם.

1. בדיקת נאותות: לעצור לפני שחותמים

ברוב הבדיקות שאנו מבצעים, החוליה החלשה היא ספקים שלא עברו בדיקת פרטיות אמיתית. החוק והנחיות הרשות מחייבים אתכם לבצע בדיקה מקדמית:

  • ניהול סיכונים: בחינת סיכוני אבטחת המידע הכרוכים בהתקשרות הספציפית עוד לפני תחילתה.
  • מודל השירות: העדיפו מתן הרשאות גישה למערכות שלכם על פני העתקה פיזית של המאגר לספק, כדי למנוע העברת מידע עודף.
  • ניסיון ומוניטין: האם לספק יש ניסיון מוכח בעיבוד מידע אישי והאם קיים חשש לניגוד עניינים?.

2. חוזה ההתקשרות: לא המלצה – חובה חקוקה

תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) אינה משאירה מקום לפרשנות. היא מחייבת חוזה בכתב הכולל את הסעיפים הבאים:

  • הגדרת המידע והמטרות: מה מותר לספק לעשות ובאילו מערכות מותר לו לגעת.
  • אבטחה וסודיות: חובת הספק ליישם אמצעי אבטחה ולהחתים את עובדיו על הסכמי סודיות.
  • דיווח על אירועים: חובה על הספק להודיע לכם על כל אירוע אבטחה ולדווח לכם אחת לשנה על אופן עמידתו בחובות.
  • סיום התקשרות: הגדרת מנגנון ברור להשבת המידע או מחיקתו המוחלטת אצל הספק.

3. פיקוח ובקרה: האחריות נשארת אצלכם

חתימה על חוזה היא רק הצעד הראשון. האחריות נשארת אצלכם גם אם הספק נכשל, ולכן עליכם לקיים בקרה שוטפת:

  • זכות ביקורת: שמרו לעצמכם את הזכות לבצע ביקורות באתר הספק או במערכותיו.
  • שילוב בנוהל אבטחה: עליכם לעדכן את נוהל אבטחת המידע הארגוני שלכם כך שיפנה להסכם עם הספק.

בונוס אסטרטגי: אם אתם הספק (מיקור החוץ)

אם העסק שלכם נותן שירותים לאחרים – אל תחכו שהלקוחות ילחצו אתכם. הכינו מראש DPA (נספח עיבוד נתונים/מיקור חוץ), נהלי פרטיות ומנגנוני אבטחה שקופים.

  • בניית אמון: לקוח יודע שהמידע שלו בידיים בטוחות.
  • קיצור תהליך המכירה: אתם חוסכים ללקוח את הכאב ראש של הכנת החוזים.
  • יתרון תחרותי: בשוק של 2026, פרטיות היא לא נטל – היא איכות מוצר.

השורה התחתונה

רוב החשיפות המשפטיות לא מתחילות בתוך הארגון, אלא אצל הספקים. בדיקת פרטיות נכונה למיקור חוץ לוקחת שעות ספורות, אבל יכולה לחסוך קנסות של מאות אלפי שקלים ולמנוע פגיעה אנושה במוניטין שלכם.

האם הספקים שלכם מגנים עליכם, או חושפים אתכם?