דרושים: 2,000 עובדים תוך שנה, שכר התחלתי של 16 אלף שקל, הכירו את ה-DPO
בכל פעם שאנחנו מפעילים פנגו או רושמים ילד לגן, המידע שלנו נאסף. כדי להגן עליו, הרגולטור דורש למנות מומחה להגנת הפרטיות בכל חברה. הדרישה הזו יצרה מחסור במומחים שיודעים לשלב בין משפט וטכנולוגיה, הקפיצה את השכר ב-50% והולידה גל של הכשרות חדשות
זה קורה עשרות פעמים ביום, בלי שנשים לב או נחשוב על כך. כשאנחנו מפעילים את אפליקציית החניה, המיקום המדוייק ומספר הרכב שלנו נשמרים במאגרי החברה. כאשר אנחנו רושמים את הילד לגן עירוני, המידע שלו עובר לשרתים של חברה חיצונית שמפעילה את הרישום עבור העירייה. אפילו כשאנחנו סתם הולכים ברחוב מצלמות חכמות מנטרות את התנועה שלנו וכשאנחנו מעבירים כרטיס עובד ביומטרי בכניסה למשרד, טביעת האצבע שלנו הופכת לשורת קוד במאגר ביומטרי.
הדאטה, המידע שנאסף, הוא המנוע של מהפיכת הבינה המלאכותית. והסכנה שהאיסוף הזה מהווה לפרטיות של כל אחד ואחת מאיתנו הולידה מקצוע חדש. מקצועות חדשים נולדים בכל מני צורות. לרוב, הם נוצרים כתגובה לצרכי השוק. אבל במקרה הזה אי אפשר היה להסתמך על כוחות השוק - על רצונן הטוב של החברות והגופים שאוספים את המידע. ולכן, הרגולטור התערב ויצר חובה למנות אדם ספציפי שיגן על הפרטיות.
"אני לא זוכר מתי בפעם האחרונה המציאו מקצוע ואמרו 'עוד שנה אנחנו צריכים 2,000 כאלה'", אומר עו"ד אלון בכר, לשעבר ראש הרשות להגנת הפרטיות ומייסד משותף ב-PrivMatch, פלטפורמה להשמה והכשרה של מומחי פרטיות. המשפט הזה מסכם את הדרמה שמתחוללת בקרב אלפי גופים שבעקבות תיקון לחוק הגנת הפרטיות נדרשים למנות "ממונה הגנת פרטיות" (Data Protection Officer -DPO) - ולאתמול. הבעיה העיקרית היא שפשוט אין מספיק אנשי מקצוע כאלה בנמצא. מדובר בתפקיד שנמצא בתפר שבין הטכנולוגי למשפטי עם דרישות מאוד ספציפיות ונרחבות - שאף מוגדרות בחוק.
בימים שבהם מקצועות נעלמים, שחברות הייטק מפטרות מאות עובדים, תחום הגנת הפרטיות דווקא נמצא בצמיחה, גם טבעית, אבל גם בעקבות דדליין שהציבה הרשות להגנת הפרטיות עם תיקון 13 לחוק. התיקון אמנם נכנס לתוקף באוגוסט אבל האכיפה האקטיבית רק מתחילה ולכן המירוץ לאיוש משרות DPO החל.
מה זה בכלל DPO
ממונה על הגנת הפרטיות הוא כזה שאמור לשמש שומר סף ולזהות פגיעות בפרטיות עוד לפני שהן קורות. מדובר במישהו שצריך ידע משפטי בחוקי הגנת הפרטיות אבל גם ידע טכנולוגי הקשור בעיבוד מידע. לפי דרישות התפקיד ה-DPO נדרש לזהות תהליכי עיבוד מידע בסיכון גבוה - כמו אותו איסוף מידע באפליקציות או מצלמות מעקב - ולבצע תסקירי השפעה על הפרטיות כדי למנוע פגיעה עוד לפני שהמוצר יוצא לשוק.
תחומי האחריות שלו רחבים וכוללים ניהול אירועי דלף מידע וסייבר בזמן אמת, הפקת לקחים ודיווח לרגולטור. בנוסף, עליו לפעול בעצמאות מקצועית מלאה, ללא ניגוד עניינים, ולדווח ישירות להנהלה הבכירה כדי להשפיע על החלטות מהותיות בארגון. "הוא הפיבוט המרכזי כשמתרחשת דליפת מידע", מסביר בכר, "הוא הגורם שמקשר בין ההיבט הטכני, המשפטי והרגולטורי".
עוד לפני תחילת האכיפה של תיקון 13 לחוק, הביקוש לעורכי דין בתחום הפרטיות זינק פי 5 ביחס לשנה הקודמת בזמן שהביקוש הכולל לעורכי דין עלה באותו פרק זמן פי 1.12 בלבד, כך לפי חברת ההשמה וליווי הקריירה בתחום המשפט Codex. "עלייה זו משקפת את החשש הגובר של ארגונים מפני חשיפה משפטית ואת הרצון לעמוד בדרישות הרגולציה, לצמצם סיכונים של נקיטת הליכים, הטלת עיצומים ואף פרסום שמות של ארגונים מפרים. הפרטיות, שבעבר נתפסה כמומחיות משפטית צרה, הופכת כיום לחלק אינטגרלי מהפעילות העסקית והטכנולוגית", אומרת ליאת בן צבי שבח, מנכ"לית קודקס.
שליש מהמשרות החדשות שמתפרסמות לעורכי דין בתחום הפרטיות הן בחברות והשאר הן במשרדי עורכי דין. מרבית המשרות מיועדות לעורכי דין עם שנתיים עד ארבע שנות ניסיון (45%) כאשר רבע מהן מיועדות לג'וניורים. כמו כן, רוב המשרות בתחום הפרטיות משלבות פרטיות עם טכנולוגיה, IT או סייבר.
"יש מחסור באנשי מקצוע מנוסים, ובמקביל נפתחות הזדמנויות לעורכי דין צעירים שנכנסים לתחום. הביקוש משקף צורך אמיתי בחיבור בין משפט, טכנולוגיה ועסקים, ומי שמסוגל לעשות זאת הופך לנכס משמעותי בארגון", היא אומרת.
עכשיו, כאשר תקופת הגרייס ליישום תיקון 13 לחוק הסתיימה, והרשות מתחילה לאכוף, הביקוש לממונים על הפרטיות בארגונים גדל אף יותר.
למי זה מתאים?
תפקיד ה-DPO הוא לא תפקיד קלאסי לעורכי דין וגם לא תפקיד קלאסי לאנשי סייבר או IT. מצד אחד נדרשת הבנה רגולטורית ומשפטית מעמיקה ומצד שני ידע טכנולוגי במערכות מידע, אבטחת מידע וסייבר כדי לזהות היכן בדיוק נשמר המידע וכיצד הוא מאובטח.
"יש מעט מאוד טכנולוגים שמבינים משפט ומעט מאוד משפטנים שמבינים טכנולוגיה", אומר בכר. להערכתו יש היום בישראל כ-200 מומחים שבאמת מחזיקים בידע משמעותי וניסיון בשני התחומים המרכזיים להם נדרש DPO ברמה הנדרשת לארגון גדול. מעבר לזה יש עוד רבים שעברו ועובדים קורסי DPO ויצברו עם הזמן את הידע והניסיון הנדרש. המצב הזה פותח דלת לתפקיד לשתי אוכלוסיות עיקריות: עורכי דין שמאסו במקצוע ומוכנים ללמוד טכנולוגיה, ואנשי אבטחת מידע ו-IT שמעוניינים להשתדרג לתפקיד ניהולי.
הביקוש הטבעי בשוק גדל, כאמור, בעקבות דרישות תיקון 13 לחוק שבעצם מחייב שורה ארוכה של גופים למנות DPO. "החוק לא מחייב רק משרדי ממשלה, אלא יורד לרזולוציות של כל גוף שעיקר עיסוקו הוא עיבוד מידע", אומר בכר. הרשימה כוללת את כל הגופים הציבוריים, משרדי ממשלה, רשויות מקומיות ותאגידים עירוניים. בנוסף, גופים פיננסיים (בנקים, חברות ביטוח) מוסדות רפואיים (קופות חולים ובתי חולים) וגופים שעוסקים באיסוף מידע (כמו למשל אפליקציות חניה דוגמת פנגו או סלו-פארק).
מלבד הגופים האלה, גם כל ספק חיצוני שמעבד את המידע עבור אותם גופים חייב למנות DPO. "תעשו את החשבון, מאות גופים ציבוריים ופיננסים ועוד אלפי ספקים שנותנים להם שירות ומחזיקים במידע - והגענו לאלפים של ארגונים שחייבים ממונה הגנת הפרטיות, כבר ביום הראשון של האכיפה", הוא אומר.
המשמעות היא שדרושים באופן מיידי אנשי מקצוע מיומנים כאשר במגזר הציבורי מדובר במינוי שחייב להיות פנימי לפי נציבות שירות המדינה אבל במגזר הפרטי ניתן למנות DPO חיצוני. כלומר, יכולים להיות אנשי מקצוע שיספקו את השירות לכמה ארגונים במקביל. למשל, חברת יזמקו פרו מציעה שירות של מומחי DPO לליווי רגולטורי על מנת לעמוד בדרישות החוק; Cyberoot מציעה שירות DPO as a srvice וכך גם Datawatch. אבל לדעתו של בכר זה לא יספיק לארגונים שיש בהם איסוף מידע משמעותי. "אם הרשות תגלה שארגון מינה גורם חיצוני שאינו בקיא בקרביים של הארגון רק כדי לצאת ידי חובה אותו ארגון יהיה חשוף לסנקציות כאילו לא מונה DPO", הוא אומר.
השכר ההתחלתי - 16 אלף שקל בחודש
הדרישה הגבוהה למומחי פרטיות הובילה לעלייה של 50% בשכרם בתוך שנה כאשר מדובר בעובדים עם ותק של 3-5 שנים, כך לפי נתונים של קודקס. בעוד שבשנת 2024 השכר הממוצע של מומחי פרטיות מנוסים היה 15 אלף שקל בחודש, בשנת 2025 כבר מדובר ב-22,500 שקל בחודש.
גם בקרב עובדים מתחילים (0-2 שנות ניסיון) הייתה קפיצה בשכר אבל מתונה יותר. מ-14 אלף שקל בחודש ב-2024 ל-16 אלף שקל בחודש בממוצע בשנה שעברה. כאשר רבע מהמשרות בתחום נפתחות עבור עובדים מתחילים, זו הזדמנות לעורכי דין או אנשי IT להיכנס למקצוע שנמצא בצמיחה. בוותק של 6-10 שנות ניסיון העליה הייתה מתונה עוד יותר (7%) מ-27 אלף שקל בחודש ל-29 אלף שקל בחודש בשנת 2025.
איום בקנסות של מיליוני שקלים
השינוי הגדול במצב בין היום לבין העבר, גם אז הייתה דרישה להגנה על פרטיות, הוא הסנקציות. בעבר הפרת פרטיות הייתה מסתיימת לרוב בנזיפה או קנס מנהלי נמוך אבל תיקון 13 נותן לרשות סמכות להטיל עיצומים כספיים שיכולים להגיע למאות אלפי שקלים על כל הפרה בודדת. עבור ארגון שמחזיק במידע רב ומבצע מספר הפרות, או לא ממנה DPO כנדרש, החשיפה המצטברת יכולה להגיע למיליוני שקלים. לכן, חברות חשופות לסיכון כלכלי משמעותי שהופך את הצורך באיוש משרות DPO לקריטי.
איך הופכים ל-DPO?
המחסור במומחי פרטיות לצד הדרישה הרגולטורית למינויים הובילו להופעתן של תוכניות הכשרה כפטריות אחרי הגשם. בין הגופים המכשירים נמצאים גם מוסדות אקדמיים כמו הפקולטה למשפטים באוניברסיטת תל אביב, הטכניון, אוניברסיטת בר אילן, המכללה האקדמית ספיר, והאוניברסיטה העברית שמציעים מסלולי הכשרה ייעודיים, רובם בתיאום או הכרה של הרשות להגנת הפרטיות. לשכת עורכי הדין מציעה סדנה מעשית עבור עורכי דין שרוצים להכיר את תפקיד ה-DPO.
PrivMatch, שיתוף פעולה בין קודקס לבין בכר ועו"ד יעקב עוז מציעה הכשרות מקיפות ל-DPO לצד השמה ומאגר מומחי פרטיות לארגונים. בנוסף, חברות הכשרה טכנולוגיות כמו ג'ון ברייס ו-See Security מציעות קורסי הכשרת ל-DPO כאשר בג'ון פונים הן למשפטנים והן לאנשי אבטחת מידע, ציות ורגולציה והן למנהלי פרוייקטים ומנהלי סיכונים בארגונים.
אורך ההכשרות משתנה מאוד ונע בין 40-80 שעות אקדמאיות וכשמונה - עשרים מפגשים להכשרה מקצועית מקיפה לצד קורסי מבוא מקיפים פחות וסדנאות קצרות או חד פעמיות או של מספר מפגשים בודדים להכנה לתפקיד עבור מי שכבר משמש כ-DPO או מיועד להתחיל את התפקיד. העלויות לקורסים מתחילות בכ-5,000 שקל ויכולות להגיע ל-20 אלף שקל בתוכניות מקיפות הכוללות גם ניהול סייבר.
