ביום 23.7.25 פרסמה הרשות להגנת הפרטיות (להלן: הרשות) טיוטת גילוי דעת מקיפה (להלן: טיוטת גילוי הדעת) בנושא החובה למנות ממונה על הגנת הפרטיות (Data Protection Officer – DPO) בהתאם לתיקון 13 לחוק הגנת הפרטיות (להלן: חוק הגנת הפרטיות).
לפי טיוטת גילוי הדעת, מינוי הממונה משקף שינוי משמעותי בתפיסת האחריות הארגונית בניהול מידע אישי בישראל, ומחזק את עקרון האחריותיות (accountability) בדיני הגנת הפרטיות, המחייב את הארגון לא רק לעמוד בהוראות הדין אלא גם להטמיע שיטות עבודה פנימיות מתאימות. מודגשת האחריות הכבדה המוטלת על הממונה, לרבות להיות מעורב כראוי ולקבל גיבוי מהחברה על מנת שיוכל לקיים את תפקידו כנדרש, כפי שעולה בקנה אחד עם מגמות בינלאומיות, ובפרט עם דרישות ה- GDPR האירופי.
טיוטת גילוי הדעת מבקשת לפרש את לשון החוק וסוגיות רגישות העולות ממנו, לרבות בקשר להיקף חובת מינוי ממונה הגנת הפרטיות, תפקידיו, הכישורים הנדרשים, מעמדו ותנאי העסקתו בארגון. טיוטת גילוי הדעת פתוחה להערות הציבור עד ליום 23.9.2025.
בהתאם לטיוטת גילוי הדעת, הרשות מתכוונת להפעיל את סמכויותיה כדי להבטיח שמינוי ממוני הגנת פרטיות בארגונים יתבצע בהתאם לקריטריונים הקבועים בחוק.
יש לזכור, כי מדובר בטיוטת גילוי דעת הפתוחה להערות הציבור עד חודש ספטמבר. עם זאת, ניתן ללמוד מטיוטת גילוי הדעת לפחות באופן ראשוני, על גישות הרשות להגנת הפרטיות ביחס להיבטים שונים בקשר לתיקון 13.
בהתאם לטיוטת גילוי הדעת, הפרשנות המוצגת תשמש את הרשות בעת הפעלת הסמכויות המוקנות לה, לרבות הסמכות להטיל עיצומים כספיים בגין הפרה של החובה למנות ממונה על הגנת הפרטיות ושל הוראות אחרות בחוק הנוגעות למעמדו ולמתכונת העסקתו. עם זאת, בעת הפעלת סמכויותיה ובכללן סמכויות האכיפה, תתחשב הרשות בכך שגילוי הדעת בשלב זה אינו מסמך סופי אלא עדיין בגדר טיוטה להערות הציבור.
רקע
בטיוטת גילוי הדעת מוזכר, כי כבר בתחילת 2022, פרסמה הרשות המלצות בנושא "מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו". במסמך זה הבהירה הרשות כי מינוי ממונה על הגנת הפרטיות (להלן: ממונה) באופן וולונטרי מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי. הודגש כי למינוי זה יתרונות רבים, ובין היתר מינוי ממונה יכול לסייע לארגון לעמוד בהוראות דיני הגנת המידע האישי בישראל, ולהוות אינדיקציה לכך שהארגון נוקט צעדים לצמצום הסיכון לפגיעה במידע האישי שברשותו.
לפי תיקון מס' 13 לחוק הגנת הפרטיות, נוספה לראשונה חובה למנות ממונה על הגנת הפרטיות ביחס לשורה ארוכה של ארגונים במשק לפי קריטריונים שנקבעו בחוק.
חובת המינוי לפי תיקון 13 לחוק הגנת הפרטיות
חובת המינוי לפי תיקון 13 לחוק הגנת הפרטיות (להלן: החוק) חלה על מגוון רחב של ארגונים:
א. בטיוטת גילוי הדעת מובהר, כי גופים ציבוריים שהם בעלי שליטה במאגר מידע מחויבים במינוי ממונה, גם אם הם פטורים מרישום המאגר שבשליטתם. בנוסף, מובהר כי "מחזיק" במאגר מידע של גוף ציבורי מחויב גם הוא במינוי ממונה על הגנת הפרטיות.
ב. ביחס לחובת המינוי החלה על בעל שליטה במאגר מידע הכולל מידע על יותר מ-10,000 אנשים, שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר – בין אם במסגרת עיסוקו ובין אם בתמורה, לרבות שירותי דיוור ישיר, לפי טיוטת גילוי הדעת, הכוונה היא לארגונים העוסקים בסחר במידע ((data brokers, המגלמים סיכון גבוה יותר לפגיעה בפרטיות.
ג. ביחס לחובה החלה על בעל שליטה במאגר או מחזיק במאגר בגוף העוסק בניטור שוטף ושיטתי של בני אדם ("מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר", כולל ספקי תקשורת סלולרית ומנועי חיפוש), הרשות מבהירה כי המושג "ניטור שוטף ושיטתי" רלוונטי במיוחד להתחקות אחר פעילות משתמשים במדיה (אפליקציות, אתרי אינטרנט וכו'), ולעיבוד מידע אישי במטרה ליצור פרופיל התנהגות, תכונות או תחומי עניין, למגוון מטרות, לרבות פרסום ממוקד, התאמה אישית של תוכן או שירותים, וניהול סיכונים (כגון דירוג אשראי). בטיוטת גילוי הדעת נאמר, כי דוגמאות נוספות לשירותים שהפעלתם כרוכה בניטור שוטף ושיטתי של בני אדם הן אפליקציות איסוף נתוני מיקום במרחב הפיזי, אפליקציות והתקני מחשוב לביש, מתקנים מחוברים לאינטרנט, IoT וכו'.
ד. חובת המינוי חלה גם על בעל שליטה או מחזיק במאגר מידע ש"עיסוקו העיקרי כולל עיבוד מידע אישי בעל רגישות מיוחדת בהיקף ניכר". בטיוטת גילוי הדעת מובהר, כי "עיסוקו העיקרי" מתייחס לעיבוד מידע אישי שהוא חלק אינהרנטי מפעילות הליבה של הגוף וממימוש מטרותיו העסקיות או הארגוניות (כגון עיבוד מידע רפואי על מטופלים, המהווה עיסוק עיקרי של מוסדות רפואיים) ולא למטרות עזר משניות. ביחס לפרשנות המושג "היקף ניכר", בטיוטת גילוי הדעת נאמר, כי בקביעת "היקף ניכר" של עיבוד מידע, אין סף כמותי חד-ערכי והקריטריונים אינם חייבים להתקיים באופן מצטבר. כל מקרה ייבחן לפי נסיבותיו.
בהתאם לטיוטת גילוי הדעת, הן במקרים של ספק והן באופן וולונטארי, בנוסף לגופים המחויבים במינוי ממונה על הגנת הפרטיות לפי החוק, גם בארגונים עליהם לא מוטלת חובה חוקית, מומלץ לשקול מינוי זה, לשיפור הציות לדיני הגנת הפרטיות, חיזוק תפיסת האחריותיות הארגונית בניהול מידע אישי, והיכולת ליישם עקרונות של מידתיות בשמירה על הזכות לפרטיות במסגרת פעילות הגוף, היכן שנדרש. לפי טיוטת גילוי הדעת, הדבר אף תואם אינטרסים עסקיים, בניית האמון בקרב לקוחות ונושאי מידע אחרים של הארגון, תוך תרומה לחיזוק המוניטין של הארגון. הרשות ממליצה בטיוטת גילוי הדעת, בפרט לגופים דו-מהותיים, לשקול מינוי ממונה על הגנת הפרטיות.
בטיוטת גילוי הדעת מצוין, כי מינוי ממונה בהתאם לחוק, עשוי להוות שיקול מהותי בהפחתת עיצומים כספיים על ידי הרשות (עד כדי הפחתה של 10% בגין הפרות אחרות של החוק).
הידע והכישורים הנדרשים מהממונה ועיקרי חובותיו לפי החוק
ממונה הגנת הפרטיות צריך להיות בעל ידע וכישורים הדרושים למילוי תפקידו בצורה נאותה. בהתאם לטיוטת גילוי הדעת, זו הדרישה המהותית והכללית שאת תוכנה והיקפה יש לקבוע בכל מקרה לגופו "בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו".
א. טיוטת גילוי הדעת מתייחסת בין היתר, לכך שעל הממונה להיות בעל ידע מעמיק בדיני הגנת הפרטיות כלומר, בעל שליטה מלאה ומקיפה במכלול החקיקה והרגולציה הישראלית בתחום הגנת הפרטיות, באופן שניתן להוכחה (לדוגמא באמצעות השתלמות תעודה או הכשרה רלוונטית). לפי טיוטת גילוי הדעת, השתתפות בהשתלמויות הנערכות מטעם הרשות או בחסותה איננה חובה לפי החוק, ובד בבד בפני עצמה, היא גם לא מספיקה כדי לעמוד בדרישת הידע המעמיק בדיני הגנת הפרטיות.
ב. הממונה צריך להיות בעל הבנה טכנולוגית והתמצאות באבטחת מידע – בהקשר זה נאמר, כי לכל הפחות עליו להיות בעל אוריינטציה טכנולוגית ברמה שתיתן בידיו כלים לבחון האם אופן השימוש בטכנולוגיה עומד בדרישות החוק.
ג. על הממונה להיות בעל היכרות עם ייעוד הארגון, פעילותו והרגולציה החלה עליו, ובין היתר המבנה התאגידי, חלוקת תחומי האחריות ותהליכי עבודה בדגש על תהליכי עיבוד מידע, המגזר הרלוונטי והרגולציה הרלוונטית לו, שיתופי פעולה, ומאפייני נושאי המידע עליהם הגוף אוסף ומעבד מידע, ובפרט בקשר לאוכלוסיות מיוחדות (כגון קטינים, בעלי צרכים מיוחדים וכו').
תפקידי הממונה וייעודו
בהתאם לטיוטת גילוי הדעת, תפקיד מרכזי של הממונה הוא להביא להפנמת "תרבות פרטיות" בארגון ושל עקרונות ושיקולי פרטיות בכל תהליכי העבודה הנוגעים למידע אישי ולמערכות מידע.
תפקידיו העיקריים של הממונה כוללים ייעוץ מקצועי להנהלה, הכנת תוכנית הדרכה ופיקוח על ביצועה, ביצוע הערכות סיכונים, ייצוג הארגון מול הרשות, קידום מדיניות פרטיות בארגון, טיפול בפניות, הטמעת טכנולוגיות מגבירות פרטיות (PETs), והכנת תוכנית בקרה שוטפת לציות לרגולציה.
בהתאם לטיוטת גילוי הדעת, על הממונה לוודא, לכל הפחות, קיום מסמך הגדרות מאגר ונוהל אבטחת מידע. חלק מתפקידיו – לטפל בפניות ובקשות של נושאי מידע; ולהוות איש הקשר של הארגון אל מול הרשות. עוד נאמר בטיוטת גילוי הדעת, כי רצוי שהממונה יהיה מעורב גם בטיפול במקרים של "אירוע אבטחה חמור" הן בהיבט הדיווח לרשות והן בהיבטים נוספים ככל שיהיו.
באשר למתכונת העסקתו של הממונה, לפי טיוטת גילוי הדעת, מתכונת ההעסקה והיקף המשרה שתוקצה לממונה צריכים להיבחן לגופו של כל ארגון, בהתאם למאפייניו הספציפיים.
עוד נאמר בטיוטת גילוי הדעת, כי על הממונה להיות בעל סמכויות מתאימות, אקטיבי, נגיש, זמין ועצמאי, ללא ניגוד עניינים, ולדווח ישירות להנהלה הבכירה בארגון. ניתן למנות ממונה חיצוני או פנימי, אולם יש להבטיח לו את המשאבים והתנאים הנדרשים לביצוע תפקידו באופן יעיל. בהתאם לטיוטת גילוי הדעת, אחת הדרכים להבטחת סמכויות הממונה היא אופן הדיווח – הממונה מדווח ישירות למנכ"ל או לגורם הכפוף לו במישרין.
בהתאם לטיוטת גילוי הדעת, הממונה אינו יכול למלא תפקידים (או להיות כפוף לבעלי תפקידים) הכוללים את הסמכות או האחריות לקבוע מדיניות בעניין עיבוד המידע האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד. בהתאם לטיוטת גילוי הדעת, קיומו של פוטנציאל לניגוד עניינים יבחן באופן פרטני, אולם "ככלל אצבע ניתן לומר שהוא מתקיים בתפקידים בכירים כגון מנהל שיווק, מנהל לקוחות, מנהל כספים, מנהל מערכות מידע או CTO".
בין תפקיד ממונה הגנת פרטיות לבין תפקיד מנהל אבטחת מידע
כאמור, על ממונה הגנת הפרטיות להימנע מלמלא תפקיד נוסף בארגון אם קיים חשש לניגוד עניינים. לפי טיוטת גילוי הדעת, אף שאין איסור חוקי על מילוי תפקיד ממונה הגנת הפרטיות מנהל אבטחת מידע (CISO) על ידי בעל תפקיד אחד, בשל השוני המהותי הקיים לדעת הרשות לפי טיוטת גילוי הדעת, בדרישות הידע, האחריות והכפיפות, ברוב המקרים הן לא יתאימו למאפיינים של תפקיד ממונה האבטחה, ולעיתים אף נוצרת מורכבות משפטית להטלת כפל התפקידים על אותו אדם.
נשמח לסייע בתהליך הגשת הערות לטיוטת גילוי הדעת, ובכל עניין הנוגע ליישום תיקון 13 לחוק הגנת הפרטיות.
לעיון בטיוטת גילוי הדעת של הרשות להגנת הפרטיות
העדכון נכתב על ידי עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו – AI במשרדנו, בסיועה של המתמחה ג'ודית גרשוני ממחלקת טכנולוגיה, מיזוגים ורכישות.