הרשות להגנת הפרטיות פרסמה ב-23 ביולי, 2025 טיוטת גילוי דעת להערות הציבור, המפרטת את החובות וההמלצות של הרשות ביחס למינוי ממונה על הגנת הפרטיות בארגונים, בהתאם לתיקון 13 לחוק הגנת הפרטיות, התשמ"א – 1981 ("החוק") הצפוי להיכנס לתוקף ב-14 באוגוסט, 2025. בעדכון לקוחות זה ריכזנו לכם נקודות עיקריות שעולות מטיוטת גילוי הדעת.
מי חייב למנות ממונה על הגנת הפרטיות?
- גופים ציבוריים: משרדי ממשלה, רשויות מקומיות, קופות חולים, בתי חולים, מוסדות להשכלה גבוהה ועוד. חובת המינוי חלה גם על כל "מחזיק" במאגר מידע של גוף ציבורי, כלומר גם גורם חיצוני לגוף הציבורי המעבד עבורו מידע אישי יידרש במינוי.
- גופים שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר: ארגונים (בין אם בתור בעלי שליטה במאגר ובין אם בתור נותני שירות לבעל השליטה) שעיסוקם העיקרי כולל עיבוד בהיקף ניכר של מידע בעל רגישות מיוחדת, כגון מידע רפואי, מידע פיננסי, בידע ביומטרי, מידע על דעות פוליטיות, אמונות דתיות וכו'. הרשות מדגישה כי למונח "היקף ניכר", אין סף כמותי חד ערכי ויש לבחון אותו לפי מכלול הנסיבות והשיקולים הנוגעים לכל מקרה לגופו. שיקולים רלוונטיים (אשר אינם מהווים רשימה סגורה) לביצוע הבחינה הפרטנית הם: מספר בני האדם שמידע מעובד לגביהם; שיעורם באוכלוסייה מסוימת; היקף המידע; כמות המידע; הטווח (המגוון) של סוגי המידע המעובד; משך ותדירות פעולות העיבוד; משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד.
- גופים שעיסוקם העיקרי כולל ניטור שוטף ושיטתי של אנשים בהיקף ניכר: דוגמאות לגופים אלה כוללות ספקי תקשורת סלולרית, ספקי אינטרנט, ספקי שירותי חיפוש מקוון, חברות האוספות מידע אודות פעילות משתמשים באפליקציות ואתרי אינטרנט, למשל, לצורך פרסום ממוקד, התאמה אישית של תוכן, דירוג אשראי, איתור הונאות וכו'. כמו כן, הרשות ציינה מאגרי צילומים של מצלמות מעקב כדוגמה למאגרים שהפעלתם כרוכה בניטור שוטף ושיטתי של בני אדם. נציין כי גם מחזיקים עבור גופים אלה עשויים להיכנס לקטגוריה זו.
- גופים העוסקים בסחר במידע: ארגונים שמחזיקים מאגרי מידע שמטרתם העיקרית היא מסירת מידע כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על מעל 10,000 בני אדם.
הרשות ממליצה לשקול מינוי ממונה גם בארגונים שאינם מחויבים על פי חוק. זאת, בהתחשב בכך שמינוי ממונה מסייע לעמידה בדרישות הדין, מחזק את האמון של לקוחות ושותפים עסקיים, תורם למוניטין הארגוני ואף עשוי לזכות את הארגון בהפחתה בעיצומים כספיים במקרים מסוימים.
מהם הכישורים הנדרשים מהממונה?
- ידע מעמיק בדיני הגנת הפרטיות בישראל: שליטה מלאה ומקיפה ברגולציה והחקיקה הישראלית הרלוונטית לעיבוד מידע אישי והגנה על הפרטיות בישראל. המומחיות צריכה להיות ניתנת להוכחה, למשל באמצעות אסמכתאות על לימודים או ניסיון מעשי. הרשות מציינת כי השתתפות בהשתלמויות מטעם הרשות או בחסותה לא מספיקה כשלעצמה כדי לעמוד בדרישות הידע המעמיק.
- הבנה הולמת בטכנולוגיה ואבטחת מידע: הבנה טכנולוגית ברמה המאפשרת לממונה לבצע באופן יעיל את תפקידו לאור המאפיינים הספציפיים של הארגון בו הוא מכהן (לרבות הכרת מחזור חיי המידע וזרימת המידע בארגון ומבנה של המערכות המנהלות והמאחסנות את המידע).
- היכרות עם תחומי פעילותו של הארגון ומטרותיו: היכרות עם ייעודו של הארגון ותחומי העיסוק שלו; המבנה התאגידי; חלוקת תחומי האחריות ותהליכי העבודה הנהוגים בו, בדגש על תהליכי עיבוד מידע; המגזר או השוק במסגרתו הארגון פועל ועיקרי הרגולציה המגזרית; גופים אחרים איתם מקיים הארגון שיתוף פעולה עסקי או אחר; ומאפייני נושאי המידע עליהם הארגון אוסף ומעבד מידע, בדגש על אוכלוסיות מיוחדות.
מה צריכים להיות היקף ומתכונת העסקתו של הממונה?
מתכונת ההעסקה והיקף המשרה של הממונה צריכים להיבחן לגופו של ארגון, בהתאם למאפייניו הספציפיים. הרשות מדגישה כי יש להבטיח לממונה את התנאים והמשאבים הדרושים למילוי נאות של תפקידו, לרבות היקף משרה מתאים, גישה למידע ולמערכות, ושילובו כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. כמו כן, ככל הנדרש, הממונה צריך להיות זמין ונגיש פיזית בארגון, בהתאם למאפייניו ולצרכיו של הארגון, בין אם הוא עובד של הארגון ובין אם נותן שירות חיצוני. עוד מבהירה הרשות, כי רק יחיד (ולא תאגיד) יכול להתמנות כממונה הגנת פרטיות בארגון.
האם מנהל מערכות המידע או מנהל הגנת הסייבר (CISO) יכולים להתמנות כממונה הגנת פרטיות?
החוק קובע כי הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים. לדברי הרשות, ככלל אצבע, קיים חשש לניגוד עניינים כאשר הממונה משמש גם בתפקידים בכירים כגון מנהל שיווק, מנהל לקוחות, מנהל כספים, מנהל מערכות מידע או CTO. שילוב תפקיד ממונה הגנת הפרטיות עם תפקיד CISO או ממונה אבטחת מידע אינו אסור באופן גורף אך מחייב בחינה קפדנית של היעדר ניגוד עניינים. עם זאת, לעמדת הרשות, ברוב המקרים דרישות החוק בעניין הידע והכישורים של הממונה על הגנת הפרטיות ובעניין אופן מילוי תפקידו לא מתאימות למאפיינים של תפקיד ה-CISO ולעיתים אף יוצרות מורכבות משפטית להטלת כפל התפקידים על אותו אדם. לכן, לעמדת הרשות ה-CISO לא יוכל למלא את תפקיד ממונה הגנת הפרטיות אלא אם יש באפשרותו לאזן בין התפקידים בצורה נאותה, מבלי שתיפגע יכולתו למלא כל אחד מהם כראוי.
האם ממונה הגנת הפרטיות נדרש לדווח לרשות על הפרות של החוק?
על הממונה לפעול בעצמאות מקצועית, תוך צמצום השפעות חיצוניות ושיקולים שאינם ממין העניין. הרשות מדגישה שעל אף שאין על הממונה חובה לדווח באופן יזום על הפרות, חוות הדעת של הממונה עשויות להידרש על ידי הרשות.
האם הרשות צפויה לאכוף את הדרישות הנוגעות למינוי ממונה הגנת פרטיות?
הרשות מבהירה בטיוטת גילוי הדעת כי תפעיל את סמכויותיה כדי לוודא שמינוי ממונה הגנת הפרטיות ייעשה בהתאם לקריטריונים הקבועים בחוק, וכי בעל התפקיד מחזיק בידע מעמיק בהיבטים המשפטיים והרגולטוריים של דיני הגנת הפרטיות.
לאור כניסתו הקרובה לתוקף של תיקון 13 לחוק הגנת הפרטיות באוגוסט 2025, וסמכויות האכיפה המורחבות שיוקנו לרשות להגנת הפרטיות במסגרתו, על חברות וארגונים לוודא בהקדם שהן מיישמות כראוי את דרישות הגנת הפרטיות, גם בקשר עם מינוי ממונה הגנת פרטיות.
טיוטת גילוי הדעת פתוחה להערות הציבור עד ליום 23 בספטמבר 2025.
משרדנו מציע שירותי ממונה הגנת פרטיות (DPO) שנועדו לסייע לעסקים לנווט בין דרישות הפרטיות החלות על העסק ולשפר את אסטרטגיית הגנת המידע שלהם. שירותינו כוללים, בין השאר, ייעוץ והדרכת חברות לגבי חובותיהן תחת הדין הישראלי ותחת ה-GDPR, עריכת הסכמי עיבוד מידע, עדכון תקופתי של מסמכים פנימיים הקשורים לעיבוד מידע אישי (כגון נוהל אבטחה, מסמכי הגדרות מאגר וכו') ועדכון מדיניות והודעות הפרטיות של החברה, וייעוץ לצוותי השיווק, משאבי האנוש והמחקר והפיתוח בנוגע להיבטים הקשורים לפרטיות.
אנו עומדים לרשותכם בכל שאלה.