ממונה הגנת הפרטיות ואחריות הדירקטוריון לאור תיקון 13 – מדריך מעשי

תיקון 13 לחוק הגנת הפרטיות צפוי להיכנס לתוקף באמצע חודש אוגוסט 2025. התיקון קובע, בין היתר, את החובה למנות ממונה על הגנת הפרטיות בארגון. הרשות להגנת הפרטיות פרסמה לאחרונה טיוטת הנחיה בנוגע ליישום חובה זו. הטיוטה אינה סופית ופתוחה להערות הציבור.

בנוסף לתיקון, בהתאם להנחיית הרשות להגנת הפרטיות, בחברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן או שקיים סיכון מוגבר לפגיעה בפרטיות במסגרת פעילותן, מוטלת על הדירקטוריון חובה לפקח על עמידת החברה בדרישות חוק הגנת הפרטיות והתקנות הנלוות.

מטרת המדריך היא לספק הבנה מעשית של חובות מינוי ממונה הגנת פרטיות לפי תיקון 13 לחוק הגנת הפרטיות, תוך הבהרת אחריות הדירקטוריון והממשק בין התפקידים השונים בארגון בתחום זה.

1. מה כולל התפקיד של ממונה על הגנת הפרטיות?

הממונה על הגנת הפרטיות (Data Protection Officer – DPO) הוא בעל תפקיד בארגון, שבאחריותו להבטיח את השמירה על המידע האישי בארגון בהתאם להוראות חוק הגנת הפרטיות והתקנות הנלוות לו. בין היתר, עליו לפעול לקידום ושיפור אבטחת המידע תוך צמצום סיכונים לפגיעה אפשרית בפרטיות נושאי המידע, להבטיח את קיומם של מנגנוני בקרה נאותים בהתאם לסיכוני הפרטיות הכרוכים בפעילות הארגון, לבצע הערכה ובקרה על הפעילות ועוד. מינוי ממונה על הגנת הפרטיות הוא ביטוי לעקרון “האחריותיות” (Accountability) אחריות הארגון ליישום הוראות הדין הנוגעות לשימוש במידע אישי, וליכולת להציג ולהוכיח עמידה בדרישות אלה.

2. על אילו ארגונים מוטלת החובה למנות ממונה הגנת הפרטיות?

החובה למנות ממונה חלה על כל ארגון העונה על אחד מהקריטריונים שבחוק הגנת הפרטיות:

• גופים ציבוריים: משרדי ממשלה, רשויות מקומיות, קופות חולים, בתי חולים, ארגוני עובדים וכל גוף הממלא תפקיד ציבורי על פי דין או צו הגנת הפרטיות.
• ספקים חיצוניים המעבדים מידע עבור גופים ציבוריים: חברות המעבדות מידע עבור גופים ציבוריים, ולכן נחשבות כ”מחזיק” במידע הציבורי.
• ארגונים העוסקים בסחר במידע: בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים כחלק מהפעילות העסקית או בתמורה וכשבמאגר המידע יש יותר מ-10,000 איש, או אם מסירת המידע נעשית באופן קבוע כחלק מהפעילות העסקית. אין חובה למינוי בחברות שהן רק מחזיקות במאגר כזה.
• ארגונים המבצעים ניטור שיטתי: בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע המחייבות ניטור שוטף ושיטתי של אנשים בהיקף ניכר. זאת לרבות, מעקב אחר התנהגות משתמשים ברשת, איסוף נתוני מיקום, יצירת פרופילים בעולמות המסחר האלקטרוני והפרסום המקוון , ניהול סיכונים בתחומים פיננסיים, איסוף מידע מהתקנים חכמים, הפעלת מאגרי מצלמות מעקב וספקי אינטרנט.
• ארגונים המעבדים מידע רגיש בהיקף ניכר: מאגרי מידע הכוללים עיבוד נרחב של “מידע בעל רגישות מיוחדת” כהגדרתו בחוק (בין היתר, מידע הנוגע למצב בריאותי, דעות פוליטיות, נתוני שכר ופעילות פיננסית, נתוני מיקום ותעבורה, ועוד). החוק מציין במפורש כי בנקים, חברות ביטוח, בתי חולים וקופות חולים חייבים במינוי ממונה, אך לא מדובר ברשימה סגורה.

המונח “היקף ניכר” מוגדר בחוק באופן עמום. הרשות להגנת הפרטיות מתייחסת בטיוטת ההנחיה שלה להיקף חובת המינוי בפרשנות רחבה וקובעת כי אין סף כמותי חד ערכי, ויש לבחון את המונח ואת חובת המינוי לפי מכלול הנסיבות והשיקולים הנוגעים לכל מקרה לגופו.

קריטריונים עיקריים רלוונטיים לבחינה זו כוללים את מספר בני האדם שמידע מעובד לגביהם, היקף המידע, סוגי ורגישות המידע, משך ותדירות פעולות העיבוד, משך שמירת המידע וכן התחום הגיאוגרפי של פעולות העיבוד. כלומר, גם במצבים שבהם חברה מסוימת אינה מעבדת מידע לגבי מספר רב של אנשים, או מעבדת מידע שאינו בעל רגישות גבוהה, עשויה להתעורר חובת מינוי בהתאם לנסיבות השונות.

3. האם עלינו למנות ממונה הגנת הפרטיות גם אם איננו מחויבים בכך על פי חוק?

הרשות להגנת הפרטיות ממליצה לכל ארגון האוסף ומעבד מידע אישי לשקול מינוי ממונה על הגנת הפרטיות גם אם אינו מחויב לכך על פי חוק כפרקטיקה ראויה ומומלצת, מתוך תפיסה שמינוי כזה תורם לשיפור הציות לדיני הגנת הפרטיות, מחזק את האמון בקרב לקוחות ושותפים עסקיים, ותורם למוניטין הארגון. גם החוק תומך בכך על-ידי אפשרות הפחתה של 10% בגובה עיצום כספי שיוטל על ארגון בשל הפרות החוק.

4. מהם תחומי האחריות המרכזיים של הממונה על הגנת הפרטיות?

החוק מגדיר מספר תחומי אחריות עיקריים:

• ייעוץ והדרכה: לשמש מוקד ידע וסמכות מקצועית להנהלת הארגון ולעובדיו הן בנוגע להוראות המחייבות של דיני הפרטיות והן בעקרונות לקידום השמירה על הפרטיות לאורך כל שלבי מחזור חיי המידע, תוך העלאת המודעות בארגון להגנת הפרטיות, גיבוש תכניות הדרכה ופיקוח על ביצוען.
• מעקב ובקרה: לעקוב אחר עדכוני חקיקה ורגולציה ולוודא התאמת מדיניות ונהלי הארגון בהתאם, להכין תוכניות לבקרה שוטפת על העמידה בהוראות החוק ולוודא ביצוען, ולדווח להנהלת הארגון על ממצאים והמלצות לתיקון ליקויים.
• הבטחת זכויות נושאי מידע: להיות הכתובת בארגון לפניות בנושא פרטיות, ולוודא טיפול בבקשות של נושאי מידע למימוש זכויותיהם (כגון עיון, תיקון, מחיקה, הסרה מדיוור ישיר).
• איש קשר מול הרשות: הממונה מוגדר בחוק כאיש הקשר הרשמי של הארגון עם הרשות להגנת הפרטיות. הממונה הוא הכתובת לקבלת פניות מהרשות, האחראי לדיווח אודות אירועי אבטחת מידע, והאחראי על עמידת הארגון בדרישות הדין.

5. אילו כישורים נדרשים מממונה על הגנת הפרטיות?

הדרישות הקבועות בחוק ובטיוטת הנחיית הרשות בנוגע לממונה על הגנת הפרטיות מציבות רף גבוה.

הממונה נדרש להיות בעל ידע רלוונטי לתפקידו – עליו להחזיק בידע ובהבנה מעמיקה בדיני הגנת הפרטיות, לרבות מדיניות רגולטורית רוחבית ומגזרית, וכן בפסיקה רלוונטית. בנוסף, עליו להחזיק ברמת הבנה מספקת באבטחת מידע ובטכנולוגיות מידע, באופן שיאפשר לו לבחון את אופן השימוש בטכנולוגיות העלולות לפגוע בפרטיות בארגון. הרשות להגנת הפרטיות מדגישה כי על הממונה להיות מסוגל להציג הוכחות לידע ולהבנה בתחומים הנדרשים ממנו.

הממונה נדרש להכיר היטב את הארגון בו הוא פועל – עליו להכיר את תחומי הפעילות של הארגון ואת הסיכונים לפרטיות הגלומים בהם; להכיר את תחומי הרגולציה המגזרית החלים על הארגון; את המבנה התאגידי של הארגון; את תהליכי עיבוד המידע בארגון ואת מאפייני נושאי המידע; להיות מעורב בתהליכי בחינת סיכוני פרטיות ובהתאמת תהליכים לעקרונות “עיצוב לפרטיות” (Privacy by Design); ולהיות בעל היכולת להתאים את מדיניות עיבוד המידע לצרכים העסקיים, תוך שמירה על פרטיות נושאי המידע וציות להוראות הדין.

הממונה צריך להיות עצמאי ובעל מעמד בארגון – על הארגון להקצות לממונה את המשאבים הנדרשים לביצוע תפקידו. עליו למלא תפקיד עצמאי, בדרג ניהולי או בכפיפות לדרג ניהולי בכיר, ולפעול ללא חשש לניגוד עניינים בעת מילוי תפקידו.

6. האם ניתן למנות יועץ חיצוני לתפקיד הממונה על הגנת הפרטיות?

כן, החוק מתיר להעסיק את הממונה גם כנותן שירותים חיצוני. היתרון במינוי חיצוני הוא היעדר תלות וצמצום החשש לניגוד עניינים. החיסרון הוא היכרות מוגבלת יותר עם מאפייני הארגון והאורגנים הפועלים בו. בין אם מדובר במינוי פנימי ובין אם בחיצוני, יש להבטיח שלממונה יוקצו הזמן, המשאבים והעצמאות הנדרשים למילוי תפקידו, וכי לא יוטל עליו תפקיד נוסף או כפיפות לנושא משרה העלולים להעמידו במצב של חשש לניגוד עניינים.

7. האם ממונה אבטחת המידע (CISO) שלנו יכול לשמש גם כממונה הגנת הפרטיות?

עמדת הרשות להגנת הפרטיות היא כי ברוב המקרים הדבר אינו ראוי ועלול ליצור מורכבות משפטית וניגוד עניינים מובנה, זאת למרות שהחוק אינו אוסר על כך במפורש. זאת במיוחד במצבים בהם נדרשים אמצעים לשיפור אבטחת המידע (כגון ניטור פעילות עובדים או לקוחות) העלולים לסתור את עקרונות הגנת הפרטיות, וכאשר קיימת חפיפה בין תחומי האחריות העלולה להקשות על איזון ראוי בין השיקולים.

בארגונים גדולים או כאלה שמעבדים מידע אישי בהיקף משמעותי, גובר בנוסף הסיכון להקצאת משאבים שאינה מספקת כאשר שני התפקידים מבוצעים בידי אדם אחד.

8. מהי אחריות הדירקטוריון בנושא הגנת הפרטיות ומינוי ממונה על הגנת הפרטיות?

לפי הנחיית הרשות להגנת הפרטיות, כאשר עיבוד מידע אישי מהווה חלק מרכזי מהפעילות של החברה או כאשר קיימים סיכונים משמעותיים לפגיעה בפרטיות בפעילותה, הדירקטוריון מחויב לוודא שהחברה פועלת בהתאם להוראות חוק הגנת הפרטיות והתקנות הנלוות.

אחריות הדירקטוריון כוללת: גיבוש, אימוץ ויישום של מדיניות הגנת מידע; קביעת בעלי תפקידים אחראים; קבלת עדכונים שוטפים; קיום דיונים בנושאים מהותיים כגון מסמך הגדרות המאגר, נוהל אבטחת מידע, תוצאות סקרי סיכונים, אירועי אבטחת מידע וביקורות תקופתיות.

9. האם הדירקטוריון יכול להאציל את סמכויות הפיקוח והבקרה בתחום הגנת הפרטיות לגורם אחר בחברה?

כן. במקרים בהם הדירקטוריון סבור כי גורם אחר בחברה, כגון מנהל בכיר בעל מומחיות רלוונטית, יוכל לבצע את המשימות הנדרשות ביעילות ובמקצועיות, הוא רשאי להאציל לו את הסמכות לביצוע פעולות הפיקוח והבקרה הנדרשות לפי חוק הגנת הפרטיות. דוגמאות לכך עשויות להיות חברות בהן קיימת חלוקה ברורה של תחומי אחריות בין הדירקטוריון לוועדות ייעודיות, או כאשר ישנו גורם מקצועי בעל ניסיון ומומחיות מתאימים.

עם זאת, הדירקטוריון מחויב להמשיך ולפקח בפועל על ביצוע המשימות, ולתעד את ההחלטה להאצלת הסמכות, לרבות הנימוקים לכך, כדי להבטיח אחריותיות ושקיפות.

10. מיניתי ממונה הגנת פרטיות, האם המינוי משפיע על אחריות הדירקטוריון?

מינוי ממונה הגנת הפרטיות אינו פוטר את הדירקטוריון מאחריותו לפיקוח שוטף על עמידה בדרישות החוק והתקנות כשהוא נדרש לכך. חובת מינוי ממונה הגנת הפרטיות רחבה מחובת האחריות של הדירקטוריון במקרים בהם תחול, אך מינוי ממונה פרטיות עשוי לסייע לדירקטוריון ליישם את חובותיו ולפקח על ביצוען ביתר יעילות.

11. כיצד מומלץ לארגון להיערך לכניסת תיקון 13 לחוק הגנת הפרטיות, ובפרט לבדיקת חובת מינוי ממונה ולעדכון הדירקטוריון?

נמליץ על הצעדים הבאים:

• מיפוי ובדיקה ראשונית

   – יש לבחון האם הארגון עונה על אחד מהקריטריונים שמחייבים מינוי ממונה על הגנת הפרטיות, בהתאם להוראות החוק והנחיות הרשות.

   – יש לבדוק האם קיימת חובה לעדכן את הדירקטוריון ולוודא שהדירקטוריון מודע לאחריותו בתחום זה.

• גיבוש תכנית עבודה

   – במידה ונדרשת חובת מינוי, יש לבצע סקר סיכונים ולגבש תכנית עבודה הכוללת: השלמת מסמכי הגדרות מאגר, הגדרת תחומי אחריות, בחירת מועמד מתאים (פנימי או חיצוני), הקצאת משאבים, והסדרת תהליכי עבודה ובקרה.

• הצגת ממצאים והמלצות להנהלה ולדירקטוריון

   – יש להציג בפני ההנהלה והדירקטוריון את ממצאי הבדיקה, לרבות המלצה האם למנות ממונה, גם אם אין חובה פורמלית.

• עדכון נהלים ומדיניות

   – יש לעדכן את נהלי הארגון ומדיניות הגנת הפרטיות בהתאם לדרישות החדשות, ולוודא שהדירקטוריון (אם נדרש) מאשר ומפקח על יישומן.

• הדרכה והעלאת מודעות

   – מומלץ להכשיר את בעלי התפקידים הרלוונטיים ולהעלות את המודעות בארגון לחשיבות הגנת הפרטיות ולשינויים הצפויים.

• תיעוד ובקרה

   – יש לתעד את כל שלבי ההיערכות, לרבות החלטות הדירקטוריון, מינוי הממונה, והטמעת נהלים, ולבצע בקרה שוטפת על עמידה בדרישות.

צעדים אלה יסייעו לארגון לעמוד בדרישות החוק, לצמצם סיכונים ולהבטיח אחריותיות ושקיפות מול הדירקטוריון והרשות להגנת הפרטיות.

10. מהו המועד האחרון להיערכות?

המועד האחרון לעמידה בכלל דרישות תיקון 13 לחוק הגנת הפרטיות, כולל מינוי ממונה על הגנת הפרטיות (DPO), הוא 14 באוגוסט 2025. לאור היקף השינויים המשמעותיים, הגברת אמצעי האכיפה והסנקציות בעקבות התיקון, מומלץ להתחיל בתהליך ההיערכות בהקדם האפשרי.

****

ד”ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.

עו”ד מאשה יודשקין ועו”ד ליאב שפירא הם עורכי דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרד.

מחלקת פרטיות, סייבר ובינה מלאכותית במשרד היא מהבולטות והמובילות בישראל, ומעניקה ייעוץ משפטי מקיף וחדשני לחברות טכנולוגיה, גופים מוסדיים, חברות ותאגידים מסקטורים שונים בארץ ומעבר לים. במסגרת שירותיה, מעניקה המחלקה שירותי ממונה הגנת הפרטיות כנדרש בחוק.