מרכז מדיה

טיוטת גילוי דעת של הרשות להגנת הפרטיות בנושא מינוי DPO

נורית דגן גבריאל כהן אולגה פרי אוהד אלקסלסי

24 יולי 2025

ביום 23 ביולי, 2025 פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת גילוי דעת להערות הציבור בנושא מינוי ממונה על הגנת הפרטיות בארגון (DPO) ("הממונה" ו-"הטיוטה" בהתאמה). דרישה זו נוספה במסגרת תיקון 13 לחוק הגנת הפרטיות, התשמ"א–1981 ("החוק" ), שעתיד להיכנס לתוקף ב-14 באוגוסט, 2025.

מטרת הטיוטה היא להבהיר את עמדת הרשות ופרשנותה לגבי היקף חובת המינוי, סוגי הגופים המחויבים במינוי, וכן תפקידיו, כישוריו ומעמדו של הממונה בארגון. הפרשנות המוצגת בטיוטה תשמש את הרשות בעת הפעלת הסמכויות המוקנות לה בנושא, בכפוף לכך שמדובר בטיוטה.

להלן יובאו עיקרי הטיוטה:

א.הגופים החייבים במינוי ממונה

  • גופים ציבוריים: כל בעל שליטה או מחזיק במאגר מידע שהוא גוף ציבורי (למשל, משרדי ממשלה, רשויות, קופות חולים ועוד), נדרש למנות ממונה, גם אם המאגר פטור מרשום. חובה זו אינה חלה על גוף בטחוני כהגדרתו בחוק.
  • גופים העוסקים בסחר במידע: בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה (כלומר Data Brokers במובן הרחב), לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם – חב בחובת מינוי.
  • גופים העוסקים בניטור שוטף ושיטתי של בני אדם: בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים או כרוכים בפעולות עיבוד מידע, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם בהיקף ניכר (כגון ספקי תקשורת סלולרית וספקי שירותי חיפוש מקוון) – חבים במינוי ממונה. "ניטור שוטף ושיטתי" רלוונטי להתחקות אחר פעילות משתמשים באפליקציות ובאתרי אינטרנט (תדירות השימוש, סוגי הפעולות וזמניהן) ועיבוד מידע אישי כדי ליצור פרופיל של תכונות/התנהגויות/תחומי עניין/העדפות למטרות כמו פרסום ממוקד, התאמות תוכן וניהול סיכונים.

המונח "היקף ניכר", שהוא תנאי גם בקטגוריה הבאה, נבחן לפי מכלול נסיבות ושיקולים משתנים. החוק נוקב מספר קריטריונים כמו מספר נושאי המידע, היקף המידע, משך ותדירות פעולות העיבוד ועוד. קריטריונים אלה אינם חייבים להתקיים באופן מצטבר, ופירוטם בגוף החוק נועד להבהיר את תכלית המונח. ייתכן גם שיתכנו שיקולים נוספים מעבר למנויים בסעיף.

  • גופים המעבדים מידע בעל רגישות מיוחדת: בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד בהיקף ניכר של "מידע בעל רגישות מיוחדת" (למשל, מידע רפואי או פיננסי)– חב בחובת מינוי. הכוונה היא לעיבוד מידע אישי שהוא רכיב מרכזי בהגשמת המטרות העסקיות או הארגוניות העיקריות של בעל השליטה במאגר או המחזיק, או חלק אינהרנטי מפעילות הליבה של הארגון. לפי החוק דרישה זו חלה על בנקים, חברות ביטוח, בתי חולים וקופות חולים.
  • מקרים של ספק ומינוי וולונטרי: הרשות ממליצה כי גם ארגונים שאינם מחויבים בחוק למנות ממונה, ובפרט גופים דו-מהותיים (הכפופים לעקרונות המשפט הציבורי, אף שאינם גוף ציבורי), ימנו ממונה, לשם שיפור הציות לדיני הגנת הפרטיות, חיזוק תפיסת האחריותיות הארגונית בניהול מידע אישי, חיזוק אמון בקרב הלקוחות ונושאי המידע בארגון ועוד.

 

ב.הידע והכישורים הנדרשים מהממונה

החוק קובע באופן כללי כי הממונה יהיה בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה, ועל כל ארגון לבחון בהתאם לנסיבות את תחומי הידע והכישורים החשובים. ראוי שגישתו המקצועית של הממונה תכיר בערך ההגנה על הזכות לפרטיות ושיהיה בעל יכולת עבודה בצוות, כושר שכנוע והובלת תהליכים מול דרגים בכירים.

עוד נדרש כי לממונה יהא: (1) ידע מעמיק בדיני הגנת הפרטיות, שנרכש לרוב באמצעות ניסיון מעשי משמעותי, ורצוי שיעבור הכשרה בסיסית לממונים בטרם כניסתו לתפקיד, כאשר המומחיות תהיה ניתנת להוכחה; (2) הבנה הולמת בטכנולוגיה ובאבטחת מידע – ברמה שתיתן בידיו כלים למלא את תפקידיו בארגון באופן הולם, ובכלל זה הבנה של סיכוני האבטחה הכרוכים בפעילות הארגון ושל נאותות הפתרונות המוצעים להם; (3) היכרות עם תחומי פעילותו של הארגון ומטרותיו – הממונה נדרש להכיר את הארגון, מבנהו, המגזר במסגרתו פועל, גופים מולם מתנהל ומאפייני נושאי המידע על מנת שיוכל לזהות סיכונים פוטנציאליים, להתאים את מדיניות עיבוד המידע לצרכים הייחודיים של הארגון וליישם את הרגולציה בתהליכי העבודה.

 

ג.ייעוד הממונה ותפקידיו

הממונה נדרש להבטיח את קיום הוראות החוק בארגון, ולפעול לקידום ולשיפור ההגנה על הפרטיות ואבטחת מידע גם מעבר למינימום הקבוע בדין. לכן, תפקיד מרכזי של הממונה הוא להפנים "תרבות פרטיות" בארגון בכל תהליכי עבודה הנוגעים למידע אישי. הממונה ישמש כמתאם של תהליכי הציות לדרישות המתחייבות ולפרקטיקות הרצויות, אך ללא אחריות אישית.

תפקידיו כוללים בין היתר גם מקור סמכות מקצועית וייעוץ (ויש לשקול את עמדתו בכובד ראש ולנמק החלטה שלא לאמצה, למרות שאינה מחייבת), הדרכה (הכנת תכנית הדרכה ופיקוח על ביצועה), בקרה שוטפת על העמידה בהוראות החוק (הכנת תכנית, ווידוא ביצועה ודיווח להנהלה על ממצאיו והמלצותיו לתיקון הליקויים),  ווידוא עריכת נוהל אבטחת מידע ומסמך הגדרות המאגר (מומלץ בהשתתפות פעילה בהכנה ובעדכון), טיפול בפניות ובקשות של נושאי מידע בהתאם להוראות החוק, לשמש איש קשר של הארגון עם הרשות (לרבות מעורבות בדיווח לרשות על אירוע אבטחה חמור גם בטיפול באירוע עצמו).

 

ד.מעמד הממונה, מתכונת העסקתו והיקפה

מומלץ שהממונה יהיה עובד הארגון, אך הוא יכול להיות גם נותן שירותים חיצוני. מתכונת ההעסקה והיקף המשרה צריכים להיבחן לגופו של כל ארגון. רק יחיד יכול להתמנות כממונה, ואין חובה מפורשת שהוא יהיה אזרח או תושב ישראל, אך עליו להיות זמין ונגיש גם באופן פיזי בארגון ככל הנדרש לביצוע נאות של תפקידיו.

יש לספק לממונה את התנאים והמשאבים הדרושים למילוי תפקידו (גיוס צוות מקצועי, גובה תקציב פעילותו), לוודא כי הוא מעורב בכל נושא הנוגע לדיני הגנת הפרטיות (שימור ועדכון הידע המקצועי, גישה לכל המידע הדרוש לו, השתתפות בדיונים)  ולהבטיח שלא ימצא בחשש לניגוד עניינים (כדי לחזק את עצמאות שיקול דעתו). כל ארגון רשאי להחליט על מיקום הממונה במבנה הארגוני לפי שיקול דעתו ובהתאם לצרכיו, אך יש לוודא כי אין חשש לניגוד עניינים וכי הוא מדווח ישירות למנכ"ל או לגורם הכפוף למנכ"ל במישרין.

 

ה.האם הממונה יכול למלא גם תפקיד של ממונה אבטחת מידע או CISO בארגון?

אומנם החוק אינו אוסר במפורש שאותו אדם יכהן בשני התפקידים, אך דרישות החוק בעניין הידע והכישורים של הממונה לא מתאימות למאפיינים של תפקיד ממונה האבטחה, ולעיתים נוצרת מורכבות משפטית להטלת כפל התפקידים על אותו אדם. הטעמים לכך הם שממונה אבטחת מידע אינו בהכרח בעל ידע מעמיק בדיני הגנת הפרטיות, שוני בתפקידים העשוי להוביל להתנגשות ככל שלא מתאפשר לאזן בין התפקידים בצורה נאותה, ובנוסף, החוק מחייב שהממונה על הגנת הפרטיות ידווח ישירות למנכ"ל הארגון, או לעובד הכפוף במישרין למנכ"ל, בעוד שממונה אבטחת המידע הארגוני לא בהכרח יעמוד בדרישה זו של בכירות ודיווח ישיר.

 

הרשות מדגישה כי בכוונתה להשתמש בסמכויותיה על מנת לוודא כי מינויו של הממונה להגנת הפרטיות בארגונים השונים נעשית בהתאם לקבוע בחוק, וכי לממונה ידע מעמיק בהיבטים המשפטיים והרגולטורים של דיני הגנת הפרטיות.

ניתן להעביר הערות לטיוטת ההנחיה עד ליום 23.09.2025 בשעה 12:00.

לנוסח המלא של טיוטת גילוי הדעת – לחצו כאן.

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

 

בברכה,

צוות רגולציה – המחלקה המסחרית

הרצוג פוקס נאמן

תחומי עיסוק קשורים

עורכי דין קשורים

עוד חדשות

מבצע "עם כלביא" – מתווה פיצויים לעסקים עבור נזקים עקיפים
טיוטת צו חדשה: הפחתת המס על רכבים ביבוא עקיף
הצעת חוק להסדרת השימוש בקנאביס למטרות רפואיות, התשפ"ג–2022
הרשמו
לדיוורים שלנו

    2020 © כל הזכויות שמורות. הרצוג פוקס נאמן
    Site by Gootte

    המידע המופיע באתר זה מסופק למטרות הסברה בלבד, אין להתייחס אליו כאל ייעוץ משפטי בכל נושא שהוא ואין להסתמך עליו ככזה. הרצוג פוקס נאמן אינם נושאים באחריות כלשהי בקשר לכל ההשלכות האפשריות הנובעות משימוש במידע המופיע באתר זה. גישה למידע הכלול באתר זה לא תיחשב בשום פנים ואופן כיצירת יחסי עורך דין-לקוח בין הרצוג פוקס נאמן לבין כל גורם הניגש לאתר זה. פנייה באמצעות דואר אלקטרוני לכל עורך דין שפרטיו מצוינים באתר זה, או שליחת מידע ללא הסכמה מוקדמת של הרצוג פוקס נאמן, לא תתפרש כיצירה אוטומטית של מערכת יחסי עורך-דין לקוח בין הרצוג פוקס נאמן לבין הצד השולח את הדואר האלקטרוני או המידע. החומר הכלול באתר זה נוצר על-ידי, ונשאר בבעלותם הבלעדית, של הרצוג פוקס נאמן. אסור לשכפל, להעביר, לפרסם או להפיץ בכל דרך אחרת את המידע הכלול באתר זה, אלא אם התקבלה הסכמתם בכתב ומראש של הרצוג פוקס נאמן. אתר זה עשוי להכיל קישורים לאתרי אינטרנט אחרים המופעלים על ידי צדדים שלישיים. הרצוג פוקס נאמן אינם נותנים חסות, מאשרים או תומכים בתוכן של כל אתר אינטרנט כאמור ואינם אחראים לתכנים המופיעים באתרים אלו.