עמיתים ולקוחות יקרים,

ברצוננו להביא לידיעתכם כי ביום 29.10.2020 פרסמה הרשות להגנת הפרטיות ("הרשות") מסמך הקורא לארגונים למנות ממונה הגנה על הפרטיות ("ממונה פרטיות") שיופקד על יישום דיני ההגנה על מידע אישי בארגון.

במסמך (המפורסם להערות הציבור) מציינת הרשות, כי על אף שככלל, הדין בישראל אינו כולל חובה למינוי בעל תפקיד בארגון שיהא אמון על הגנה על הפרטיות (למעט במקרים מסוימים מעטים, כגון החובה מכח חוק נתוני אשראי), מינוי וולונטרי של ממונה פרטיות מהווה פרקטיקה ראויה ומומלצת (Best Practice) לארגונים האוספים ומעבדים מידע אישי. לעמדת הרשות, מינוי ממונה פרטיות ישפר את רמת הציות בארגון לדיני הגנת המידע, יהווה אינדיקציה לקיום פעולות מצמצמות סיכון לפרטיות ואף יאפשר שיתוף פעולה מיטבי עם הרשות. בנוסף, מינוי ממונה פרטיות עשוי להידרש ממילא בארגון ישראלי הפועל במדינות בהן מינוי כאמור הוא בגדר חובה חוקית (למשל, גוף ישראלי הכפוף ל-GDPR).

הרשות מציינת כי מינוי ממונה פרטיות יכול שיהיה מינוי פנימי, עובד החברה או מינוי חיצוני לחברה. ככל שמדובר במינוי פנימי, על הארגון לוודא כי ממונה הפרטיות אינו נתון לניגוד עניינים עקב תפקיד אחר שהוא ממלא בארגון, כאשר ככל שמדובר בארגון גדול, או כאשר ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, או במקרים בהם מעובד מידע אישי בקנה מידה רחב, ראוי כי ממונה פרטיות יהיה מינוי פנימי ובעל תפקיד בכיר בארגון. ככל שמדובר בארגון בינוני או קטן, שליבת עיסוקו אינה כרוכה בעיבוד מידע אישי, ניתן למנות ממונה פרטיות חיצוני, שאינו עובד הארגון. הרשות מציינת כי כדי שיוכל למלא באופן מיטבי את תפקידיו והמשימות המוטלות עליו, מומלץ כי ממונה הפרטיות יהיה חלק מההנהלה הבכירה של הארגון.
המסמך משרטט את תפקידיו של הממונה, אשר ייקבעו  על פי מורכבות פעולות עיבוד הנתונים המתבצעות בארגון וגודל הארגון. המסמך ממליץ על שורה של תפקידים וסמכויות שיש להטיל על הממונה, ובהם: עיצוב מערכות המידע, ביצוע תסקיר השפעה וסיכונים, הכנת תכנית עבודה שנתית, פיקוח על קיום הוראות חוק הגנת הפרטיות, בקרה על קיום נהלים ומדיניות הקשורים במידע אישי בארגון, טיפול בבקשות של נושאי מידע או תלונות הנוגעות לעיבוד מידע אישי ולזכות לפרטיות, פעילות הממונה כמוקד ידע והנחיה בכל הנוגע לציות אחר הוראות חקיקת הפרטיות, ועוד.

הרשות מדגישה את החשיבות בסמכויות ובעצמאות המוענקים לממונה הפרטיות על מנת שזה יקיים את תפקידו בצורה המיטבית. בין היתר, על הארגון להבטיח כי ממונה הפרטיות מעורב בכל הנושאי הקשורים להגנה על מידע אישי בארגון, כי ניתנים לו כל המשאבים והסמכויות הנדרשים למילוי תפקידו, כי נשמרת עצמאותו המוסדית והמקצועית וכי ממונה הפרטיות לא ישמש בתפקיד נוסף בארגון אם יש בכך כדי ליצור ניגוד עניינים.

המסמך אף מגדיר את הידע וההכשרה הרלוונטיים והנדרשים לצורך כהונה כממונה פרטיות. הרשות סבורה כי ראוי שהכשרתו של הממונה ותחומי הידע שלו יכללו, בין היתר, הכשרה אקדמית מתאימה (למשל, במשפטים או בטכנולוגית מידע), ידיעה מעמיקה של דיני הגנת המידע האישי בישראל והיכרות עם דינים מקבילים באירופה ובארה"ב,  היכרות עם הפן העסקי של ניהול ארגון וכללי אתיקה מקצועית.

בנוסף לאמור, הרשות מבחינה בין תפקיד ממונה הפרטיות לבין תפקיד הממונה על אבטחת המידע בארגון (תפקיד המוגדר בחוק הגנת הפרטיות), כאשר לשיטת הרשות, בעוד שממונה על אבטחת מידע אמון על קיום עמידה בתקנים ובנהלים הרלוונטיים לאבטחת מידע והפעלת מכלול האמצעים הקשורים במניעת שימוש לרעה במידע, תפקידו של ממונה הפרטיות רחב יותר, ונוגע לעיצוב ולגיבוש תהליכי העבודה והנהלים בארגון הקשורים בניהול, עיבוד ושימוש במידע האישי (האמור כולל גם הנחיה מקצועית של ממונה לאבטחת מידע באשר לאופן בו יש ליישם את דרישות האבטחה).

בשלב זה המסמך אינו מחייב והוא בגדר טיוטה הפתוחה להערות הציבור, אותן ניתן להעביר לרשות עד ליום 29.11.2020.

לקריאת טיוטת המסמך בנוסחה המלא >> לחצו כאן

נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא​.

בברכה,
המחלקה המסחרית
הרצוג פוקס נאמן

נורית דגן | שותפה
המחלקה המסחרית
dagan@herzoglaw.co.il 

אוהד אלקסלסי | שותף
המחלקה המסחרית
elkeslassyo@herzoglaw.co.il