היום (23.7.2025) פורסמה טיוטת גילוי דעת עדכנית של הרשות להגנת הפרטיות ("הרשות", ״גילוי דעת״), המבהירה על חובת מינוי ממונה הגנת הפרטיות (Data Protection Officer – DPO) בארגונים.
חובת מינוי ממונה הגנת פרטיות (DPO) בישראל עוגנה במסגרת תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, אשר יכנס לתוקף ב-14.8.2025. בגילוי הדעת, הרשות מתייחסת להוראות תקנות הגנת המידע האירופי (GDPR) ובפרט ל-Article 37 אשר שימשו מקור השראה מרכזי לעיגון חובת ה-DPO בחקיקה ובפרקטיקה בישראל. גילוי הדעת מתייחס להיקף תחולת החובה למינוי DPO, מבהיר את דרישות הידע, הניסיון והכישורים הנדרשים מה-DPO, ומפרט את תחומי האחריות המרכזיים של ה-DPO ואת חובות הארגון להבטחת מילוי תפקידו באופן עצמאי ויעיל.
על מי חלה חובת מינוי DPO?
גוף ציבורי: כל גוף ציבורי כהגדרתו בחוק הגנת הפרטיות מחויב במינוי DPO, ללא תלות במספר המאגרים שברשותו. כמו כן, "מחזיק" במאגר של גוף ציבורי נדרש אף הוא למינוי כאמור.
גופים העוסקים בסחר במידע: החובה חלה על גופים אשר עיסוקם העיקרי הוא מסירת מידע לצדדים שלישיים בתמורה, לרבות סוחרי מידע (Data Brokers), חברות דאטה, חברות שירותי דיוור ישיר, וכדומה.
גופים העוסקים בניטור שוטף ושיטתי של בני אדם: החובה חלה על גופים המבצעים ניטור שיטתי ומתמשך של התנהגות בני אדם. דוגמאות לפעולות הכרוכות בניטור כאמור הינן, פעולות ברשתות חברתיות ואתרי אינטרנט המנתחים דפוסי גלישה והרגלי שימוש של גולשים, אפליקציות האוספות נתוני מיקום, פעילות גופנית או נתוני שימוש שוטפים, חברות פרסום דיגיטלי המבצעות "פרופיילינג" של משתמשים לצורך התאמת פרסומות ועוד.
גופים המעבדים מידע בעל רגישות מיוחדת: החובה חלה על גופים המעבדים מידע רגיש או מידע בעל רגישות מיוחדת (כגון מידע רפואי, ביומטרי, פלילי, נתוני אשראי, נטייה מינית, ועוד) בהיקף ניכר, גם אם אינם מחזיקים במספר רב של מאגרים. דוגמאות לגופים כאמור כוללות קופות חולים, בתי חולים ומרפאות פרטיות המעבדים מידע רפואי של מטופלים, חברות ביטוח ובריאות המנהלות נתונים רפואיים ונתוני תביעות, בנקים וחברות אשראי המטפלות בנתוני אשראי ונתונים פיננסיים רגישים, חברות טכנולוגיה המפתחות מערכות זיהוי ביומטרי (כגון זיהוי פנים או טביעת אצבע) ועוד.
מאגרי מידע בעלי היקף ניכר של מידע בעל רגישות מיוחדת: החובה חלה על בעל שליטה במאגר או המחזיק במאגר של מידע בעל רגישות מיוחדת ב"היקף ניכר". מדובר, בין היתר, במאגרים הכוללים מידע רפואי, נתוני אשראי, מידע ביומטרי, מידע פלילי, מידע על נטייה מינית, ועוד.
מה נדרש מבחינת תחומי הידע והכישורים של ה-DPO?
על פי גילוי הדעת, ה-DPO נדרש להיות בעל ידע מעמיק בדיני הגנת פרטיות בישראל, לרבות החוק, התקנות, פסיקת בתי המשפט, הנחיות הרשות להגנת הפרטיות, רגולציה מגזרית רלוונטית, אשר נרכש לרוב באמצעות ניסיון מעשי משמעותי בעיסוק משפטי או רגולטורי בתחום הגנת מידע ופרטיות. בנוסף, על ה-DPO להחזיק בהבנה טכנולוגית מספקת ובידע בסיסי בתחום אבטחת מידע, לרבות היכרות עם עקרונות ניהול סיכונים, תהליכי אבטחת מידע, והשלכות טכנולוגיות על פרטיות. ה-DPO נדרש גם ליכולת לעבוד בשיתוף פעולה עם ממונה אבטחת המידע (CISO) של הארגון, ולוודא שהיבטי פרטיות נלקחים בחשבון בתהליכי אבטחת המידע.
משימות ה-DPO בארגון
בהתאם לגילוי הדעת, על ה-DPO לשמש מוקד ידע וסמכות מקצועית לארגון בכל הנוגע לדיני הגנת הפרטיות. עליו לייעץ להנהלה ולעובדים, ללוות תהליכים ארגוניים ולסייע בקבלת החלטות הנוגעות לעיבוד מידע אישי, הן בהיבטים משפטיים והן בהיבטים מעשיים. גילוי הדעת מדגיש את חשיבות מעורבות ה-DPO בכל התהליכים המהותיים בארגון, לרבות תכנון מערכות חדשות, שינויי מדיניות, והטמעת טכנולוגיות חדשות.
אם כן, מסגרת אחריותו של ה-DPO כוללת בין השאר: ייעוץ לארגון ובפרט לצוות ההנהלה בנושאי פרטיות ואבטחת מידע הכולל בין השאר ווידוא כי בארגון קיימים נוהל אבטחת מידע ומסמך הגדרות מאגר; פיקוח על עמידה בדרישות הדין, לרבות יישום מדיניות ונהלים; ביצוע הערכות סיכונים ומתן המלצות לאמצעים לצמצום סיכונים; קידום מדיניות פרטיות והטמעתה בארגון; הדרכת עובדים והעלאת מודעות; מעורבות בטיפול ודיווח אירועי אבטחת מידע, לרבות בתהליכי תחקור אירועים והפקת לקחים; תיווך ותקשורת מול הרשות להגנת הפרטיות ונושאי מידע ובחינת עמידה בדרישות אבטחת מידע, בשיתוף פעולה עם ממונה אבטחת המידע (CISO) של הארגון.
מילוי תפקידו
ה-DPO נדרש לפעול באופן עצמאי ובלתי תלוי, ללא כפיפות לגורמים העלולים להעמיד אותו בניגוד עניינים, כגון מחלקות שיווק או הנהלה בכירה המעורבת בעיבוד מידע ועליו לדווח ישירות למנכ"ל או לעובד הכפוף במישרין למנכ"ל. מבחינת חובת הארגון בהקשר זו, מובהר כי הארגון מחויב להקצות ל-DPO את המשאבים, הסמכויות והגישה הנדרשים לצורך מילוי תפקידו באופן אפקטיבי ועצמאי. משאבים אלו כוללים זמן, כוח אדם, גישה למידע רלוונטי, הכשרות מקצועיות ותמיכה טכנולוגית, וזאת כדי להבטיח שה-DPO יוכל לבצע את משימותיו כנדרש וללא מגבלות תפעוליות או ארגוניות.
בהתאם לגישת ה-European Data Protection Board בהנחיותיה לעניין פרשנות חובת ה-DPO, גם הרשות מקדמת בגילוי הדעת מינוי וולונטרי של DPO גם בארגונים שאינם חייבים בכך על פי חוק. זאת, במטרה להבטיח ניהול מקצועי ומסודר של תחום הגנת הפרטיות, לצמצם חשיפה לסיכונים משפטיים, לשפר את עמידת הארגון בדרישות רגולציה עתידיות, ולחזק את אמון הלקוחות, העובדים והשותפים העסקיים של הארגון.
משרד שבלת מספק שירותי DPO חיצוני לארגונים מכל הסוגים. נשמח לסייע לכם בבחינת החובה, ביישום ההנחיות ובמתן שירותי ממונה הגנת פרטיות מקצועיים. נשמח לעמוד לרשותכם.
