לקוחות וידידים.ות יקרים.ות,
בחודש אוגוסט הקרוב יכנס לתוקף תיקון מספר 13 לחוק הגנת הפרטיות, התשמ"א – 1981 (בהתאמה: "התיקון" ו"החוק") אשר נועד, בין היתר, להתאים את הרגולציה בישראל לחוקי פרטיות גלובליים כגון תקנות ה-GDPR האירופאיות. הוראות התיקון מטילות חובות חדשות וסנקציות חמורות ומשמעותיות על ארגונים אשר ימצאו בהפרה להוראות החוק ותקנותיו.
החוק קובע תנאים ודרישות למינוי ה-DPO כאשר חלקן מעוררות קושי מהותי במינוי DPO פנימי. כך למשל, בהתאם לדרישות החוק ה-DPO לא יכול להימצא בניגוד עניינים ולא להיות כפוף לגורם בארגון הנמצא בניגוד עניינים – לכן, ככלל, אנשי אבטחת המידע (CISO), או בעלי תפקידים שונים בחברה לא יכולים להתמנות ל-DPO. כמו כן, דרישות החוק מחייבות סט של כישורים ותחומי ידע וביניהם: ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל(לא בהכרח במסגרת השכלה משפטית פורמאלית), הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע.
הגופים הבאים יהיו חייבים על פי חוק במינוי DPO:
- מוסדות ציבור: גופים ציבוריים כהגדרתם בחוק או מחזיקים במאגר מידע של גופים ציבוריים (למעט גופים ביטחוניים המוחרגים בחוק). מובהר כי ההגדרה לגוף ציבורי תחת החוק היא רחבה וכוללת כל גוף ציבורי הממלא תפקידים ציבוריים על פי דין.
- ארגונים הסוחרים במידע: גופים הממלאים תפקיד "בעל שליטה במאגר מידע" המונה מידע אישי על יותר מ-10,000 בני אדם ושמטרתו העיקרית של המאגר היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה (לרבות שירותי דיוור ישיר). מדובר בין היתר בחברות ״data broker״, ״data enrichment״ ו-״lead generation״, אך גם חברות העוסקות בעולם הפרסום המקוון וחברות העוסקות בהשמת כוח אדם עשויות להיכנס לגדרי להגדרת סעיף זה.
- ארגוני פיקוח ומעקב: גופים הממלאים תפקיד "בעל שליטה במאגר מידע" או מחזיק במאגר מידע של גופים כאמור העוסקים בפעולות עיבוד מידע אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם, ובכלל זה מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר.
- גופים המנהלים מידע רגיש בהיקף נרחב: גופים הממלאים תפקיד "בעל שליטה במאגר מידע" או מחזיק במאגר מידע של גופים כאמור שעיסוקיהם העיקריים כוללים עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר. החוק מפרט דוגמאות לגופים העונים להגדרה זאת וביניהם: תאגיד בנקאי, חברות ביטוח, בתי חולים וקופות חולים ועוד. דרישות מקבילות למינוי בעל תפקיד דומה בהגדרתו לממונה הגנת הפרטיות קיימות מטעם המפקח על הבנקים ועל גופים בעלי רישיון פיננסי.
האם גם לגוף שאינו מחויב על פי דין למנות DPO כדאי למנות בעל תפקיד זה?
מינוי ממונה על הגנת הפרטיות בגופים שאינם נדרשים במינוי על פי דין, עשוי לתרום משמעותית בהטמעת עקרונות ושיקולי פרטיות בתהליכי העבודה השונים ובסיוע לארגון במילוי אחריותו וחובותיו לפי דיני הגנת הפרטיות. מינוי זה הפך בשנים האחרונות לפרקטיקה מקובלת בשוק (ובפרט בארגונים העובדים או מתכוונים לעבוד בשוק הבינ"ל) לאור תחיקת חוקי הגנת פרטיות בעלי תחולה אקס-טריטוריאלית.
הרשות להגנת הפרטיות ציינה בעבר כי מינוי ממונה על הגנת הפרטיות באופן וולונטרי מהווה פרקטיקה ראויה ומומלצת (Best Practice) ואינדיקציה לכך שהארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי המנוהל או מוחזק על ידו, ומאפשר שיתוף פעולה מיטבי עם הרשות להגנת הפרטיות. בנוסף, מינוי ממונה על הגנת הפרטיות עשוי לחזק את אמון לקוחות החברה ושותפיה העסקיים ביחס לאופן שבו היא מנהלת ומגנה על מידע ומידע אישי.
עם כניסתו של התיקון לתוקף ולאור הגברת סמכויות האכיפה של הרשות להגנת הפרטיות, עולה החשיבות לבחון את תהליכי עיבוד המידע האישי של הארגון וניהול מאגרי המידע האישי, לוודא כי מסמכי המדיניות של הארגון ונהליו בנושא עומדים בדרישות החוק ובכך לצמצם את הסיכון לעיצומים כספיים או הליכי אכיפה אחרים.
צוות פרקטיקת DPO as a Service במשרדנו עומד לרשותכם ליישום דרישות תיקון 13 לחוק הגנת הפרטיות, שייכנס לתוקף באוגוסט הקרוב, וליישור קו עם דרישות הדין הבינ"ל בנושא.
הצוות, המונה עורכי דין בעלי מומחיות וניסיון רב, מעניק שירותים אלה לארגונים וחברות רבות בישראל ומחוצה לה, ומציע מענה ברמה הגבוהה ביותר – כך שסל השירותים המשפטיים שלכם נשאר תחת קורת גג אחת ואינכם נדרשים לפנות לספקים חיצוניים.
השירות שלנו כולל:
- בחינת חובת המינוי של ממונה על הגנת הפרטיות בארגונכם
- מינוי ממונה הגנת פרטיות חיצוני העומד בכל דרישות החוק
- ייעוץ שוטף וניווט בדרישות רגולציית הפרטיות בישראל (לפי סעיף 17ב2) ובזירה הבין-לאומית
- פיקוח, ניהול ומתן מענה לפניות נושאי-המידע, כולל ממשק רציף מול הרשות להגנת הפרטיות
- ליווי מקצועי של צוות מומחים בפרטיות, אבטחת מידע, סייבר, טכנולוגיה ובינה מלאכותית
נשמח לעמוד לרשותכם לכל שאלה או לייעוץ פרטני.
