גילוי דעת: מינוי ממונה על הגנת הפרטיות בארגון לפי דרישות תיקון 13 לחוק הגנת הפרטיות

ביום 23.7.2025 פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") טיוטת גילוי דעת להערות הציבור בנושא מינוי ממונה על הגנת הפרטיות בארגון לפי דרישות תיקון 13 לחוק הגנת הפרטיות (להלן: "טיוטת גילוי הדעת"). אחד החידושים העיקריים בתיקון 13, שצפוי להיכנס לתוקף באוגוסט, הוא החובה למנות ממונה על הגנת הפרטיות בגופים ציבוריים ובשורה ארוכה של ארגונים נוספים מכל רחבי המשק שפעולתם כרוכה בסיכון גבוה לפרטיות. מטרתו של גילוי הדעת להציג את עמדת הרשות ביחס להיקף החובה, מהות תפקידיו של הממונה, הידע והכישורים הנדרשים ממנו, וביחס להוראות נוספות בחוק המסדירות את מעמדו של הממונה בארגון ומתכונת העסקתו. להלן עיקרי טיוטת גילוי הדעת:

על מי מוטלת החובה למנות ממונה על הגנת הפרטיות?

1. גופים ציבוריים – בעל שליטה במאגר מידע שהוא גוף ציבורי כהגדרתו בסעיף 23 לחוק, על שתי חלופותיו: הן משרדי הממשלה, רשויות המדינה, רשויות מקומיות (יובהר כי חברה ממשלתית או תאגיד עירוני אינם חלק מן האישיות המשפטית של המדינה או הרשות המקומית, לפי העניין, ולכן לא ייחשבו "גוף ציבורי" אלא אם כן הם ממלאים "תפקיד ציבורי על פי דין" או נכללים בצו שפורסם מכוח סעיף 23(2) לחוק) וגופים אחרים הממלאים תפקיד ציבורי על פי דין (כגון המוסד לביטוח לאומי) והן גופים אחרים הכלולים בצו הגנת הפרטיות (קביעת גופים ציבוריים), התשמ"ו-1986 שקבע שר המשפטים מכוח סעיף 23(2) לחוק, לרבות קופות חולים, בתי חולים, מוסדות להשכלה גבוהה, ארגוני עובדים ועוד. חובת המינוי חלה גם על כל "מחזיק" במאגר מידע של גוף ציבורי.
2. גופים העוסקים בסחר במידע – בעל שליטה במאגר מידע שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, לרבות שירותי דיוור ישיר, ויש במאגר מידע אישי על יותר מ-10,000 בני אדם.
3. גופים העוסקים בניטור שוטף ושיטתי של בני אדם – בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים פעולות עיבוד מידע או כרוכים בפעולות כאמור, אשר נוכח טיבן, היקפן או מטרתן מחייבות ניטור שוטף ושיטתי של בני אדם. כדוגמה לעיבוד מידע הכולל ניטור שוטף ושיטתי, מציין החוק "מעקב או התחקות שיטתית אחר התנהגותו, מיקומו או פעולותיו של אדם, בהיקף ניכר", ומזכיר גם ספקי תקשורת סלולרית וספקי שירותי חיפוש מקוון (כגון מנועי חיפוש). המונח "ניטור שוטף ושיטתי" רלוונטי במיוחד להתחקות אחרי פעילות משתמשים באפליקציות ובאתרי אינטרנט (כגון תדירות השימוש, סוגי הפעולות שמתבצעות, וזמני הפעולות), ולעיבוד מידע אישי במטרה ליצור פרופיל של תכונות, התנהגויות, תחומי עניין או העדפות של אנשים (profiling), למגוון מטרות, לרבות פרסום ממוקד, התאמה אישית של תוכן ושירותים, וניהול סיכונים (דירוג אשראי, חיתום ביטוחי, איתור הונאות ועוד). הרשות מונה גם את הדוגמאות הבאות וציינה כי לא מדובר על רשימה ממצה: אפליקציות האוספות נתוני מיקום במרחב הפיזי, אפליקציות והתקני מחשוב לביש העוקבים אחרי נתוני בריאות, מתקנים מחוברים לאינטרנט כגון כלי רכב חכמים ומכשירי חשמל ביתיים המחוברים לרשת (אינטרנט של הדברים) מאגרי הצילומים של מצלמות מעקב וספקי אינטרנט.
4. גופים המעבדים מידע בעל רגישות מיוחדת – בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד בהיקף ניכר של מידע בעל רגישות מיוחדת (כהגדרת מונח זה בחוק). ב"עיסוקו העיקרי" הכוונה היא לעיבוד מידע אישי שהוא רכיב מרכזי בהגשמת המטרות העסקיות או הארגוניות העיקריות של בעל השליטה במאגר או המחזיק, או חלק אינהרנטי מפעילות הליבה של הארגון (אף אם איננו חיוני להגשמתה). כך לדוגמא, עיבוד מידע רפואי על מטופלים נכלל בעיסוקם העיקרי של מוסדות רפואיים. לעומת זאת, חובה זו לא תחול על עיבוד מידע בעל רגישות מיוחדת הנדרש רק לצורך ביצוע מטרות עזר משניות כגון העסקת עובדים, אם אינן בעלות זיקה ישירה למטרות המרכזיות של הארגון. החוק קובע במפורש כי בנקים, חברות ביטוח, בתי חולים וקופות חולים חייבים במינוי ממונה לפי קטגוריה זו.

מהו עיבוד מידע ב"היקף ניכר"?

למונח עיבוד מידע "בהיקף ניכר" אין סף כמותי חד ערכי ויש לבחון אותו לפי מכלול הנסיבות והשיקולים, למשל: מספר בני האדם שמידע מעובד לגביהם; שיעורם באוכלוסייה מסוימת; היקף המידע; כמות המידע; הטווח (המגוון) של סוגי המידע המעובד; משך ותדירות פעולות העיבוד; משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד. קריטריונים אלה אינם חייבים להתקיים במצטבר. כך למשל, ברור שפעולות עיבוד של מידע אישי על מספר גדול של בני אדם ייחשבו לפעולות עיבוד "בהיקף ניכר", גם אם לא מתקיים אף אחד משאר השיקולים הנזכרים לעיל. כמו כן, יתכנו גם שיקולים נוספים מעבר לאלו המנויים לעיל (והמפורטים בחוק), אותם ניתן יהיה לשקול לצורך בחינה האם עיבוד מידע על-ידי ארגון מסוים עולה כדי עיבוד בהיקף ניכר.

מינוי וולונטרי של ממונה על הגנת הפרטיות

גם בארגונים שאינם חייבים במינוי ממונה, הרשות ממליצה לשקול מינוי ממונה. לגישת הרשות מינוי כאמור תורם משמעותית לשיפור הציות לדיני הגנת הפרטיות, מחזק את תפיסת האחריותיות הארגונית בניהול מידע אישי, ותואם את האינטרסים העסקיים של הארגון, למשל על-ידי כך שמסייע בבניית האמון בקרב לקוחות ונושאי מידע אחרים של הארגון, המעריכים את המאמצים שהגוף נוקט להגנה על פרטיותם, ומכאן תורם גם לחיזוק המוניטין של הארגון.

הידע והכישורים הנדרשים מן הממונה

לפי החוק הממונה על הגנת הפרטיות צריך להיות "בעל הידע והכישורים הנדרשים למילוי תפקידו בצורה נאותה״. זו הדרישה המהותית והכללית שאת תוכנה והיקפה יש לקבוע בכל מקרה לגופו "בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו". בכלל זה, ראוי כי גישתו המקצועית של הממונה תכיר בערך ההגנה על הזכות לפרטיות, ונדרש כי יהיה בעל יכולת עבודה בצוות וכושר שכנוע, בעל יכולת עבודה והובלת תהליכים מול דרגים בכירים, בעל כישורי ניהול צוות (בארגונים גדולים), ושליטה בשפת העבודה המקובלת בארגון והשגורה בקרב נושאי המידע (בהיעדר עברית, על הארגון לספק אמצעים לגישור על פערי השפה). על כל ארגון לבחון, בהתאם למאפייניו הספציפיים, מהם תחומי הידע והכישורים הנדרשים לביצוע אפקטיבי של התפקיד. בנוסף, החוק מפרט תחומי ידע ספציפיים בהם חייב כל ממונה לשלוט –

1. ידע מעמיק בדיני הגנת הפרטיות: על הממונה להיות בעל שליטה מלאה ומקיפה במכלול החקיקה והרגולציה הישראלית בתחום הגנת הפרטיות, לרבות: חוק הגנת הפרטיות, פסיקה רלוונטית, תקנות וההוראות שפורסמו מכוח חוק הגנת הפרטיות, הפרשנות שניתנה להן על-ידי הרשות להגנת הפרטיות בהנחיותיה ובשאר מסמכי המדיניות שפרסמה, חקיקה ורגולציה מגזרית בתחום הגנת המידע האישי רלוונטית לפעילות הארגון וכללי המשפט החוקתי והמנהלי הנוגעים לפרטיות (בארגונים הכפופים למשפט הציבורי). בארגונים בינלאומיים, מומלצת גם היכרות עם חקיקת פרטיות זרה מובילה. על פי רוב, ידע מעמיק בדיני הגנת הפרטיות נרכש באמצעות ניסיון מעשי משמעותי בעיסוק בהיבטים משפטיים או רגולטוריים בתחום הגנת הפרטיות. בנוסף, רצוי שהממונה יעבור גם הכשרה בסיסית לממוני הגנת פרטיות בטרם כניסתו לתפקיד. לעניין זה, השתלמות תעודה לממוני הגנת פרטיות או השתלמות תעודה בנושא הגנת מידע אישי, מטעם הרשות להגנת הפרטיות או בחסותה, המתקיימות בהיקף של 40 שעות לפחות, ייחשבו ל-"הכשרה בסיסית לממוני הגנת פרטיות". הרשות מבהירה כי ניתן לרכוש ידע מעמיק בדיני הגנת הפרטיות גם בדרכים אחרות, אך בכל מקרה המומחיות צריכה להיות ניתנת להוכחה, למשל באמצעות אסמכתאות על לימודים או ניסיון מעשי. הרשות מדגישה כי השתתפות בהשתלמויות הנערכות מטעם הרשות או בחסותה איננה חובה לצורך עמידה בתנאים הקבועים בחוק למינוי כממונה על הגנת הפרטיות, ומאידך בפני עצמה היא גם לא מספיקה כדי לעמוד בדרישת הידע המעמיק בדיני הגנת הפרטיות, אם היא אינה מלווה בניסיון או בהשכלה נוספת כמפורט לעיל.
2. הבנה הולמת בטכנולוגיה ואבטחת מידע: הממונה על הגנת הפרטיות נדרש להפגין הבנה טכנולוגית שתאפשר לו לבצע את תפקידו ביעילות בהתאם למאפייני הארגון והטכנולוגיות בהן נעשה שימוש, כולל הכרת מחזור חיי המידע וזרימתו בארגון. אין חובה לתואר אקדמי במדעי המחשב או טכנולוגיות מידע או ניסיון מעשי בתחום התוכנה, אם הדבר לא נחוץ למילוי התפקיד בארגון בו הוא מכהן. אולם, לכל הפחות עליו להיות בעל אוריינטציה טכנולוגית שתאפשר לו לבחון האם אופן השימוש בטכנולוגיה עומד בדרישות החוק, לקדם הטמעה של עיקרון Privacy by Design בתכנון מערכות הארגון ושימוש בטכנולוגיות מגבירות פרטיות ולהיות מעורב באופן אפקטיבי בניתוח השלכות השימוש בטכנולוגיות חדשות ובהערכת סיכוני הפרטיות הנובעים מפעילות הארגון. גם הבנתו של הממונה על הגנת הפרטיות בתחום אבטחת המידע אינה חייבת לכלול דווקא ניסיון מעשי ספציפי ביישום אמצעי אבטחה, או הסמכות פורמאליות. זאת במיוחד כאשר קיימים בארגון בעלי תפקיד ייעודיים לכך, למשל ממונה על אבטחת מידע, CISO וכדומה. אולם, נדרשת הבנה מספקת של סיכוני האבטחה הכרוכים בפעילות הארגון והפתרונות המוצעים להם. עם זאת, על הממונה להיות בעל ידע מעמיק בהיבטים המשפטיים והרגולטוריים של אבטחת המידע כנדבך של דיני הגנת הפרטיות.
3. היכרות עם תחומי פעילותו של הארגון ומטרותיו: הממונה על הגנת הפרטיות נדרש להכיר את ייעודו של הארגון ותחומי העיסוק שלו; המבנה התאגידי; חלוקת תחומי האחריות ותהליכי העבודה הנהוגים בו, בדגש על תהליכי עיבוד מידע; המגזר או השוק במסגרתו הארגון פועל ועיקרי הרגולציה המגזרית (מעבר לרגולציית הפרטיות הייחודית למגזר); גופים אחרים איתם מקיים הארגון שיתוף פעולה עסקי או אחר; ומאפייני נושאי המידע עליהם הארגון אוסף ומעבד מידע, בדגש על אוכלוסיות מיוחדות (למשל קטינים). ההיכרות עם תחומי פעילות הארגון יכולה לנבוע למשל מעבודה קודמת בתפקיד אחר בארגון עצמו, מניסיון מעשי בארגונים אחרים באותו מגזר או בתחומים המשיקים באופן ממשי לפעילותו או מלימוד יזום של תחום התוכן בו עוסק הארגון, ועליה להיות ברמה שתאפשר לממונה לזהות סיכונים פוטנציאליים בתחום הפרטיות, להתאים את מדיניות עיבוד המידע לצרכים הייחודיים של הגוף, וליישם ביעילות את החוק, התקנות ועקרונות הגנת הפרטיות בתהליכי העבודה.

תפקידי הממונה על הגנת הפרטיות:

ייעודו של הממונה על הגנת הפרטיות הוא להבטיח את קיום הוראות החוק בארגון, וגם לפעול לקידום ושיפור ההגנה על הפרטיות ואבטחת המידע גם מעבר למינימום הקבוע בדין. לצורך כך, תפקיד מרכזי של הממונה הוא להביא להפנמה של "תרבות פרטיות" בארגון ושל עקרונות ושיקולי פרטיות בכל תהליכי העבודה הנוגעים למידע אישי ולמערכות המידע בארגון, תוך הטמעה של תפיסת עיצוב לפרטיות ושל טכנולוגיות מגבירות פרטיות ככל שיש בהן רלוונטיות לפעילות הארגון. גם עריכת תסקיר השפעה על הפרטיות היא כלי ראשון במעלה לשמירה מיטבית על הפרטיות בארגון, ומומלץ לכל ממונה על הגנת הפרטיות לקדם את השימוש בו ולהוביל או להיות מעורב באופן משמעותי בביצועו. חוק הגנת הפרטיות אינו מטיל על הממונה אחריות אישית במקרה של אי-ציות להוראותיו, ועיקר שליחותו היא בתחומי הייעוץ, ההדרכה, הפיקוח והבקרה.

החוק קובע שתפקיד הממונה על הגנת הפרטיות כולל בין השאר גם את כל המשימות הבאות:

• סמכות מקצועית וייעוץ: הממונה ישמש מוקד ידע וייעץ להנהלה ולעובדים הן בהוראות דיני הפרטיות והן בעקרונות לקידום שמירה על פרטיות מעבר לדרישות הדין. עליו לנקוט גישה פרואקטיבית, להציע סיוע יזום ונגיש לכלל המחלקות הרלבנטיות ולאורך כל שלבי עיבוד המידע בארגון. יש לשקול בכובד ראש את עמדתו של הממונה ויש לנמק החלטה שלא לאמצה. על מנת שהממונה על הגנת הפרטיות יוכל להצליח במילוי תפקידו, עליו לקיים שיח שוטף עם היועץ המשפטי והגורמים האחראיים לאבטחת המידע בארגון ולפעול בשיתוף פעולה מלא איתם.
• הדרכה: הכנת תכנית הדרכה ופיקוח על ביצועה. בהתאם לגודל הארגון ופריסתו, רצוי ככל הניתן שהממונה הוא שידריך את העובדים בעצמו. מטרת ההדרכה היא להעלות את מודעות ההנהלה וכלל העובדים לחובותיהם על פי דין ולחשיבות השמירה על פרטיות המידע האישי, ולצייד אותם בכלים מעשיים לציות להוראות החוק ולהתמודדות עם אתגרי הפרטיות.
• בקרה שוטפת על העמידה בהוראות החוק: הכנת תוכנית לבקרה שוטפת על העמידה בהוראות החוק, לכל הפחות לוודא את ביצועה (אם כי רצוי שיהיה גם מעורב בביצוע שלה בפועל), ולדווח להנהלת הארגון על ממצאיו והמלצותיו לתיקון ליקויים. רצוי שתוכנית הבקרה תהיה שנתית ושגם הדיווח להנהלה ייעשה לפחות אחת לשנה, אלא אם ממצאי היישום שלה יצביעו על צורך בתכיפות גבוהה יותר.
• נוהל אבטחת המידע ומסמך הגדרות המאגר: ווידוא כי הארגון ערך נוהל אבטחת מידע ומסמך הגדרות מאגר בהתאם לכלל הדרישות על פי תקנות 2 ו-4 לתקנות אבטחת המידע, ושאלו אושרו בידי הגורמים הרלוונטיים בארגון, כמפורט בגילוי הדעת. הרשות מציינת כי רצוי שהממונה ייקח חלק פעיל יותר בהכנת המסמך ובעדכונו. בכל הנוגע לנוהל אבטחת המידע, כאשר קיים בארגון ממונה אבטחת מידע, הוא שאחראי להכין את נוהל האבטחה ולהביאו לאישור האורגנים המוסמכים. אולם בארגון שבו אין ממונה על אבטחת מידע, רצוי שהממונה על הגנת הפרטיות יפגין מעורבות גדולה יותר גם בהכנתו של הנוהל האמור.
• טיפול בפניות ובקשות של נושאי מידע: ווידוא טיפול בכל פניה של נושא מידע הנוגעת לעיבוד מידע אודותיו בארגון, לרבות בקשות למימוש זכויות אישיות הנתונות להם לפי החוק. על הממונה לדאוג לכך שהבקשות ושאר הפניות יקבלו מענה מקצועי וענייני בהתאם לדרישות החוק ובמסגרת הזמן שנקבעה בדין, או תוך זמן סביר. רצוי שהממונה יטפל או ירכז בעצמו את הטיפול בפניות ובבקשות נושאי המידע. על הארגון לפרסם לציבור באופן נגיש ופשוט (כגון פרסום באתר האינטרנט של הארגון, במדיניות הפרטיות ובערוצי תקשורת רלוונטיים נוספים, במטרה להקל על הציבור בפנייה ובקבלת מענה) את דרכי ההתקשרות עם הממונה, ורצוי שאלה יכללו כתובת דוא"ל, מספר טלפון לשיחות ולהודעות ווטסאפ, ומען למשלוח דואר פיזי.
• הממונה ישמש איש הקשר של הארגון עם הרשות להגנת הפרטיות: כל פניה של הרשות אל הממונה או תקשורת איתו כמוה כפניה לגורמים המוסמכים והרלוונטיים בארגון או כתקשורת עימם. גם במקרים בהם הארגון הוא שפונה לרשות, הפניה אינה חייבת להישלח דווקא מאת הממונה, אבל לכל הפחות על הממונה להיות מכותב להתכתבות או מזומן לפגישות עם הרשות, אם ישנן. במקרה של דיווח לרשות להגנת הפרטיות על אירוע אבטחה חמור, בהתאם לחובה המוטלת על הארגון לפי תקנות אבטחת המידע, הממונה אינו חייב לבצע את הדיווח בעצמו, אך עליו להיות מעורב בתהליך הדיווח ולוודא שהוא מבוצע באופן התואם את דרישות הדין. רצוי כי הממונה יהיה מעורב באופן משמעותי גם בטיפול במקרים של "אירוע אבטחה חמור" כהגדרתו בתקנות אבטחת המידע, אף מעבר ליישום חובת הדיווח הראשוני לרשות. בין השאר לעניין הערכת הסיכונים והנזק שנגרם, האמצעים להתמודדות עם האירוע, בחינת הצורך בעדכון נושאי המידע ותוכן ההודעה שתישלח אליהם.

מתכונת העסקתו של הממונה והיקפה

החוק מתיר להעסיק את הממונה גם כנותן שירותים חיצוני, שאיננו עובד שכיר של הארגון. אולם, לגישת הרשות, אופטימאלית רצוי שהממונה יהיה עובד הארגון וחלק אינטגרלי מן הארגון, באופן שיאפשר לו היכרות מעמיקה ואינטימית עם מבנה הארגון, תחומי פעילותו ותרבותו הארגונית, כמו גם זמינות ונגישות בלתי אמצעית לעובדים ולמנהלים. על מתכונת ההעסקה (פנימי או מיקור חוץ) ועל היקף המשרה (מלאה או חלקית) להתאים לתפקידים ולתחומי האחריות של הממונה ולהיקבע בשים לב לגודלו של הגוף בו הוא ממלא את תפקידו, להיקף ורגישות המידע המעובד בידי הגוף ולנסיבות נוספות המלמדות על מורכבות תפקיד הממונה באותו הגוף. אולם, בין אם הממונה הוא עובד הארגון או נותן שירותים חיצוני, יש להבטיח כי הוא יוכל להקדיש את הזמן הדרוש למילוי נאות של תפקידו, ולקיים את שאר דרישות החוק לגבי הממונה ואופן העסקתו. רק אדם טבעי יכול להתמנות לתפקיד אם כי אין מניעה שהתקשרותו עם הארגון תתבצע באמצעות חברה בה הוא מועסק. אין חובה שהממונה יהיה אזרח או תושב ישראל, אולם עליו להיות זמין ונגיש גם באופן פיזי בארגון ככל הנדרש לביצוע נאות של תפקידיו, בהתאם למאפייני הארגון בו הוא מכהן, מתכונת העבודה בו וצרכיו הקונקרטיים.

מעמד הממונה, מקומו בארגון והמשאבים והאמצעים שיש להקצות לו

הארגון מחויב לספק לממונה "את התנאים והמשאבים הדרושים למילוי נאות של תפקידו" ולוודא שהוא "מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות". בהתאם לגודל הארגון, אופי פעילותו ורגישות והיקף עיבוד המידע, עשויה דרישה זו להתייחס בין השאר למשאבים ולתנאים הבאים: היקף המשרה ודרגת השכר של הממונה, גיוס צוות מקצועי שיסייע לממונה, גובה תקציב הפעילות של הממונה כולל בקרה והדרכה, שימור ועדכון הידע המקצועי של הממונה באמצעות השתתפותו בהשתלמויות, כנסים וכדומה. כמו כן יש לאפשר לממונה גישה לכל המסמכים, המידע והמערכות הטכנולוגיות הדרושים לו באופן סביר במסגרת מילוי תפקידו. כמו כן, יש ליידע את הממונה מבעוד מועד על כל עניין שיש לו השלכה מהותית על הגנת המידע האישי בארגון, ולשתף אותו בדיונים ותכתובות העוסקים בשאלות מהותיות של איסוף וניהול המידע האישי בארגון.

על הממונה לדווח ישירות למנכ"ל או לגורם הכפוף למנכ"ל במישרין. בכפוף לדרישה זו ולחובה לוודא שהוא לא יהיה מצוי בניגוד עניינים, הארגון רשאי לבחור את זהות האגף או המחלקה בהם ימוקם הממונה במבנה הארגוני. הצבתו של הממונה בייעוץ המשפטי של הארגון היא אפשרית (ככל שאינה מביאה למצב של ניגוד עניינים), אולם לא בהכרח תאפשר להפיק ממנו את התועלת המיטבית, בשל ההבדל המהותי בין תפקיד היועץ המשפטי לבין תפקידו של הממונה (הבטחת הציות לחוק, לעומת קידום השמירה על הפרטיות אל מעבר למינימום המתחייב מהדין), והשוני המסוים בידע והכישורים הנדרשים לביצועו.

ניגוד עניינים

החוק קובע כי "הממונה על הגנת הפרטיות לא ימלא תפקיד נוסף ולא יהיה כפוף לנושא משרה בגוף שבו הוא ממלא את תפקידו או בגוף אחר, אם מילוי התפקיד או הכפיפות כאמור עלולים להעמידו בחשש לניגוד עניינים במילוי תפקידיו לפי חוק זה". איסור זה נועד לחזק את עצמאות שיקול הדעת של הממונה בביצוע תפקידו, ולצמצם השפעות ושיקולים מתנגשים או שלא ממין העניין לייעודו של הממונה לקדם את השמירה על הפרטיות בארגון. לכן, הממונה אינו יכול למלא תפקידים (או להיות כפוף לבעלי תפקידים) הכוללים את הסמכות או האחריות לקבוע מדיניות בעניין עיבוד המידע האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד. בחינת קיומו של פוטנציאל לניגוד עניינים צריכה להיבחן לגופו של כל תפקיד בכל ארגון, אולם ככלל אצבע ניתן לומר שהוא מתקיים בתפקידים בכירים כגון מנהל שיווק, מנהל לקוחות, מנהל כספים, מנהל מערכות מידע או CTO. יצוין, כי החוק אינו מטיל על הממונה חובה אישית לדווח לרשות באופן יזום על הפרות שביצע הארגון. אולם חוות הדעת שניתנו על-ידי הממונה במסגרת תפקידו בארגון עשויות להתבקש במסגרת פעילות הרשות להגנת הפרטיות.

האם הממונה על הגנת הפרטיות יכול למלא גם תפקיד של ממונה אבטחת מידע או CISO בארגון?

החוק אינו אוסר במפורש על כך שממונה הגנת הפרטיות הארגוני ישמש גם כממונה אבטחת המידע או ה-CISO בארגון. עם זאת, לגישת הרשות, דרישות החוק בעניין הידע והכישורים של הממונה על הגנת הפרטיות ובעניין אופן מילוי תפקידו, ברוב המקרים לא מתאימות למאפיינים של תפקיד ממונה האבטחה, או לעיתים אף יוצרות מורכבות משפטית להטלת כפל התפקידים על אותו אדם כאמור. גילוי הדעת מפרט טעמים שונים למורכבות האמורה ומתייחס למשל לדוגמה הבאה – נקיטת אמצעים מסוימים לשיפור אבטחת המידע (כגון ניטור מסיבי של פעילות העובדים או הלקוחות במערכת המידע הארגונית) עשויה לפגוע באופן משמעותי בפרטיות נושאי המידע ולסתור עקרונות פרטיות מקובלים, גם אם התכלית של ניטור כאמור נועדה בסופו של דבר להגנה על המידע והפרטיות. לפיכך, ממונה אבטחת המידע לא יוכל למלא במקביל גם את תפקיד ממונה הגנת הפרטיות בארגון, אלא רק אם יש באפשרותו לאזן בין התפקידים בצורה נאותה, ומבלי שתיפגע יכולתו למלא כל אחד מהם כראוי. לגישת הרשות, בארגונים החייבים במינוי ממונה אבטחת מידע מכוח החוק, יקשה לכאורה על ממונה האבטחה לאזן בצורה נאותה בין התפקידים, מפני שהחוק מטיל עליו אחריות אישית לאבטחת המידע בארגון. אחריות דומה איננה מוטלת במישרין על מי שנושא בתפקיד הממונה על הגנת הפרטיות, ועובדה זו כשלעצמה עלולה להשליך על מערך השיקולים במקרים של התנגשות בין שני תחומי האחריות. בנוסף, הרשות מציינת כי בארגונים גדולים או ארגונים בעלי היקף גדול של פעילות עיבוד מידע אישי, תפקיד הממונה על אבטחת המידע נושא באחריות כבדה ומצריך את תשומת ליבו המלאה של בעל התפקיד, באופן שלא יאפשר לו ככלל למלא בצורה נאותה גם את תפקיד הממונה על הגנת הפרטיות.

רשות הגנת הפרטיות מזמינה את הציבור להגיש הערות לטיוטת גילוי הדעת. ניתן להגיש התייחסות והערות למסמך עד ליום 23.09.2025 (אחרי שתיקון 13 יכנס לתוקף). יצוין כי הרשות ציינה כי הפרשנות המוצגת בגילוי הדעת תשמש את הרשות בעת הפעלת הסמכויות המוקנות לה, לרבות הסמכות להטיל עיצומים כספיים בגין הפרה של החובה למנות ממונה על הגנת הפרטיות ושל הוראות אחרות בחוק הנוגעות למעמדו ולמתכונת העסקתו. עם זאת, בעת הפעלת סמכויותיה ובכללן סמכויות האכיפה, תתחשב הרשות בכך שגילוי הדעת בשלב זה אינו מסמך סופי אלא עדיין בגדר טיוטה להערות הציבור.

אנו מתכננים להגיש את הערותינו לטיוטת גילוי הדעת, וככל שיש לכם הערות או רצון לסיוע בהגשתן, נשמח לעמוד לרשותכם.

לגילוי הדעת המלא לחצ/י כאן

הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.