מינוי ממונה על הגנת פרטיות (DPO): מתי חובה ומה הדרישות

מינוי ממונה על הגנת פרטיות - חובה חדשה בחוק הישראלי

חברת טכנולוגיה ישראלית שמעבדת מיליוני רשומות של לקוחות פנתה למשרדנו בשבועות האחרונים עם שאלה פשוטה לכאורה: האם היא חייבת למנות ממונה על הגנת פרטיות? התשובה, כפי שהתברר, אינה פשוטה כלל, ותלויה במספר פרמטרים שהתחדדו עם חקיקת תיקון 13 לחוק הגנת הפרטיות.

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, שנכנס לתוקף בשנת 2025, הציג מהפכה מקיפה במסגרת הרגולטורית לשמירה על פרטיות בישראל. בין השינויים המרכזיים ניתן למנות את ביטול חובת רישום מאגרי המידע, הכנסת חובות דיווח על פרצות אבטחת מידע, והרחבת סמכויות האכיפה של רשות הגנת הפרטיות. אולם אחד השינויים המשמעותיים ביותר הוא חובת מינוי ממונה על הגנת פרטיות בגופים מסוימים.

החובה למינוי ממונה פרטיות אינה חדשה לגמרי - היא כבר הייתה קיימת עבור גופי ציבור ועבור מי שמבקש לקבל הכרה כ"ארגון ראוי" מרשות הגנת הפרטיות. אך כעת, לראשונה, החובה מתרחבת גם לחברות פרטיות העומדות בקריטריונים מסוימים. שינוי זה יוצר נוף רגולטורי חדש שחברות רבות עדיין לא מכירות.

מי חייב למנות ממונה על הגנת פרטיות - הקריטריונים המחייבים

תיקון 13 קובע מספר קטגוריות של גופים המחויבים למנות ממונה על הגנת פרטיות. הבנת הקריטריונים המדויקים קריטית, שכן אי-ציות לחובה זו עלול להביא לקנסות משמעותיים מרשות הגנת הפרטיות.

גופי ציבור וגופים סטטוטוריים

כל גוף ציבור בישראל חייב למנות ממונה על הגנת פרטיות. זה כולל משרדי ממשלה, רשויות מקומיות, מוסדות ציבוריים, קופות חולים, ורשויות חוק. החובה קיימת כבר שנים רבות עבור גופים אלה, אך תיקון 13 חידד את הדרישות והסמכויות.

ארגונים פרטיים לפי קריטריונים כמותיים

החידוש המשמעותי ביותר נוגע לחברות פרטיות. החוק קובע כי ארגון פרטי חייב למנות ממונה פרטיות אם הוא עומד באחד מהקריטריונים הבאים כפי שהם מוגדרים בתקנות נכון למועד כתיבת מאמר זה:

• עיבוד מידע אישי של מספר נושאי מידע העולה על הסף הקבוע בתקנות
• היקף מחזור שנתי העולה על הסכום הקבוע בתקנות
• מספר עובדים העולה על המספר הקבוע בתקנות
• עיבוד של קטגוריות מיוחדות של מידע אישי במסגרת הפעילות העסקית הרגילה

חשוב לציין כי הסכומים והמספרים המדויקים מתעדכנים מעת לעת בתקנות המשנה, ולכן יש לבדוק את המצב העדכני באתר רשות הגנת הפרטיות.

ארגונים המבקשים הכרה כ"ארגון ראוי"

חברה שמבקשת לקבל הכרה מרשות הגנת הפרטיות כ"ארגון ראוי" - סטטוס שמקנה יתרונות מסוימים במסגרת החוק - חייבת למנות ממונה פרטיות כחלק מהדרישות לקבלת ההכרה.

כישורים נדרשים וקריטריונים למינוי ממונה פרטיות

החוק והתקנות קובעים דרישות מחמירות לכישורים ולהכשרה של ממונה על הגנת פרטיות. דרישות אלה נועדו להבטיח שהממונה יוכל למלא את תפקידו בצורה מקצועית ויעילה.

דרישות השכלה מקצועית

ממונה על הגנת פרטיות חייב לעמוד באחת מדרישות ההשכלה הבאות:

• תואר אקדמי במשפטים ופטור מלימודי יסוד במשפטים (רישיון עריכת דין לא נדרש)
• תואר אקדמי בתחום רלוונטי כגון מערכות מידע, מדעי המחשב, או הנדסת תוכנה
• תואר אקדמי בתחום אחר בצירוף ניסיון מקצועי מוכח בתחום הגנת הפרטיות או אבטחת מידע

בנוסף לדרישות ההשכלה, על המועמד לממונה לעבור הכשרה מקצועית מוכרת בתחום הגנת הפרטיות. ההכשרה חייבת לכלול היכרות עמוקה עם החוק הישראלי, התקנות, והנחיות רשות הגנת הפרטיות.

ניסיון מקצועי נדרש

התקנות קובעות דרישת ניסיון מינימלי של שלוש שנים בעבודה הרלוונטית לתחום הגנת הפרטיות. ניסיון זה יכול להיות באחד מהתחומים הבאים:

• עבודה משפטית בתחום הגנת הפרטיות או דיני טכנולוגיה
• עבודה בתחום אבטחת מידע ואבטחת סייבר
• עבודה בתחום ציות רגולטורי (compliance) בחברות טכנולוגיה
• עבודה בתחום ניהול מערכות מידע וטכנולוגיות מידע

עדכון מקצועי שוטף

ממונה פרטיות חייב לעבור השתלמויות מקצועיות שוטפות ולהשתתף בכנסים מקצועיים כדי להתעדכן בשינויים החקיקתיים והטכנולוגיים. רשות הגנת הפרטיות מפרסמת מעת לעת רשימה של קורסי השתלמות מוכרים.

חובות ואחריויות ממונה הפרטיות לפי החוק הישראלי

תפקיד ממונה הפרטיות אינו תפקיד כבוד או פורמלי. החוק מטיל על הממונה חובות ואחריויות מקצועיות נרחבות, ומפקיר עליו דרישות ביצוע קפדניות.

יעוץ והדרכה פנימית

הממונה אחראי לייעץ לעובדי הארגון בכל הנוגע לחובות שמירה על פרטיות ויישום החוק. זה כולל:

• הכנת נהלי עבודה פנימיים להתמודדות עם בקשות נושאי מידע
• הדרכת עובדים בנושאי הגנת פרטיות ואבטחת מידע
• ליווי פרויקטים טכנולוגיים חדשים מבחינת השלכות הפרטיות
• הכנת הערכות השפעה על פרטיות (Privacy Impact Assessment) במקרים הנדרשים

קשר עם רשות הגנת הפרטיות

הממונה משמש כתובת הקשר הרשמית בין הארגון לבין רשות הגנת הפרטיות. במסגרת זו עליו:

• להגיש דיווחים תקופתיים כנדרש על ידי הרשות
• לדווח על אירועי פרצת אבטחת מידע בתוך פרק הזמן הקבוע בחוק
• לטפל בפניות ובתלונות שמגיעות מהרשות
• לשתף פעולה עם חקירות ובדיקות של הרשות

ניהול זכויות נושאי המידע

אחת החובות המרכזיות של הממונה היא לוודא שהארגון מכבד את זכויותיהם של נושאי המידע. זה כולל:

• טיפול בבקשות עיון במידע אישי
• יישום בקשות מחיקת מידע ("הזכות להישכח")
• אפשור העברת מידע אישי לגורם אחר (ניידות מידע)
• תיקון מידע אישי שגוי או לא מדויק

הממונה חייב לוודא שהארגון מגיב לבקשות אלה בתוך פרקי הזמן הקבועים בחוק ובצורה מקצועית.

פיקוח על אבטחת מידע

למרות שהממונה אינו בהכרח מומחה אבטחת סייבר, עליו לפקח על יישום אמצעי האבטחה הנדרשים לשמירה על המידע האישי. זה כולל עבודה הדוקה עם צוותי IT ואבטחת המידע של הארגון.

עצמאות הממונה ומעמדו הארגוני - דרישות החוק

אחד העקרונות המרכזיים בחוק הגנת הפרטיות הוא הדרישה לעצמאות מקצועית של ממונה הפרטיות. העצמאות הזו אינה אקדמית - היא קריטית ליכולתו של הממונה למלא את תפקידו ללא התערבות או לחצים בלתי ראויים.

עצמאות בקבלת החלטות מקצועיות

החוק קובע כי לממונה על הגנת פרטיות חייבת להיות עצמאות מלאה בכל הנוגע להחלטות מקצועיות בתחומו. זה אומר:

• הממונה לא יכול לקבל הוראות כיצד לפרש את החוק או כיצד ליישמו
• הוא לא יכול להיות כפוף לאישורים מוקדמים בנושאים מקצועיים
• אסור לנהלת החברה להעניק תמריצים כספיים או אחרים המותנים ב"גמישות" ביישום החוק
• הממונה רשאי לפנות ישירות לרשות הגנת הפרטיות ללא אישור מנהלת החברה

מעמד ארגוני נדרש

התקנות קובעות כי ממונה פרטיות חייב להיות בעל מעמד ארגוני המאפשר לו למלא את תפקידו. המעמד הנדרש כולל:

• דיווח ישיר להנהלה הבכירה של הארגון (מנכ"ל או סמנכ"ל בכיר)
• גישה לכל המידע הנדרש לצורך מילוי התפקיד
• סמכות להורות על הפסקת פעילות שאינה עומדת בדרישות החוק
• תקציב ראוי לביצוע פעילויות הכרוכות בתפקיד

הגנה מפני פיטורים

החוק מעניק לממונה פרטיות הגנה מסוימת מפני פיטורים או הורדה בדרגה עקב מילוי תפקידו. פיטוריו של ממונה פרטיות חייבים להיעשות מטעמים מקצועיים לגיטימיים בלבד, ולא בגלל מילוי תפקידו החוקי.

מינוי ממונה חיצוני

ארגון יכול למנות ממונה פרטיות חיצוני (יועץ עצמאי או חברת ייעוץ), בתנאי שהממונה יעמוד בכל הדרישות החוקיות ויקבל את כל הסמכויות הנדרשות. במקרה זה, על הארגון לוודא שהממונה החיצוני זמין באופן סביר וכי אין לו ניגוד עניינים שעלול לפגוע בעצמאותו.

תהליך מינוי הממונה: שלבים, מסמכים ולוחות זמנים

מינוי ממונה על הגנת פרטיות אינו רק החלטה פנימית של החברה. מדובר בתהליך פורמלי הכולל דרישות דיווח לרשות הגנת הפרטיות ומילוי מסמכים רשמיים.

שלבי התהליך

תהליך המינוי כולל מספר שלבים שיש לבצע בזה אחר זה:

1. זיהוי החובה: בדיקה האם הארגון עומד בקריטריונים המחייבים מינוי ממונה
2. מיון מועמדים: בדיקת כישורים וניסיון של מועמדים פוטנציאליים
3. החלטה על המינוי: החלטה פורמלית של דירקטוריון או הנהלת החברה
4. הכנת מסמכי המינוי: הכנת מכתב מינוי הכולל את כל הפרטים הנדרשים
5. דיווח לרשות: הגשת דיווח המינוי לרשות הגנת הפרטיות
6. הדרכה ואוריינטציה: הכשרת הממונה החדש במפעילי הארגון הספציפיים

מסמכים נדרשים

המינוי חייב להיעשות בכתב ולכלול את הפרטים הבאים:

• פרטי הממונה המתמנה (שם, תעודת זהות, כתובת)
• פירוט הכישורים והניסיון המקצועי
• תאריך תחילת המינוי
• הגדרת התחומים והסמכויות
• פרטי הקשר של הממונה (טלפון, אימייל)

בנוסף, יש להכין נוהל פנימי המפרט את אופן העבודה עם הממונה ואת חלוקת האחריויות בארגון.

לוחות זמנים חוקיים

החוק קובע לוחות זמנים ברורים למינוי ממונה פרטיות:

• ארגונים חדשים: ארגון שנכנס לקטגוריה המחייבת מינוי ממונה חייב למנותו תוך 90 יום מיום הכניסה לקטגוריה
• החלפת ממונה: במקרה של התפטרות או פיטורי ממונה, יש למנות תחליף תוך 60 יום
• דיווח לרשות: יש לדווח על המינוי לרשות הגנת הפרטיות תוך 30 יום מיום המינוי

חשוב לציין כי עד למינוי הממונה, האחריות לציות לחוק מוטלת על הנהלת הארגון, ואי-מינוי ממונה בזמן עלול להביא לקנסות.

עלויות המינוי

מינוי ממונה פרטיות כרוך בעלויות שונות שחשוב לקחת בחשבון בתכנון התקציב:

• משכורת או שכר טרחה לממונה
• עלויות הכשרה והשתלמויות
• כלים טכנולוגיים לניהול פרטיות
• ביטוח אחריות מקצועית עבור הממונה

אכיפה וסנקציות על אי-מינוי ממונה פרטיות

תיקון 13 לחוק הגנת הפרטיות הגדיל משמעותית את סמכויות האכיפה של רשות הגנת הפרטיות והחמיר את הסנקציות על הפרת החוק. אי-מינוי ממונה פרטיות כנדרש עלול להביא לסנקציות כבדות שעלולות להשפיע באופן משמעותי על הפעילות העסקית.

קנסות כספיים

רשות הגנת הפרטיות מוסמכת להטיל קנסות אדמיניסטרטיביים על אי-מינוי ממונה פרטיות. הקנסות עשויים להגיע לסכומים משמעותיים כפי שמתעדכנים מעת לעת בתקנות. הרשות לוקחת בחשבון גורמים שונים בקביעת גובה הקנס:

• גודל הארגון והיקף פעילותו
• חומרת ההפרה ומשך זמן אי-הציות
• ניסיונות קודמים לתיקון המצב
• הנזק שנגרם או שעלול להיגרם לנושאי מידע
• רמת שיתוף הפעולה עם הרשות

צווי מניעה וצווי עשה

מעבר לקנסות כספיים, הרשות מוסמכת להוציא צווי מניעה וצווי עשה. במקרה של אי-מינוי ממונה פרטיות, הרשות עלולה:

• להוציא צו למינוי ממונה תוך מועד קצוב
• להגביל את פעילותו של הארגון בתחום עיבוד המידע
• לדרוש הפסקת עיבוד של סוגי מידע מסוימים עד למינוי הממונה
• להטיל פיקוח מוגבר על פעילויות הארגון

השלכות עסקיות נוספות

מעבר לסנקציות הפורמליות של הרשות, אי-מינוי ממונה פרטיות עלול להביא להשלכות עסקיות נוספות:

• נזק למוניטין: פרסום של קנס או צו מהרשות עלול לפגוע במוניטין החברה
• קושי בגיוס לקוחות: חברות רבות בודקות את הציות הרגולטורי של ספקיהן
• מגבלות על פעילות בינלאומית: אי-ציות לחוק הישראלי עלול להשפיע על יכולת העברת מידע לחו"ל
• קושי במימון: משקיעים ובנקים לוקחים בחשבון סיכונים רגולטוריים

אחריות אישית של בעלי תפקידים

חשוב לזכור כי לצד האחריות הארגונית, עלולה להיות גם אחריות אישית לבעלי תפקידים בכירים. דירקטורים ומנהלים בכירים שמזניחים את חובת המינוי עלולים להיחשף לאחריות אישית, במיוחד אם הזנחה זו גרמה לנזק לנושאי מידע.

לאור הסיכונים המשמעותיים, חברות שעומדות בקריטריונים למינוי ממונה פרטיות מומלץ לפעול מהר ולא לדחות את המינוי. עדיף להתחיל בתהליך מוקדם ולהבטיח ציות מלא לחוק.

האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.

מאת

עו"ד אור אלישיב

מייסד משרד עו"ד אור אלישיב, המתמחה בדיני טכנולוגיה, הגנת פרטיות, קניין רוחני ומשפט מסחרי. מלווה חברות טכנולוגיה, סטארטאפים ומשקיעים בינלאומיים.