מינוי ממונה הגנה על הפרטיות בחברה

 ממונה ההגנה על הפרטיות בחברה

בתאריך 28, באוקטובר 2020 פירסמה הרשות להגנת הפרטיות (THE PRIVACY PROTECTION AUTHORITY) שבמשרד המשפטים מסמך עמדה להערות הציבור שנועד להבהיר את עמדת הרשות לעניין הצורך במינוי ממונה הגנה על הפרטיות בחברות וארגונים אשר פעילותם כוללת עיבוד מידע אישי. להלן נביא תמצית מהמסמך שפירסמה הרשות להגנת הפרטיות.

במאמר מוסגר יצוין, כי על פי תזכיר חוק לתיקון חוק הגנת הפרטיות (הגדרות וצמצום חובת הרישום), התשף-2020 אשר הופץ בידי הרשות להגנת הפרטיות (הרגולטור האחראי על אכיפת דיני הגנת הפרטיות בישראל), משמעות המושג עיבוד כולל פעולות כגון שימוש, גילוי, העברה ומסירת מידע ויורחב לפעולות כגון אחסון, עיון ארגון, תיקון, השלמה ומחיקה של מידע.

מה צריך לדעת על מינוי ממונה ההגנה על הפרטיות?

תפקידו המרכזי של ממונה ההגנה על הפרטיות בחברה הוא להבטיח עמידה בהוראות דיני הגנת הפרטיות וההגנה על מידע אישי בחברה בו הוא מונה. בשונה מתפקידו של ממונה אבטחת המידע שאחראי להפעלת אמצעים ארגוניים וטכנולוגיים למניעת שימוש לא מורשה במידע, תפקידו של הממונה על ההגנה על הפרטיות הוא לעצב ולגבש תהליכי עבודה ונהלים בחברה הנוגעים לניהול עיבוד ושימוש במידע אישי.

יש להבהיר, כי הדין הישראלי לא כופה על חברות וארגונים למנות ממונה הגנה על הפרטיות אך הרשות להגנת הפרטיות שתפקידה לאכוף את דיני הגנת הפרטיות בישראל דווקא סבורה כי מינוי של ממונה הגנת הפרטיות מהווה פרקטיקה ראויה וממולצת (BEST PRACTICE), לארגונים האוספים ומעבדים מידע אישי.[1]

מינוי ממונה ארגוני על הגנת הפרטיות

מינוי ממונה ההגנה על הפרטיות צריך להיעשות על בסיס כישורים ומומחיות בנושא הגנת מידע ודרישות החוק. הרשות להגנת הפרטיות ממליצה שממונה על הגנת הפרטיות יהיה "בעל הכשרה אקדמית או מקבילה במשפטים חשבונאות, טכנולוגיות מידע ניהול תהליכים או רגולציה. בעל ידע מעמיק של דיני ההגנת על מידע אישי בישראל. בעל הבנה נאותה בתחום טכנולוגיות מידע ובתחום אבטחת מידע בפרט. היכרות עם דיני ההגנה על מידע אישי באירופה ובארה"ב. בעל הכירות עם הפן העסקי של ניהול ארגון. בעל ידע באתיקה מקצועית[2]

הרשות להגנת הפרטיות ממליצה כי ממונה להגנה על הפרטיות יהיה מינוי פנימי מקום בו ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי ובמקום שליבת העיסוק אינה כרוכה בעיבוד מידע אישי בחברות קטנות ובינוניות ממונה על הגנת הפרטיות יכול להיות מינוי חיצוני (כיועץ למשל) שאינו עובד בחברה.

משימותיו של ממונה ההגנה על הפרטיות

* הממונה ישמש כמנהל כל מאגרי המידע בארגון ("מנהל מאגר" הינו תפקיד המוגדר בחוק ההגנת הפרטיות, בסעיף 7 לחוק[3]).

* ניסוח מדיניות פרטיות.

* בדיקת נהלים ומדיניות החברה בתחום הפרטיות ועמידתם בדרישות חוק הגנת הפרטיות, ועדכון נהלים במידת הצורך.

* פיקוח על ביצוע סקר סיכוני פגיעה בפרטיות ומעקב אחר הטמעת המלצותיו.

* טיפול בתלונות של נושאי מידע בנוגעות לעיבוד מידע אישי ועיון במידע ודרישות לתיקונו.

* הכנת תוכנית עבודה שנתית ליישום ופיקוח על קיום הוראות חוק הגנת הפרטיות ותקנותיו.

* דיווח על ממצאי פעולות פיקוח שבוצעו ביחס להפרות של הוראה מהוראות החוק, קיום בקרה על אופן תיקון ליקויים שהתגלו בממצאי הפיקוח.

* הכנת דין וחשבון שנתי על פעילות הממונה בנושא פרטיות.

* מתן הנחיות לממונה על אבטחת המידע בנושאים הקשורים לקיום הוראות החוק.

* דיווח לרשות להגנת הפרטיות על אירוע פגיעה מהותי בפרטיות.

* הדרכת עובדים בנושאי הגנת הפרטיות.

מעמדו של ממונה ההגנה על הפרטיות וחשיבות השמירה על עצמאותו

הרשות להגנת הפרטיות ממליצה כי על מנת שיוכל לבצע את המשימות המוטלות עליו ממונה הגנת הפרטיות חייב להיות חלק מההנהלה הבכירה בחברה וכי יש לנקוט אמצעים לשמירה על עצמאותו המקצועית. כך למשל, יש להבטיח כי יהיה מעורב בכל הנושאים הנוגעים לעיבוד מידע אישי בארגון, ולהקנות לו את כל הסמכויות והמשאבים הנדרשים למילוי משימותיו. כמו כן, יש לוודא כי תפקידו כממונה על הגנת הפרטיות אינו יוצר ניגוד עניינים עם תפקידים אחרים אותם הוא ממלא בארגון.

לסיכום

נראה כי עמדת הרשות להגנת הפרטיות מיישרת קו עם הנציבות להגנת מידע האירופית, ורואה חשיבות רבה במינוי ממונה להגנה על הפרטיות שישמש כאמצעי ליישום של דיני ההגנה על מידע אישי בישראל, יהווה מוקד ידע וירכז את כל ענייני הפרטיות בחברה דבר שיביא להגברת האמון אצל נושאי המידע שהמידע שלהם נאסף ומעובד על ידי החברה.

*****                                                                                    

האמור לעיל הינו מידע כללי ואינו מהווה חוות דעת משפטית. משרדינו משמש כממונה חיצוני להגנת הפרטיות בחברות ובארגונים שמעבדים מידע בהיקף נרחב ומנהלים מאגרי מידע, וכיועץ משפטי בעל הכשרה מתאימה בדיני הגנת הפרטיות בישראל ובאירופה.

אלון ספושניק, עורך דין @ כל הזכויות שמורות                                                 

                                               מוסמך במשפטים ובמינהל עסקים MLB (גרמניה)                                             

טלפון: 072-2502512 * פקס: 072-2502521                                            

                                                            www.sr-lawoffice.co.il

[1] ראה עמדת הרשות להגנת הפרטיות מיום 28.10.2020, https://www.gov.il/he/departments/publications/Call_for_bids/refrences_dpo .

[2] ראה עמדת הרשות להגנת הפרטיות בסעיף 5.

[3] חוק הגנת הפרטיות, התשמ"א-1981 https://www.nevo.co.il/law_html/la