ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
טכנולוגיה חובת מינוי ממונה הגנת פרטיות: מה צריך לדעת על התיקון שנכנס לתוקף
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי מטבעות דיגיטליים ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2024

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות מרכז העזרה נגישות הגדרות לוח גלובס פרסמו אצלנו תנאי שימוש מדיניות פרטיות
הגנת הפרטיות | שאלות ותשובות

חובת מינוי ממונה הגנת הפרטיות: מה צריך לדעת על תיקון החוק שנכנס לתוקף

תיקון 13 בחוק הגנת הפרטיות ייכנס השבוע לתוקף ויחייב גופים ציבוריים וארגונים המעבדים מידע רגיש בהיקף נרחב למנות ממונה על הגנת הפרטיות • מהן סמכויות הממונה, עד כמה המלצותיו מחייבות את ההנהלה, ומי חשוף לקנסות בהיעדר מינוי? • גלובס עושה סדר

נבו טרבלסי 13:55
רפורמת הפרטיות / צילום: Shutterstock
רפורמת הפרטיות / צילום: Shutterstock

תיקון 13 לחוק הגנת הפרטיות נכנס בימים אלה לתוקף, אירוע שציפו לו בכליון-עיניים ברשות להגנת הפרטיות. זהו התיקון המקיף ביותר שנערך בחוק זה מאז שנחקק לפני 43 שנים. למרות התקופה הארוכה שעבדו על התיקון, כדי לאפשר לגורמים הרלוונטיים להיערך, מתברר כי השוק עדיין אינו מוכן לשינוי. גלובס סוקר בהרחבה את השאלות שעדיין פתוחות.

הרפורמה החדשה והקנסות הכבדים: מי חשוף ואיך נערכים?

אחת הדרישות החדשות בתיקון לחוק הזה הוא "מינוי ממונה הגנת הפרטיות", תפקיד חדש לחברות ואף עשוי להיות בניגוד עניינים מול תפקיד אחר - ממונה אבטחת המידע.

על-פי התיקון בחוק, נקבעה לראשונה בחקיקה החובה למנות "ממונה על הגנת הפרטיות" (DPO) בגופים ציבוריים, ולמעשה בכל ארגון שהעיסוק העיקרי בו כולל עיבוד מידע אישי ורגיש בהיקף ניכר. ממונה כזה יידרש גם בארגונים שבהם הפעילות כרוכה במעקב או בהתחקות שיטתית אחרי אנשים, בהיקף ניכר.

למחוקק היה חשוב להתאים את הוראות החוק הישראלי לרגולציה האירופית המקיפה בתחום הפרטיות, ה-GDPR, כך שברוח החוק האירופי, גם ההגדרות בישראל נותרו עמומות ומרחיבות בנוגע לגורמים שעליהם חלה חובת מינוי הממונה. מה שבטוח הוא שגופים ציבוריים יהיו חייבים במינוי כזה - ממשרד ממשלתי ועד רשות מקומית או רשות סטטוטורית.

ביחס לקנסות, הכנסת קבעה כי הסנקציות יוטלו על גופים ציבוריים וספקיהם, ולא על המגזר הפרטי - זאת בניגוד לעמדת רשות הגנת הפרטיות. בהיעדר מינוי DPO, טווח הקנסות יעמוד בין מאות אלפי שקלים למיליוני שקלים, על בסיס גודל מאגר המידע ורמת האבטחה שלו.

לאילו גופים רלוונטיים ההנחיה החדשה?

עו"ד הילה שרייבמן, שותפה במחלקת ההייטק ומובילה במשותף את תחומי דיני אינטרנט, IT ומדיה במשרדי עורכי הדין שבלת, מסבירה לגלובס כי "החקיקה הולכת לפי הלך-הרוח של ה-GDPR. כמעט כל חברה בישראל עשויה ליפול תחת ההגדרה בחוק, וזו הנחיה שכל חברה בישראל צריכה להכיר. אם לחברה יהיה ממונה הגנת פרטיות, זה בהחלטה מראה שהיא שמה דגש על פרטיות החברה, וזה יקל עליה במצב של קנסות או הליכים".

לעומתה, עו"ד ורד זליכה, שותפה וראש תחום סייבר ואינטליגנציה מלאכותית במשרד ליפא מאיר ושות', מאמינה שהחוק מאוד ברור בזה. "הגופים הטריוויאליים הם חברות ביטוח, קופות חולים ובנקים - ויש קטגוריות שמנויות בו, אז זה לא כל חברה בישראל. המקום של חברות להתלבט זה באמת באזורים שנתונים לפרשנות, כמו לדוגמה בהנחיה 'עיבוד מידע בעל רגישות מיוחדת ובהיקף ניכר'. משמע, צריכים להתקיים פה שני תנאים: גם מידע ברגישות מיוחדת לפי החוק, וגם היקף ניכר - והמבחן כאן מותיר שיקול-דעת לפרשנות, ולכן כדאי שכל ארגון שיבדוק את עצמו ויראה אם הוא נופל תחת ההגדרה".

תיקון 13 לחוק הפרטיות: מהו ממונה להגנת פרטיות, ואילו גופים מחויבים למנותו?

סמכויות

● לפעול להבטיח את קיום הוראות חוק הגנת הפרטיות בגוף הממנה
● לגבש תוכנית לבקרה שוטפת על המצב בחברה ביחס למאגרי המידע בחברה
● לטפל בפניות של לקוחות באשר למידע אישי שנמצא במאגרים
● לשמש איש הקשר של הגוף מול רשות הגנת הפרטיות

גופים

● ציבוריים (למשל רשויות מקומיות)
● ארגונים שמעבדים מידע אישי ורגיש בהיקף רחב (למשל קופות חולים)
● ארגונים שהפעילות שלהם כרוכה במעקב אחר אנשים (למשל סלולר ותקשורת)

קנס

● בגופים ציבוריים או ספקים של גופים ציבוריים - הקנסות יכולים להגיע עד למיליוני שקלים

מה יהיה התפקיד של ממונה הפרטיות?

התפקיד של ממונה הפרטיות הוא להבטיח את קיום הוראות חוק הגנת הפרטיות, התקנות וקידום השמירה על הפרטיות גם מעבר לדרישות החוק היבשות. על-פי התיקון, עליו לשמש כסמכות מקצועית ומוקד ידע, לייעץ להנהלה, להכין תוכנית הדרכה בחברה ולפקח על ביצועה. נוסף על כך, לפי החוק, עליו להכין תוכנית לבקרה שוטפת על המצב בחברה ביחס למאגרי המידע בחברה, לוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות מאגר, לוודא טיפול בפניות של אנשים שמידע אישי עליהם נמצא במאגר המידע, ואף לשמש איש הקשר של הגוף מול רשות הגנת הפרטיות.

על החברה לספק לממונה את התנאים ואת המשאבים למילוי נאות של תפקידו, ועליו לדווח למנכ"ל. בחוק אף מגדירים שאותו אדם צריך להיות בעל הידע והכישורים הנדרשים למילוי התפקיד שלו בצורה נאותה, ובכלל זה ידע מעמיק בדיני הגנת הפרטיות, הבנה בטכנולוגיה ואבטחת מידע - וכל זאת מתוך הבנה של אופי עיבוד המידע, ההיקף והמטרות.

עורכת דין ורד זליכה / צילום: איה בן עזרי
 עורכת דין ורד זליכה / צילום: איה בן עזרי

עו"ד זליכה אומרת שמדובר באדם "שצריך להיות משולב בתהליכים מתחילת הדרך. לדוגמה, אם חברה מטמיעה מערכות חדשות שנוגעות למידע אישי, ממונה הגנת הפרטיות צריך להיות מעורב מתחילת הדרך ולהשפיע על העיצוב של המערכת ככל שהוא יכול. מדובר בין היתר בהדרכה של עובדים בחברה ובסקרי ציות בה. הוא איש הקשר מול הגנת הפרטיות ואיש הקשר לאנשים שהמידע עליהם מעובד".

בשוק חוששים: החברות עוד לא מוכנות

גלובס כבר סקר את האופן שבו חברות שונות אינן מצליחות לעמוד בדרישות החדשות. המומחיות מסבירות כי לחברות שכבר נמצאות תחת רגולציית GDPR יהיה קל יותר, וחלקן כבר עומדות בתנאים. עם זאת, יש כאלה שלא.

כך, ניתן לראות שגם ברשות הגנת הפרטיות ממשיכים לעצב את החוק ולשנות את הוראותיו, גם אם זה ממש בימים שהחוק אמור להיכנס לתוקף. ברשות טוענים כי הם רואים את המורכבות במגזר הציבורי, שם צריך להעמיד מכרזים כדי למנות ממונה רלוונטי.

רשות הגנת הפרטיות פרסמה בסוף יולי את גילוי הדעת על החובה למנות ממונה, לפי התיקון לחוק שנכנס לתוקף שבוע לאחר פרסום גילוי הדעת. בגילוי הדעת הרשות מנסה לתת מין "מורה נבוכים" לחברות שמחויבות במינוי, מה משמעות "היקף ניכר" באיסוף מידע אישי ועוד.

לדוגמה, המסמך מתיר שילוב של ממונה פרטיות ואבטחת מידע, אך מזהירים שם שעלולה להיווצר התנגשות בין התפקידים ובארגונים גדולים זה מהלך לא ישים באמת. הרשות תבחן כל מקרה לגופו.

מחכים להליך האכיפה הראשון

בשוק יש מי שאומר שרק לאחר הליך האכיפה הראשון, החברות בשוק יוכלו לקבל קריאת כיוון על האופן שבו רשות הגנת הפרטיות רואה את הדברים. עו"ד זליכה מצביעה על היבט מאוד חשוב, שמדגיש ביתר שאת את חוסר המוכנות של השוק: "גילוי הדעת שיצא הוא טיוטה עד חודש ספטמבר, ולהערכתי יהיו הערות שישליכו עליה".

במקביל להכנת הכתבה, רשות הגנת הפרטיות פרסמה כי בשל העובדה שמדובר בחובה חדשה, הרשות לא מתכוונת לנקוט הליכי אכיפה עד לסוף אוקטובר.

עו"ד שרייבמן מסבירה שזה קורה לא מעט: "אי-מוכנות של השוק הייתה גם ב-GDPR. תמיד כשיש רגולציה חדשה, ומגיעים לדד-ליין - יש לא מעט חברות שאינן מוכנות. יש עבודה רבה כדי לסגור את הפערים. לפני שנה בערך חקרו בנציבות האירופית עד כמה חברות ממנות ממונה הגנת הפרטיות. גילו שם שמעל 70% מהחברות לא עומדות בדרישות - לא מצד העצמאות ולא מבחינה תקציבית. וגם אם כן, ה-DPO לא מספיק מעורב, וזה לא היה תפקיד ייעודי, וכל זה שבע שנים אחרי כניסת החוק לתוקף. צריך להבין שהליכי ציות לוקחים זמן, בטח עם התפתחות הבינה המלאכותית והסוכנים". 

האם המלצותיו מחייבות את הבכירים?

גם עו"ד שרייבמן מסכימה שמדובר למעשה בסוג של מבקר ומפקח. "הוא לא זה שצריך למלא בפועל חלק מהדרישות, אלא עליו להכין את התוכנית ולפקח ולוודא את היישום של התוכניות האלה".

חשוב לציין כי מדובר בתפקיד שונה מממונה אבטחת מידע בארגון, והשניים אפילו עשויים להימצא בניגוד עניינים. ממונה אבטחת מידע עוסק במידע באופן כללי, גם אישי וגם מסחרי. לעומת זאת, ממונה הגנת הפרטיות צריך להתעסק ספציפית במידע אישי, ובאופן איסוף המידע הזה.

נכון שיש לא מעט תחומי חפיפה בין התפקידים, מסבירות המומחיות. אבל במקרה הזה, צריך להגיד שיש איסור מפורש בחוק על הימצאות בניגד עניינים. "לדוגמה, ממונה אבטחת המידע יכול להגיד שצריך כמה שיותר מערכות ניטור, מול ממונה הגנת הפרטיות, שיעלה בעיות שקשורות למידע של המשתמשים. ולכן צריך לשים לב לזה", מסבירה עו"ד זליכה. לדבריה, אפשר למצוא דרכים כמו פורום משותף עם נושאי משרה רלוונטיים, שם יעלו השיקולים, וההחלטה בסופו של דבר תהיה של המנכ"ל או ראש אגף שכפוף לו.