מינוי ממונה הגנה על הפרטיות בארגון – חובה או המלצה?
לאחרונה פרסמה הרשות להגנת הפרטיות "מסמך עמדה" בעניין מינוי ממונה הגנה על הפרטיות בארגונים, וכן פרסמה הרשות ערכת הדרכה הכוללת המלצות מעשיות לגופים וארגונים המבקשים למנות ממונה כאמור.
ראשית, יצוין כי מינוי ממונה הגנה על הפרטיות אינו בגדר חובה הקבועה בדין בישראל, למעט בסקטורים מפוקחים מסוימים. משכך, יש להדגיש כי מסמך העמדה של הרשות הוא ניסיון להתאים (באמצעות הנחיות ולא באמצעות חקיקה, כפי שהיה מצופה) את חוק הגנת הפרטיות הישראלי המיושן לתקנות ההגנה על מידע האירופאיות (ה-GDPR), וכי בשלב זה מינוי ממונה הגנה על הפרטיות ייעשה באופן וולונטרי בלבד.
למעשה, כבר כיום קיימת בחוק הגנת הפרטיות חובה למנות "מנהל מאגר" מטעם הבעלים והמחזיק של מאגרי מידע, אשר על פי לשון החוק אחראי לאבטחת המידע במאגר. מזה שנים רבות אנו ממליצים ללקוחותינו להטיל על מנהל המאגר חובות וולונטריות נוספות הקשורות לניהול המאגר, בדומה להגדרת התפקיד של "ממונה על הגנה על הפרטיות", כפי שהיא מובאת במסמך העמדה של הרשות. ואכן, גם עמדת הרשות תומכת בעמדה זו וקובעת כי אין מניעה כי ארגון הממנה באופן וולונטרי ממונה הגנה על הפרטיות, ידווח עליו גם כמנהל המאגר, ובלבד שהוא אינו נושא בתפקידים אחרים בארגון העלולים להעמיד אותו בניגוד עניינים.
עמדת הרשות קובעת כי מינוי ממונה יכול לסייע לארגון להקפיד על עמידה בהוראות חוק הגנת הפרטיות הישראלי, מהווה אינדיקציה לכך שהארגון יוזם פעולות לצמצום הסיכון ופגיעה במידע האישי המוחזק אצלו ומאפשר שיתוף פעולה עם הרשויות, ולעמדתנו עצם ניהול כל היבטי הפרטיות בארגון על-ידי נושא תפקיד אחד מהווה יתרון. נדגיש כי הרשות ממליצה, בשלב זה, על מינוי ממונה לכל הפחות בארגונים אשר מספקים שירותים מבוססי נתונים או בארגונים שפעילותם עלולה ליצור סיכון מוגבר לפרטיות (למשל בארגונים המעבדים מידע רגיש באופן נרחב).
כמו-כן, יצוין כי כבר כיום ארגונים ישראליים רבים שהם בעלי פעילות גלובלית בלאו הכי נדרשים למנות ממונה הגנה על הפרטיות מכוח חובותיהם תחת חוקי פרטיות של מדינות אחרות, למשל תחת ה-GDPR, והטלת האחריות לניהול מאגרי מידע לפי הדין הישראלי על ממונים אלו תטיב עם ארגונים אלה.
חשוב לציין כי על אף שארגונים מסוימים נדרשים כבר כיום למנות קצין אבטחת מידע תחת חוק הגנת הפרטיות הישראלי, הרי שעמדת הרשות מבהירה כי תפקידם של הממונה וקצין אבטחת מידע אינו זהה. בעוד שתפקידו של קצין אבטחת המידע בארגון הוא להבטיח עמידה בתקנים ובנהלים הרלוונטיים בנוגע לאבטחת מידע, וכן ליישם אמצעים למניעת שימוש לרעה במידע (מעבר לאיומי פרטיות), תפקידו של הממונה הוא רחב יותר, וקשור לעיצוב וגיבוש תהליכי עבודה ונהלים בארגון הקשורים לניהול, עיבוד ושימוש במידע אישי.
להלן עיקרי המלצות הרשות בנוגע לתפקידי הממונה ולאופן פעילותו בארגון:
- תחומי האחריות העיקריים של הממונה – היקף תפקידו ייקבע בהתאם למורכבות איסוף ועיבוד המידע האישי המתבצע בארגון ובהתאם לגודלו. להלן, בין היתר, התפקידים והמשימות שמומלץ לשקול להטיל על הממונה:
א. הסדרת תהליכי ניהול מידע. לדוגמא: ניסוח תקנון פרטיות; מעורבות בהליכי עיבוד מידע; מעורבות בתכנון מערכות המידע; סקירת הנהלים והמדיניות של הארגון הקשורים לפרטיות.
ב. פיקוח ובקרה. לדוגמא: הכנת תכנית עבודה שנתית בנושא פרטיות; דיווח להנהלת הארגון בדבר בקרה פיקוח; בקרה ותיקון פגמים שהתגלו בבחינות; הגשת דיווח שנתי לדירקטוריון הארגון; הממונה ישמש איש הקשר של הארגון מול הרשות.
ג. הטמעה והדרכה. לדוגמא: לפעול כסמכות מקצועית ומרכז ידע בארגון בנושא הגנת הפרטיות; קידום הגנת הפרטיות ועמידה בדיני הפרטיות על ידי הרצאות והנחיות של עובדי הארגון.
- סמכויותיו ועצמאותו של הממונה – על מנת להבטיח את פעילות הממונה בצורה מיטבית, יש לתת את הדעת לנושאים הבאים: מעורבות בכל עניין הנוגע לאבטחת מידע בארגון, הקצאת משאבים וסמכויות נדרשים למילוי תפקידו, הבטחת עצמאות מוסדית ומקצועית, הגדרת נהלים להחלפת הממונה בתום כהונתו וכן תנאים לסיום העסקתו לפני תום כהונתו ומניעת ניגודי עניינים אל מול תפקידים נוספים שמבצע בארגון (אם ישנם כאלו).
- ידע והכשרה נדרשים: תפקיד הממונה דורש הבנה של התהליכים בארגון ברמה הטכנולוגית והעסקית, לצד יכולת בחינתם בראי החוק. הרשות סבורה כי תחומי הידע של ממונה צריכים לכלול לכל הפחות את העניינים הבאים: היכרות מעמיקה עם דיני הפרטיות בישראל (לאו דווקא השכלה אקדמית או פורמלית), הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע. הכשרה ותחומי ידע נוספים העשויים לשפר את תפקוד הממונה ואת תועלתו לארגון: הכשרה אקדמית (או מקבילה) במשפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או רגולציה; היכרות עם דיני הפרטיות באירופה, בארצות הברית או בשווקים אחרים ברחבי העולם הרלוונטיים לארגון; היכרות עם ההיבט העסקי של הארגון ותחום האתיקה.
- מעמדו של הממונה: מומלץ כי הממונה יהווה חלק משדרת ההנהלה הבכירה של הארגון.
לסיכום, המלצת הרשות למנות ממונה על פרטיות אינה מהווה בשלב זה חובה שבדין, אך היא מהווה משאב חשוב לשיפור רמת הציות בארגון, קידום האחריות ביחס לניהול המידע האישי בו ושמירה מיטבית על הזכות לפרטיות. כמו כן, למינוי ממונה משמעות כלכלית שכן הוא מהווה אמצעי לביסוס אמון בארגון, יסייע לוודא ציות בענייני פרטיות בארגון וימנע עלויות נוספות של התנהלות מול הרשות להגנת הפרטיות. אנו ממליצים שכל ארגון ישקול את הצורך למנות ממונה על פרטיות. להלן לינק להודעת הרשות והערכה המצורפת.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל ellat@gkh–law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה