ביום 25 בינואר 2022, פרסמה הרשות להגנת הפרטיות מסמך המלצות בנוגע למינוי ממונה הגנה על הפרטיות בארגונים ובחברות מכלל מגזרי המשק.[1]
במסמך מבהירה הרשות כי לעמדתה, כדי להבטיח עמידה בהוראות דיני הפרטיות בישראל, מומלץ למנות ממונה הגנה על הפרטיות. עמדה זו מרחיבה את הדרישות הקבועות בחוק הגנת הפרטיות, התשמ"א-1981, והיא בגדר המלצה (Best Practice) לארגונים האוספים ומעבדים מידע אישי, שמטרתה לשפר את רמת ההגנה על הזכות לפרטיות בהם. המלצה זו עולה בקנה אחד עם חובות הקבועות בדיני הגנת הפרטיות בעולם, כגון החובה הקבועה ברגולציית הגנת המידע של האיחוד האירופי (GDPR), למנות DPO (Data Protection Officer) בנסיבות מסוימות.
הרשות מסבירה כי תפקידו המרכזי של הממונה להגנה על הפרטיות בארגון להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות. לצורך כך ממליצה הרשות שהממונה יהיה חלק מההנהלה הבכירה של הארגון (או לכל הפחות ידווח לה ישירות), באופן שיאפשר לו להשפיע על התהליכים המרכזיים בארגון. לגישת הרשות, הממונה יכול שיהיה מינוי פנימי, עובד החברה או מינוי חיצוני לחברה, בשים לב למאפייני הארגון, לפעולות עיבוד המידע שהוא מבצע ולמשאבים העומדים לרשותו. עוד מבהירה הרשות כי היא מודעת לכך שיצירת תפקיד כזה נושאת עלויות, ועל כן המלצתה נוגעת במיוחד לארגונים אשר עסקיהם או שירותיהם מבוססי-מידע, ולארגונים אשר קיימת סבירות שפעילותם תיצור סיכון מוגבר לפרטיות.
היקף תפקידו של הממונה ייקבע על פי מורכבותן של פעולות איסוף המידע האישי ועיבודו שמבצע הארגון, ובהתאם לגודלו. הרשות ממליצה לשקול להטיל על הממונה את התפקידים הבאים: קידום ההגנה על הפרטיות במידע והציות להוראות הדין בארגון; ביצוע הדרכות לעובדים; ניסוח נוהל הפרטיות של הארגון שיובא לאישור ההנהלה הבכירה; מעורבות בתהליכי עיבוד המידע בארגון ובעיצוב מערכות המידע שלו (לצורך הבטחת Privacy By Design); ניהול עריכת תסקיר השפעה על הפרטיות (Privacy Impact Assessment); קבלת דיווח על ביצוע סקר סיכוני אבטחת מידע; טיפול בתלונות בעניין עיבוד מידע אישי והזכות לפרטיות, ובפניות של נושאי מידע כגון בקשות לעיון במידע או לתיקונו; הכנת תכנית עבודה שנתית שתובא לאישור ההנהלה הבכירה בארגון, בדבר פיקוח על יישום הוראות הדין; דיווח להנהלה הבכירה על ממצאים של פעולות הפיקוח וקיום בקרה על אופן תיקון הליקויים (אם יימצאו); הצגת דין וחשבון שנתי להנהלה הבכירה ולדירקטוריון; שמירת קשר עם הרשות להגנת הפרטיות; ושימוש סמכות מקצועית ומוקד ידע לענייני פרטיות בארגון.
מסמך ההמלצות מתייחס גם לחשיבות של הבטחת משאבים וסמכויות הנדרשים לצורך מילוי תפקידו של הממונה; ולחשיבות עצמאותו של הממונה ושל ומומחיותו בתחום הפרטיות, שתכלול, לכל הפחות, ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל, הבנה מספקת בתחום טכנולוגיית המידע, והבנה בסיסית בתחום אבטחת המידע.
אף בהעדר חובה למנות ממונה ארגוני להגנה על הפרטיות בדין הישראלי, הרשות מצביעה על חשיבות הסמכת ממונה כזה כאמצעי מהותי לשיפור רמת הציות לדיני הגנת הפרטיות בארגון ולשמירה מיטבית על הזכות לפרטיות בו, ואף כאינטרס פנימי של הארגון, בדגש על ארגונים המכוונים לקהל לקוחות בינלאומי.
לפרטים נוספים ולייעוץ בנושא דיני הגנת הפרטיות, מינוי ממונה פרטיות בארגון, והנושאים הנדונים בעמדת רשות הגנת הפרטיות, ניתן לפנות לעו"ד אביעד לחמנוביץ' או עו"ד גיא פוקס ממחלקת הבנקאות במשרדנו.