לקוחות וידידים נכבדים,
אנחנו שמחים לשתף אתכם במבזק עדכונים בתחום הגנת הפרטיות שהכנו עבורכם.
טיוטת גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות בארגון (DPO)
ביום 23 ביולי 2025 פרסמה הרשות להגנת הפרטיות גילוי דעת בנושא החובה למנות ממונה על הגנת הפרטיות (DPO) בהתאם להוראות תיקון מס' 13 לחוק הגנת הפרטיות, שייכנס לתוקף בחודש אוגוסט 2025.
גילוי הדעת מפרט את עמדת הרשות בנוגע להיקף החובה, סוגי הגופים המחויבים במינוי DPO, תחומי האחריות של הממונה, הכישורים הנדרשים ממנו, וכן את ההוראות בנוגע להעסקתו, מעמדו, והמשאבים שעל הארגון להעמיד לרשותו.
להלן חלק מהנקודות החשובות שעולות מגילוי הדעת:
על מי מוטלת החובה למנות ממונה על הגנת הפרטיות?
• גופים ציבוריים, כגון: משרדי ממשלה, רשויות מקומיות, קופות חולים ומוסדות להשכלה גבוהה.
• גופים העוסקים בסחר במידע אישי, לרבות שירותי דיוור ישיר, כאשר יש ברשותם מאגר מידע אישי הכולל יותר מ-10,000 אנשי קשר.
• גופים המבצעים ניטור שיטתי ושוטף של אנשים, כגון: ספקי תקשורת סלולרית, אפליקציות ניווט, אפליקציות האוספות נתוני מיקום במרחב הפיזי, אפליקציות והתקני מחשוב לביש העוקבים אחר נתוני בריאות, מתקנים מחוברים לאינטרנט (כגון כלי רכב חכמים, מכשירי חשמל ביתיים המחוברים לרשת), ספקי אינטרנט ומאגרי צילומים של מצלמות מעקב.
• גופים המעבדים מידע בעל רגישות מיוחדת בהיקף ניכר, כגון: תאגידים בנקאיים, חברות ביטוח, בתי חולים וקופות חולים. הרשות מבהירה כי מאפייני הגופים ברשימה זו (רשימת "white list") יכולים לשמש דוגמה למאפיינים של גופים נוספים "שעיסוקם העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר". כמו כן, אין רף כמותי חד-ערכי, ויש לבחון כל מקרה לגופו.
• בנוסף לגופים הנ"ל, הרשות ממליצה לגופים שאינם מחויבים בכך, לשקול מינוי כזה באופן וולונטרי, בשל יתרונותיו הרבים.
• יצוין כי לפי פרט 2(4) לתוספת החמישית לחוק, מינוי ממונה הגנה על הפרטיות בארגון שנדרש לכך מכוח סעיפים 17ב1(א)(3) או (4), עשוי לזכות את הארגון בהפחתה בסך 10%, ככל שיוטל עליו עיצום כספי בשל הפרות אחרות של החוק.
הידע והכישורים הנדרשים מממונה על הגנת הפרטיות (DPO):
• בעל ידע מעמיק בדיני הגנת הפרטיות.
• בעל הבנה טכנולוגית ואוריינטציה לאבטחת מידע.
• היכרות עם תחומי הפעילות של הארגון והרגולציה החלה עליו.
ייעוד ה-DPO ותפקידיו כוללים:
• ייעוץ מקצועי, הדרכה, פיקוח ובקרה שוטפים.
• מעורבות בטיפול באירועים, ויצירת תרבות פרטיות פנימית.
• ייצוג הארגון מול הרשות.
הבהרות נוספות בקשר לתפקיד והיקף/מתכונת העסקת ה-DPO:
• על ה-DPO לפעול לקידום ושיפור ההגנה על הפרטיות ואבטחת המידע גם מעבר למינימום הקבוע בדין.
• חוק הגנת הפרטיות אינו מטיל על ה-DPO אחריות אישית במקרה של אי-ציות להוראותיו, ועיקר שליחותו היא בתחומי הייעוץ, ההדרכה, הפיקוח והבקרה.
• אופטימלית, רצוי שהממונה יהיה עובד הארגון וחלק אינטגרלי ממנו, באופן שיאפשר לו היכרות מעמיקה ואינטימית עם מבנה הארגון, תחומי פעילותו ותרבותו הארגונית, וכן זמינות ונגישות בלתי אמצעית לעובדים ולמנהלים.
• מתכונת ההעסקה והיקף המשרה שתוקצה לממונה (פנימי או חיצוני) צריכים להיבחן לגופו של כל ארגון, בהתאם למאפייניו הספציפיים. עם זאת, בין אם הממונה הוא עובד הארגון ובין אם הוא נותן שירותים חיצוני, יש להבטיח שיוכל להקדיש את הזמן הדרוש למילוי נאות של תפקידו, ולקיים את שאר דרישות החוק לגבי הממונה ואופן העסקתו.
לרבות החובה המפורשת בחוק לספק לו את התנאים והמשאבים הדרושים למילוי נאות של תפקידו, לוודא כי הוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות, ולהבטיח כי לא יוטל עליו תפקיד נוסף או כפיפות לנושא משרה אשר עלולים להעמידו בחשש לניגוד עניינים.
• על מתכונת ההעסקה (פנימי או מיקור חוץ) ועל היקף המשרה (מלאה או חלקית) להתאים לתפקידים ולתחומי האחריות של הממונה, ולהיקבע בשים לב לגודלו של הגוף בו הוא ממלא את תפקידו, להיקף ורגישות המידע המעובד בידי הגוף, ולנסיבות נוספות המלמדות על מורכבות תפקיד הממונה באותו גוף.
• מצופה מה-DPO לנקוט גישה פרואקטיבית ולהציע את סיועו באופן יזום, נגיש וזמין לכל המחלקות הרלבנטיות ולאורך כל שלבי מחזור החיים של עיבוד המידע האישי בארגון.
• על הארגון לשקול את עמדתו של ה-DPO בסוגיות פרטיות בכובד ראש, לנמק החלטה שלא לאמץ אותה, ולנהוג בה כבחוות דעתו של גורם שיש חובת היוועצות עמו. בעניין חובת ה-DPO להכין תוכנית הדרכות – בהתאם לגודל הארגון ופריסתו – רצוי ככל הניתן שה-DPO הוא שידריך את העובדים בעצמו.
• על הארגון לפרסם לציבור באופן נגיש ופשוט את דרכי ההתקשרות עם ה-DPO, ורצוי שאלה יכללו כתובת דוא"ל, מספר טלפון לשיחות ולהודעות וואטסאפ ומען למשלוח דואר פיזי.
• הרשות ממליצה לכל DPO לעדכן אותה בפרטי ההתקשרות עמו ולציין את הארגון בו מונה לכהן.
מקומו של ה-DPO בארגון
• ה-DPO אינו יכול למלא תפקידים, או להיות כפוף לבעלי תפקידים, הכוללים את הסמכות או האחריות לקבוע מדיניות בעניין עיבוד המידע האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד.
• ממונה אבטחת המידע לא יוכל למלא במקביל גם את תפקיד DPO בארגון, אלא רק אם יש באפשרותו לאזן בין התפקידים בצורה נאותה, ומבלי שתיפגע יכולתו למלא כל אחד מהם כראוי.
• מינוי DPO בייעוץ המשפטי של הארגון הוא אפשרי, ככל שאין המינוי מביא למצב של ניגוד עניינים, אולם לא בהכרח מאפשר להפיק ממנו את התועלת המיטבית, בשל ההבדל המהותי בין תפקיד היועץ המשפטי לבין תפקידו של הממונה.
כמו כן, הרשות הדגישה כי במקרים בהם מאפייני בעל המאגר המקבל שונים מאלה של בעל המאגר המקורי באופן מהותי, שעלול להשפיע במידה ניכרת על זכויות נושא המידע או החורג משמעותית מציפיותיו לגבי נסיבות איסוף המידע והשימוש בו, או במקרים בהם יש להניח כי נושא המידע לא היה מתקשר עם בעל המאגר המקבל, יש לקבל את הסכמת נושא המידע מראש, גם אם לא חל שינוי במטרות השימוש במידע.
למרות שמדובר בטיוטה בלבד, הפרשנות המוצגת בגילוי הדעת תשמש את הרשות בעת הפעלת הסמכויות המוקנות לה, לרבות הסמכות להטיל עיצומים כספיים בגין הפרה של החובה למנות DPO ושל הוראות אחרות בחוק הנוגעות למעמדו ולמתכונת העסקתו. עם זאת, בעת הפעלת סמכויותיה ובכללן סמכויות האכיפה, תתחשב הרשות בכך שגילוי הדעת בשלב זה אינו מסמך סופי אלא עדיין בגדר טיוטה להערות הציבור.
לאור כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, תשמ"א-1981 ביום 14 באוגוסט 2025, מומלץ לגופים המנהלים מידע אישי ללמוד מטיוטת גילוי הדעת את גישתה את הרשות לצורך יישום בארגון בנוגע, בין היתר, להיקף החובה, סוגי הגופים המחויבים במינוי DPO, תחומי האחריות של ה-DPO, הכישורים הנדרשים ממנו, וכן בנוגע להעסקתו, מעמדו, והמשאבים שעל הארגון להעמיד לרשותו.
לטיוטת גילוי הדעת - לחצו כאן >>
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים ב KPMG ישראל, מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר