ביום 23 ביולי, 2025, הרשות להגנת הפרטיות ("הרשות") פרסמה טיוטה בנושא מינוי ממונה על הגנת הפרטיות לפי דרישות תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981 ("החוק") אשר ייכנס לתוקף ביום 14.8.25 ("הטיוטה").
הטיוטה פורסמה להערות הציבור כחלק מההיערכות ברשות ליישום ולאכיפה של תיקון 13 לחוק, אשר מבקש לעצב מחדש את מערך ההגנה על הפרטיות בישראל. אחד החידושים המרכזיים בתיקון הוא קביעת חובה סטטוטורית למנות ממונה על הגנת הפרטיות ("ממונה") בארגונים שפעילותם כרוכה בסיכון גבוה לפרטיות, זאת מתוך כוונה להגביר את הניהול הפנים ארגוני של הנושא בשוטף.
החובה למנות ממונה נשענת על עקרון האחריותיות ,(Accountability) המחייב ארגונים ליישם בפועל את הוראות הדין ולתמוך בכך בשיטות עבודה פנימיות. עיקרון זה, המעוגן ברגולציות בינלאומיות ובהן הוראות האסדרה האירופאית להגנה על מידע ("GDPR"), משתקף גם בדין הישראלי, לרבות בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות"). בין היתר, הרשות מציינת כי ביטול חובת רישום מאגרי המידע בתיקון 13 בעיקר במגזר הפרטי מחייב חיזוק מנגנוני הפיקוח הפנימיים ובראשם מינוי ממונה ייעודי בתחום.
הטיוטה שואפת להבהיר את היקף החובה, את תחומי האחריות של הממונה, את דרישות הידע והכישורים החלים עליו וכן את ההוראות הנוגעות למעמדו ולמתכונת העסקתו בתוך הארגון. מאחר וצפויים לחלוף עוד כמה חודשים עד לפרסומו של גילוי דעת סופי ומחייב, בעוד תיקון 13 נכנס לתוקף כבר ב-14 לאוגוסט 2025, הרשות מציינת כי הפרשנות הכלולה בטיוטה תשמש אותה בעת הפעלת סמכויותיה לפי החוק, אולם הרשות תתחשב בכך שגילוי הדעת בשלב זה אינו מסמך סופי.
מי חייב למנות ממונה?
בהתאם לתיקון 13, ישנן ארבע קבוצות של חייבים במינוי ממונה והטיוטה מתייחסת לכל אחת מהן במפורט:
- גופים ציבוריים
בהתאם לתיקון, החובה למנות ממונה חלה על מגוון רחב של גופים ציבוריים המבצעים תפקיד ציבורי מכוח דין או שנכללים בצו הגנת הפרטיות (קביעת גופים ציבוריים), התשמ"ו-1986. החובה מתקיימת גם כאשר המאגר שבשליטת הגוף כולל מידע "פנימי" בלבד, למשל מידע על עובדי הארגון ואינה מוגבלת למאגרי מידע החייבים ברישום.
במסגרת הטיוטה, הרשות מעניקה פרשנות מרחיבה וחריגה תוך שהיא קובעת כי החובה למנות ממונה בגופים ציבוריים חלה גם על כל מי שהוא מחזיק במאגר מידע של גוף ציבורי (גם מקום בו המחזיק אינו בעצמו גוף ציבורי). אנו מוצאים כי הרחבה זו מעוררת קשיים בהתחשב בשימוש הנרחב של גופים ציבוריים במערכות מדף גנריות (לדוגמא מערכת לניהול נוכחות עובדים) ואיננו רואים כיצד הרחבה זו משרתת את התכלית של חובת מינוי ממונה על גופים ציבוריים.
- גופים העוסקים בסחר במידע (Data Brokers)
החוק קובע כי בעלי שליטה במאגר שמטרתו העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה ויש במאגר מידע אישי על יותר מ- 10,000 בני אדם, חייבים במינוי ממונה. בהתאם לטיוטה, הכוונה הינה לגופים העוסקים בסחר במידע במובן הרחב כמו למשל סוכנויות דירוג אשראי. עוד מחדדת הטיוטה, כי גוף יכול להיחשב כ-Data Broker לעניין חובת מינוי ממונה, בין אם עיסוקיו העיקריים כוללים סחר במידע אישי (בתמורה או לא בתמורה) ובין אם מכירת המידע הינה אינצידנטלית לפעילותו המרכזית אך נעשית בתמורה.
- גופים העוסקים בניטור שוטף ושיטתי של בני אדם
חובת המינוי חלה גם על בעל שליטה או מחזיק במאגר מידע, שעיסוקיו העיקריים כוללים בפועל עיבוד מידע אישי הכרוך בניטור שוטף ושיטתי של בני אדם, גם אם זו איננה תכליתם (העסקית וכו').
הטיוטה מתארת את המונח "ניטור שוטף ושיטתי" כרחב ומפרטת שורה של דוגמאות. בקרב אלו ניתן למצוא כאלה ברורות מאליהן ומוצדקות במהותן, כדוגמת פרופיילינג (Profiling) או ניהול שירותי דירוג אשראי וחיתום ביטוחי. אולם הטיוטה אינה מסתפקת בכך ומפרטת שורה של דוגמאות אשר לטעמנו מובאות בצורה לאקונית העלולה להרחיב את הנטל הרבה מעבר לכוונת המחוקק: התחקות אחר פעילות משתמשים באפליקציות ואתרי אינטרנט (מה שמקובל לראות כ- Usage Data ונחשב בדרך כלל לצורה בסיסית ונטולת כל רגישות מהותית של מידע אישי); כל עיבוד מידע שתכליתו לייצר פרופיל המשרת "פרסום ממוקד" (ניתן לתהות האם כל אתר העושה שימוש בשירותי הפרסום של גוגל נופל לקטגוריה זו?); אפליקציות האוספות נתוני מיקום במרחב פיזי ללא הבחנה בין מיקום משוער ומיקום מדויק; מכשירי חשמל ביתיים המחוברים לרשת האינטרנט ואוספים נתונים אישיים (האם מוצדק להחיל חובה זו למשל על מקרר חכם רק מכיוון שאצל היצרן מוגדר "בעלים" מזוהה?); ומאגרי "צילומים של מצלמות מעקב" – האם מדובר במצלמות אבטחה פשוטות או שהכוונה לצורת מעקב משוכללת יותר הכוללת זיהוי? במסגרת ההערות שבכוונתנו למסור לרשות אנו סבורים שיש להבהיר דוגמאות אלו ולצמצם את גדרן באופן התואם את הקריטריון הצר שקבע המחוקק (ולא בכדי).
נקודה נוספת המעוררת תמיהה בחלק זה, הינה היעדר ההתייחסות לקריטריון החשוב של "עיסוקיו העיקריים". היעדר זה מתחדד לנוכח העובדה שבקבוצת החייבים הבאה הרשות דווקא מתייחסת לקריטריון זה במפורש ודנה בו.
- גופים המעבדים מידע בעל רגישות מיוחדת בהיקף ניכר
בקבוצה זו נכנסים גופים המקיימים שני קריטריונים במצטבר ביחס לעיבוד מידע בעל רגישות מיוחדת כמשמעו בסעיף 3 לחוק לאחר התיקון (מידע רגיש): (1) המידע צריך להיות מעובד כחלק מעיסוקיו העיקריים של הגוף; ו(ב) על הגוף לעבד מידע שכזה "בהיקף ניכר".
בהתאם לטיוטה מבחן ה"עיסוק העיקרי" בוחן האם מדובר בעיבוד מידע רגיש שהוא:
- חלק מרכזי במימוש מטרות הארגון, כדוגמת קופת חולים המעבדת מידע רפואי; או
- מהווה חלק מרכזי בפעילות הליבה של הארגון גם אם עיבוד המידע אינו חיוני להגשמת מטרות הארגון. הטיוטה אינה מפרטת דוגמא מתאימה, אולם ניתן לחשוב על אפליקציית כושר או וולנס, האוספת כחלק מפעילותה מידע רפואי אודות המשתמש, גם אם תכליתה אינה מתן שירותים רפואיים.
מנגד, הטיוטה קובעת כי עיבוד מידע בעל רגישות מיוחדת למטרות עזר בגופים שאין זה חלק מעיסוקם העיקרי, כדוגמת עיבוד מידע בעל רגישות מיוחדת בכל ארגון כחלק מניהול העובדים, אינו כשלעצמו עילה לחובת מינוי ממונה בגופים אלה.
ראוי לציין כי מבחן ה"היקף הניכר" אינו ברור עוד בנוסח החוק המקורי, טרם הטיוטה. החוק עצמו קובע כי היקף ניכר יכול לבוא לידי ביטוי בשורה כה ארוכה של משתנים בעלי אופי כמותי – "מספר בני האדם שמידע מעובד לגביהם, לשיעורם באוכלוסייה מסוימת, להיקף המידע, לכמותו ולטווח של סוגי המידע המעובד, למשך ולתדירות של פעולות העיבוד, למשך שמירת המידע ולתחום הגאוגרפי של פעולות העיבוד". כפי שהערנו בפרסומים קודמים, על אף שהמונח "היקף" נושא לכאורה אופי כמותי, הגדרה זו הופכת אותו במהותו למבחן איכותי. ואכן, בטיוטה הרשות מבהירה כי למונח זה "אין סף כמותי חד ערכי ויש לבחון אותו לפי מכלול הנסיבות והשיקולים…". שילוב של כלל המדדים הכמותיים (לכאורה) הללו, בכל הגדרה ובחינה, הופך את המבחן בסופו של דבר לאיכותי ומצטבר ומחייב בדיקה מדוקדקת במקרה של גוף שעיסוקיו העיקריים כוללים עיבוד מידע בעל רגישות מיוחדת.
הרשות מדגישה כי ביישום המבחנים השונים לשאלה האם קמה חובת מינוי ממונה יש לנהוג לחומרה ולעמדת הרשות יש למנות ממונה במקרים של ספק.
הידע הנדרש מהממונה
על הממונה להיות בעל ידע וכשירות מתאימים למילוי תפקידו, בהתאם לאופי עיבוד המידע, היקפו ומטרותיו.
בראש ובראשונה הממונה נדרש להיות אדם המחזיק ב"ידע מעמיק בדיני הגנת הפרטיות בישראל" לרבות היבטי אבטחת מידע, שליטה בחקיקה, פסיקה, הנחיות הרשות וכן רגולציה מגזרית רלוונטית, כגון בתחום הבנקאות או הביטוח לפי העניין. על הממונה להיות בעל ניסיון מעשי או הכשרה רשמית בתחום, אשר בכל מקרה ניתנים להוכחה. לצד אלו, נדרשת אוריינטציה טכנולוגית הולמת, בין היתר לשם קידום עקרון “Privacy by Design” ולשם הערכת סיכוני הפרטיות הנובעים מהטכנולוגיות המיושמות בארגון.
לרובד הידע והניסיון נוסף רובד של היכרות עם הצרכים הייחודיים של הארגון אותו הממונה מלווה. הממונה נדרש להכיר את תחומי הפעילות של הארגון, המבנה הארגוני, תהליכי עיבוד המידע ונושאי המידע הרלוונטיים ובייחוד אוכלוסיות מיוחדות כגון קטינים. עליו להבין את הסיכונים, ליישם עקרונות פרטיות ואבטחת מידע בתהליכי העבודה ולסייע בהתאמת המדיניות לצרכי הגוף.
זיהוי בעל התפקיד הרלבנטי בארגון
הארגון מחויב להבטיח כי הממונה יהיה מעורב בכל עניין הנוגע לדיני הגנת הפרטיות, בין אם הוא מועסק כעובד פנימי של הארגון ובין אם כנותן שירותים חיצוני (DPO-as-a-Service). לצד זאת, כדי שהממונה יוכל להשפיע באופן אפקטיבי על תהליכים פנים‑ארגוניים הממונה חייב בדיווח ישירות למנכ"ל או לגורם הכפוף למנכ"ל במישרין. הארגון רשאי לקבוע את מיקומו של הממונה במבנה הארגוני לפי שיקול דעתו ובהתאם לצרכיו ולגישת הרשות הצבתו של הממונה ביחידת הייעוץ המשפטי אינה אסורה כשלעצמה. אולם, הרשות מדגישה כי מינוי מסוג זה אינו בהכרח מיטבי וזאת בין היתר בשל ההבחנה בין השונות בכישורים ובידע המקצועי הנדרשים לכל אחד מהתפקידים.
הקצאת משאבים מתאימים לממונה
על הארגון לספק לממונה תנאים מתאימים שיאפשרו לו למלא את תפקידו ובכלל זאת הקצאת זמן, משאבים, נגישות למקבלי החלטות ומעורבות ישירה בכל הליך מהותי שנוגע לעיבוד מידע אישי. דרישה זו כוללת בין היתר היקף משרה ושכר מתאימים, גיוס צוות שיסייע לממונה, תקציב ייעודי הכולל בקרה והדרכה, עדכון היידע המקצועי של הממונה באמצעות השתלמויות ועוד.
בהקשר זה יש לציין כי הטיוטה חסרה התייחסות מפורשת וברורה לשאלה כיצד אמור לפעול גוף גלובאלי, שיש לו DPO כחלק מהמטה הארגוני בחו"ל. על פניו, אין מחלוקת כי ה-DPO הגלובאלי מחזיק במשאבים ובידע הארגוני הנדרשים לתפקיד בצורה אופטימאלית. עם זאת, הרשות קובעת בקצרה כי קיימת חשיבות מהותית לידיעת השפה העברית – זאת, מבחינה פנים ארגונית כשפתו של הארגון (דבר שאינו נכון בחברות גלובליות רבות המתנהלות באנגלית). אולם, בה בעת גם כשפתם של "נושאי המידע" הישראלים והשפה בה מפורסמים הוראות החוק וההנחיות בישראל. אמירה זו לטעמנו צריכה להיות מרוככת תוך הותרת פתח לשימוש במשאבי ה-DPO הגלובאלי, בצירוף נציג מקומי שיהיה אמון על היישום בישראל, או לחלופין התקשרות עם גוף ידע ישראלי לצורך גישור על פערי שפה ודין.
איסור על ניגוד עניינים וכהונה כממונה אבטחת מידע במקביל
תיקון 13 אוסר על כך שהממונה ימלא תפקיד נוסף או יהיה כפוף לנושא משרה אם יש חשש לניגוד עניינים. במיוחד, הממונה אינו יכול למלא תפקידים הכוללים את האחריות לקבוע מדיניות בעניין עיבוד מידע אישי או קבלת החלטות לגבי שיטות ואמצעי העיבוד. הרשות מדגישה כי חשש לניגוד עניינים קיים לרוב בתפקידים בכירים כגון מנהל שיווק, כספים, מערכות מידע או CTO.
כמו כן, הטיוטה נוגעת בשאלה האם ממונה יכול להיות גם CISO ובעוד שהרשות אינה אוסרת ככלל על מינוי כפול זה, הרשות מדגישה כי בעל התפקיד הנבחר חייב לקיים את כל דרישות שני התפקידים. כמו כן, הרשות תבחן מינויים כפולים אלו כדי לוודא עמידה בדרישות החוק, שכאמור אינם מתמצים בידע בתחום אבטחת המידע.
הטלת כפל התפקידים על אותו אדם יוצרת מורכבות. ראשית, כיוון שהרקע המקצועי של ממונה אבטחת המידע אינו בהכרח עומד בדרישת "ידע מעמיק בדיני הגנת הפרטיות". זאת בדגש על ההיבטים המשפטיים ותפקידו כאיש הקשר של הארגון למול הרשות. שנית, ייתכנו מצבים של התנגשות בין התפקידים, למשל ניטור עובדים משיקולי אבטחה שעלול לסתור עקרונות פרטיות. שלישית, הדרישה לדיווח ישיר למנכ"ל אינה תמיד מתקיימת לגבי ממונה אבטחת המידע. לבסוף, בארגונים גדולים העומס והאחריות מונעים לרוב מילוי נאות של שני התפקידים במקביל. אני ממליצים כי לשם מניעת היווצרות של ניגוד עניינים במקרים של ספק, ייקבעו מבחני-סף ברורים.
תפקידי הממונה וייעודו
ייעודו של הממונה לא מסתיים בהבטחת ציות לחוק אלא מתחיל מנקודה זו, כאשר הציפייה של הרשות כי הממונה ינקוט גישה פרואקטיבית להטמיע בארגון פרקטיקות רצויות (Best Practices). לצורך כך, הממונה נדרש להטמיע עקרונות פרטיות בכל שלבי עיבוד המידע החל מתכנון מערכות מידע, דרך יישום טכנולוגיות וכלה בהערכת סיכונים, ייעוץ, הטמעת נהלים והדרכה.
הממונה נדרש לוודא קיומם של נהלי אבטחת מידע ומסמכי הגדרות מאגר התואמים את דרישות התקנות ולקדם את אישורם בידי הדירקטוריון יחד עם חובות נוספות עליהן דנה הרשות בהנחיה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי התקנות. הרשות אף ממליצה כי הממונה יהיה מעורב בהכנת מסמכים אלו בפועל ולא רק בפיקוח עליהם, לרבות עדכון שוטף.
כמו כן, הממונה אמון על הכנת תכנית עבודה שנתית, הכוללת פעולות בקרה, הדרכה וטיפול בפניות נושאי מידע, המהווה מסד הכרחי לביצוע תפקידו בצורה מיטבית.
אף שהחוק אינו מחייב את הארגון לפעול בהתאם לעמדת הממונה, הרשות קובעת כי יש לראות בעמדתו חוות דעת של גורם שיש להיוועץ בו וכי חוות דעתו עשויה להידרש במסגרת פעולות הפיקוח, בשל תפקידו כאיש הקשר הסטטוטורי עם הרשות. לפיכך, מוצע לעגן חובה לנמק בכתב כל החלטה שלא לאמץ את עמדת הממונה ולשמור תיעוד מלא של ההחלטה והנימוקים.
בטיוטה הרשות מבהירה הרשות כי הפרשנות המובאת בה יכולה לשמש את הרשות כבסיס להפעלת סמכויות אכיפה – לרבות הטלת עיצומים כספיים, אולם מרככת ואומרת כי הרשות תיקח בחשבון את העובדה שמדובר בטיוטה. המשמעות האופרטיבית הינה כי גופים המתלבטים בנוגע לחובת המינוי החלה עליהם, צריכים לנהוג במשנה זהירות ואנו ממליצים על נקיטת פוזיציה מחמירה תוך מינוי בעל תפקיד מתאים.
הרשות מעמידה טיוטה זו להערות הציבור עד לתאריך 23.9.2025 ואנו מזמינים אתכם לחלוק עמנו את תובנותיכם והערותיכם בנושא, אשר נשמח לשלב בדיאלוג המתמשך שלנו מול הרשות.
במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות', פיתחנו בשנים האחרונות מתודולוגיה סדורה לתפקיד ממונה על הגנת הפרטיות בגופים ציבוריים, פרטיים ובינלאומיים ואנו פועלים לפי תוכניות עבודה סדורות. במסגרת זו, אנו מכהנים אצל רבים מלקוחותינו במסגרת של DPO-as-a-service, ומספקים במסגרת כך כלים פרקטיים ליישום בקרות שוטפות ותקופתיות, המבטיחות את הציות השוטף והמתמשך לדרישות החוק ולשינויים רגולטוריים.
תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM לפרטיות, רגולציה ולטכנולוגיה.
