לאחר המתנה ארוכה, וזמן קצר לפני כניסתו לתוקף של תיקון 13, פרסמה הרשות להגנת הפרטיות להערות הציבור טיוטת גילוי דעת בנושא מינוי ממונה על הגנת הפרטיות (DPO) לפי דרישות התיקון.

בהינתן שדרישת המינוי של DPO, תפקידיו וכישוריו נלקחו כמעט כלשונן מתוך ה GDPR ומתוך הנחיה שהוציאה מועצת הרגולטורים האירופיים (EDPB) באותו נושא (כן, דוגמאות שנתן ה EDPB בהנחיה שפרסם הפכו לחוק חרוט בישראל), אין זה מפתיע שגילוי הדעת דומה בעיקרו להנחיה.

הטיוטה פתוחה להערות עד 23.9.25, הרבה אחרי שתיקון 13 ייכנס לתוקף וגופים רבים יהיו כפופים לחובה למנות DPO. בהקשר הזה, הרשות מציינת כי בעת הפעלת סמכויות האכיפה מצדה היא תתחשב בעובדה שמדובר בטיוטה להערות הציבור ולא במסמך סופי, מה שמעלה את השאלה האם הרשות תאכוף עניינים בקשר לDPO על פי פרשנותה במסמך זה עוד לפני שהוא יפורסם לציבור כנוסח סופי.

הטיוטה סוקרת את הוראות החוק ומספקת הסברים והבהרות (אף כי שאלות כמו מהו "היקף ניכר" המחייב מינוי DPO נשארות פתוחות), אך עיקר חשיבותה, לדעתנו, בכך שהיא מחדדת מאוד את הגדרת-העל של תפקיד של ה DPO, ובשיקולים שהיא מונה לגבי פוטנציאל ניגוד העניינים בין תפקיד ה DPO לתפקידים אחרים.

על תפיסת הרשות את תפקידו של ה DPO ניתן ללמוד מאמירות בהקשרים שונים בטיוטה. כך למשל, בקשר לשאלת הידע והכישורים, מציינת הרשות כי "לנוכח מהות התפקיד, ראוי שגישתו המקצועית של הממונה תכיר בערך ההגנה על הזכות לפרטיות". לממונה "תפקיד מרכזי" להביא ל"הפנמה של 'תרבות פרטיות' בארגון ומעניין בהקשר הזה לראות שהרשות מציינת כושר שכנוע כאחד מכישוריו הנדרשים. הרשות אף מייחסת לממונה "ייעוד" ו"שליחות" (בהבדל מ"תפקיד" גרידא), הכולל גם "קידום ושיפור ההגנה על הפרטיות ואבטחת מידע גם מעבר למינימום הקבוע בדין". עניין זה חוזר על עצמו שוב. כך, קובעת הרשות ש"את תפקידו [של ה DPO] אפשר לתאר כמתאם של הליכי הציות… לא רק לדרישות המתחייבות מלשונם של דיני הגנת הפרטיות, אלא גם לפרקטיקות הרצויות (Best Practices)", ואת ההבדל בין תפקיד היועץ המשפטי לתפקיד ה DPO מתארת הרשות כ"מהותי": היועץ המשפטי עוסק ב"הבטחת הציות לחוק", וה DPO ב"קידום השמירה על הפרטיות אל מעבר למינימום המתחייב מהדין". לבסוף, בעוד שה DPO משמש סמכות מקצועית ש"יש לשקול את עמדתו בכובד ראש, לנמק החלטה שלא לאמץ אותה…", הרי ש"בארגונים רבים היועץ המשפטי הוא המכריע בשאלות משפטיות".

חשוב לציין שהרשות לא קובעת שה DPO לא יכול להיות חלק ממערך הייעוץ המשפטי בארגון. הטיוטה מציינת את הדבר כאפשרי, והרשות אף חוזרת מספר פעמים על חשיבות הידע המשפטי של ה DPO. אבל מהטיוטה עולה בבירור כי תפקיד ה DPO שונה מתפקיד היועץ המשפטי, ועל אבחנה זו להישמר גם אם אותו אדם ממלא את שני התפקידים.

כדאי לשים לב גם לסעיף 23 לטיוטה, ממנו עולה כי לאור הגדרת ה DPO כאיש הקשר עם הרשות, הרשות עשויה כחלק מהפעלת סמכויותיה לבקש את חוות הדעת שנתן לארגון בו הוא ממלא את תפקידו כממונה. מאחר שעל חוות דעת משפטיות חל חיסיון, גם באספקט הזה חשוב להבחין בין חוות דעת שהיא ייעוץ משפטי חסוי, ומתי מדובר בהמלצה של ה DPO.

בעוד הרשות מקבלת (במגבלות) את האפשרות שיועצים משפטיים ישמשו גם בתפקיד DPO, היחס לבעלי תפקידים אחרים סקפטי הרבה יותר. אומנם צריך לבחון כל מקרה לגופו, אולם הרשות מטילה ספק בכך שבעלי תפקידים בכירים אחרים, כמו מנהלי שיווק, לקוחות, כספים, ומערכות מידע יכולים להחזיק בתפקיד ה DPO במקביל, כי הממונה אינו יכול למלא גם תפקיד הכרוך בסמכות או באחריות "לקבוע מדיניות בעניין עיבוד האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד", או להיות כפוף לבעל תפקיד כזה.

במילים אחרות, מי שאחראי על קביעת המטרות העסקיות של השימוש במידע, נמצא בניגוד עניינים. (גם יועץ משפטי קובע לעיתים את מטרות העיבוד, אך ככלל מדובר במטרות מצומצמות כמו משך השמירה של מידע למטרות משפטיות).

תפקיד שזוכה לתשומת לב רבה הוא ה CISO, מנהל אבטחת המידע. השילוב CISO/DPO נפוץ בארגונים רבים, ואף שהרשות לא פוסלת אותו כפי שהיא עושה לגבי מנהלי שיווק, לדוגמא, ניכר מהטיוטה שהרשות מסופקת מאוד לגבי השילוב, בין השאר לאור הצורך בידע משפטי מעמיק בדיני הגנת הפרטיות, בתשומת הלב המלאה הנדרשת למילוי תפקידי אבטחת מידע (שעלולה להקשות עליו למלא גם את תפקיד ה DPO באופן מיטבי), וגם בכך שממונה אבטחת מידע נושא באחריות אישית, בעוד ש DPO לא, מה שעלול לגרום לבעל התפקיד הכפול לתעדף את התפקיד שמסכן אותו אישית יותר. עם זאת, כאמור, הרשות לא פוסלת את השילוב לחלוטין, ולארגונים המבקשים לבצע מינוי כפול נמליץ למנות ולתעד את הנימוקים המצדיקים לטעמם את המינוי הכפול (למשל, ידע משפטי של ה CISO, פעילות בסיכון נמוך לפרטיות באופן שלא מצדיק תשומת לב מלאה לנושא הפרטיות דווקא, וכו').

כמה דגשים קצרים לסיום:

מינוי DPO הוא אישי – אפשר להתקשר עם חברה חיצונית לקבלת שירות DPO, אך יש למנות עובד ספציפי מתוכה לתפקיד.

ה DPO לא חייב לדווח בעצמו על אירועי אבטחה, אלא די בכך שיהיה מעורב בתהליך.

מחזיק במידע אישי של גוף ציבורי חב גם הוא במינוי DPO (היה מי שפירש את הסעיף בחוק כחל רק על מחזיק שהוא בעצמו גוף ציבורי), דבר המרחיב משמעותית את שורת הגופים הפרטיים המחויבת במינוי DPO.

אף שעיקר תפקידו של ה DPO כרוך בידע משפטי מעמיק, הטיוטה דורשת מה DPO הבנה בנושאים טכנולוגיים סבוכים כמו טכנולוגיות מגבירות פרטיות.

תסקיר הגנה על הפרטיות אינו חובה בדין שלנו, כידוע, אולם הוא מתואר בטיוטה כ"כלי ראשון במעלה לשמירה מיטבית על הפרטיות בארגון". תפקידו של הDPO הוא "לקדם את השימוש בו ולהוביל או להיות מעורב באופן משמעותי בביצוע". (תיאור זה מדגיש את העובדה שתפקידו של ה DPO הוא פיקוחי והשגחתי בעיקרו, ולא ביצועי, אם כי בהקשר הזה הרשות יוצרת בלבול במסמך, שמכיל גם מספר מקומות בהם היא משייכת לDPO תפקיד ביצועי מעבר לזה הקבוע במילות החוק, כולל גם הפנייה למסמך הרשות משנת 2022, שמייחס לDPO תפקיד ביצועי של מספר פעולות בארגון).

 בעדכון זה סקרנו כמה נקודות בולטות מתוך טיוטת גילוי דעת, שאנו ממליצים לכל ארגון לקרוא היטב. הטיוטה פתוחה להערות עד 23.9.25 – אחרי שתיקון 13 ייכנס לתוקף.

אנחנו עומדים לרשותכם לכל שאלה,

אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.