תיקון מס' 13 לחוק הגנת הפרטיות, התשמ"א–1981, שנכנס לתוקף באוגוסט 2025, משנה באופן מהותי את משטר הגנת המידע בישראל. אחד החידושים המרכזיים בתיקון הוא החובה למנות ממונה על הגנת הפרטיות (Data Protection Officer – DPO) בגופים ציבוריים ובארגונים פרטיים שעיסוקם כרוך בסיכון משמעותי לפרטיות.
על מי חלה החובה?
החובה חלה על גופים הבאים:
- גופים ציבוריים -"גוף ציבורי" מוגדר בסעיף 23 לחוק, וכולל, בין היתר, משרדי ממשלה, רשויות מקומיות, מוסדות להשכלה גבוהה וקופות חולים, ולרבות על מי שמחזיק במאגר מידע של גוף ציבורי (כלומר גורם חיצוני לגוף הציבורי שמעבד עבורו מידע אישי.(
שימו לב – אגודה שיתופית או תאגיד עירוני אינם חלק מן האישיות המשפטית של הרשות המקומית, ולכן לא יחשבו "גוף ציבורי" אלא אם כן הם ממלאים "תפקיד ציבורי על פי דין" או נכללים בצו שפורסם מכוח סעיף 23(2 (לחוק (ראו לעניין זה גילוי דעת "מינוי ממונה על הגנת הפרטיות בארגון לפי דרישות תיקון מס' 13 לחוק הגנת הפרטיות" מיום 23/07/2025 (טיוטה להערות הציבור), או אם הם מחזיקים במאגר מידע של גוף ציבורי.
- גופים העוסקים בסחר במידע אישי – כגון חברות המעניקות שירותי דיוור ישיר או מתווכות במידע על יותר מ־10,000 אנשים.
- גופים המבצעים ניטור שיטתי של אנשים – למשל מפעילי אתרי אינטרנט, אפליקציות, או מערכות חכמות העוקבות אחר פעילות משתמשים.
- גופים שמעבדים מידע רגיש בהיקף ניכר – כדוגמת בנקים, חברות ביטוח, בתי חולים וגופים המעבדים מידע רפואי או ביומטרי כחלק מליבת פעילותם.
לצד הגופים המחויבים על פי דין, הרשות ממליצה גם לגופים שאינם מחויבים בכך על פי דין, למנות ממונה באופן וולונטרי כחלק מיישום עקרון האחריותיות (accountability) על מנת שיסייע לארגון ליישם את חובותיו בהוראות החוק, ובכך, בין השאר, גם לחזק את המוניטין של הארגון. בייחוד, סבורה הרשות כי ישנה חשיבות מיוחדת למינוי ממונה על הגנת הפרטיות בארגונים הכפופים לחלק מעקרונות המשפט הציבורי (גופים דו מהותיים), וזאת אף אם אינם נכללים בהגדרה של "גוף ציבורי" שבחוק.
כישורי הממונה
על פי החוק, הממונה חייב להיות אדם בעל ידע והבנה מעמיקים בדיני הגנת הפרטיות, לרבות החוק הישראלי ותקנות אבטחת המידע. בנוסף עליו להבין בטכנולוגיות מידע, תהליכי עיבוד נתונים ואבטחת מידע, ולהכיר את פעילות הארגון שבו הוא מכהן.
תפקידיו המרכזיים של הממונה
הממונה מהווה את "קצין הציות" של הארגון לדיני פרטיות. בין תפקידיו:
- סמכות מקצועית וייעוץ – ייעוץ להנהלה ולעובדים ביישום הוראות החוק.
- פיקוח על עמידת הארגון בהוראות הדין ובתקנות אבטחת המידע.
- הדרכה – הכנת תכנית הדרכה שנתית ויקפח על ביצועה, לרבות על מנת להעלות מודעות בקרב עובדים.
- עריכת בקרות תקופתיות והכנת דוחות להנהלה על עמידה בדרישות החוק, לרבות וידוא קיום נוהל אבטחה ומסמך הגדרות לאישור ההנהלה.
- טיפול בפניות ובקשות של נושאי מידע למימוש זכויותיהם (עיון, תיקון, מחיקה וכו’).
- תיאום ושיתוף פעולה עם הרשות להגנת הפרטיות, לרבות במקרים של אירועי אבטחה.
מעמדו ודרכי העסקתו
החוק מאפשר למנות ממונה כעובד הארגון או כנותן שירות חיצוני. עם זאת, עליו לפעול באופן עצמאי, ללא כפיפות לנושא משרה שעלול להימצא עמו בניגוד עניינים. הארגון מחויב להעמיד לרשותו את המשאבים, הסמכויות והגישה הנדרשים למילוי תפקידו, לרבות גישה למידע, תקציב מתאים וזיקה ישירה להנהלה הבכירה.
חשיבות המינוי
הרשות מדגישה כי מינוי ממונה על הגנת הפרטיות אינו רק חובה משפטית אלא כלי ניהולי קריטי. הוא מחזק את אמון הציבור, מפחית סיכוני חשיפה לעיצומים כספיים, ותורם ליצירת "תרבות פרטיות" בארגון.
לא חלה עליכם החובה למנות ממונה על הגנת הפרטיות? אנו ממליצים בכל מקרה להסדיר את ניהול ואבטחת המידע בארגון באופן מקצועי, מאובטח ושקוף, שיבטיח עמידה בהוראות החוק והתקנות.
