ביום 29.10.2020 פרסמה הרשות להגנת הפרטיות ("הרשות"), טיוטת נייר עמדה בנושא מינוי ממונה הגנה על הפרטיות ("ממונה הגנת הפרטיות"), והמעוניינים בכך רשאים להגיש את התייחסותם אליו עד ליום 29.11.2020.
בנייר עמדה זה ממליצה הרשות למנות ממונה הגנת הפרטיות באופן וולונטארי כפרקטיקה ראויה ומומלצת, וזאת במטרה להביא להפנמה ויישום של דיני הגנת הפרטיות ושיקולי פרטיות בתהליכי העבודה הארגוניים. בהקשר זה נציין כי כיום קיימת חובה למנות מנהל מאגר מידע, שחלק מתפקידיו חופפים לתפקידים שיוטלו על ממונה הגנת הפרטיות, כפי שיפורטו להלן. לפיכך, ממליצה הרשות כי זהותם של הממונים תהא זהה, בשונה מתפקידו של ממונה על אבטחת המידע - שתחום אחריותו מתמקד באבטחת המידע ומניעת שימוש לרעה במידע, לעומת תפקידם של הראשונים, שהוא רחב יותר ונוגע להתוויית תהליכי עבודה ונהלים הקשורים לניהול, עיבוד ושימוש במידע בהתאם לתכליות דיני הגנת הפרטיות ושמירה על זכויות הפרט. יתרה מזאת, ייתכן כי ארגונים מסוימים ממילא חבים בחובה למנות ממונה הגנת פרטיות, וזאת מכוח רגולציה זרה.
על פי הצעת הרשות, מינויו של ממונה הגנת הפרטיות יכול להיות מינוי פנימי או חיצוני לחברה, בהתאם לאופי פעילות הארגון והיקף עיבוד המידע האישי הנעשה כחלק מפעילות הארגון. בארגון גדול בו ליבת העיסוק כרוכה בעיבוד מידע אישי או כאשר מעובד מידע אישי בקנה מידה רחב, ראוי כי המינוי של ממונה הגנת הפרטיות יהיה מינוי פנימי של בעל תפקיד בכיר בארגון, שאף מהווה חלק מההנהלה הבכירה בארגון. ככל שהמינוי הוא פנימי, יש לוודא כי אין במינוי משום ניגוד עניינים בשל תפקיד אחר אותו ממלא העובד בארגון. בכל מקרה, בין אם מדובר במינוי פנימי או חיצוני, יש להעניק לממונה הגנת הפרטיות גישה לנושאים הנוגעים למידע אישי, למשאבים הנדרשים למילוי תפקידו, ויש להבטיח את עצמאותו המוסדית והמקצועית.
רגולציות שונות ברחבי העולם ובראשן רגולציית הגנת המידע של האיחוד האירופי ("GDPR"), מסדירות את החובה למנות ממונה על הגנת הפרטיות בארגון ("DPO"), כך שניתן לראות כי מגמת הרשות היא לאמץ עקרונות מתוך ה-GDPR ולהיצמד כמה שניתן להוראותיו, זאת במיוחד לאור העובדה כי ישראל נמצאת כיום תחת בחינה מחדש של מעמדה כ"מדינה נאותה" לצורך העברת מידע אישי מהאיחוד האירופי לישראל ולאור החמרת הגישה האירופאית להעברת המידע מחוץ לאיחוד האירופי. מגמה זו אף משתקפת בטיוטת תזכיר חוק הגנת הפרטיות (תיקון מספר ) (הגדרות וצמצום חובת הרישום), התש"ף – 2020.
תפקידיו של ממונה הגנת הפרטיות
על פי הצעת הרשות, היקף תפקידו של הממונה ייקבע על פי מורכבות פעולות עיבוד הנתונים המתבצעות בארגון וגודל הארגון, ומומלץ להטיל עליו, בין היתר, את המשימות הבאות:
- הסדרת תהליכי ניהול מידע – לרבות ניסוח מדיניות פרטיות, בדיקת נהלי ומדיניות הארגון בתחום הפרטיות, ליווי הליכי עיבוד מידע בארגון, עיצוב מערכות הארגון לטובת הפחתת הפגיעה בפרטיות (Privacy by design, Privacy by Default), ניהול תסקיר השפעה על הפרטיות, פיקוח על סקר סיכונים בנושא פגיעה בפרטיות וטיפול בפניות הנוגעות לעיבוד מידע אישי ולזכות לפרטיות.
- פיקוח ובקרה – לרבות הכנת תכנית עבודה שנתית, דיווח להנהלת הארגון על הפרות, בקרת ליקויים, הכנת דו"ח פעילות שנתי, הנחיית הממונה על אבטחת המידע ושיתוף פעולה שוטף עם הרשות.
- הדרכה והטמעה – לרבות הנחייה והדרכה של הארגון ועובדיו בנושא.
ידע והכשרה רלוונטיים לממונה הגנת הפרטיות
על מנת לבצע את תפקידו בצורה אפקטיבית, על ממונה הגנת הפרטיות להכיר את צרכיו העסקיים של הארגון, ויחד עם זאת – להכיר את דרישות החוק. על כן, המלצת הרשות היא כי הכשרת ממונה הגנת הפרטיות תכלול הכשרה אקדמית או מקבילה באחד מאלה: משפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או רגולציה. בנוסף, ממליצה הרשות כי ממונה הגנת הפרטיות יהיה בקיא בדיני ההגנה על מידע אישי בישראל (ואף באירופה ובארה"ב); בעל הבנה נאותה בתחום טכנולוגיית המידע ואבטחת המידע; ואתיקה מקצועית.
סיכום
על אף שהחוק הישראלי אינו מטיל כיום חובה כללית למינוי בעל תפקיד שאמון על נושא הפרטיות, עמדת הרשות המוצעת היא כי מינוי שכזה מהווה פרקטיקה ראויה ואף עשוי לחזק את אמון עובדיו ולקוחותיו של הארגון באשר לטיפול במידע האישי שלהם, ביודעם כי הארגון מתחשב ברצינות בזכותם לפרטיות ונוקט צעדים לצמצום הסיכון לפגיעה בפרטיותם, ובכך גם להתקרב לסטנדרט פרטיות - שהפך זה מכבר לדרישה מסחרית-שיווקית גלובלית ולא רק חובה משפטית.
|
|
|
