ממונים על הגנת הפרטיות בארגונים? הרשות להגנת הפרטיות ממליצה

הרשות להגנת הפרטיות קוראת לארגונים וחברות מכל מגזרי המשק למנות ממוני הגנה על הפרטיות. הרשות עושה זאת בטיוטת מסמך 'מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו' שפרסמה להערות הציבור. המסמך מגדיר את דרישות התפקיד, סמכויותיו, עצמאותו והכשרתו. חוק הגנת הפרטיות אינו מכיר בבעל תפקיד כזה (אבל כמובן לא שולל מינוי) אלא בממוני אבטחה בלבד.

"כאשר ליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, ראוי כי ממונה הגנת הפרטיות יהיה מינוי פנימי ובעל תפקיד בכיר בארגון", ממליצה הרשות. "ככל שמדובר בארגון בינוני או קטן...קיימת אפשרות למנות ממונה חיצוני, שאינו עובד הארגון". כך או כך, "מינוי ממונה הגנה על הפרטיות מהווה אינדיקציה כי הארגון נקט ונוקט צעדים לצמצום הסיכון לפגיעה במידע האישי הנשמר ברשותו", קובעת הרשות בטיוטת המסמך.

מבין תפקידיו, קובעת הרשות כי הממונה על הגנת הפרטיות ינסח את מדיניות הפרטיות בארגון, יהיה מעורב בעיצוב מערכות המידע, יקדם את עקרון ה-Privacy By Design, ויבצע תסקירי השפעה וסיכונים. הממונה יפקח על הנהלים והמדיניות הקשורים במידע אישי בארגון, יפקח על קיום הוראות חוק הגנת הפרטיות וינהל את התקשורת עם הרשות להגנת הפרטיות. בנוסף, הממונה ישמש סמכות מקצועית בתחומו ומוקד ידע, ויקיים מערכי הדרכת עובדים בנושא. 

אשר לסמכויותיו ועצמאותו, הרשות ממליצה לערב את הממונה בכל הנושאים הנוגעים להגנה על המידע האישי ולהעמיד לרשותו את כל המשאבים והסמכויות הנדרשים למילוי תפקידו ושימור מומחיותו. בנוסף מומלץ כי הממונה יהיה בעל עצמאות מוסדית ומקצועית ואף שיהיה חלק מההנהלה הבכירה בארגון. ככל שהממונה על הגנת הפרטיות משמש במקביל בתפקיד נוסף בארגון, יש לוודא כי אין בכך ניגוד עניינים. 

הרשות ממליצה שהממונה יהיה בעל הכשרה אקדמית או מקבילה במשפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או ברגולציה, ושתהיה לו ידיעה מעמיקה של דיני ההגנה על מידע אישי בישראל. מומלץ שתהיה לו היכרות עם דיני ההגנה על מידע אישי באירופה ובארה"ב והבנה נאותה בתחום טכנולוגיות המידע ואבטחת המידע באינטרנט. היכרות עם הפן העסקי של ניהול ארגון ואתיקה מקצועית מומלצים גם כן. 

הרשות מבחינה בין הממונה הגנה על הפרטיות בארגון לבין הממונה על אבטחת המידע. הראשון אמון על המותר והאסור ביחס לשימושים במידע, והאחרון על מכלול האמצעים הארגוניים והטכנולוגיים הננקטים למניעת שימוש לא מורשה במידע. "הממונה [על הגנת הפרטיות] ינחה את הממונה על אבטחת המידע בארגון בנושאים הקשורים בהגנת פרטיות במידע, ובקיום הוראות חוק הגנת הפרטיות". 

הרשות מזמינה להעביר אליה התייחסויות לטיוטת המסמך עד לתאריך 29.11.2020 בשעה 12:00 לכתובת הדוא"ל ppa@justice.gov.il ולציין בשורת הנושא "התייחסות למסמך המלצות בנושא מינוי ממונה הגנה על הפרטיות בארגונים ותפקידיו".