כל בעל שליטה או מחזיק במאגר מידע שעיסוקיו העיקריים כוללים ניטור שוטף ושיטתי של בני אדם, לרבות התחקות אחרי פעילות משתמשים באפליקציות ובאתרי אינטרנט, יצירת פרופיל של תכונות, התנהגויות, תחומי עניין, העדפות של אנשים, איסוף נתוני מיקום באמצעות אפליקציות, מעקב אחרי נתוני בריאות באמצעות אפליקציות והתקני מחשוב לביש, איסוף מידע באמצעות מתקנים מחוברים לאינטרנט שמירת מאגרי צילומים של מצלמות מעקב וספקי אינטרנט - כולם יחויבו מעתה במינוי ממונה על הגנת הפרטיות (DPO), גם אם העיבוד לא מבוצע ב-"היקף ניכר" כפי שמודגם בתיקון 13 לחוק. כך מפרשת הרשות להגנת הפרטיות בטיוטת גילוי הדעת שלה, את סעיף 17ב1(א)(3) בתיקון 13 לחוק הגנת הפרטיות, שצפוי להיכנס לתוקף ב-14.8.25. הפירוש מרחיב משמעותית את חובת מינוי הממונה על הגנת הפרטיות בארגונים בישראל. 

חובת מינוי הממונה

על-פי החוק, חובת המינוי היא ממילא רחבה מאד: היא חלה על גופים ציבוריים, גופים העוסקים בסחר במידע, גופים העוסקים בניטור שוטף ושיטתי של בני אדם או גופים המעבדים מידע בעל רגישות מיוחדת בהיקף ניכר. בעלי השליטה והמחזיקים במאגרים הללו חייבים במינוי ממונה על הגנת הפרטיות. ההגדרות של "בעל שליטה במאגר" ובעיקר של "מחזיק" הן רחבות ביותר: בעל שליטה" במאגר מידע - מי שקובע, לבדו או יחד עם אחר, את מטרות עיבוד המידע שבמאגר המידע, ואילו "מחזיק" - גורם חיצוני לבעל השליטה במאגר המידע המעבד בעבורו מידע. "עיבוד" מידע אישי הוא כל פעולה המבוצעת על מידע אישי, לרבות קבלת המידע, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו. ככל שאלו נעשים על ידי אותו גורם חיצוני המחזיק במאגר מידע המחייב מינוי ממונה על הגנת הפרטיות.

הרשות מפרשת את המונח "עיסוקו העיקרי" כעיבוד מידע אישי שהוא רכיב מרכזי בהגשמת המטרות העסקיות או הארגוניות העיקריות של בעל השליטה במאגר או המחזיק, או חלק אינהרנטי מפעילות הליבה של הארגון (אף אם איננו חיוני להגשמתה). הרשות הבהירה כי המונח "היקף ניכר" ייבחן לפי מכלול הנסיבות והשיקולים הנוגעים לכל מקרה לגופו, ובהם: מספר בני האדם שמידע מעובד לגביהם; שיעורם באוכלוסייה מסוימת; היקף המידע; כמות המידע; הטווח (המגוון) של סוגי המידע המעובד; משך ותדירות פעולות העיבוד; משך שמירת המידע והתחום הגאוגרפי של פעולות העיבוד. קריטריונים אלה אינם חייבים להתקיים באופן מצטבר.

הרשות ממליצה גם לגופים שאינם מחויבים בכך, במיוחד בארגונים הכפופים ל פחות לחלק מעקרונות המשפט הציבורי (גופים דו-מהותיים), לשקול מינוי כזה גם באופן וולונטרי, בשל יתרונותיו הרבים.

כישורי הממונה

הרשות להגנת הפרטיות יצקה תוכן לתנאים הכלליים בסעיף 17ב3 לתיקון 13 לחוק, המפרטים את דרישות הסף לכישורי הממונה על הגנת הפרטיות. על הממונה להיות בעל שליטה מלאה ומקיפה במכלול החקיקה והרגולציה הישראלית בתחום הגנת הפרטיות, לרבות פסיקת בתי המשפט בסוגיות של הגנת פרטיות ורצוי שיהיה בעל ניסיון מעשי משמעותי בעיסוק בתחום, שיעבור הכשרה בסיסית לממוני הגנת פרטיות או מומחיות אחרת שניתנת להוכחה.

על הממונה להפגין הבנה הולמת בטכנולוגיה ואבטחת מידע ברמה שתאפשר לו לבצע באופן יעיל את תפקידו לאור המאפיינים הספציפיים של הארגון בו הוא מכהן. הממונה נדרש להכיר את ייעודו של הארגון ותחומי העיסוק שלו; המבנה התאגידי; חלוקת תחומי האחריות ותהליכי העבודה הנהוגים בו, בדגש על תהליכי עיבוד מידע.

תפקידי הממונה

הממונה נדרש להבטיח את קיום הוראות החוק בארגון, וגם לפעול לקידום ושיפור ההגנה על הפרטיות ואבטחת המידע גם מעבר למינימום הקבוע בדין. הממונה נדרש להביא להפנמה של "תרבות פרטיות" בארגון ושל עקרונות ושיקולי פרטיות בכל תהליכי העבודה הנוגעים למידע אישי ולמערכות המידע בארגון כדי לקדם עקרונות Privacy by Design ("עיצוב לפרטיות") ושימוש בטכנולוגיות מגבירות פרטיות (PETs). הרשות ממליצה לכל ממונה להוביל או לפחות להיות מעורב באופן משמעותי בעריכת תסקיר השפעה על הפרטיות לשמירה מיטבית על הפרטיות בארגון.

הממונה ישמש מוקד ידע וייעץ בהוראות המחייבות של דיני הפרטיות והן בעקרונות לקידום השמירה על הפרטיות החורגים מהוראות הדין, יכין תכנית הדרכה ויפקח על ביצועה, יכין תוכנית לבקרה שוטפת על העמידה בהוראות החוק, לכל הפחות לוודא את ביצועה (אם כי רצוי שיהיה גם מעורב בביצוע שלה בפועל), יוודא כי הארגון ערך נוהל אבטחת מידע ומסמך הגדרות מאגר, יוודא טיפול בכל פניה של נושא מידע הנוגעת לעיבוד מידע אודותיו בארגון וישמש איש הקשר של הארגון עם הרשות להגנת הפרטיות.

תנאי העסקת הממונה

הרשות מבהירה בטיוטת גילוי הדעת כי אופטימאלית, רצוי שהממונה יהיה עובד הארגון וחלק אינטגרלי מן הארגון כדי להעצים את יכולתו לבצע את תפקידו באופן מיטבי. יש להבטיח כי הוא יוכל להקדיש את הזמן הדרוש למילוי נאות של תפקידו, ולקיים את שאר דרישות החוק לגבי הממונה ואופן העסקתו. אין בחוק חובה מפורשת שהממונה יהיה אזרח או תושב ישראל, אולם עליו להיות זמין ונגיש גם באופן פיזי בארגון ככל הנדרש לביצוע נאות של תפקידיו.

הארגון נדרש לספק לממונה לו את התנאים והמשאבים הדרושים למילוי נאות של תפקידו ולוודא כי הוא מעורב כראוי בכל נושא הנוגע לדיני הגנת הפרטיות. בכך, על הארגון להתחשב בהיקף המשרה ודרגת השכר של הממונה, גיוס צוות מקצועי שיסייע לממונה, גובה תקציב הפעילות של הממונה כולל בקרה והדרכה, שימור ועדכון הידע המקצועי של הממונה באמצעות השתתפותו בהשתלמויות, כנסים, שמירה על הרשאות גישה לכל המסמכים ומערכות הידע ויידוע הממונה על כל אירוע בעל השלכה מהותית על הגנת המידע האישי הארגון.  כל ארגון רשאי להחליט על מיקום הממונה במבנה הארגוני לפי שיקול דעתו ובהתאם לצרכיו, בתנאי שהממונה ידווח ישירות למנכ"ל או לגורם הכפוף למנכ"ל במישרין.

הרשות מבהירה כי אסור להטיל על הממונה תפקיד נוסף או כפיפות לנושא משרה אשר עלולים להעמידו בחשש לניגוד עניינים - הממונה אינו יכול למלא תפקידים (או להיות כפוף לבעלי תפקידים) הכוללים את הסמכות או האחריות לקבוע מדיניות בעניין עיבוד המידע האישי בארגון, לרבות קביעת מטרות העיבוד וקבלת החלטות מהותיות לגבי שיטות ואמצעי העיבוד. למרות שחוק הגנת הפרטיות אינו אוסר במפורש על כך שממונה הגנת הפרטיות הארגוני ישמש גם כממונה אבטחת המידע או ה-CISO בארגון, ממליצה הרשות להימנע מכך, כי ברוב המקרים דרישות החוק בעניין הידע והכישורים של הממונה על הגנת הפרטיות ובעניין אופן מילוי תפקידו לא מתאימות למאפיינים של תפקיד ממונה האבטחה, או לעיתים אף יוצרות מורכבות משפטית.

טיוטת גילוי הדעת פתוחה להערות הציבור עד ליום 23.09.2025 בשעה 12:00. הפרשנות המוצגת בגילוי הדעת תשמש את הרשות בעת הפעלת הסמכויות המוקנות לה, לרבות הסמכות להטיל עיצומים כספיים בגין הפרה של החובה למנות ממונה על הגנת הפרטיות ושל הוראות אחרות בחוק הנוגעות למעמדו ולמתכונת העסקתו. בעת הפעלת סמכויותיה ובכללן סמכויות האכיפה, תתחשב הרשות בכך שגילוי הדעת בשלב זה אינו מסמך סופי אלא עדיין בגדר טיוטה להערות הציבור.