top of page

פורטל ידע

חיפוש

דרישות הידע הטכנולוגי מממונה הגנת הפרטיות לאור תיקון 13 לחוק הגנת הפרטיות

  • תמונת הסופר/ת: Admin
    Admin
  • לפני שעתיים
  • זמן קריאה 5 דקות

24.05.2025

מאת: עו"ד רז דנאי | VP Privacy & Data Protection | DPO, Energy Team




 

פתיח

ביום 14.8.2024 פורסם ברשומות התיקון ה-13 לחוק הגנת הפרטיות התשמ"א-1981 ("חוק הגנת הפרטיות" או "החוק"), ואת מועד כניסתו לתוקף - שנה לאחר מכן. הריביזיה בחוק הגנת הפרטיות הישראלי מהווה נקודת מפנה חשובה בהתאמת רגולציית הגנת הפרטיות לסטנדרט האירופאי ומקרב אותה ואת סמכויות הרגולטור לאכוף את הוראות החוק לחשיבות הראויה לה. התיקון כולל בין היתר את החובה למנות ממונה על הגנת הפרטיות בארגונים מסוימים.[1] 

התיקון מביא עימו לכברת דרך משמעותית בקירוב תפיסת הגנת הפרטיות בארגון לעולמות אבטחת המידע והגנת הסייבר. לא רק בקביעת סכומי ההפרות על הוראות תקנות הגנת הפרטיות (אבטחת המידע), תשע"ז-2017[2], אלא גם בקביעתו דרישת הכישורים של ממונה הגנת הפרטיות (להלן "הממונה על הגנת הפרטיות" או "DPO").[3] בכך צמצם המחוקק את הפער בין הרגולציה למציאות הטכנולוגית.

 

מאמר זה שם לעצמו לנתח את כישורי ה-DPO בארגון כמפורט בחוק, תוך בהתאמה למציאות העכשווית, תחת הנחת המוצא כי איסוף ועיבוד מידע הוא תהליך אינהרנטי בארגון הממוצע.

 

דרישות הסף לממונה הגנת הפרטיות, מהטקסט למעשה:

הדין הישראל מציב מספר דרישות סף להכשרה הנדרשת ל-DPO בארגון. אבקש לדון כעת בדרישות הליבה (סעיף 17ב3 לחוק):

  1. ידע מעמיק בדיני הגנת הפרטיות – הדרישה נועדה להבטיח שה-DPO יהא בקיא הרגולציה הרוחבית והסקטוריאלית כתנאי סף. עם זאת, אי אפשר להתעלם מניחוח הדרישה המקצועית שעולה מדיוני המחוקק בנוסח החוק, בין אם משפטית (קרי, הסמכת עו"ד) ובין אם מקצועית (קורס כזה או אחר, נתמך רגולטור או שאינו נתמך) שנסתרה על ידי ראש וועדת החוקה, חוק ומשפט (להלן "פרוטוקול הוועדה" ו-"הוועדה" בהתאמה)[4] באומרו מפורשות "אני לא אתן לייצר מקצוע חדש ברגולציה...".[5] המשמעות היא כי המחוקק לא התכוון להתנות את תפקיד ה-DPO בהכשרת עורך הדין ואף לא בהכשרה פורמאלית, זאת כאמור, לעומת הבקיאות הנדרשת בעולמות הגנת הפרטיות התואמות את צרכי הארגון.

  2. עם זאת, האתיקה המקצועית מחייבת לציין שכאשר ביקש ראש הוועדה לקבוע את נוסח החוק שיחייב בקיאות ב"נושא הגנת הפרטיות" לעומת "דיני הגנת הפרטיות", הוא נכשל והחוק נשאר בהגדרה "דיני הגנת הפרטיות", יתכן בניסיון לקריצה להכשרה משפטית כזו או אחרת.[6]


  3. בניגוד לכרונולוגיה שבנוסח החוק, אדון כעת בדרישה האחרונה ברשימת הדרישות. על ממונה הגנת הפרטיות בארגון להיות בעל "היכרות עם תחומי פעילותו של הגוף שבו הוא ממלא את תפקידו ומטרותיו". מבלי להתייחס לתמורות (ויש שיאמרו – זילות) בתחום מתן שירותי הייעוץ לפרטיות מאז אישורו של תיקון 13 לחוק, הגדיל המחוקק והבהיר: ממונה הגנת הפרטיות בארגון אינו יכול להיות על תקן "אורח לרגע", לא בוט גנרי לשאילת שאלות ולא כל פתרון אחר שאינו כולל ניתוח מעמיק של הארגון. הראשונים לא רק שלא משרתים את הארגון נאותה, אלא גם אינם מקיימים את הוראות החוק. נכון יהיה לקרוא את דרישת ההיכרות עם פעילות הארגון בפשטותה: ה-DPO בארגון צריך להיות דמות החיה ונושמת את הפעילות העסקית של הארגון.


    הבנה הולמת בטכנולוגיה ואבטחת מידע. בין שתי דרישות התפקיד המוזכרות מעלה, מונחת לה באלגנטיות אפרורית הדרישה כי ממונה הגנת הפרטיות בארגון יהא בעל הבנה בעולמות ה-IT ואבטחת המידע. חשוב לציין בנקודה זו כי אומנם מאמר זה בא לנתח את דרישות תפקיד ממונה הגנת הפרטיות בארגון בהישען על מקורות משפטיים, אך בכותב בוערת הסוגיה כעו"ד אשר עשה את המעבר לעולם הייעוץ הטכנולוגי. לשון תיקון 13 נשענת בלא מעט מחלקיה על הרגולציה האירופאית, ה-GDPR. שם, ב-Art. 37(5) נכתב כי לא די לו ל-DPO להכיר את החוק, ועליו גם לשלוט בפרקטיקות הנלוות. על כך פרש ה-EDPB (בכובעו הקודם כ-WP) דרישה גם לידע טכנולוגי במערכות IT ואבטחת מידע[7]. המחוקק הישראלי התייחס לכך בעקיפין כאשר בשתיים מדרישות המשימות של ה-DPO הוא נדרש למימוש אחריות הנוגע למערכות המידע של מאגר המידע ומערכות אבטחת המידע בארגון.[8]


אם כך, היכן עובר קו ה-"...והכול בשים לב לאופי עיבוד המידע, נסיבותיו, היקפו ומטרותיו" כפי שדרש המחוקק[9] כך שה-DPO יוכל למלא תפקידו כהלכה? יו"ר הוועדה ניסה לסכם זו בצורה הבאה: " ...אני אומר שיש מקומות שבהם עיבוד המידע מעורר המון שאלות בתחום דיני הגנת הפרטיות... [לעומת – תוספת שאינה במקור] מה שהוא ייתקל בו ב-DPO בתחומי אבטחת המידע והטכנולוגיה...". קביעה זו בעייני מלאכותית ואינה מתכתבת עם סעיף 17ב1 (הגופים המחויבים במינוי DPO) או עם המציאות הטכנולוגית. הרי שעסקינן מראש בארגונים שנדרשו לממונה הגנת הפרטיות בהם עיבוד המידע ורגישותו הם מרכזיים (ראו סעיף 17ב1 לחוק). רוצה לומר, קשה לראות סיטואציה שבה ארגון הנדרש במינוי ממונה הגנת הפרטיות על פי החוק אינו מבצע תהליכים עסקיים הנתמכים במערכות מידע ואבטחת מידע סבוכות שנועדו לתת מענה לסיכוני הסייבר של הארגון. על כן, בארגונים אלו, והם כאמור השכיחים, ממונה הגנת הפרטיות נכון שיהיה בעל ידע מעמיק במערכות IT, אבטחת מידע וניהול סיכוני סייבר, אחרת יחטא לתפקידו.


אחרי ההיסק הלוגי והמשפטי המתבקש מהמשפט האחרון, אבקש להדגיש שאין ה-DPO נדרש לידע כשם שהממונה על אבטחת המידע נדרש לו. לא בכדי הקפיד המחוקק על הפרדת התפקידים בתיקון לחוק.

והינה אנחנו שוב נדרשים לשרטט קו לפרשנות תפקיד ה-DPO באשר לרמת הידע הנדרש. למען הנוחות, אנסה לשרטט קו זה ביחס לגורמים הטכנולוגים בארגון. בחינה של אחריות ממונה הגנת הפרטיות בארגון כהמלצת הרגולטור[10], לשון החוק, וה-common practice הקיים היום בשוק בין גורמי הגנת הפרטיות לגורמי אבטחת המידע, מצביע כי המשוואה הנכונה עסקית, משפטית וארגונית תהא כדלקמן: מצב בו הממונה על אבטחת המידע והממונה על הגנת הפרטיות יכולים לנהל שיח מקצועי טכנולוגי שוטף ומובן לשני הצדדים שיניב סנכרון אמיתי בסטטוס תכנית הבקרה השוטפת, קיום הוראות נהלי אבטחת המידע של הארגון ברמת השטח, ואף העמקת הידע המקצועי של ה-DPO ויכולתו למימוש מלא של זכויות מושאי מידע (סעיף 17ב2(א) לחוק). רק כך יוכל הממונה על הגנת הפרטיות בארגונים הנדרשים במינוי דמות שכזו למלא את אחריותו כמצופה, כדבר יו"ר הוועדה[11].

 

סיכום

ארגונים רבים מוצאים עצמם כנדרשים למינוי ממונה הגנת פרטיות בארגון, ובחיפושם הראשון, מתדפקים על דלתם ספקי שירות מכל קצוות המשק שברצונם למלא את התפקיד המיוחל בארגון. במאמר זה סקרתי את דרישת החוק לכישורי ה-DPO.

התחלתי בצורה כרונולוגית מהדרישה לידע מעמיק בדיני הגנת הפרטיות. הצגתי כי הדרישה איננה מצריכה הסמכה כזו או אחרת, אך מחייבות בקיאות בהוראות הגנת הפרטיות הרוחביות והסקטוריאליות לארגון. משם ניתחתי את הדרישה הכתובה השלישית לתפקיד ממונה הגנת הפרטיות - הצורך להיכרות עם תחומי הפעילות של הארגון. הראיתי כי במנותק מצורת מתן השירות, השירות לא יכול להיות שירות גנרי, ארעי או אקראי.

משם הצגתי את הדרישה הנוספת, שבעייני רחוקה מהקונצנזוס בשוק, והיא רמת הידע הטכנולוגי הנדרש לממונה הגנת הפרטיות בעולמות ה-IT, אבטחת המידע והסייבר. הצגתי, בהסתמך על ניתוח משפטי ופרשני של הוראות תיקון 13 וה-GDPR, כיצד בארגונים העומדים בתנאי הסף למינוי ממונה הגנת הפרטיות, חובה היא שתהיה לממונה הגנת הפרטיות ידע ושליטה טכנולוגית מקצועית בעולמות מערכות  ואבטחת המידע על מנת לאפשר לו למלא את חובותיו לצד ממונה אבטחת המידע. כל זאת בהתעלם מנתונים אודות היקפי עיבוד מידע שכיחים בשווקים שונים, השינוי שחל מהטמעת שירותי SaaS בעולמות עיבודי המידע, שירותי הענן ופיתוחי AI, אשר היו מחזקים קביעה זו, מהותית ואמפירית.

ולכן אין מפלט מהמסקנה כי מינוי ממונה הגנת הפרטיות נעדר ידע טכנולוגי מספק הנכון לרמתו הטכנולוגית של הארגון, תהא כחרב פיפיות החושפת את הארגון להפרות דיני הגנת הפרטיות על משמעויותיהן, ומנגד, פוגעת ביעילות תהליכי עיבוד המידע שלו.

 

על המחבר:

עו"ד רז דנאי, Energy Team | VP Privacy & Data Protection | DPO

razd@energyteam.com | 0505344472

 

[1] ראו סעיף 17ב1 לחוק.

[2] ראו תוספת שלישית לתיקון 13 לחוק הגנת הפרטיות.

[3] ראו סעיף 17ב3(א) לחוק הגנת הפרטיות.

[4] ראו פרוטוקול מס' 336 מישיבת ועדת החוקה, חוק ומשפט יום שלישי, כ"ז באייר התשפ"ד (04 ביוני 2024), שעה 12:51, עמוד 26 והלאה.

[5] עמוד 29 לפרוטוקול, פסקה אחרונה.

[6] עמוד 29 לפרוטוקול, במרכז העמוד.

[7] ראה סעיף 8 בעמוד 23 למסמך "Guidelines on Data Protection Officers (‘DPOs’)" - WP 243 rev.01 מיום 13.12.2016.

[8] ראה סעיפים קטנים (2) ו-(3) לסעיף 1722(א) לחוק.

[9]  ראה בסיפה של סעיף 17ב3(א) לחוק.

[10] בהתמקד בסעיפים 1.3, 1.6, 2.5 לפרק 3 "תפקידיו של ממונה על הגנת הפרטיות" וסעיף 5.2 למסמך ההמלצות של הרשות להגנת הפרטיות מיום 24.1.2022 בנושא "מינוי ממונה הגנת פרטיות בארגון ותפקידיו"

[11] ראה דברי בניתוח הדרישה ל"ידע מעמיק בדיני הגנת הפרטיות".

תגובות

bottom of page