אילו ארגונים חייבים למנות ממונה על הגנת הפרטיות?
בעקבות תיקון 13 לחוק, הרשות להגנת הפרטיות פרסמה גילוי דעת כיצד ליישם את התיקון לחוק, על מי הוא חל ומה מעמדו של הממונה על הגנת הפרטיות ● כמה זה יעלה לכם אם תעברו על החוק?
הרשות להגנת הפרטיות פרסמה לראשונה גילוי דעת מקיף המבהיר את אופן יישום תיקון 13 לחוק הגנת הפרטיות, המחייב גופים ציבוריים ושורה ארוכה של ארגונים פרטיים למנות ממונה על הגנת הפרטיות. החוק עבר בכנסת באוגוסט 2024 ונכנס לתוקף באוגוסט 2025.
גילוי הדעת מפרט את מהות החוק, חשיבותו, אילו סוגי ארגונים מחויבים למנות ממונה על הגנת המידע, סמכויותיו וכישוריו. גילוי הדעת מציין כי: "מדובר באחד השינויים המשמעותיים ביותר בדיני הפרטיות בישראל, שנועד לחזק את עקרון האחריותיות ולהבטיח פיקוח מקצועי על עיבוד מידע אישי בארגונים".
על פי הנחיות התיקון לחוק, החובה למנות ממונה על הגנת הפרטיות חלה על גופים ציבוריים, ארגונים העוסקים בסחר במידע אישי, חברות המבצעות ניטור שוטף ושיטתי של אנשים, וכן ארגונים שעיקר פעילותם כולל עיבוד מידע אישי רגיש בהיקף נרחב. בין הארגונים נכללים: בנקים, חברות ביטוח, בתי חולים, קופות חולים, חברות תקשורת, מפעילי שירותים דיגיטליים וארגונים המעבדים מידע רפואי או פיננסי בהיקפים גדולים.
הרשות מדגישה כי הממונה על הגנת הפרטיות יהיה גורם מקצועי עצמאי שתפקידו להוביל את תחום הפרטיות בארגון, לייעץ להנהלה ולעובדים, לפקח על עמידה בדרישות החוק, לקדם תוכניות הדרכה, לטפל בפניות של נושאי המידע ולשמש איש הקשר מול הרשות להגנת הפרטיות.
מי יכול להיות ממונה על הגנת הפרטיות?
גילוי הדעת קובע כי על הממונה להיות בעל ידע מעמיק בדיני הפרטיות, הבנה טכנולוגית מספקת של מערכות מידע ואבטחת מידע, וכן בעל היכרות עם פעילות הארגון. בנוסף, עליו לפעול ללא ניגוד עניינים, כאשר הארגון מחויב להעמיד לרשותו את המשאבים, הסמכויות והגישה למידע הנדרשים למילוי תפקידו.
הרשות מבהירה גם כי תפקיד הממונה על הגנת הפרטיות שונה מתפקיד ממונה אבטחת המידע וההמלצה היא הפרדה בין שני התפקידים. אולם, אם בכל זאת משלבים – הדבר מחייב בחינה זהירה כדי להבטיח את עצמאותו של הממונה.
לצד החובה החוקית, ממליצה הרשות גם לארגונים שאינם מחויבים במינוי ממונה לשקול לעשות זאת באופן וולונטרי. לדבריה, מינוי כזה מסייע בהפחתת סיכונים רגולטוריים ומשפטיים, מחזק את אמון הלקוחות והשותפים העסקיים, ואף עשוי להוות שיקול מקל בהטלת עיצומים כספיים במקרה של הפרת החוק.
מהם העיצומים הכספיים?
על פי התיקון לחוק, ארגונים שלא מינו ממונה על הגנת המידע לפי החוק, הרשות להגנת הפרטיות רשאית להשית עליהם קנסות בהיקפים שונים, לפי גודל הארגון והרגישות של המידע שיש לו. ארגון שמחזיק במאגר מידע "רגיל" עלול להיקנס בסכומים של 20 עד 40 אלף שקל, אם יש לו מידע רגיש. כמו כן יש אפשרות להשית קנסות לפי מניין האנשים שהמידע שבידי הארגון מתייחס אליהם. למשל ארגון שמחזיק מידע הקשור ל-50 אלף איש, הקנס יהיה בגובה 2 עד 4 שקלים לכל רשומה ובסך הכל מדובר בקנסות בגובה של 100 עד 200 אלף שקל.











תגובות
(0)